Rahmenrichtlinien (PDF, 446KB, Datei ist nicht - BAköV
Transcription
Rahmenrichtlinien (PDF, 446KB, Datei ist nicht - BAköV
IT-Rahmenkonzept 2005 des Bundesministeriums des Innern - Managementfassung - Referat Z 6 Stand: Dezember 2003 -2- IT-Rahmenkonzept 2005 Referat Z 6 Gliederung 1. 2. 3. 4. 5. DARSTELLUNG DER WESENTLICHEN AUFGABEN, DER BEHÖRDENORGANISATION UND DER AUFGABENVERÄNDERUNGEN 4 KERNAUSSAGEN ZUM EINSATZ DER INFORMATIONSTECHNIK 6 2.1. Aktuelle Herausforderungen 6 2.2. Entwicklungsrichtungen und -potentiale 7 GRUNDSÄTZE ZUR IT-ARCHITEKTUR UND -INFRASTRUKTUR 15 3.1. Kernaussagen zur Strategie des zukünftigen IT-Einsatzes in der Behörde 3.1.1. IT-Netzwerk 3.1.2. Serverstruktur 3.1.3. Kommunikation 3.1.4. Standardarbeitsplatzcomputer 3.1.5. Standard-, Sonder- und Fachanwendungen 3.1.6. Telekommunikation 3.1.7. Dienstleistungs- und Betreuungsstruktur 15 15 16 18 18 20 20 21 3.2. Strategische Schwerpunkte für die langfristige Ausgestaltung des ITEinsatzes 23 3.3. Haushaltsmittel 24 IT-PERSONAL 26 4.1. Einsatz des IT-Personals 26 4.2. Personalplanung 27 4.3. Zusammenwirken mit Externen 29 IT-SICHERHEIT 31 5.1. Grundaussagen 31 5.2. Sicherheitsziel 32 5.3. Sicherheitsmanagement 32 Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 -3- Referat Z 6 5.4. Sicherheitsprozess 33 5.5. Schwerpunkte der Arbeit 5.5.1. Sicherheitskonzept 5.5.2. Schutz vor Schadensprogrammen 5.5.3. SPAM-Prävention 5.5.4. Betrieb der VS-IT 5.5.5. Präventive Sicherheitsmaßnahmen 5.5.6. Administrative Rechte 5.5.7. Verschlüsselungsinfrastruktur 5.5.8. Organisatorische Regelungen 5.5.9. Verfahrensverzeichnis 35 35 36 37 37 37 38 39 40 40 6. KERNAUSSAGEN ZUR VORGEHENSWEISE UND ORGANISATION 42 7. STRUKTURELLE BESCHREIBUNG DES IT-FORTBILDUNGSKONZEPTS 44 8. VISIONEN 47 9. ÜBERSICHTEN ZU DEM ANLAGEN-BAND 48 9.1. IT-Maßnahmen und Projekte 9.1.1. Neue IT-Projekte / Wesentliche Weiterentwicklungen 9.1.2. Ergänzungen, Erweiterungen und Ersatzbeschaffungen bestehender IT-Maßnahmen 9.1.3. Ausstattung / Service 9.1.4. Fortbildung 48 48 49 49 49 9.2. Weitere Übersichten 9.2.1. Personal / Funktionssoll Z 6 9.2.2. Haushaltsansätze 2005 49 49 49 Hinweis: Aus Gründen der Lesbarkeit wurden im Folgenden bei der Nennung von Personen/-gruppen nicht stringent geschlechtsneutrale Formen benutzt. Alle entsprechenden Begriffe implizieren in gleicher Weise die männliche und die weibliche Form. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 1. -4- Referat Z 6 Darstellung der wesentlichen Aufgaben, der Behördenorganisation und der Aufgabenveränderungen Die Aufgaben des Bundesministeriums des Innern (BMI) sind breit gefächert. Das Spektrum erstreckt sich über den Bereich der inneren Sicherheit, den Verfassungsschutz, den Datenschutz, Angelegenheiten des Öffentlichen Dienstes, Ausländer- und Zuwanderungsfragen, die Koordination des Einsatzes von Informationstechnik, die Sportförderung, die Politische Bildung, den Katastrophenschutz sowie Aussiedlerbelange. Das BMI führt die Fachaufsicht über 20 nachgeordnete Behörden und Einrichtungen, die das Ministerium bei der Wahrnehmung seiner Aufgaben unterstützen. Zum Geschäftsbereich gehören u. a. der Bundesgrenzschutz, das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, das Technische Hilfswerk und das Bundesamt für Sicherheit in der Informationstechnik. Die Wahrnehmung der Aufgaben erfolgt im BMI durch rund 1.650 Mitarbeiter zuzüglich Abgeordneten aus dem Geschäftsbereich und Externen. Diese verteilen sich zu etwa zwei Drittel auf den Dienstsitz in Berlin (Alt-Moabit, Bundeshaus, Fehrbelliner Platz) und zu einem Drittel auf den Dienstsitz in Bonn (Graurheindorfer Straße). Organisatorisch gliedert sich das Bundesministerium des Innern in 10 Abteilungen. Dazu gehören neben der Zentralabteilung (Z), der u. a. das Referat für Informations- und Kommunikationstechnik (Z 6) angehört, die folgenden Fachabteilungen: y y y y y y y y y Grundsatzfragen der Innenpolitik (G); Öffentlicher Dienst (D); Verwaltungsmodernisierung, Verwaltungsorganisation (O); Sport, Spätaussiedler, Hilfe für deutsche Minderheiten (SH); Verfassungsrecht, Verwaltungsrecht, Staatsrecht, Europaangelegenheiten (V); Polizeiangelegenheiten, Terrorismusbekämpfung (P); Bundesgrenzschutz (BGS); Innere Sicherheit (IS); Migration, Flüchtlinge, Integration, Europäische Harmonisierung (M). Daneben werden wichtige – insbesondere auch ressortübergreifende – Fachaufgaben vom IT-Stab, dem Stab Weltmeisterschaft 2006 sowie den Projektgruppen „Bund Online 2005“, „Personaldokumente, Meldewesen, Biometrie“, „Zuwanderung“, „netzwerkBOS“, „Internationaler Katastrophenschutz“ u.a. wahrgenommen. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 -5- Referat Z 6 Der IT-Stab bündelt die ressort-übergreifende, strategische Zuständigkeit im Bereich der Informationstechnik. Weiter verantwortet der IT-Stab die einheitliche Steuerung und Koordinierung der IT in der Bundesverwaltung. Hierzu ist ihm u.a. die Koordinierungsund Beratungsstelle der Bundesregierung für Informationstechnik in der Bundesverwaltung (KBSt) und die Projektgruppe BundOnline 2005 zugeordnet. Prägendes Motiv bei der Aufgabenerledigung im BMI ist die nachhaltige Verwaltungsmodernisierung. Die Initiative „Moderner Staat – Moderne Verwaltung“1 zielt auf eine effizientere Verwaltung. Leitbild ist der „aktivierende Staat“, der Rahmenbedingungen und Anreize für eine leistungsstarke, flexible und kostengünstige staatliche Verwaltung mit motivierten Mitarbeitern schafft und unnötige bürokratische Hürden abbaut. Zentrales Anliegen ist ein verstärkter Dialog mit dem Bürger. Informationen und Wissen sollen transparenter werden, Verwaltungshandeln besser verständlich und nachvollziehbar sein. Mittels neuer Formen des Dialogs (interaktive Webangebote, E-Mail, Chat usw.) können Anregungen des Bürgers aufgenommen und gute Ideen schneller umgesetzt werden. Bei der strukturellen Erneuerung kommt dem Einsatz moderner Informations- und Kommunikationstechnik zentrale Bedeutung zu. Internettechnologie ermöglicht ein neues Informations- und Dienstleistungsangebot des Staates. Zur Förderung des Electronic Government kommt der Initiative „Bund Online 2005“2 besondere Bedeutung zu. Darin verpflichtet sich die Bundesregierung, bis 2005 die 440 internetfähigen Dienstleistungen des Bundes online bereitzustellen. Beispielsweise wurde die Basiskomponente „Government Site Builder“ für das Content Management entwickelt und ab 2003 entsprechend dem Prinzip „Einerfür-Alle“ für den Einsatz in den Ressorts bereitgestellt. Die Koordinierung der Initiative erfolgt durch die Projektgruppe Bund Online 2005, die dem IT-Stab zugeordnet ist. Um den Sicherheitsrisiken, die mit der Nutzung des Internets verbunden sind, angemessen zu begegnen, wurde die Task Force „Sicheres Internet“ eingerichtet. Sie zielt darauf, das Gefahrenpotential zu bewerten und Maßnahmen zu dessen Minimierung vorzuschlagen und zu koordinieren.3 1 s. auch www.staat-modern.de; 2 s. auch www.bundonline2005.de; www.bund.de; www.deutschland-online.de 3 s. auch www.bsi.de/taskforce; www.sicherheit-im-internet.de; Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 2. -6- Referat Z 6 Kernaussagen zum Einsatz der Informationstechnik Der Einsatz von Informationstechnik ist zu einem unverzichtbaren Bestandteil der Arbeit im BMI geworden. Die 100%-ige Ausstattung aller geeigneten Arbeitsplätze mit Computern ist hier seit mehreren Jahren erreicht. Jeder Mitarbeiter besitzt eine individuelle Nutzerkennung, die ihm entsprechend der zugewiesenen Rollen und Rechte eine spezifische Anwendungsumgebung bereitstellt. Die Liegenschaften in Berlin und Bonn verfügen über eine leistungsfähige Netzinfrastruktur mit hohen Übertragungsraten auf Basis moderner Glasfasertechnologie (ATM). Die Nutzungsbreite der Arbeitsplatzcomputer (APC) wächst kontinuierlich. Längst reicht sie über die klassischen Büroanwendungen hinaus. Elektronische Kommunikationsmittel übernehmen Aufgaben angestammter Übertragungsmedien. Videokonferenzen machen vielfach Dienstreisen überflüssig und helfen, Kommunikationshemmnisse infolge der örtlichen Trennung zwischen den beiden Dienstsitzen auszuräumen. Allen Arbeitsplätzen steht ein Internetzugang zur Verfügung. Ein technologisch fortgeschrittenes Intranet („i*net“) erleichtert das Auffinden von Informationen und verbessert die Verbreitung aktueller Mitteilungen im Haus. Verwaltungsprozesse werden zunehmend in Workflow-Systemen abgebildet. Die erfolgte Umsetzung der elektronischen Registratur auf eine neue technologische Basis erlaubt den Aufbau eines umfassenden Dokumentenmanagementsystems (elektronische Akte). 2.1. Aktuelle Herausforderungen „Eine moderne Verwaltung nutzt moderne Technik.“4 – diesem Motto folgend besteht ein zentrales Anliegen bei dem Bemühen um die Verwaltungsmodernisierung bei der Einführung und Nutzung zeitgemäßer Informationstechnik. Das Electronic Government („eGovernment“) wird auch als Mittel verstanden, interne Verwaltungsabläufe grundlegend zu erneuern. Dies wird zum Beispiel durch die Einführung der elektronischen Akte oder eines Mitarbeiterportals realisiert. Damit soll die Bundesverwaltung in die Lage versetzt werden, ihre Dienstleistungen zukünftig kostengünstig, schnell und komfortabel zu erbringen. Im Ergebnis lastet auf der Informationstechnik ein Erwartungsdruck völlig neuer Qualität. Der Erfolg der entsprechenden Maßnahmen hängt jedoch nicht allein von Güte und Leistung der Informationstechnik ab, sondern wird entscheidend von dem Zusammenspiel mit den Bereichen Organisation und Personal bestimmt. 4 Moderner Staat, moderne Verwaltung, Bilanz 2002, S. 34. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 -7- Referat Z 6 Der IT-Einsatz ist mehr denn je den Grundsätzen der Wirtschaftlichkeit verpflichtet. Bei sinkendem Personalstand ist gleichbleibende oder gar steigende Aufgabenerledigung vielfach nur durch Rationalisierungseffekte infolge des Einsatzes von Informationstechnik aufrecht zu erhalten. Dabei spielt der kompetente Einsatz von Informationstechnik eine große Rolle, der eine kontinuierliche IT-Fortbildung in allen Bereichen des BMI voraussetzt. Der grundsätzlich hohe Stellenwert von Datenschutz und Datensicherheit hat sich durch den umfangreichen IT-Einsatz weiter verstärkt. Die Anforderungen an den Datenschutz sind durch die am 23. Mai 2001 in Kraft getretene Novelle zum Bundesdatenschutzgesetz erhöht worden. Mit zunehmender Breite und Intensität der IT-Nutzung erhöht sich die Abhängigkeit von der Technik. Entsprechend steigen die Anforderungen an ihre Verfügbarkeit. Der Einsatz von Systemredundanzen sowie die Entwicklung von Ausfall- und Notfallszenarien gewinnen an Bedeutung. Der Einsatz von bisher nur in speziellen Bereichen eingesetzten OpenSourceSoftware (OSS) stellt in immer weiteren Bereichen, sei es auf den Betriebssystemen oder auf dem Desktop, eine Handlungsalternative dar, die eine stärkere Herstellerunabhängigkeit ermöglicht. Bei der Umstellung ist stets die Betriebssicherheit, die Administrierbarkeit und Bedienerfreundlichkeit sowie der Investitionsschutzes der eingeführten, stabilen Systemumgebung zu berücksichtigen. 