IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Behörden 4.0Warum scheitern Projekte und Prozesse im öffentlichen Sektor? Behörden versprechen viel beim Thema „Behörde 4.0“ und halten oft wenig. Woran liegt es, was muss sich ändern und wie können auch Behörden zukünftig effektiver und zielsicherer in der digitalen Welt von heute und morgen agieren?

Zahlen sind bekanntlich Fakten. Eine Tatsache – wenn auch teils nebulös – ist seit geraumer Zeit das Anhängsel „4.0“ in allen Branchen. Was soll nicht alles im digitalisierten 4.0-Modus laufen: Industrie, Medizin, Energie, Bildung, Kultur, um nur einige Bereiche zu nennen.  Und auch Behörden machen sich auf und entdecken die Verwaltungswelt 4.0 für sich, reden von mehr Digitalisierung und einer zunehmenden Vernetzung. Zwei Anmerkungen hierzu: Was „4.0“ eigentlich genau heißt, das wissen wohl nur die Worterfinder der Digitalisierungsunternehmen und Marketingabteilungen. So spricht auch das Gabler Wirtschaftslexikon bei Industrie 4.0 von einem „Marketingbegriff“. Zumal die dahinter steckende digitale Revolution bereits ausgerufen wurde, bevor diese überhaupt vollzogen ist.

Zudem zeigt sich in allen Branchen, dass die Organisationsstrukturen und das Denken den Versprechungen der digitalen Welt hinterherhinken. Hinzu kommt auch im Behördenumfeld die Realität eines „Prozesslebens 1.0“. Diese Diskrepanz mit schwachen Prozessausprägungen birgt gleichzeitig Risiken. Ein Blick hinter die Verwaltungskulissen zeigt, woran es mangelt. „Die Digitalisierung der Verwaltung schreitet voran – und kommt trotzdem nicht in die Gänge“, schreibt die Gewerkschaft ver.di auf den eigenen Seiten. Und die Gewerkschafter folgern: „Viele Kolleginnen und Kollegen greifen daher zum eigenen Smartphone oder Tablet, um sich die Arbeit zu erleichtern. Die Konsequenz: erhebliche Datenschutzprobleme. Wem diese Hintertür nicht offen steht, ist oftmals mangelhaften IT-Systemen ausgesetzt, auf deren Gestaltung er keinen Einfluss hat.“ Das klingt dramatisch auf der Suche nach einem Rettungsanker, nach Halt in einer wankenden Struktur im „Hause Verwaltung“. Gleichzeitig ist das Ganze mehr als fragwürdig bei einem Blick auf steigende Hackerangriffe – auch im öffentlichen Sektor.

Vom Fehlen einer digitalen Agenda

Einerseits möchte der moderne Staat im Modus der „Behörde 4.0“ reibungslos funktionieren und andererseits wachsen die Aufgaben in den Verwaltungen ins Unüberschaubare. Sei es die Suche nach der transparenten und modernen Verwaltung (Stichwort unter anderem E-Government) mit neuen Internetlösungen sowie intelligenten Stadtkonzepten, sprich Smart-City-Kampagnen. Oder dem Dauerthema E-Akte und des Dokumentenmanagements. Schließlich schlummern in deutschen Verwaltungen enorme Aktenberge, die auf eine sichere Langzeitarchivierung warten. Ein Dilemma bei allen Modernisierungsbestrebungen ist das Schwanken des öffentlichen Sektors zwischen der Daseinsvorsorge und einer stärkeren wirtschaftlichen Ausrichtung mit knappen Budgets. Ein Grund, warum Verwaltungen sparen. In vielen Fällen an den falschen Stellen, nämlich der Informationssicherheit und dem Ausbau einer soliden Infrastruktur im Bereich der Digitalisierung und Vernetzung.