2.2. Entwicklungsrichtungen und -potentiale Komplexität und Umfang der eingesetzten Informationstechnik nehmen weiter signifikant zu. Neue Anwendungen zeichnen sich insbesondere in den Bereichen Kommunikation, Multimedia, Prozesssteuerung und -optimierung5 sowie Informations- und Wissensmanagement ab. Die Nutzungsvielfalt der vorgehaltenen Daten wächst. Die zunehmende Verbreitung von eMarktplätzen, von integrierten Portalen, kooperativen Netzwerken und anderen eBusiness/eGovernment-Modellen erfordert die Entwicklung neuer Wege für die gemeinsame Nutzung von Daten. Gemeinsame Schnittstellen und Übertragungsstandards sind vor diesem Hintergrund unabdingbar. Gleichzeitig kommt dem Mobile Computing zunehmend Bedeutung zu. Räumliche Grenzen beim Zugang zu Daten lösen sich zunehmend auf. Der Zugang zum Netzwerk wird auch bei Aufenthalten in allen Regionen der Welt als 5 Im Sinn von Verwaltungsabläufen Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 -8- Referat Z 6 selbstverständlich angesehen. Neue Zugangstechniken werden diesen Trend verstärken. Im Einzelnen wird die Entwicklung durch die folgenden Schwerpunkte geprägt: y Anwendungsentwicklung im eGovernment-Umfeld Von den über 440 internetfähigen und im Rahmen von BundOnline 2005 online bereit zu stellenden Dienstleistungen der Bundesverwaltung entfallen 69 auf den Geschäftsbereich des BMI und davon fünf auf das Ministerium selbst. Von diesen wurden bis 2003 bereits vier Dienstleistungen umgesetzt. Die Realisierung der verbleibenden Dienstleistung „Teilhabe der Öffentlichkeit an der Vorbereitung von Gesetzgebungsvorhaben und politischen Entscheidungen“ ist für 2004 geplant. Ferner wird 2004 das Rollout des 2003 im BMI eingeführten Travel Management Systems (TMS) fortgeführt. Darüber hinaus hat das BMI verantwortungsvolle Aufgaben im Rahmen von BundOnline 2005 und Deutschland-Online übernommen. So ist die Projektgruppe BundOnline 2005 mit zentraler Koordination und Wissensmanagement im Ministerium angesiedelt. Auch gehören die drei Ressortansprechpartner (RAP), die gemeinsam mit externen Beratern (CAT) alle im BMI und Geschäftsbereich zu realisierenden BundOnline Dienstleistungen betreuen, zum IT-Stab. Innerhalb Deutschland-Online erfolgt die politische Koordinierung von Bund, Ländern und Kommunen im Auftrag der Ministerpräsidentenkonferenz durch den Arbeitskreis der Staatssekretäre für eGovernment in Bund und Ländern unter Vorsitz des Staatssekretärs Herrn Dr. Wewer. Für diesen Arbeitskreis wurde im BMI eine Geschäftsstelle eingerichtet, die ihre Arbeit auch 2004 fortsetzen wird. y Dokumentenmanagement- und Vorgangsbearbeitung In den nächsten Jahren wird im BMI der große organisatorische und prozessuale Wandel durch die schrittweise Einführung der „elektronischen Akte“ fortgeführt. Das Referat Z 6 stellt für dieses in alle Bereiche des BMI tief eingreifende Organisationsprojekt den technischen Unterbau bereit. Die schrittweise Implementierung hat 2003 mit der Umstellung der Registratur begonnen und wird 2004 mit dem Probebetrieb der elektronischen Akte / Workflow fortgesetzt. Für 2005 ist die Bereitstellung einer höchstverfügbaren Server/Client-Infrastruktur zur Vorbereitung der hausweiten Einführung vorgesehen. Ergänzend wird Anfang 2005 mit der Einrichtung der Archivierungsfunktion begonnen. Der weitere Ausbau des Systems zur Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 -9- Vorgangsbearbeitung sowie von Komponenten Wissensmanagements wird ab 2006 erfolgen. Referat Z 6 des Informations- und y Maßnahmen zur Verbesserung der Datensicherheit Die prinzipielle Einsetzbarkeit von starken kryptographischen Verfahren zum Zweck der Authentifizierung und zur Sicherung der Vertraulichkeit wurde bei der Erprobung der Verfahren zur sicheren E-Mail-Übertragung SPHINX und im Pilotprojekt "Digitaler Dienstausweis" gezeigt. Die Einbettung dieser Verfahren in die technische Infrastruktur des BMI und die Anpassung an die Geschäftsprozesse hat sich als das zentrale Arbeitsfeld bei der Einführung dieser Verfahren herausgestellt. Entsprechend konzentriert sich die Arbeit auf die Integration der Public Key Infrastructure (PKI) der Verwaltung mit den schutzbedürftigen Anwendungen des Hauses. Hier sind insbesondere E-Mail, Anmeldung am Windows-Benutzerkonto und die zahlreicher werdenden WebApplikationen zu nennen. Der Einsatz der Firewall und der Virenschutzsoftware wird ständig den aktuellen Anforderungen und Bedrohungsszenarien angepasst. Die Firewallsysteme werden zur Anhebung des Sicherheitsniveaus mit Intrusion Detection Systemen kombiniert. In Zusammenhang mit der Einführung der elektronischen Akte wird darüber hinaus das Backup-System für die neuen Herausforderungen optimiert werden. y Notfallvorsorge Die Terroranschläge des 11. September 2001 in den USA haben zu einer stärkeren Sensibilisierung für Sicherheitsbelange und zu einer Verschärfung der Sicherheitsanforderungen geführt. Die bestehende Notfallvorsorge wird erheblich ausgeweitet. Basierend auf einer systematischen Risikoanalyse und einem umfassenden IT-Notfallkonzept werden Business Continuity und Recovery Services eingeführt. Mit der Schaffung weiterer Systemredundanzen wird angestrebt, die Systemverfügbarkeit von zurzeit ca. 99 % zu stabilisieren und weiter zu steigern. In der Vergangenheit stand die Verhinderung von IuK-Störungen im Vordergrund der Vorsorgemaßnahmen. Im Gegensatz zu Störungen sind Notfälle jedoch Vorfälle, die zu großflächigen Zerstörungen an der Infrastruktur führen. Diese Notfälle, die zu einem tage- oder wochenlangen Ausfall der regulären Infrastrukur führen, können durch Brand, Wassereinbruch, Vandalismus, Terrorismus oder ähnlichem hervorgerufen werden. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 10 - Referat Z 6 In dem Maße, in dem die Funktionsfähigkeit des Hauses von der Verfügbarkeit der IuK abhängig ist, muss auch für diese Szenarien Vorsorge getroffen werden. Die Einrichtung eines Ausweichdienstsitzes ist Teil dieser Strategie. y IT-Migration Ende September 2003 wurde das so genannte „Roll Out“ der neuen BMI-XPClients abgeschlossen. In einem Zeitrahmen von nur 4 Monaten wurden bei Gewährleistung des störungsfreien Dienstbetriebes u.a. die bisherigen Windows-NT-APC (ca. 2000) auf das neue Betriebssystem – in Verbindung mit den notwendigen Schulungsmaßnahmen – umgestellt, die Office-Anwendungen (u.a. Word, Excel, Outlook) aktualisiert und die BMI-spezifischen Anwendungen an die neue IT-Umgebung angepasst. Zurzeit werden die Hintergrundsysteme entsprechend dem IT-Migrationskonzept modernisiert. Die Migration der Anwendungen (z.B. das BMI-Intranet) und Dienste (z.B. das Groupware-System – von MS Exchange 5.5 auf MS Exchange 2003) wird in den Jahren 2004 und 2005 fortgesetzt. y Einsatz von OpenSource-Software (OSS) Mit der Migration des Betriebssystems der Server und Clients wird im BMI schrittweise der Anteil eingesetzter OpenSource-Software erhöht. Dies zielt darauf, die hohe Produktabhängigkeit von der Fa. Microsoft sukzessive abzubauen. Der Schwerpunkt der Einführung von OpenSource-Software liegt aktuell im Serverbereich. Dazu wird im Rahmen der Migration ein BMI-Standard eines Linux-Servers festgeschrieben, der als Basis für serverbasierte Anwendungen eingesetzt werden kann und gleichberechtigt mit den Windows-Servern im Hausnetz integriert ist. Ein Einsatzbereich ist die „Demilitarisierte Zone“ zwischen geschütztem Hausnetz und Internet, innerhalb der eine größere Vielfalt an Webdiensten angeboten werden kann, als das bisher im Hausnetz möglich ist. Für ausgewählte Bereiche, z.B. im Zusammenhang mit dem Ausfalldienstsitz, ist der Einsatz von OpenSource-Software auf den Clients geplant. Hier wird zunächst erprobt, inwieweit die aktuellen Office-Produkte, wie z.B. OpenOffice, mit den Anforderungen im BMI kompatibel sind. Wichtig sind hier die Interoperabilität zur bestehenden Microsoft-Umgebung, fehlerfreier Austausch von Dokumenten und Übernahme der speziellen Einstellungen (z.B. Entwurf.dot). Modularität und Austauschbarkeit von Systemen und Diensten soll durch die Verwendung offener Schnittstellen garantiert werden. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 11 - Referat Z 6 y Mitarbeiterportal Für das Jahr 2004 ist die Migration des Intranets des BMI auf die Basiskomponente CMS (Government Site Builder) geplant. Mit der Migration wird eine solide Basis geschaffen, um das Intranet mit dem Fokus eines service-orientierten Mitarbeiterportals weiterzuentwickeln. Das Intranet wird dabei als zentrale Stelle für Informationen über das BMI, die Arbeit des BMI und seiner Referate, Services, Informationssysteme und die Anwendungslandschaft des BMI für die Mitarbeiter dienen. Weitere Schwerpunkte liegen bei der Verbesserung der Suche, der Bewertung und Präsentation von Suchergebnissen sowie der Erweiterung der Suche auf andere Informationssysteme (z.B. BMI-Internet). Ebenso werden für die weitere Entwicklung Aspekte wie die Unterstützung zum kollaborativen Arbeiten, die Integration mit Informationssystemen des BMI sowie Möglichkeiten der bedarfsgerechten Informationspräsentation und Arbeitsunterstützung für die Mitarbeiter des BMI im Vordergrund stehen. Übersichtliche Strukturen, schneller Zugriff und Informationsaustausch versprechen vielschichtige Synergieeffekte bei der Erledigung von Fachaufgaben sowie bei der technischen Unterstützung. y Standardisierung und Integration Ziel ist es, durch den Einsatz offener Standards, eine integrierte Anwendungslandschaft für das BMI zu schaffen, in die zukünftige Anwendungen möglichst flexibel eingebunden werden können. Die positiven Effekte davon sind einfachere Wege der Datenbeschaffung und die Vermeidung der Datenredundanz und höhere Unabhängigkeit der Applikationen voneinander durch klar definierte Schnittstellen. Diese Anwendungslandschaft ermöglicht es dem BMI, schneller und preiswerter Applikationen bereit zu stellen und unterstützt die Anwender besser in ihren Aufgaben. Eckpunkte der Standardisierung sind ein klares Vorgehensmodelle, Technologiefestlegungen und ein gemeinsames Architekturmuster für Fachanwendungen, um die schnelle Realisierung und tragfähige Integration neuer Fachanwendungen in die Anwendungslandschaft des BMI zu gewährleisten. Kernpunkte dieser Bemühungen werden die SAGA-Konformität der Anwendungen, die Schaffung einer einheitlichen, sicheren und offenen Kommunikationsplattform, eine zentrale Nutzerverwaltung, Mechanismen der sicheren, zentralen Nutzerauthentifizierung (Single-Sign-On) sein. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 12 - Referat Z 6 y Ausbau der vorhandenen Netzinfrastruktur Nach der Kapazitätserweiterung der Netzwerkdienste innerhalb der Liegenschaften steht die redundante Abstützung der Weitverkehrsnetze zwischen den Liegenschaften im Brennpunkt der Aufgaben. Die neuen Anforderungen, die durch eGovernment-Projekte und die Einführung des elektronischen Dokumentenmanagements gestellt werden, müssen durch hochverfügbare und schnelle Verbindungen abgestützt werden. Der „Lebenszyklus“ der ATM-Technologie am Arbeitsplatz nähert sich seinem Ende. Alternative und entsprechend leistungsfähige WAN-Technologien müssen vorbereitet werden. y Unterstützung der IT-Anwender Der Service für die IT- und TK-Nutzer wird ständig den Erfordernissen angepasst und auf hohem Niveau sichergestellt. Der Benutzerservice entwickelt sein Rollenverständnis in noch stärkerem Maß hin zu einem proaktiven Tätigwerden weiter. Maßstab ist ein transparenter Service- und Dienstleistungskatalog. Die Qualitätsziele und deren Erfüllung werden systematisch beobachtet und analysiert. Die hieraus resultierenden Optimierungspotentiale werden konsequent ausgeschöpft. Dies bezieht sich insbesondere auf die Reaktionszeit, die Bearbeitungszeit und die Qualität der Erledigung. Die Einführung einer Computertelephonieintegration (CTI)Funktionalität in das User-Helpdesk-System hat zu einer spürbaren Verbesserung der Erreichbarkeit der Hotline geführt. Die bewährten, anlassbezogen und probeweise ausgedehnten Servicezeiten wurden zwischenzeitlich unter gleichzeitiger Einführung einer modifizierten Gleitzeitund Dienstplanregelung als festes Angebot für die Nutzer etabliert. y Architekturen und Technologien Ziel ist eine integrierte Anwendungslandschaft (Enterprise Application Integration), die sich auf flexible, offene, trag- und zukunftsfähige Architekturen und Technologien stützt, um die Entwicklung, die Integration mit existierenden Lösungen und den Betrieb der Verfahren zu vereinfachen. Im Bereich der Datenbanken wird die bisher erfolgreiche eingesetzte Strategie weiter verfolgt, für spezialisierte Fachanwendungen Microsoft SQL Server und für zentrale Applikationen ORACLE Datenbanken zu nutzen. Weiterhin wird geprüft, in wie weit dieses Portfolio zur Kostenreduktion sinnvoll um OpenSource-Produkte (MySQL, Postgres, SAP DB, etc.) ergänzt werden kann, Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 13 - Referat Z 6 bzw. unter welchen Umständen diese Produkte andere Standards ersetzen können. Im Bereich der Kommunikation werden sichere Webservices weiter in den Vordergrund treten. Dies wird vorrangig auf der Basis von J2EE-basierten Webservices geschehen. Durch Standardisierungsbemühungen werden diese Technologien sich noch leichter Integrieren lassen. Für die Sicherheit der Kommunikation werden Technologien und Standards wie WS-Security, WSTrust, WS-Policy, WS-Privacy, WS-SecureConversation und WS-Federation eine herausragende Stelle einnehmen. Der sichere, föderierte Austausch von Authentifizierungsdaten wird mittels Kerberos realisiert. Für Nutzerverwaltung und Autorisierung werden Standards wie X.500 und LDAP sowie der für 2004 geplante, zentrale Verzeichnisdienst genutzt werden. Der standardkonforme, zentrale Verzeichnisdienst erlaubt ein zentrale Nutzerund Gruppenverwaltung für alle Anwendungen. Dies vereinfacht sowohl die Entwicklung als auch die Administration der Anwendungen, da nur noch ein einziges Nutzerverzeichnis zu pflegen ist. Alle Anwendungen im BMI können auf dieselben stets aktualisierten Stammdaten zugreifen. Die Zusammenarbeit mit anderen Behörden, vor allem mit angegliederten Behörden wie BAKÖV und BfD wird durch die Föderationsmöglichkeiten von zentralen Verzeichnisdiensten wesentlich vereinfacht werden. Als architekturelle Grundlage werden die Empfehlungen von SAGA die Basis bilden. Dies schließt eine aktive Verfolgung der nationalen und internationalen Entwicklungen in dem Bereich Architekturen und Technologien für eGovernment Anwendungen zwingend mit ein. Auch die OpenSource-Entwicklung wird aktiv beobachtet, um Vorteile in den Bereichen Realisierungskosten, Investitionssicherheit und einfache Widerverwendbarkeit durch Nutzung von OpenSource-Komponenten zu erreichen. y IT-Fortbildung Angesichts eines permanenten technischen Wandels wird Fortbildung nicht als singuläre Maßnahme, sondern als ständige Aufgabe verstanden. Neben den klassischen Formen der Aus- und Weiterbildung, die weiterhin den größten Anteil am Fortbildungsangebot haben werden, sind leistungsfähige und einfach zu handhabende Lösungen des Selbstlernens (Computer Based Training, ELearning) zu konzipieren und einzusetzen. Die Konzepte und Programme der IT-Aus- und -Fortbildung sind bedarfsorientiert nach Inhalt, Umfang und Organisationsform weiterzuentwickeln. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 14 - Referat Z 6 y Organisatorische Maßnahmen, Projektmanagement und -controlling Der zunehmende interne und externe elektronische Datenaustausch und die "elektronische“ Bearbeitung von Vorgängen erfordern die Anpassung der Ablauforganisation. Im Juli 2003 trat eine bindende Dienstanweisung in Kraft, die die grundlegenden Rahmenbedingungen der IT-Nutzung im BMI regelt. Unter anderem wurde die private Nutzung des Internets gestattet – analog zur privaten Nutzung des Telefons. Die Dienstanweisung wurde durch eine technisch detaillierte IT-Richtlinie ergänzt, die die aktuelle Technikausprägung festschreibt. Die IT-Richtlinie wird kontinuierlich an die Gegebenheit im BMI angepasst. Das Thema Projekt- und Aufgabenmanagement gewinnt im Zuge der Verwaltungsmodernisierung zunehmend an Bedeutung. Der Anspruch an Managementfunktionen wächst, die Führung und Koordinierung der Gesamtprozesse sowie ein ständiges Controlling sind sicherzustellen. Entsprechend wächst der Bedarf an Projektplanungsund managementsoftware kontinuierlich. Neben der Systemlösung Intraplan B werden spezielle Planungstools für die Durchführung von IT-Projekten bereitgestellt. Aufbauend auf den im Benchmarkingring gewonnenen Erkenntnissen werden schrittweise in allen Funktionsbereichen des IuK-Referates Qualitätskennziffern definiert und deren Erreichung kontinuierlich bewertet. Parallel dazu wird die IT des BMI in das strategische Controllingkonzept des IT-Stabs eingebunden. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 3. - 15 - Referat Z 6 Grundsätze zur IT-Architektur und -Infrastruktur 3.1. Kernaussagen zur Strategie des zukünftigen IT-Einsatzes in der Behörde Das BMI besitzt eine moderne, leistungsfähige sowie von den Nutzern akzeptierte und intensiv genutzte IT-Infrastruktur. Diese IT-Infrastruktur wird kontinuierlich und bedarfsgerecht weiterentwickelt sowie entsprechend der technischen Entwicklung an veränderte Rahmenbedingungen angepasst. Die IT-Infrastruktur im BMI gliedert sich grundsätzlich in y IT-Netzinfrastruktur, y IT-Sicherheit, y Serversysteme, y Kommunikation, y Clientsysteme (Standardarbeitsplatzcomputer, Telearbeitsplätze und mobile Geräte), y Standardsoftware, Sonder- und Fachanwendungen, y Telekommunikation und y Dienstleistungs- und Betreuungsstruktur. 3.1.1. IT-Netzwerk Das BMI verfügt in den beiden großen Liegenschaften in Bonn und Berlin über ein modernes und leistungsfähiges ATM-Netz mit Übertragungsraten von max. 622 Mbps im Backbone und max. 155 Mbps bis zum Arbeitsplatz. Die In-HausVerkabelung besteht aus einem sternförmigen Glasfasernetz (Multi-ModeFaser/MMF). Die Aufteilung des Netzwerkes erfolgt in verschiedene emulierte LANs (ELAN). Mit dem bestehenden technisch homogenen ATM-Netzwerk ist eine leistungsfähige Datenübertragung bis hin zum Arbeitsplatz für die nächsten Jahre sichergestellt. In den Liegenschaften Bundeshaus und Fehrbelliner Platz wird das LAN durch ein geswitchtes Netzwerk in Ethernet-Technologie gebildet. Die Backbons basieren auf Gigabit-Ethernet, die Arbeitsplätze sind über Kat5-Kupferverkabelung mit Fast Ethernet Technologie an die Backbones gekoppelt. Die Anbindung der einzelnen Liegenschaften untereinander erfolgt verschlüsselt (Triple-DES, ATM-Crypt) in einem hochverfügbaren, vollkommen redundanten Weitverkehrsnetz (WAN) im IVBB. Die Außenstelle der BKM im Europahaus, Berlin, ist durch eine LAN-LANReferat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 16 - Referat Z 6 Kopplung über den IVBB ein logischer Teil des Bonner Netzwerks. Die Überwachung der einzelnen Netzwerke in den jeweiligen Liegenschaften sowie des Weitverkehrsnetzes erfolgt über leistungsstarke Netzwerkmanagementsysteme (HP Open View, Cisco Router WAN Solution, Marconi Service on Data). 3.1.2. Serverstruktur Die aktuelle aktive Serverstruktur für die allgemeinen Dienste und Funktionen basiert auf dem Betriebssystem Windows NT 4.0 Server SP6 auf Rechnern mit Intel-Architektur. Für spezielle Funktionalitäten werden UNIX-Server verwendet. Erste Tests wurden mit Linux-Servern durchgeführt. 2003 wurden erste Server produktiv auf Windows 2000 und 2003 sowie Linux umgestellt. In den folgenden Jahren werden durch Prüfung des Einzelfalls der Anforderungen weitere Server auf ein Windows- oder Linux-Betriebssystem migriert bzw. neu in Betrieb genommen. Dabei kann bei Vorliegen gleicher Voraussetzungen dem LinuxBetriebssystem Vorrang eingeräumt werden. Zur Herstellung der Hochverfügbarkeit wichtiger Systeme wird der MS Cluster Server der MS Windows NT 4.0 Server Enterprise Edition verwendet. Die Cluster sind auf der Basis von jeweils zwei Compaq-Servern aufgebaut worden. Die Betriebssystempartitionen sind zur Sicherheit gespiegelt. Alle RAID-Sets laufen unter dem Windows-Dateisystem NTFS. Die Cluster verfügen über externe Plattentürme, welche redundant über Fibre Channel Arbitrated Loop an die Serversysteme angeschlossen sind. Die Cluster-Maschinen verfügen intern zusätzlich über einen Smart-Array-Raid-Controller. Im Rahmen der Servermigration wird unter Prüfung aktueller Technologien weiter an der Steigerung und Stabilität der Hochverfügbarkeit gearbeitet. Dabei wird gleichzeitig eine Reduzierung der Administration zu Gunsten neuer Aufgaben angestrebt. Die Anforderungen an die Speichersysteme bezüglich Datenvolumen, Performance, Verfügbarkeit und Skalierbarkeit sind gestiegen und wurden 2002 deshalb auf NAS-Systeme (Network Attached Storage) umgestellt. Mit dem NASSystem wird die Speicherkapazität über das LAN zur Verfügung gestellt und nicht mehr direkt in den Applikationsserver integriert. Damit wird ein True data sharing, also die betriebssystemunabhängige Speicherung der Daten, erreicht. Die Erweiterung der Speicherkapazität kann weitestgehend ohne Betriebsunterbrechung erfolgen. Für die Liegenschaft Bundeshaus in Berlin wird aufgrund des gestiegenen Personals für 2004 ebenfalls eine NAS-Lösung angestrebt. Für weitere mögliche Liegenschaften wird die Einführung bzw. Erstausstattung in Abhängigkeit der Anforderungen geprüft. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 17 - Referat Z 6 Im Rahmen der Hochverfügbarkeit und Senkung des administrativen Aufwands wird durch die Konzeption eines SAN (Speichernetzwerk) die Datenhaltung von datenbankbasierten Applikationen, wie Oracle, Microsoft SQL-Server und Microsoft Exchange, zentralisiert und ausfallsicherer. Dabei wird eine Zentralisierung pro Standort und eine Replikation des Datenbestands über alle Standorte angestrebt. Standortrelevante Daten werden nur im Störfall von anderen Liegenschaften über das WAN (Weitverkehrsnetz) bezogen, so dass eine höchstmögliche Performanz im Normalzustand erreicht wird. Die Datensicherung wurde in 2003 für Alt-Moabit und Graurheindorferstr. weiter optimiert. Dabei wurde der Datenstrom aus dem LAN (lokales Netzwerk) parallel in ein SAN verlagert. Die Optimierungen werden in 2004 fortgesetzt und auf weitere Liegenschaften übertragen. Eine Datenarchivierung findet derzeit nicht statt. Hierfür fehlen bisher die organisatorischen Konzepte, welche neben den rein technischen Anforderungen auch den Lebenszyklus der Daten regeln. Hierbei sind auch Vorgaben zu treffen, welche es in mehreren Jahren ermöglichen, die mit einer dann sehr veralteten Software erstellten Daten auszuwerten. Ggf. sind auch Schnittstellen zu zentralen Archiven außerhalb des BMI zu berücksichtigen. Der Aufbau einer Terminalserver-Infrastruktur auf der Basis von Citrix MetaFrame XP wird fortgesetzt. Dabei werden Anwendungen, die nicht bzw. nur mit erhöhtem Administrationsaufwand auf dem APC zur Verfügung gestellt werden können, zentral bereitgestellt. Der Aufruf der Anwendungen erfolgt über das benutzerspezifische Startmenü. Für die Terminal-Serverfarm werden mehrere Server der Firma HP der Produktlinie DL360R eingesetzt. Sie sind nahezu identisch aufgebaut mit 2 CPU, 2 GB RAM und 2 Festplatten, um eine schnelle automatisierte Systemwiederherstellung zu erreichen. Weitere Serverfarmen werden in den Liegenschaften Graurheindorferstr. und Bundeshaus angestrebt. Damit sollen Performanz und Ausfallsicherheit gesteigert werden. Weitere Einsatzgebiete als die genannten werden selbsttätig und fortlaufend identifiziert und hinsichtlich der sinnvollen Realisierbarkeit geprüft. In 2004/2005 wird die Konzeption und Realisierung eines weitestgehend automatisierten Operationsmanagements für die IT-Infrastruktur erfolgen. Die Notwendigkeit der Einführung wird aufgrund der liegenschaftsübergreifenden, komplexen IT-Infrastruktur zunehmend dringlicher, um ein effizientes Operationsmanagement zu gewährleisten. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 3.1.3. - 18 - Referat Z 6 Kommunikation Seit 1997 wird im BMI ein so genanntes „Unified Messaging System“ betrieben. Der Begriff umschreibt die Zusammenfassung der unterschiedlichsten elektronischen Kommunikationsmöglichkeiten (u.a. Telex- und Fax-Vermittlung, X.400-Mail, SMTP-Mail, MS-Mail, cc-Mail, SMS, CTI, Epost) unter einer einheitlichen Anwendungsoberfläche. Damit kann sich der Anwender auf seine primären Fachaufgaben konzentrieren und ist weniger mit der Handhabung der Technik beschäftigt. Im Zusammenhang mit der Verwaltungsmodernisierung stellt es ein „Handwerkszeug“ zur täglichen Arbeitserleichterung dar. Diese komplexe und umfassende Groupware-Integrationslösung (u.a. derzeit ca. 12.000 E-Mails/Tag, 24-Stunden-Betrieb, umfassende Integration in Office- und anderen Anwendungen im BMI, Abbildung von umfangreichen organisatorischen Strukturen, hohe Performance und Verfügbarkeit – derzeit 99,8% – umfangreiche Termin- und Kalenderfunktionen) ist zwischenzeitlich zu einer der zentralen Kommunikationslösungen im BMI avanciert und bei der täglichen Arbeit unverzichtbar. Mit Einführung der elektronischen Akte wird auch hier ein hoher Integrationsgrad der zwei Anwendungen angestrebt. In 2004 erfolgte die serverseitige Migration der Kommunikationslösung auf MS Exchange 2003. Im Rahmen der Migration werden die Kapazitäten in den vier Liegenschaften erweitert und im Bundeshaus die Basis für den Ausbau zum Ausweichdienstsitz gelegt. Nach Abschluss der Migration wird das System ca. 30 Serversysteme inklusive einer zentralen Kontrolleinrichtung umfassen. In den Jahren 2004/2005 soll die Kommunikation zum einen mit dem einzuführenden Digitalen Dienstausweis integriert werden, so dass signierte und verschlüsselte E-Mails direkt empfangen und versendet werden können. 3.1.4. Standardarbeitsplatzcomputer Im BMI sind derzeit ca. 2000 IT-Arbeitsplätze im Einsatz. Diese werden zurzeit mit dem Betriebssystem Windows XP betrieben. Das Schwergewicht der Nutzung liegt auf klassischen Büroanwendungen sowie auf der Nutzung des Intranets/Internets. Die effektive Nutzung der Anwendungssoftware setzt Mindeststandards bei der eingesetzten Hardware voraus. Entsprechend besitzen die gegenwärtig im BMI eingesetzten APCs mindestens eine Taktfrequenz von 350 MHz sowie 256 MB Arbeitsspeicher. Die „Lebensdauer“ eines PC beträgt im BMI ca. 5 Jahre. Daneben verfügt jeder stationäre Computerarbeitsplatz mindestens über einen 17´´-Monitor, die Standardauflösung beträgt 1024 x 768. Bei entsprechender Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 19 - Referat Z 6 fachlicher Erfordernis wurden Arbeitsplätze bereits mit TFT-Monitoren ausgestattet. Mit Einführung eines Dokumentenmanagementsystems wird der Bedarf an Monitoren, die höhere Auflösungen unterstützen, steigen. Die Darstellung von zwei Seiten DIN A4 bei einer Auflösung 1600 x 1200 ist längerfristig bei ausgewählten Arbeitsplätzen zu sichern. Diese hohe Anforderung der Darstellung von zwei Seiten A4 werden nur von Monitoren mit einer Größe von 19,6´´ oder größer erfüllt. Unter Berücksichtigung des Arbeitsschutzgesetzes und der räumlichen Gegebenheiten in den Büros im BMI sind in der Regel Monitore mit Bildflächen größer als 17“ nur als Flachbildschirme (TFT) einsetzbar. Zudem finden die Anforderungen des eGovernment Beachtung. Es sind die Voraussetzungen zu schaffen, dass die Kartenleser z.B. für den Digitalen Dienstausweis in geeigneter Form in die Tastatur oder in den APC integriert werden kann. Weitere periphere, mobile Geräte müssen über einen USB-Anschluss an der Frontseite des PCs anschließbar sein. Das Prinzip der Arbeitsplatzdrucker hat sich grundsätzlich bewährt. Die hier eingesetzten Laserdrucker sind aufgrund ihrer langen Lebensdauer besonders wirtschaftlich und werden deshalb auch weiter (ersatzweise) beschafft. Geräte mit Multifunktionscharakter (Drucken, Scannen, Faxen) kommen in Einzelfällen bei entsprechenden fachlichen Anforderungen an ausgewählten Arbeitsplätzen zum Einsatz (z.B. Verwaltungssekretariate). Der Einsatz von Farbdruckern wird weiterhin bedarfs- bzw. aufgabenbezogen vorgenommen. Die wesentlichen Leistungen im Farbdruck werden durch die Kopierzentren in Berlin (AM) und Bonn (GR) erbracht. Eine qualitätsgerechte und kostengünstige Leistung ist damit gesichert. Mobile Endgeräte nehmen in einer modernen Verwaltung immer mehr an Bedeutung zu und sind eine wichtige Ergänzung zu klassisch stationären ITSystemen. Als Antwort auf diese Entwicklung setzt das BMI seit einigen Jahren vermehrt auf den Einsatz mobiler Hard- und Software. Aktuell befinden sich ca. 370 Mobile Clients (MC) im Einsatz. Davon entfallen mehr als 170 MC`s auf Leihgeräte, ohne feste Zuordnung zu Personen zum Einsatz bei Dienstreisen/Konferenzen. Die übrigen MC`s verteilen sich auf Telearbeitsplätze und Dauerausleihen. Zusätzlich sind ca. 80 PDA`s im Einsatz, die die mobile Termin- und Kontaktpflege erlauben. Um die Kommunikation zwischen den mobilen Endgeräten und der IT im BMI sicherer zu machen, strebt das BMI in 2005 die Ablösung von Remote Access Service (RAS)-Einwahl durch den Einsatz von VPN-Technologie (Virtual Private Network) an. Damit kommt das BMI der Forderung nach einem sicheren, performanten, mobilen Zugriff nach. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 3.1.5. - 20 - Referat Z 6 Standard-, Sonder- und Fachanwendungen Zur Unterstützung der vielfältigen fachlichen Aufgaben des BMI sind derzeit ca. 170 unterschiedliche Anwendungen im Einsatz, welche überwiegend auf der Plattform Windows XP von Microsoft betrieben werden. Neben der Standardsoftware - wie etwa MS Office, Adobe Acrobat oder dem Internet Explorer - die auf jedem Arbeitsplatzcomputer installiert ist, existieren eine große Zahl von Sonder- und Fachanwendungen für den spezialisierten Einsatz. Unter Sonderanwendungen wird hierbei die Standardsoftware verstanden, welche nur bei Bedarf installiert wird. Dazu zählen Anwendungen wie etwa MS Project für die Projektplanung, Adobe Illustrator und PageMaker für das professionelle Gestalten von Print-Produkten und MS Visio zur Erstellung von Ablaufplänen. Zu den Fachanwendungen zählen die etwa 80 individuell für den Fachbedarf einzelner Gruppen und Referate im Auftrag des BMI entwickelten DatenbankAnwendungen. Dazu gehören neben zentralen Applikationen, wie dem Personalverwaltungssystem EPOS und der Inventarisierungsdatenbank ELVIS und den Adress- und Vorgangsverfolgungsdatenbanken auch spezielle Lösungen, wie zum Beispiel Mediendatenbanken oder die Verwaltungsanwendung für die Sammlung der Beauftragten für Kultur und Medien, die vom BMI betreut wird. Eine Sonderstellung unter den für das BMI entwickelten Anwendungen nimmt das Intranet „i*net“ ein, welches einen Rahmen für Informationen und Dienstleistungen des Hauses und damit einen Grundbaustein für ein Mitarbeiterportal bildet. 3.1.6. Telekommunikation Die Telekommunikation ist fester Bestandteil des IuK-Referates im BMI. Die Konvergenz zwischen Telekommunikation und klassischer Informationstechnologie hat die Grenzen zwischen den beiden früher getrennten Disziplinen verschwinden lassen. Die im Jahr 2004 geplante Verbindung zwischen dem Unified Messaging Systems (UMS) des Serverbereichs und dem UMS der Hipath-Anlagen wird 2005 verstärkt. So sollen CallCenter-Funktionen wie automatische Ansagen und intelligente Anruferweiterleitung mit nutzergenerierbaren Alarmierungsketten für Rufbereitschaften und Notfallreaktionsszenarien realisiert werden. Neue Möglichkeiten zur Telekommunikation bietet das Verfahren „Voice over IP“ (VoIP), das zum Kommunikationstransport die bestehenden LAN- und WANDatenleitungen nutzt. Dieses Verfahren erfordert zwar eine besondere Ausstattung der APC`s, kommt dafür aber ohne dedizierte Telefonanlage aus. Daher sollte sich „Voice over IP“ zum Einsatz bei Ausweich- bzw. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 21 - Referat Z 6 Redundanzszenarien eignen. Die Möglichkeiten des Einsatzes in der BMI-TKUmgebung sollen in einem Pilotversuch, die bereits im Jahre 2004 im Zusammenhang mit der Einrichtung des Ausweichsitzes gestartet wird, weiter getestet werden. Eine hausweite Einführung von VoIP ist nicht geplant und die Abhängigkeiten zwischen den bisher noch weitgehend autark arbeitenden Netzen IT und TK zu vermeiden und im Störfall noch auf eines von beiden Netzen zugreifen zu können. Sollten die öffentlichen Netzbetreiber bis 2005 einen zumindest für die Ballungsräume verfügbaren UMTS-Service aufgebaut haben, werden hier entsprechende Tests für alternative Zugangsmöglichkeiten mobiler Clients durchgeführt werden. 3.1.7. Dienstleistungs- und Betreuungsstruktur Es besteht ein zentraler Benutzerservice mit den Bereichen „Hotline und Beratung“ sowie „Vor-Ort-Service und Assetmanagement“ als organisatorische Zusammenfassung der personellen und technischen Ressourcen. Damit wird das Ziel verfolgt, alle Servicekontakte des IuK-Referates mit einer definierten Servicequalität und unter Berücksichtigung der strategischen Ziele mit hoher Effizienz und Effektivität zu erbringen. Um dies zu erreichen, wird das gesamte unter diese Kategorie fallende Anfrageaufkommen an einem Kontaktpunkt gebündelt und die Bearbeitung nach den qualitativen und quantitativen Anforderungen der Nutzer (Kunden) von IT- und TK-Serviceleistungen ausgerichtet. Hieraus resultiert die Entscheidung für einen strukturierten Aufbau in mehreren Supportstufen (unmittelbarer Kundenkontakt mit standardisierter Sachbearbeitung [Hotline, 1st-Level-Support], spezialisierte Sachbearbeitung [Backoffice, 2nd-Level-Support], externe Lösungskompetenz [3rd-Level-Support]). Die Serviceleistung umfasst die Aufnahme aller Problemund Störungsmeldungen, die direkte Problemlösung oder die Weiterleitung an geeignete Experten, Durchführung von Benutzereinrichtungen und –administration und Beratung zum Einsatz von Standardprodukten. Der Bereich „Vor-Ort-Service und Assetmanagement“ gewährleistet die Steuerung und Überwachung des eingesetzten externen Vor-Ort-Service-Dienstleisters, stellt die normgerechte und wirtschaftliche IT-Geräteverwaltung sicher und führt den Nachweis der eingesetzten IT-Geräte und Lizenzen. Die für die Planung einer konkreten organisatorischen und technischen Lösung erforderliche genaue Kenntnis der Ist-Situation wird durch Betrachtung der gesamten Prozesskette von der Initiierung des Nutzerkontaktes zum Referat bis zum abschließenden Ergebnis gewonnen. Die Prozesse werden dann nach den Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 22 - Referat Z 6 Kriterien Durchlaufzeiten, Bearbeitungszeit, Aufwand und Informationsfluss analysiert und neu ausgerichtet, soweit sie den postulierten Grundsätzen noch nicht entsprechen. Hierbei werden möglichst einheitliche Verfahren definiert und bisherige Notwendigkeiten (z. B. Genehmigungserfordernisse) einer kritischen Überprüfung unterzogen, wobei klare Schnittstellen zu allen internen Kunden festgelegt werden. Um dies zu realisieren, erfolgt eine technisch unterstützte Anfragesteuerung (Automatische Anrufsteuerung [ACD] mit Computertelephonieintegration [CTI], MCC V2.3 der Tenovis Business Communication GmbH), der Einsatz eines Anfragebearbeitungssystems (Trouble Ticket System, helpLINE der PMCS AG) und eines Assetmanagementsystems (ELVIS). Zur Optimierung der Lösungsdauer wird aus dem Anfragebearbeitungssystem eine Wissensdatenbank extrahiert und kontinuierlich erweitert, die der gesamten IT-Organisation zur Verfügung steht. Das implementierte Qualitätsmesssystem umfasst die gesamte Prozesskette von der Meldung bis zur Lösung. Zusätzlich bestehen definierte Eskalationsprozeduren bei Überschreiten bestimmter Zeitparameter. Der Gesamtprozess ist nach IT Infrastructure Library (ITIL) optimiert. Die vollständige Integration der Softwarelizenzverwaltung in das Assetmanagementsystem und ihre elektronische Unterstützung auch hinsichtlich des Nachweises beschaffter Lizenzen wird derzeit konzipiert und soll bis 2004 realisiert werden. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 23 - Referat Z 6 3.2. Strategische Schwerpunkte für die langfristige Ausgestaltung des ITEinsatzes Die strategischen Schwerpunkte ergeben sich im Wesentlichen aus den aktuellen Herausforderungen sowie Entwicklungsstrategien und -potentialen (vgl. Abschnitt 2). Übergreifend zeigen sich die folgenden Gesichtspunkte: y hohe Stabilität und Benutzerfreundlichkeit der Informationstechnik y kontinuierliche Anpassung an neue Anforderungen Der Austausch von Wissen und die Zusammenarbeit finden künftig zunehmend in elektronischen Systemen statt. Daher ist es notwendig, dass alle Mitarbeiter sich das für sie relevante Wissen einfach erschließen und eigene Informationen gezielt in das System einstellen können. Die Aufbereitung und Verteilung sollte automatisch unterstützt werden. Als wesentliche, hausinterne Elemente sind hier das Mitarbeiterportal, die elektronische Akte sowie die Fachanwendungen zu nennen; extern kommen das Internet, behördenübergreifende Anwendungen und Informationsangebote im IVBB hinzu. Die Ansprüche an die Qualität und Präsentation von Informationen steigen im gleichen Umfang wie die Herausforderungen an die Arbeit und Leistungsfähigkeit des Hauses. Integrierte Informationsbeschaffung, detaillierte Datenanalyse, die Einbindung aktueller Multimediatechnologie in die Präsentation sowie einfache Bedienungsfunktionen kennzeichnen die aktuelle Anforderungssituation. Es sind Verfahren zu etablieren, die eine sichere Nutzung bestehender Kommunikationsverfahren mittels zuverlässiger Verfahren zur Identifizierung und Authentifizierung ermöglichen. Dazu gehört auch die weitere Verbesserung der Verfügbarkeit der Systeme. Erst dann wird ein dynamisches und kollektives Arbeiten an verteilten Standorten effektiv möglich sein. Die Anforderung an die IT ist es, durch die Zusammenfassung und Vereinheitlichung von Zugangswegen und Anwendungsumgebungen sowie durch die Verbesserung der Softwareergonomie dem Nutzer den Umgang mit der IT zu erleichtern. Hierzu gehört es auch, bestehende Lösungen zu integrieren und über Schnittstellen zu verknüpfen. Kritische Erfolgsfaktoren sind insbesondere: y Ständige Präzisierung der Anforderungen und Rahmenbedingungen (heute und in Zukunft), y Einbeziehung der Angehörigen des Hauses, y Prozessorientierung, y Zukunftssicherheit durch flexibles und skalierbares Gesamtkonzept. Referat Z 6 Stand: Dezember 2003 - 24 - IT-Rahmenkonzept 2005 Referat Z 6 3.3. Haushaltsmittel Im Jahr 2003 wird eine voraussichtliche Auslastung von 90 % der zur Verfügung gestellten Haushaltsmittel in Höhe von 13 Mio € erreicht. Die Minderauslastung liegt an den Kürzungen im Rahmen der globalen Minderausgaben. Begonnene Projekte wie die IT–Migration und die Einführung der Elektronischen Akte werden 2004 und zum Teil 2005 fortgeführt. Für die Informationstechnik stehen im Haushaltsjahr 2004 im Druckstück des Haushaltsplan – Entwurfs 11.891.000 € in der Titelgruppe 55 zur Verfügung. Erstmalig wurde auch bei dieser Titelgruppe im Haushaltsplan eingespart, es werden ca. 2 Mio. € weniger bewilligt als geplant. Trotzdem ist ein weiterer Aufwärtstrend durch signifikanten Aufgabenzuwächse im IT-Bereich absehbar, so dass mit den bereitgestellten Mitteln im Vergleich zum IST 2003 die erforderlichen Ausgaben gerade befriedigt werden können (s. Abbildung 1). 14.000 12.000 10.000 8.000 SOLL IST I 6.000 4.000 2.000 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 SOLL 2.860 2.838 2.838 4.680 8.598 7.391 11.516 11.452 13.053 11.891 12.104 IST 2.790 2.829 2.650 5.063 7.948 4.788 11139,00 10.971,00 11.500,00 Abb. 1: IT Haushalt 1995-20056 Die mit Abstand größten Einzelposten von zusammen 83% aller Aufwendungen nehmen Ausgaben für den Erwerb von Hard- und Software (Titel 812 55) sowie für Aufträge und Dienstleistungen (532 55) ein. Der Anteil für den Bereich der Fortund Weiterbildung (525 55) liegt mit 6,5% etwas niedriger als im Jahr 2003, bei 6 um keinen Bruch in der Tabelle zu erzeugen, wurden die Werte für 1995 bis 2001 in Euro umgerechnet; Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 25 - Referat Z 6 770 T€. 1.278 T€ bzw. 11% stehen für den Geschäftsbedarf einschließlich Datenübertragungskosten zur Verfügung (511 55). Weitere 41T€, nur 0,3%, werden für Anmietungen von Hard- und Software aufgewandt, da Miete im Vergleich zum Erwerb immer noch kostenungünstiger ausfällt. Ein Anstieg der Kosten für das Jahr 2005 wurde bereits bei der Finanzplanung berücksichtigt (s. Abbildung 1), wird aber bei der Haushaltsaufstellung für 2005 präzisiert. Die Gesamtsumme von 12.104.000 € für 2005 teilt sich auf die einzelnen Titel wie nachfolgend abgebildet auf: 51155 Geschäftsbedarf, DFÜ, Erwarb Hardund Software (9,4%) 81255 Anschaffungen DVAnlagen, Geräte, Software (47%) 51855 Miete für Hard- und Software (0,3%) 52555 Aus- und Fortbildung (4,8%) 53255 Aufträge und Dienstleistungen (38%) Abb. 2: Haushaltsmäßige Mittelverteilung der TG 55 in 2004 Hinter der geplanten Gesamtsumme für das Jahr 2005 stehen die genannten, herauszuhebenden Projekte der Funktionsbereiche des Referates Z6 sowie die Anmeldungen der Fachabteilungen. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 4. - 26 - Referat Z 6 IT-Personal 4.1. Einsatz des IT-Personals Die Aufgabe "Informations- und Kommunikationstechnik" wird für das BMI seit Oktober 1999 integriert im Referat Z 6 wahrgenommen. Gegenwärtig verfügt das Referat über 64 Stellen, davon 1 Referatsleiter-, 6 Referenten-, 31 Sachbearbeiter- und 26 Bürosachbearbeiterstellen. Unterstützend werden in den Bereichen Vor-Ort-Service, Kommunikation und Server längerfristig Dienstleistungen von rd. 8 externen Mitarbeitern erbracht. Seit September 2002 werden jährlich zwei Nachwuchskräfte im Ausbildungsberuf Fachinformatiker, Fachrichtung Systemintegration ausgebildet. Seit Mitte 2001 werden die Arbeitsplätze im IuK-Referat sukzessive einer Arbeitsplatzüberprüfung unterzogen. Die bislang abgeschlossenen Verfahren haben in der Regel zu einer Höherbewertung des Arbeitsplatzes und einer Höhergruppierung des jeweiligen Arbeitsplatzinhabers geführt. In diesem Trend spiegelt sich die zunehmende Komplexität der IT und damit analog auch der damit verbundenen Tätigkeiten wider. 37% der Mitarbeiter des Referates Z 6 sind für den Betrieb der Informationstechnik im BMI zuständig, 23% für den Benutzerservice. Für die Bereiche Grundsatz/Recht+Sicherheit sind 11% der Mitarbeiter, für den Bereich TK 16% verantwortlich. 51% der Referatsmitarbeiter verfügen über einen Universitäts- bzw. Fachhochschulabschluss. 10% der Universitäts- und Fachhochschulabschlüsse wurden in den Fachrichtungen Informatik bzw. Informationstechnik absolviert, die restlichen 90% in anderen Studiengängen, beispielsweise Physik, Mathematik, Nachrichtentechnik, Betriebs- und Verwaltungswirtschaft. Die Arbeitszeit ist grundsätzlich an der Regelarbeitszeit orientiert. Abweichend davon sind der Benutzerservice von Montag bis Donnerstag von 07:30 bis 17:30 Uhr, am Freitag von 7:30 bis 15:00 Uhr sowie die Telefonvermittlung von Montag bis Freitag von 7.00 bis 20.00 Uhr präsent. Für die Bereiche des unmittelbaren IuK-Betriebs wurde eine den Erfordernissen entsprechende flexible Gleitarbeitszeit im Zeitraum von 6:00 bis 22:00 eingeführt. U. a. können damit Wartungsmaßnahmen regelmäßig ohne Unterbrechung der IT-Dienste während der Rahmenarbeitszeit (7:00 bis 20:00 Uhr) realisiert werden. Außerhalb der Rahmenarbeitszeit besteht eine durchgängige Rufbereitschaft für die Bereiche des unmittelbaren IuK-Betriebs, um im Störungsfalle sofort reagieren zu können. Seit Mai 2002 verfügt das Referat über eine neue Binnenstruktur. Bis dahin erfolgte die fachliche Zuarbeit der Sachbearbeiter unmittelbar zum Referatsleiter. Referat Z 6 Abb. 3: Haushaltsmäßige Verteilung TG 55 im Jahr 2003 Stand: Dezember 2003 - 27 - IT-Rahmenkonzept 2005 Referat Z 6 Angesichts der Größe des Referates und der Komplexität der Aufgaben erwies sich diese Struktur zunehmend als uneffektiv. Mit der neuen Struktur gliedert sich das Referat in sechs Funktionsbereiche: Sicherheit/Recht, Grundsatz, Infrastruktur, Zentrale Systeme, Anwendungsentwicklung und Benutzerservice. Jeder Funktionsbereich wird von einem Referenten abschließend fachlich verantwortet. Dem Referatsleiter obliegt die Gesamtverantwortung für die Leitung und Führung des Referates, dazu gehört insbesondere die Personalverantwortung. Projekte werden im Referat funktionsbereichübergreifend besetzt (s. Abbildung 3). Referatsleiter Infrastruktur Zentrale Systeme Anwendungen Benutzerservice Grundsatz IT-Sicherheit / Recht y Betriebliche y IuK-Infra- y Datenschutz y Entwicklung y Helpdesk nikation y Fachanwen- y Vor-Ort-Service dungen y Assetmanage- y Koordination y Grundschutz ment y Haushalt y IT-Sicherheit y Ausbildung struktur y Client/Server Telekommu- y Backup-Syste- nikation Gesamt- IT-Kommu- me y y und Recht strategie Projekte Abb. 3: Funktionsbereiche im Referat Z 6 Es ist beabsichtigt, die Funktionsbereiche im Sinne von „Teilreferaten“ bis 2004 weiter zu entwickeln. Neben der fachlichen Verantwortung soll auch die weitgehende Personalverantwortung in den Vordergrund treten. Die Verantwortlichen der Funktionsbereiche sind dementsprechend zu qualifizieren. Das umfasst insbesondere die Personalführungskompetenz, die Teamfähigkeit und die Motivation von Mitarbeitern. 4.2. Personalplanung Der IMKA hat mit seinen Empfehlungen zur Bemessung von IT-Fachpersonal eine Orientierung zur personellen Ausstattung der IT in obersten Bundesbehörden herausgegeben. Die Stellenausstattung des Referates Z 6 lag bei seiner Gründung 1999 deutlich hinter den vom IMKA empfohlenen Werten zurück. In der Folgezeit konnte hinsichtlich Qualität und Quantität eine moderate Annäherung gefunden werden. Nominell ist es mit dem durch das Anti-Terror-Paket und dem zum Ausgleich der Rufbereitschaft gewährten Stellenzuwachs zu einer weiteren Angleichung von „IMKA-SOLL“ und „Z6-IST“ gekommen. Da die aktuelle Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 28 - Referat Z 6 Sicherheitslage und die eGovernment-Aktivitäten eine gravierende Veränderung der Rahmenbedingungen des IT-Einsatzes darstellten, die in eine (fiktive) aktualisierte IMKA-Empfehlung7 eingehen würde, sollten die so gewonnenen Stellen bei einer Gegenüberstellung SOLL-IST nicht eingerechnet werden. Umgekehrt ist externes Personal, das im Rahmen von Outsourcing Aufgaben übernommen hat, die durch interne Mitarbeiter nicht abgedeckt werden können, in einen Vergleich mit dem IMKA-SOLL genau genommen einzubeziehen. Im Ergebnis zeigt sich, dass bei einer derartigen Betrachtung ein nahezu ausgeglichenes Verhältnis zwischen IMKA-Empfehlung und Z6-IST besteht. Sofern keine gravierenden Änderungen der Rahmenbedingungen (große Plattformverschiebungen/Inhomogenitäten infolge der Migration, deutliche Erhöhung der Anforderungen bezüglich Systemverfügbarkeit und Servicezeiten, Ausfalldienstsitz etc.) eintreten, sollte sich die Personalausstattung (intern + extern) 2004 und 2005 nicht signifikant ändern. Der zu erwartende Anstieg bei den zu betreuenden Arbeitsplätzen von ca. 200 p. a. (Ausbau Telearbeit, mobiles Arbeiten – s. o.) führt, der IMKA-Berechnungsgrundlage folgend, zu einem moderaten zusätzlichen Personalbedarf von bis zu drei Stellen für die Jahre 2005/06 bzw. ersatzweise zu zusätzlichem Outsourcingaufwand. Bei der Besetzung von Stellen ist das IuK-Referat mit den für den Öffentlichen Dienst typischen Personalrekrutierungsproblemen insbesondere in der Systembetreuung und der Entwicklung von Anwendungen konfrontiert. Entsprechende Tätigkeiten sind derzeit regelmäßig dem gehobenen Dienst zugeordnet. Die entsprechende Vergütung kann in der Regel nicht mit dem in der freien Wirtschaft erhältlichen Verdienst konkurrieren. Daraus resultierenden Friktionen wird versucht mit dem weiteren Outsourcing von Aufgaben zu begegnen. Dies ist aber nur für bestimmte, vorwiegend technische Teilbereiche möglich. Strategien, Rahmenbedingungen und Inhalte müssen im Hause erarbeitet werden. Vor allem „unternehmenskritische“ Prozesse müssen weiterhin in der Zuständigkeit des Referats verbleiben. Die Anforderungen an die informationstechnische Infrastruktur des BMI - im Besonderen mit Bezug auf Verfügbarkeit, Sicherheit, Performance, Zuverlässigkeit und Service - steigen jedoch weiterhin qualitativ und quantitativ an. Um diesen Forderungen gerecht zu werden, ist eine sachgerechte und vor allem qualitativ angemessene Personalausstattung für die Absicherung des laufenden Dienstbetriebes und zur innovativen Weiterentwicklung der IT im BMI zwingend. 7 aus hiesiger Sicht besteht ein dringendes Erfordernis zur Aktualisierung auch auf Grund der fortschreitenden technischen Entwicklung; Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 29 - Referat Z 6 Bei der Personalentwicklung8 im BMI wird es darauf ankommen, die schon vorhandenen Ansätze für hochspezialisierte Fachkräfte weiter auszugestalten. Ergänzendes Element könnte z. B. in der referatsinternen Rotation von Mitarbeitern liegen. Im Referat würde eine Diversifizierung von Wissen stattfinden, welche die Erfüllung von Vertretungs- und Rufbereitschaftsregelungen erleichtern würde. Wegen der allgemeinen Schwierigkeiten auf dem Arbeitsmarkt, geeignete und „bezahlbare“ IT-Fachkräfte zu werben, wurde die Entscheidung getroffen, selbst geeignete Nachwuchskräfte auszubilden bzw. auf spezialisierte Ausbildungsgänge an der FHB zurückzugreifen. Das BMI selbst stellt deshalb seit Herbst 2002 jährlich zwei Auszubildende im Ausbildungsberuf Fachinformatiker, Fachrichtung Systemintegration ein. Die Ausbildung erfolgt im Ausbildungsverbund IT-Berufe der Bundesregierung, an dem u. a. auch das BK, BMWi, BVA und die BfA beteiligt sind. 4.3. Zusammenwirken mit Externen Auf Grund der Komplexität der bestehenden IT-Systeme und der steigenden Anforderungen an IT-Leistungen sowie der damit verbundenen hohen Auslastung des verfügbaren Personals besteht zunehmend die Notwendigkeit, externes Personal bedarfs- und zielgerecht einzusetzen. Schwerpunkte sind dabei einerseits standardisierbare einfache Aufgaben, andererseits Fälle von ausgeprägtem Spezial- und Expertenwissen. Im Ergebnis ist praktisch der komplette Vor-Ort-Service outgesourct. Hier sind permanent drei bis vier Mitarbeiter eines externen IT-Dienstleisters im Einsatz. Im Bereich Zentrale Systeme sind bis zu drei hoch spezialisierte externe Mitarbeiter zur allgemeinen Betriebsunterstützung tätig. Daneben wird hochspezialisiertes Know-how durch den Einsatz von Externen bei der Umsetzung von Projekten (z. B. Migration, Mitarbeiterportal, Optimierung des Betriebs, hochspezialisierte Wartungs- und Serviceleistungen für die Infrastruktur, Entwicklung von Fachverfahren) abgedeckt. Zielführend für die Gewinnung der Externen ist die Ausschreibung und der nachfolgende Abschluss rahmenvertraglicher Vereinbarungen über das Beschaffungsamt. Die Auslösung von Teilleistungen aus den Rahmenverträgen sowie die Überwachung von definierten Qualitätsmaßstäben und –margen erfolgt dabei kontroll- und revisionsfähig. Den Anforderungen des Bundesrechnungshofes wird dabei entsprochen. 