Hart formuliert fehlt in vielen Kommunen eine digitale Agenda und Gesamtstrategie. Ein Knackpunkt, da die Informationstechnologie die öffentliche Verwaltung immer stärker durchdringt. Das heißt, die Schritte hin zu mehr IT-Unterstützung müssen klar analysiert, geregelt, überwacht und in eine Gesamtstrategie eingebunden werden. Ein Blick in das E-Government-Gesetz zeigt, warum das notwendig ist: Nach § 9 „Optimierung von Verwaltungsabläufen und Information zum Verfahrensstand“ sollen Behörden des Bundes „Verwaltungsabläufe, die erstmals zu wesentlichen Teilen elektronisch unterstützt werden, vor Einführung der informationstechnischen Systeme unter Nutzung gängiger Methoden dokumentieren, analysieren und optimieren.“

Und weiter heißt es: „Dabei sollen sie im Interesse der Verfahrensbeteiligten die Abläufe so gestalten, dass Informationen zum Verfahrensstand und zum weiteren Verfahren sowie die Kontaktinformationen der zum Zeitpunkt der Anfrage zuständigen Ansprechstelle auf elektronischem Wege abgerufen werden können.“

Insellösungen und Wildwuchs

Apropos Abläufe. Mit diesen verhält es sich oft schwierig bei den vielen Insellösungen der Online-Services von Bund, Ländern und Kommunen. Koordination und eine stärkere Abstimmung im Verwaltungsumfeld ist bis dato eher die Ausnahme statt die Regel. Der „Behörden Spiegel“ titelte in diesem Kontext in einem Beitrag „Im Schafspelz“ vom Dezember 2016: „Die Verwaltungen in Bund, Ländern und Kommunen betreiben ihre Online-Services, soweit sie überhaupt welche anbieten, weitgehend in eigener Verantwortung und voneinander getrennt.“ Es scheint, als befänden sich die beteiligten Behörden jeweils auf einer „Insel der Glückseligen“ namens eigenem Portal. Der Schein trügt. Zwar existiert mit „GovData“ ein vom Bund initiiertes „Datenportal für Deutschland. Wer glaubt, dass alle Länder, Städte und Kommunen sich daran beteiligen, der irrt. Ein Gesetzentwurf zum Grundgesetz (Art. 91c) vom 13. Dezember 2016 stellt fest, dass „Bund und Länder (…) ihre Online Verwaltungsangebote getrennt und in eigener Verantwortung“ betreiben. Die Regierung spricht von einer „Zersplitterung der Online-Angebote der Verwaltung in Deutschland“, die es zu überwinden gilt. Der Behörden Spiegel umschreibt das Ganze ironisch als „Kunterbunt im Portalverbund“. Der Artikel stellt fest: „Mit dem föderalen Portalverbund soll aber eben kein zentrales Portal geschaffen werden, welches die Abwicklung sämtlicher Verwaltungsdienstleistungen aller Ebenen ermöglicht.“ Somit entsteht Wildwuchs, was nicht im Sinne eines koordinierten Vorgehens sein kann und gemeinsame Abstimmungen und damit die viel beschworenen Prozesse und schlussendlich eine stärkere Transparenz im Verwaltungsbereich erschwert. Die Risiken liegen auf der Hand: Kompetenzstreitigkeiten, Bürger ohne klare und einheitliche „Online-Wegweiser“ sowie Kommunikations- und Informationsbrüche.

Mangelnde Risikobetrachtung und Resilienz

Trotz der offenen Risiken fehlt in vielen Behörden eine zukunftsgerichtete Risikomanagementbetrachtung und -auswertung. Vieles geschieht ad hoc, wenig geplant und mit einer dürftigen Risikomanagementgrundlage. Im Dokument „Hinweise zur Prüfung des Risikomanagementsystems“ des Deutschen Instituts für Interne Revision heißt es zwar: „Gesetzliche Grundlage des Risikomanagements für den öffentlich-rechtlichen Sektor ist der § 53 des Haushaltsgrundsätzegesetzes (HGrG), der seine Entsprechung im Prüfungs-standard 720 des IDW findet.“ Aber Papier ist bekanntlich geduldig. Der Verwaltungswissenschaftler und Honorarprofessor der Deutschen Hochschule für Verwaltungswissenschaften in Speyer, Dr. Gunnar Schwarting, formulierte es im Jahr 2014 in seiner Schrift: „Risikomanagement – immer wieder etwas Neues in Speyer?“ so: „Was eine Kommune – im kommunalen Haushaltsrecht taucht der Begriff Risiko in den Vorschriften zum Lagebericht auf – unter Risikomanagement versteht und umsetzen will, bleibt ihr weitgehend selbst überlassen.“