8 s. auch Personalentwicklungskonzept des BMI; Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 30 - Referat Z 6 Bei der Erschließung neuer Einsatzgebiete der IT für das BMI kommt dem Zusammenwirken des IuK-Referates mit den jeweiligen Informatik-Fachbereichen der Technischen Universität Berlin (TUB) und der Fachhochschule für Technik und Wirtschaft in Berlin (FHTW) zunehmend Bedeutung zu. Studenten wirken bei der Konzeption und Projektarbeit im Rahmen von Forschungsstudien, Gutachten u. a. mit. Praktische Unterstützung ergibt sich in Einzelbereichen durch den Einsatz studentischer Hilfskräfte. Die sich zum Teil anschließende Vergabe und Betreuung von Diplomarbeiten kann ebenfalls einen Beitrag zur Nachwuchsgewinnung leisten. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 5. - 31 - Referat Z 6 IT-Sicherheit 5.1. Grundaussagen Mit der zunehmenden Nutzung von Informationstechnik ist auch die Gefahr erheblich gestiegen, dass durch Missbrauch, Ausfall oder Fehlfunktion der eingesetzten Systeme die Aufgabenerfüllung behindert oder sogar völlig blockiert werden kann. Um diesen Gefahren rechtzeitig und wirksam zu begegnen, sind das Sicherheitsrisiko des IT-Einsatzes kontinuierlich zu prüfen und geeignete Sicherheitsvorkehrungen zu treffen. Die Tendenz, dass BMI-Fachaufgaben künftig nur noch auf der Basis einer komplexen internen IT-Infrastruktur sachgerecht bearbeitet werden können, schafft signifikante Abhängigkeiten, die die Arbeits- und Handlungsfähigkeit des BMI zunehmend auf der Verfügbarkeit der IT-Infrastruktur basieren lässt. Die Einführung neuer Dienste bzw. Anwendungen (u. a. Internet-/IntranetTechnologien, Dokumentenmanagement, multifunktionaler Dienstausweis, Kommunikation mit dem nachgeordneten Bereich, IVBB) bestätigen diesen Trend. Er wird sich im Zuge einer notwendigen Öffnung nach außen („Bürgerdialog“) noch verstärken. Es ist erforderlich, ein leistungsfähiges IT-Sicherheits- und Risikomanagementsystem zu implementieren, das über die klassischen baulichen und IT-technischen Einzelsicherungsmaßnahmen sowie Objektschutz und Zugangskontrollregelung hinausgeht und das ganze Spektrum organisatorischer, personeller, infrastruktureller und systemtechnischer Sicherheitskonzeptionen umfasst. Vereinfachte Betrachtungen zu Elementen wie Firewalls, Zutrittssicherung, Überwachung, Gefahrenmeldetechnik und Brandschutz sind heute nicht mehr zielführend. Sicherheitspolitik ist als eine ganzheitliche, disziplinübergreifende Aufgabenstellung zur Gewährleistung der Verfügbarkeiten aller wichtigen Funktionen zu definieren. Durch die neue Binnenstruktur des Referates Z 6 mit einem eigenen Funktionsbereich Sicherheit/Recht wird gewährleistet, dass die Arbeit an einem eigenständigen IT-Sicherheitsmanagement verstärkt verfolgt wird. Das betrifft gleichermaßen die stärkere Betrachtung datenschutzrechtlicher Aspekte auf Grundlage des Bundesdatenschutzgesetz, wie auch die konzeptionelle Begleitung der einzelnen IT-Sicherheitsmaßnahmen. Die personelle Ausstattung dieses Bereiches ist im Laufe des Jahres 2003 erfolgt, so dass das hohe Gewicht, das Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 Sicherheitsfragen beigemessen Niederschlag finden kann. - 32 - werden Referat Z 6 muss, auch seinen operativen 5.2. Sicherheitsziel Eine große Herausforderung an das IT-Sicherheitsmanagement bildet die rapide zunehmende nationale wie internationale Vernetzung bei gleichzeitiger Diversifizierung der IT-Plattformen und -Anwendungen. Gleichzeitig sind die Ansprüche der Anwender an die zur Verfügung gestellten Funktionalitäten gestiegen. Die Grenzen der komplex betrachteten IT-Sicherheit werden sowohl durch die Kosten der eingesetzten Technik gesetzt als auch durch die Möglichkeiten, diese Technik ausreichend qualifiziert zu betreiben. Allgemeines Sicherheitsziel ist es, die IT-Sicherheit als Bestandteil jedes ITVerfahrens einzuführen. Hierbei ist besonders auf die Risiken durch den Verlust der Vertraulichkeit, der Integrität oder der Verfügbarkeit zu achten. 5.3. Sicherheitsmanagement Maßnahmen zur IT-Sicherheit sind noch stärker als bisher als integraler Bestandteil der IT zu gestalten. Da die wirtschaftlich verantwortbaren technischen Vorsorgemöglichkeiten bereits vielfach ausgeschöpft sind, kommt organisatorischen und personellen Maßnahmen steigende Bedeutung zu. Ein effizientes Sicherheitsmanagement erfordert daher u. a.: y stärker die Verantwortung für IT-Sicherheit Organisationseinheiten zu verankern, administrativ in den y Standards der IT-Sicherheit, die z.B. von SAGA vorgegeben sind, als bindend für einzuführende Applikationen durchzusetzen, y Informationen aus allen mit Sicherheitsbelangen befassten Organisationseinheiten zusammenzutragen und auszuwerten, y in Verbindung mit Informationen über die Entwicklung der Technik und des Marktes Prognosen über Folgen für die IT abzuleiten, y Forderungen des IT-Sicherheitskonzepts frühzeitig in die Gestaltung der Verträge mit IT-Lieferanten und IT-Dienstleistern einzubringen und entsprechend vertraglich abzusichern und y stärker als bisher die Umsetzung von technischen und die Einhaltung von organisatorischen und administrativen Sicherheitsmaßnahmen zu überprüfen. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 33 - Referat Z 6 Basis des IT-Sicherheitskonzepts des BMI ist das modulare Grundschutzkonzept für alle IT-Verfahren und -Vorhaben mit geringem bis mittlerem Schutzbedarf. Die jeweils erforderlichen Sicherheitsmaßnahmen werden in das IT-Sicherheitskonzept aufgenommen und weiterentwickelt. Damit wird im BMI ein weithin standardisierter "Baseline Security Level" etabliert, der es erlaubt, die verfügbaren Ressourcen im Bereich IT-Sicherheit gezielter und ökonomischer auf die hohen Risiken und die besonders sensitiven und gefährdeten Bereiche zu konzentrieren. Unbeschadet der Erreichung dieses "Baseline Security Levels" ist die Erarbeitung einer gemeinsamen IT-Sicherheitspolicy des Hauses erforderlich. Hierin sind die IT-Sicherheitsziele des Hauses verbindlich zu vereinbaren. In ihr sind neben den Zielen auch die organisatorischen Instrumente zu beschreiben, die zur Erreichung dieser Ziele eingesetzt werden. Auf Basis dieser IT-Sicherheitspolicy wird entschieden, welche Verfahren aufgrund ihrer Verfügbarkeits-, Authentizitätsoder Vertraulichkeitsanforderungen über das Grundschutzniveau hinaus einer besonderen Betrachtung bedürfen. IT-Verfahren und -Vorhaben mit hohem bis sehr hohem Schutzbedarf werden sukzessive einer umfassenden Risikoanalyse unterzogen. Zusätzlich zum Grundschutz notwendige Sicherheitsmaßnahmen werden ermittelt und das verbleibende Restrisiko abgeschätzt. Bei klar erkennbaren Defiziten werden auch vor Abschluß einer Risikoanalyse Ad-hoc-Maßnahmen ergriffen, um den Schutz der Verfahren zu gewährleisten. Bei allen IT-Planungen sollen ITSicherheitsaspekte frühzeitig berücksichtigt werden. Bei Beschaffung von Komponenten für das IT-System sind die Anforderungen des ITSicherheitskonzeptes frühzeitig bereits in der Planungsphase zu berücksichtigen. Über technische Maßnahmen hinaus wurden und werden insbesondere in Dienstanweisungen und Dienstvereinbarungen Regelungen zum Datenschutz und zur IT-Sicherheit aufgenommen. Durch die zunehmende Nutzung des Internets am Arbeitsplatz werden die Grenzen des technisch Machbaren sichtbar. Die Nutzung der Möglichkeiten des Internets, obgleich fachlich gewünscht, bringen auch Gefahren mit sich, denen nicht allein mit technischen Mitteln begegnet werden kann. Zunehmend ist hier auch die Verantwortung jedes Mitarbeiters gefordert, was seinen Niederschlag in entsprechenden Dienstvereinbarungen finden muss. 5.4. Sicherheitsprozess IT-Sicherheit kann nicht im Nachhinein implementiert werden, sondern ist im Voraus durch einen organisatorisch verankerten Prozess zu erreichen. Folgende Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 34 - Referat Z 6 vier wesentliche Schritte für einen kontinuierlichen IT-Sicherheitsprozess sind notwendig: 1. Planung y Entwicklung der IT-Sicherheitspolitik, y Erstellung eines IT-Sicherheitskonzeptes 2. Realisierung y Realisierung der IT-Sicherheitsmaßnahmen, y Schulung und Sensibilisierung der Mitarbeiter. 3. Aufrechterhaltung y IT-Sicherheit im laufenden Betrieb, y Änderungen des organisatorischen sowie des technischen Ablaufs. 4. Qualitätssicherung y Kontrolle und ggf. Rückführung in die Planung. Diese Schritte stellen einen Prozess dar, der kontinuierlich immer wieder durchlaufen wird. Jeder dieser Schritte hat seine eigene Berechtigung, kann aber sinnvoll nur im Kontext der anderen durchgeführt werden, da Sicherheitsmaßnahmen ohne systematische Planung immer in der Gefahr stehen, lückenhaft zu sein, wichtige Szenarien zu vernachlässigen oder zu stark auf Nebenaspekte zu fokussieren: Die Planung bleibt naturgemäß sinnlos, wenn die Umsetzung der Maßnahmen nur mangelhaft durchgeführt wird. Technische Maßnahmen können hier nicht alleine greifen, wenn sie nicht zusätzlich durch organisatorische Maßnahmen flankiert werden, die sowohl eine Schulung der Mitarbeiter als auch Sensibilisierungsmaßnahmen und entsprechende Dienstvereinbarungen beinhalten. Ein wichtiger Bestandteil des Prozesses ist der professionelle Betrieb der technischen Einrichtungen (z.B. Firewallsysteme). Hier sind insbesondere die personellen Ressourcen bereitzustellen, die hierfür unabdingbar sind. Im Rahmen der Qualitätssicherung sind die ergriffenen Maßnahmen einer ständigen kritischen Überprüfung zu unterziehen. Dies kann sowohl aus gezielten "Angriffen" auf die Sicherheitsinfrastruktur bestehen, um typische Schwachstellen offen zu legen als auch aus Auditingmaßnahmen, die mit Hilfe von standardisierten Fragenkatalogen das Niveau der IT-Sicherheit beleuchten. Dies ist sowohl unter dem Aspekt sich verändernder IT-Infrastrukturen als auch notwendigerweise sich einstellender Betriebsblindheit immer wieder erforderlich. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 35 - Die hier aufgezeigten Schwachstellen Planungsprozess einbezogen. Referat Z 6 werden dann wieder in den 5.5. Schwerpunkte der Arbeit 5.5.1. Sicherheitskonzept Die IT-Sicherheitsmaßnahmen, die zum Schutz der Infrastruktur des BMI ergriffen wurden, haben durch den enormen Zuwachs sowohl der Anzahl als auch der Komplexität der IT-Systeme mittlerweile einen Umfang erreicht, der einen Überblick über die Angemessenheit und Vollständigkeit der getroffenen Maßnahmen nahezu unmöglich macht. Es ist daher in 2003 eine Evaluation der ergriffenen Maßnahmen durchgeführt worden, die folgende Zwecke erfüllt: y Erhebung der betriebenen Anwendungen und ihre Klassifizierung hinsichtlich Kritikalität, Verfügbarkeits- und Vertraulichkeitsanforderungen y Erhebung der eingesetzten bzw. benutzten Infrastrukturkomponenten inklusive der Netze und Rechnersysteme sowie deren gegenseitigen Abhängigkeiten y Schaffung einer Datenbasis die leicht fortschreibbar ist und aus der Berichte für verschiedene Zwecke generiert werden können y Erfassen der vorhandenen Sicherheitsdefizite unter Berücksichtigung der nach BSI-Grundschutzhandbuch vorgeschlagenen Standardsicherheitsmaßnahmen und deren mögliche Auswirkungen Das BSI bietet in seinem IT-Grundschutzhandbuch die Methodik eines so genannten Basis-Sicherheitschecks an. Das BSI hat zur Durchführung dieses Checks ein Tool entwickeln lassen, das den Anwender bei der Erhebung des Umsetzungsstatus dieser Maßnahmen unterstützt. Dieser Check wurde im Jahre 2003 durchgeführt und lieferte eine Liste der noch durchzuführenden Maßnahmen. Diese durchgeführte Erhebung kann aber nur einer Momentaufnahme entsprechen und muss daher in einen Prozess überführt werden. Im Rahmen dieses Prozesses werden Veränderungen der Hard- und Softwareinfrastruktur sowie der betriebenen Anwendungen und deren Kritikalität nachgepflegt. Mit Hilfe des Tools kann jederzeit ein Überblick über die Vollständigkeit der getroffenen Maßnahmen im Hinblick auf den Grundschutz gewonnen werden. Auf Basis dieser erhobenen Daten lassen sich mit Hilfe des Grundschutztools Berichte erstellen, die in ihrer Gesamtheit mit den referenzierten Dokumenten das IT-Sicherheitskonzept darstellen. Gegenüber einem klassischen Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 36 - Referat Z 6 Sicherheitskonzept hat diese Form den Vorteil, dass es jederzeit aktuell ist, sofern die Datengrundlage von den jeweils fachlich Zuständigen gepflegt wird. 5.5.2. Schutz vor Schadensprogrammen Eine direkte Bedrohung liegt im Empfang und der Weiterleitung infizierter EMailanhänge. Es ist daher erforderlich, einen Virenschutz vorzusehen, der als Datei- und E-Mail-Scanner eingesetzt werden kann und einfache komprimierte Archive gängiger Archivierungsformate sowohl als Datei als auch als E-MailAnhang überprüft. Außerdem müssen die Virusinformationen regelmäßig durch den Hersteller aktualisiert und von dessen Web-Site abrufbar sein. Mit der breiten Verfügbarkeit des Internets am Arbeitsplatz werden die Bedrohungen für die IT-Infrastruktur des BMI durch Webseiten mit aktiven Inhalten immer aktueller. Der ursprünglich gewählte Ansatz, aktive Inhalte auf Internetseiten durch entsprechende Filtertechnologien an der Firewall zu unterdrücken, hat sich auf die Dauer nicht als tragfähig erwiesen. Ein immer größer werdender Anteil von Seiten macht Gebrauch von aktiven Komponenten. Unter aktiven Komponenten wird dabei jede Form von Programmcode verstanden, der nach dem Laden im Internetbrowser als Programm oder Skript im Kontext des Benutzers und mit dessen Rechten ausgeführt wird. Auch hier ergibt sich ein Spannungsfeld zwischen gewünschter und benötigter Funktionalität für den Benutzer auf der einen Seite und notwendig zu gewährleistender Systemsicherheit auf der anderen Seite. Das Jahr 2003 hat deutlich gezeigt, dass dem Virenschutz ein unverändert hoher Stellenwert zukommt. Sowohl E-Mail-Viren (Sobig) als auch Würmer, die sich wie Blaster auf anderen Wegen verbreiten, haben weltweit große Schäden angerichtet. Die stringente Sicherheitspolitik des BMI und des IVBB hat Schäden von der eigenen Infrastruktur abwenden können. Neben dem erkennbar wichtigen Virenschutz ist es in den Jahren 2004/2005 aber auch erforderlich, heuristische Methoden einzuführen. Die Erkennung von festen Mustern in eingehenden Nachrichten zur Virenerkennung ist notwendigerweise reaktiv. Die Zeit vom ersten Auftreten eines Virus bis hin zum Schutz durch ein aktualisiertes Erkennungsmuster lässt sich nicht unter einige Stunden drücken. Erfahrungen mit dem SQL-Slammer haben gezeigt, dass diese Zeit ausreicht, um bereits eine weltweite Verbreitung des Schadensprogramms zu bewirken. Es sind daher Verfahren zu testen, die proaktiv aus der Struktur einer aktiven Nachricht Rückschlüsse auf deren mögliche Schadenswirkung ziehen. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 5.5.3. - 37 - Referat Z 6 SPAM-Prävention SPAM-Mails, d. h. unverlangt zugesandte Werbe-Mails, werden aufgrund der geringen Kosten für den Versender in großen Massen verschickt. In dem Maße, in dem persönliche E-Mail-Adressen auch von BMI-Mitarbeitern im Internet bekannt werden, wird dieses Phänomen, das zunächst als Ärgernis begann, auch im BMI zu einem ernstzunehmenden Problem. Gegen derartige Vorgehensweisen können eine Reihe von administrativen Schutzmaßnahmen (Filterung) getroffen werden. Diese Maßnahme stehen jedoch in einem Zielkonflikt mit der Erreichbarkeit der E-Maildressen, so dass sich der Eingang derartiger Mails nur vermindern, aber nicht ausschließen lässt. Zudem besteht immer die Gefahr, dass auch relevante Mails ausgefiltert werden. Unter den gegebenen Rahmenbedingungen wird zurzeit nur eine Möglichkeit gesehen: Jede E-Mail wird auf bestimmte SPAM-typische Muster untersucht. Wird so eine SPAM-Mail erkannt, so wird an den Anfang der Betreffzeile der Mail automatisch eine feste Zeichenfolge eingefügt. Hierdurch kann anschließend eine Filterung im Email-Client erfolgen. 5.5.4. Betrieb der VS-IT Neben der allen Mitarbeitern zugänglichen IuK-Infrastruktur betreibt der BMI eine abgesetzte VS-IT Infrastruktur. Diese besteht aus speziell verzonten Hardwarekomponenten und eigener Kryptotechnik. Der Betrieb dieser Komponenten und der darauf laufenden Sondersoftware ist weiterhin zu gewährleisten. 5.5.5. Präventive Sicherheitsmaßnahmen Neben den konzeptionellen, umsetzenden und betrieblichen Aufgaben sind aber auch qualitätssichernde Maßnahmen durchzuführen. Diese Maßnahmen dienen dazu, das umgesetzte Sicherheitskonzept auf Schwachstellen zu überprüfen und gegen die Wirksamkeit bei üblichen Angriffsszenarien zu testen. Notwendig ist die Implementierung eines Verfahrens, das eine periodische Überprüfung aller Laufwerke nach ausführbaren Programmen ermöglicht und diese Programme gegen eine Positivliste überprüft. Da alle ausführbaren Programme im Netz des BMI durch Z6 autorisiert sein müssen, lässt sich so überprüfen, ob die ergriffenen organisatorischen und technischen Maßnahmen wirksam sind. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 38 - Referat Z 6 Verschiedene Hersteller und Dienstleister bieten Werkzeuge bzw. deren Einsatz an, um die Infrastruktur gegen übliche Angriffsmuster zu prüfen. Hier sind folgende Methoden zu nennen: y Portscanning: Mit Hilfe des Portscanning werden insbesondere Server auf Ansprechbarkeit von außen überprüft. y Aktualitätsüberprüfung: Hierbei wird der Patchlevel von eingesetzten Programmen und Diensten überprüft. y Angriffsversuche: Typische Exploits (Angriffsmuster auf bekannte Schwachstellen) werden durchgeführt. 5.5.6. Administrative Rechte Das BMI betreibt eine Windows XP-Clientinfrastruktur, die im Laufe des Jahres 2004 durch eine neue Betriebssystemumgebung im wesentlichen auf Basis von Windows 2003 Servern ergänzt wird. Teile der Serverinfrastruktur werden zudem auf „Nicht-Microsoft“-Betriebssysteme umgestellt werden. Im Rahmen der Migration werden benötigte Funktionalitäten entweder mit nativen Bestandteilen der Betriebssysteme, mit frei verfügbaren Softwarelösungen oder mit kommerziellen Produkten abgedeckt. Die Eigenentwicklung von Anwendungen und Tools durch das BMI ist aus Zeit- und Ressourcengründen grundsätzlich nicht vorgesehen. Im Zuge der Integration der Einzelkomponenten zur Gesamtinfrastruktur sind jedoch eine große Anzahl von Konfigurationsarbeiten zu erledigen, Anpassungen zu machen und Schnittstellen zu bedienen. Diese Arbeiten werden teilweise durch eigenes Personal erledigt und teilweise fremdvergeben. Die Administration der Server und der Clients erfolgt grundsätzlich liegenschaftsübergreifend von zentraler Stelle aus, in Einzelfällen auch liegenschaftsbezogen. Die Notwendigkeit der Intervention vor Ort wird auf ein Minimum beschränkt. Systeminformationen werden mit Hilfe von netzwerkbasierten Werkzeugen, entweder betriebssystemeigenen oder zusätzlichen, ermittelt und an Managementstationen weitergeleitet. Diese Anforderungen erfordern die Vergabe von Rechten für den Zugriff auf Systemressourcen des BMI in Abhängigkeit von der Aufgabe von Mitarbeitern, Fremdpersonal sowie von Systemprozessen. Bei der Vergabe der Rechte ist zum ersten darauf zu achten, dass alle notwendigen Mitarbeiter in allen Betriebszuständen die erforderlichen Rechte haben oder sich beschaffen können, um den Betrieb und evtl. Störungsbehebung zu gewährleisten. Gleichzeitig muss zum zweiten aber gewährleistet sein, dass nicht benötigte Rechte flexibel wieder Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 39 - Referat Z 6 entzogen werden können. Dies erfordert eine Rechteverwaltung, die nur unter größtem Aufwand organisatorisch abgebildet werden kann. Es ist daher im Zuge der Betriebssystemmigration konzeptionell darauf hinzuwirken, dass insbesondere die Rechteverwaltung für System- und Administrationskennungen auf eine sichere Grundlage gestellt werden. Die neu zu strukturierenden Verzeichnisdienste bieten die Chance, auf zertifkatsbasierte Authentisierungs- und Autorisierungsdienste nicht nur für die Benutzer sondern auch für Systemkomponenten überzugehen. Windows 2003 bietet darüber hinaus mit Kerberos und anderen Mechanismen deutlich flexiblere Möglichkeiten ein betriebssystemübergreifendes Identity-Management zu unterstützen. Dies muss zudem von Auditing der organisatorischen Maßnahmen flankiert werden. Insbesondere die Rechtevergabe muss regelmäßig einer Prüfung unterzogen werden, um zu verhindern, dass Mitarbeiter Rechte auf Systemressourcen be- oder erhalten, die sie zur Aufgabenerfüllung nicht bzw. nicht mehr benötigen. 5.5.7. Verschlüsselungsinfrastruktur Mit Kabinettbeschluss vom 16. Januar 2002 hat sich die Bundesregierung für die anwendungsbezogene, angemessene Verwendung fortgeschrittener bzw. qualifizierter elektronischer Signaturen ausgesprochen. Die Entscheidung über die Verwendung fortgeschrittener bzw. qualifizierter Signaturen obliegt dabei den einzelnen Behörden. Qualifizierte Signaturen kommen zum Einsatz bei Schriftformerfordernis oder wenn es zur Erhöhung der Beweissicherheit geboten ist. Im Bereich des BMI wird insbesondere nach Novellierung des VwVfG, des BRKG und des BUKG das Erfordernis für die qualifizierte Signatur nur im Ausnahmefall gesehen. Fortgeschrittene Signaturen können sowohl als reine Softwarelösung als auch in Verbindung mit Smartcards eingesetzt werden. Diese Technologie eignet sich für Authentifizierungs- und Verschlüsselungsmethoden verschiedenster Art, z. B. dafür, eine Anmeldung von Benutzern über für Smartcards vergebene Zertifikate zu realisieren, für das Speichern von Zertifikaten zur Authentifizierung im Web, für sichere E-Mail und für andere Vorgänge im Zusammenhang mit der Verschlüsselung mit öffentlichen Schlüsseln zu nutzen. Unter Smartcards versteht man Geräte, auf denen öffentliche und private Schlüssel, Passwörter, biometrische Merkmale und andere vertrauliche Informationen gespeichert werden können. Auf sie kann nur mit Hilfe von Smartcardlesern unter Anwendung einer vertraulichen PIN zugegriffen werden. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 40 - Referat Z 6 Im BMI wurde im Rahmen der Projekte „SPHINX“ und "Digitaler Dienstausweis" eine Kommunikations-Verschlüsselungsinfrastruktur aufgebaut. Die Prüfung von öffentlichen Zertifikaten wird über den IVBB durch das zuständige Trust Center durchgeführt. Die PublicKey-Infrastruktur (PKI) wird auf dem BMI-eigenen, zentralen Verzeichnisdienst realisiert. Im Rahmen des Pilotprojekts „Digitaler Dienstausweis“ wurde zudem eine Chip-Karte testweise eingeführt, welche die notwendigen kryptographischen Grundfunktionen bereitstellt. Im Jahre 2004 werden voraussichtlich Ausschreibungen durchgeführt, die Smartcards in Verbindung mit dem Dienstausweis allen Benutzern sowie den Organisationseinheiten Poststellenfunktionalitäten zur Verfügung stellt. Basierend auf dieser dann vollständig umgesetzten PKI werden Applikationen möglich, die Gebrauch von der PKI machen. Insbesondere durch den Einsatz der virtuellen Poststelle wird es möglich, ab dem Jahr 2004 Signatur- und Verschlüsselungstechniken anzubieten, die einen vertraulichen und revisionssicheren Geschäftsverkehr auch über Ressortgrenzen hinweg ermöglicht. Auf den mobilen Arbeitsplätzen des BMI werden weiterhin zusätzliche Hardwarekomponenten für die Verschlüsselung der Festplatten und des Datenverkehrs im Einsatz bleiben. Eine Integration mit der PKI der Verwaltung ist mittelfristig anzustreben. Langfristig könnte so Single Sign On auch ressortübergreifend ermöglicht werden. 5.5.8. Organisatorische Regelungen Mit der Dienstvereinbarung „Kommunikation“ und der neu gestalteten IT-Richtlinie ist der organisatorische Rahmen für den Umgang mit der IuK-Technik am Arbeitsplatz des Mitarbeiters neu gefasst worden. Die Vereinbarung dieser Rahmenbedingung muss jedoch durch wirksame Kontrollmaßnahmen der Einhaltung dieser Vereinbarungen flankiert werden. Um diese Kontrollmaßnahmen rechtssicher durchführen zu können, sind Festlegungen in Kooperation mit dem Personalrat und dem behördlichen Datenschutzbeauftragten bezüglich der Rahmenbedingungen für diese Kontrollmaßnahmen fortzuentwickeln. 5.5.9. Verfahrensverzeichnis Jede öffentliche Stelle, die personenbezogene Daten verarbeitet, hat ein Verfahrensverzeichnis zu erstellen, das Art, Umfang und Zweck der Speicherung dieser Daten beschreibt. Ein Verfahren ist die Gesamtheit der Verarbeitungen, mit denen eine oder mehrere Zweckbestimmung(en) realisiert werden. Daher kann ein Verfahren eine oder mehrere Dateien umfassen. Für Standardverfahren, die ohne Anbindung an eine bestimmte Verwaltungsaufgabe übergreifend als "Werkzeug" Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 41 - Referat Z 6 für verschiedene Aufgaben eingesetzt werden, ist kein Verfahrensverzeichnis zu erstellen. Dies gilt zum Beispiel für Standardprogramme zur Erstellung und Weiterleitung von Texten aller Art, die allgemeine Schriftgutverwaltung oder für Telefonanlagen mit Speicher, die von der öffentlichen Stelle insgesamt genutzt werden. Ein solches Verzeichnis wird auch beim BMI seit 2003 geführt. Es hat sich gezeigt, dass die Voraussetzungen für den Betrieb der dort aufgeführten Verfahren nicht in allen Fällen adäquat nachgewiesen werden. Es ist daher durch den behördlichen Datenschutzbeauftragten unter Zuhilfenahme des Verfahrensverzeichnisses eine Nachbesserung dieser Situation von den Betreibern der betroffenen Verfahren einzufordern. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 6. - 42 - Referat Z 6 Kernaussagen zur Vorgehensweise und Organisation Projekte bieten sich als ideale Form an, Neuerungen zu implementieren und Verbesserungsprozesse zu organisieren. Mit dem Leitfaden zum Projektmanagement im BMI und seinem Geschäftsbereich liegt eine praktische Hilfestellung vor, die Orientierung und Anleitung zur wirksamen Projektvorbereitung, Projektplanung, Projektsteuerung und zum Projektabschluss bietet. Als umfassendes Vorgehensmodell für die Entwicklung von IT-Systemen findet, soweit angezeigt, das V-Modell mit entsprechendem Zuschnitt Anwendung. Die Durchführung der IT-Projekte im BMI ist durch das enge Zusammenwirken zahlreicher, mit Teilfragen befasster Organisationseinheiten der Zentral- und der Fachabteilungen charakterisiert. Die Projektleitung wird themenbezogen in der Regel von dem IT-Stab, dem Organisationsreferat (Z 2) oder dem IuK-Referat (Z 6) wahrgenommen. Ressortübergreifende grundsätzliche Fragen werden in Gremien wie dem IMKA, dem Steuerungsausschuss IVBB etc. beraten und entschieden. Technische Unterstützung bei der Erledigung der Projektaufgaben bietet die im Auftrag des BMI entwickelte Projektmanagementsoftware Intraplan B. sowie spezielle Projektplanungssoftware. Die Nutzung von IT und TK ist im BMI in einer Reihe von Regelwerken (GGO-IT, DAV, Dienstvereinbarung etc.) verbindlich festgelegt. Referatsintern werden Prozesse, Entscheidungsmuster, Methoden und Verfahren in Regelwerken und Standards beschrieben. Diese werden ziel- und bedarfsorientiert aktualisiert und erweitert. Mit der IT-Migration, der Einführung der „elektronischen Akte“ und des zentralen Verzeichnisdiensts führt Z 6 drei große Projekte durch. Die Bewältigung dieser Aufgaben ist ohne ein Projektmanagement auf hohem Niveau und ein anspruchsvolles Projektcontrolling nicht durchführbar. Für das IuK-Referat wurden Verfahrensregeln für die Projektarbeit entwickelt. Mit der neuen Binnenstruktur und deren kontinuierlicher Weiterentwicklung wird erwartet, das Niveau der Effektivität der Aufgabenerledigung im Referat Z 6 spürbar anheben zu können. Die abschließende Behandlung von Fachfragen in den Funktionsbereichen führt zu schnelleren konsistenten Entscheidungen. Mit der Anlehnung der Aufgabenverteilung an das ISO/OSI-Schichtenmodell sind unklare Zuständigkeiten zwischen den Funktionsbereichen beseitigt. Zur Verbesserung der funktionsbereichsübergreifenden Kommunikation wird einmal wöchentlich ein Jour fixe beim Referatsleiter mit je einem Vertreter der Funktionsbereiche durchgeführt. Einmal im Monat wird eine mehrstündige Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 43 - Strategiebesprechung zu aktuellen Anforderungen und Entwicklungen mit erweitertem Teilnehmerkreis organisiert. Referat Z 6 Referat Z 6 zu erwartenden Stand: Dezember 2003 IT-Rahmenkonzept 2005 7. - 44 - Referat Z 6 Strukturelle Beschreibung des IT-Fortbildungskonzepts Nach mehrjähriger IT-Anwendung insbesondere zur Unterstützung der Bürokommunikation verfügt die Mehrzahl der Mitarbeiter über aufgabenbezogene Grundkenntnisse der IT sowie praxisorientierte Kenntnisse im Umgang mit den im BMI eingesetzten Programmen. Auf der Basis der Ergebnisse des 2000 realisierten Projektes "Grundkonzept der IT-Fortbildung“ wurden die Elemente der IT-Fortbildung stärker als bisher den konkreten Situationen einzelner Zielgruppen angepasst. Dabei werden nachstehende Ziele in Lehr- und Lernmodule umgesetzt: Strukturelle Aus- und Fortbildungsschwerpunkte: y verbesserte Grundausbildung als Lern-Eingangsstufe, weiterhin werkzeugbezogen, y zusätzliche Einfügung des Leitbilds der Arbeitsplatzbezogenheit in die Lerninhalte, und zwar - sowohl hinsichtlich der persönlichen Arbeitsplatzorganisation der Mitarbeiter, - als auch bezüglich der Berücksichtigung von IT-Anforderungen, die sich aus dem Arbeitsumfeld ergeben (Kontext), y Vermittlung von situationsbedingten Spezialkenntnissen, y spezielles zusätzliches Training für Führungskräfte, u. a. im Hinblick auf die Beurteilung von Verbesserungsmöglichkeiten, den Umgang mit Qualifizierungsanforderungen an Mitarbeiter und Methoden zur Beurteilung der ITQualifikation von Mitarbeitern. Inhaltliche Aus- und Fortbildungsschwerpunkte: y Vertiefung der Grundkenntnisse im Umgang mit den neuen im BMI eingesetzten Standardsoftwareprodukten und den darin enthaltenen GroupwareFunktionalitäten (insbesondere Termin- und Ressourcenplanung), y Kenntnisse über komplexe IT-Anwendungen Vorgangsbearbeitung, Multimedia-Anwendungen), (z. B. elektronische y Kenntnisse auf dem Gebiet der internen und externen Kommunikation sowie des Umgangs mit Informationen auf der Grundlage von Internet-Technologien, y Recherche (interne und externe) in Informationsbeständen, y Ausbildung zur Nutzung von fachbezogener Standardsoftware, effektiver Einsatz der angebotenen Funktionalitäten, y Unterstützung des IT-Einsatzes von Führungskräften. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 45 - Referat Z 6 methodisch-didaktisch: y IT Fortbildung hat ganzheitlich die Kompetenzen der PC-Anwender zu fördern, kurz- und langfristig ihre Arbeit effizienter zu gestalten. y Als interner Dienstleister hat die IT-Fortbildungsorganisation durch ein entsprechend qualifiziertes Personal Produkte anzubieten, die dem Informations-, Beratungs-, Kommunikations- und Lernbedarf der Beschäftigten in einer optimalen Weise entsprechen. y Die methodisch-didaktische Umsetzung der Angebote muss sich an den Vorgaben der Verwaltung (z. B. Arbeitsorganisation), dem Gegenstandsbereich (z. B. Grundlagen der Informationstechniken) und dem Stand der wissenschaftlichen Erkenntnisse (z. B. Lernpsychologie) orientieren. y Die Bildungsangebote haben in ihrer Zielsetzung zwischen dem Erwerb von Instrumentenwissen (Bedienung des PC, einer Textverarbeitung u. a.), Hintergrundwissen (Grundlagen des Computers, Datenschutz, IT-Sicherheit u. a.), methodischen Kompetenzen (Dateiverwaltung, programmierte Textverarbeitung u. a.) und fach-/funktionsspezifischen Inhalten zu unterscheiden. y IT-Fortbildung hat grundsätzlich die Kompetenz der Mitarbeiter zu entwickeln, selbständig Qualifizierungsbedarf zu erkennen und sich für Qualifizierungslösungen zu entscheiden. y Die IT-Fortbildungsangebote haben das Potenzial neuer Lernwege sowie neuer Medien und Methoden langfristig zu nutzen, um eine wirtschaftliche Bedarfsbefriedigung zu realisieren. y IT-Fortbildung bedarf eines professionellen Managements und einer Einbindung in die ministeriale Personal- und Organisationsentwicklung. y Die IT-Fortbildungsorganisation muss für hochqualifiziertes Personal sorgen, damit ihre Angebote auf einem hohen Niveau und mit hoher Akzeptanz durchgeführt werden können. Die IT-Fortbildung unterliegt einem kontinuierlichen Evaluationsprozess. Im Jahr 2003 sind die IT-Fortbildungselemente/-Kurse inhaltlich und organisatorisch in vier Hauptgruppen neu aufgestellt worden: y PC-Grundlagen und weiterführende Kenntnisse, y Kontext- und Methoden-Workshop, y Situationsbedingte IT- Fortbildung, y IT- Führung. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 - 46 - Referat Z 6 Darüber hinaus soll eine planmäßige Lernberatung durch die Führungskräfte erfolgen, mit dem Ziel, jeden Mitarbeiter so zu qualifizieren, dass sein Wissen den arbeitsplatzbezogenen Anforderungen entspricht. Zur kontinuierlichen Anpassung der IT-Fortbildung werden von Z 6 (Benutzerservice) Hinweise für Anwenderschulungen kontinuierlich integriert (Input aus systematischer Auswertung von Fehlermeldungen) und von Z 1a die Berücksichtigung der ganzheitlichen Betrachtung der Weiterentwicklung der Mitarbeiterinnen und Mitarbeiter vorgenommen. Für die zukünftige Weiterentwicklung der IT-Fortbildung sind insbesondere die Anforderungen aus den Ergebnissen der Migrationsstudie zu beachten. Die Möglichkeiten des Zugriffs auf Internet- und Telelearning-Technologien basierende Bildungs- und Informationssysteme innerhalb des IVBB sind, soweit zielführend, einzubinden. Dies geschieht in enger Abstimmung mit der BAKöV. Unterschiedliche Lehr- und Lernmethoden, angebotene Fortbildungsveranstaltungen sowie das eigenständige Aneignen kognitiven Wissens sollen systematisch verbunden werden. Hierdurch kann zeitnah auf die Anforderungen der Praxis reagiert, die Problemlösung vor Ort beschleunigt und am jeweils konkreten Fallbeispiel ein neuer Lernprozess ausgelöst werden. Den Mitarbeitern ist die Möglichkeit zu bieten, auf aktuelle Informationen, Rechtstexte und Fachliteratur sowie auf umfangreiche Lehr- und Lernunterlagen zuzugreifen. Themen, Lernzeiten und -orte (IT-Schulungsraum, Arbeitsplatz) können so flexibel und an den persönlichen Belangen orientiert gewählt werden. Durch die Möglichkeit des individuell gestalteten Lernens (praxisnahes Lernen am Arbeitplatz oder gruppenorientiertes Lernen) können die Stärken der jeweiligen Lernart und -umgebung genutzt und selbstverantwortliches Lernen gefördert werden. Die Angebote im Intranet und die Nutzung der Internetangebote sind weiterzuentwickeln. organisatorisch: Die Einbindung der IT-Fortbildung in das Fortbildungskonzept jedes Mitarbeiters in Verantwortung des Personalreferates hat sich grundsätzlich bewährt. Eine umfangreiche Personalentwicklungsplanung ist somit möglich. Die Fachbetreuung in Verantwortung des IT-Referates hat zur weiteren Konkretisierung der Inhalte geführt. Die Kopplung der Projektarbeit zur Einführung weiterer IT-Anwendungen und der Vorbereitung der Mitarbeiter auf diese können unmittelbar gesteuert werden. Die IT-Fortbildung wird damit als Bestandteil der Projektarbeit gesichert und eine Umsetzung in die Praxis sichergestellt. Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 8. - 47 - Referat Z 6 Visionen Vision „Die IT ist organischer Bestandteil der Aufgabenerfüllung“ Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 9. - 48 - Referat Z 6 Übersichten zu dem Anlagen-Band 9.1. IT-Maßnahmen und Projekte 9.1.1. Neue IT-Projekte / Wesentliche Weiterentwicklungen Projektnummern und Bezeichnungen gemäß der Haushaltsunterlagen und entsprechend der Gliederung im Übersichtenband Nr. 1.1 Elektronische Akte Nr. 1.2 Intranet/Mitarbeiterportal Nr. 1.3 Internetauftritt BMI Nr. 1.4 Zentraler Verzeichnisdienst / Meta Directory Nr. 1.5 Anwendungsentwicklung Nr. 1.6 Digitaler Dienstausweis / Elektronische Signatur Nr. 1.7 Datenhaltung / -sicherung Nr. 1.8 IT-Sicherheitskonzept Nr. 1.9 Lagezentrum Nr. 1.10 EPOS Neu Nr. 1.11 Bibliothek Nr. 1.12 Sprachendienst Nr. 1.13 Projektplanungstools Nr. 1.14 Controlling / KLR Nr. 1.15 Studien Nr. 1.16 Backup-Systeme / Ausweichdienstsitz Nr. 1.17 WM 2006 Nr. 1.18 Innerer Dienst Nr. 1.19 Bürgerservice Referat Z 6 Stand: Dezember 2003 IT-Rahmenkonzept 2005 9.1.2. - 49 - Referat Z 6 Ergänzungen, Erweiterungen und Ersatzbeschaffungen bestehender IT-Maßnahmen Maßnahmen und Nummerierung entsprechend der Haushaltsunterlagen und der Information im Anlagenband. Nr. 2.1 Infrastruktur Nr. 2.1.1 Netz Nr. 2.1.2 TK (zur Zeit kein Bestandteil der TG 55) Nr. 2.2 Zentrale Systeme Nr. 2.2.1 Server / Client Nr. 2.2.2 Kommunikation (mit Datenfernübertragung) Nr. 2.3 IT-Sicherheit / Datenschutz 9.1.3. Ausstattung / Service 9.1.4. Fortbildung 9.2. Weitere Übersichten 9.2.1. Personal / Funktionssoll Z 6 9.2.2. Haushaltsansätze 2005 Referat Z 6 Stand: Dezember 2003