Im Alltag heißt das, dass vielfach kurzfristige Risiken im Mittelpunkt von Behörden stehen. Mittel- bis langfristige Risikomanagementüberlegungen und -planungen werden nicht umgesetzt. Ein Grund liegt in fehlenden Regelungen, da es im Gegensatz zur Privatwirtschaft keine Gesetzesgrundlage gibt, die ein systematisches Risikomanagementsystem voraussetzt. So schreibt beispielsweise der Bundesrechnungshof im Jahr 2009 in einer Mittelung „über die Prüfung der Ansätze zu einem Risikomanagement in der Bundesverwaltung“, dass es der öffentlichen Verwaltung bislang an einem allgemeinen, als Basis für ein systematisches Risikomanagement geeigneten Risikoverständnisses fehle.

Und der Bundesrechnungshof führt fort: „Vielmehr trifft man eine Risikobefassung in unterschiedlichen, nicht zwangsläufig verknüpften Bereichen an.“ Der Bundesrechnungshof empfiehlt die Ausarbeitung eines ganzheitlichen Risikomanagements für Behörden, denn eine „solche Ausarbeitung würde die Behördenleitungen unterstützen, das Bewusstsein für Risiken fördern und den bewussten Umgang mit ihnen stärken“. Das Dokument ist über sieben Jahre alt. Passiert ist seither in dieser Richtung wenig bis nichts. Ein riskantes Spiel, vor allem bei einem Blick auf die zunehmenden Aufgaben und Gefahren – gerade mit Blick auf die Cyberrisiken interner und externer Täter.

Das Ganze ist auch unter dem Gesichtspunkt einer möglichst hohen Widerstandsfähigkeit der Gesamtorganisation gegen Risiken bedenklich. Übertragen auf die Verwaltung heißt das: Entscheider im öffentlichen Sektor müssen Mittel und Wege finden, um die Resilienz der Behörde auszubauen. Sei es im Bereich der Informationssicherheit, dem Datenschutz sowie dem Notfallmanagement. Dabei ist mit solch einer organisationsweiten Resilienz mehr verbunden, als Risiken zu vermeiden. Vielmehr steht dabei der flexible Umgang mit auftretenden Gefahren im Mittelpunkt. Heruntergebrochen auf das Thema der Informationssicherheit bedeutet das beispielsweise, dass allen Mitarbeitern innerhalb einer Verwaltung die Notwendigkeit des sorgsamen Umgangs mit organisationssensiblen Informationen und Daten klar sein muss. Denn Hackerangriffe bedeuten nicht nur einen illegalen Datenabfluss, sondern sind gleichzeitig mit hohen Kosten und vor allem Reputationsschäden verbunden. Doch solch eine Awareness ist kein Selbstläufer. Dementsprechend muss der öffentliche Sektor die eigenen Mitarbeiter stärker sensibilisieren und schulen. Ein Ziel lautet: Jeder einzelne Mitarbeiter ist ein wichtiges Mitglied in der Gesamtorganisation und für deren reibungslosen Ablauf. Zudem lassen sich mithilfe von Schulungen organisationsweite Abläufe besser proben, um für den Ernstfall einer Krise in der Verwaltung besser gerüstet zu sein. Und die wird kommen. Denn die Einfallstore für potenzielle Risiken sind vielfältig. Spätestens dann sind Zahlen Fakten – meist in Form der Anzahl gestohlener Datensätze, der Korruptionssumme oder des zeitlichen Ausfalls der Behördenseiten im Internet.

Stephanie LepskiStephanie Lepski ist Geschäftsführerin der RUCON Service, einem Teil der RUCON Gruppe.

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet