Übertriebene Panik. Überzogene Sicherheitsbedenken bremsen Security-Outsourcing im öffentlichen Sektor

Übertriebene Panik

Christian Oecking, Leiter Global Outsourcing bei Siemens Business Services: "Keiner der Behörden in angelsächsischen Ländern würde einfallen, vermeintlich mangelnde Sicherheit von Outsourcing als Hinderungsgrund vorzuschieben."

Foto: Siemens Business Services

Noch tut sich das Gros der öffentlichen Verwaltungen in Deutschland schwer, IT-Security in fremde Hände zu geben. Und dies, obwohl man gerade in Behörden mit weniger Finanzmitteln immer mehr bewegen und daher über Alternativen nachdenken muss.

Wenige Beispiele gibt es dennoch: Für den Landesbetrieb Straßen und Verkehr (LSV) Rheinland-Pfalz war neben der Schaffung von mehr Kostentransparenz und Flexibilität vor allem die Verfügbarkeit der IT ein zentrales Entscheidungskriterium für Outsourcing. "Besonders wichtig ist für uns der reibungslose Betrieb von SAP R/3", unterstreicht Manfred Bretz, Leiter IT des LSV in Koblenz. "Dafür haben wir gemeinsam mit dem Dienstleister Steria klar definierte Service-Level-Agreements vereinbart", ergänzt Bretz. Der LSV erstreckt sich neben der Zentrale in Koblenz über neun regionale Dienststellen mit insgesamt 57 Straßenmeistereien sowie dem Autobahnamt mit 13 Autobahnmeistereien. Rund 18500 Kilometer Straße werden darüber betreut. Siemens Business Services, dem Outsourcer für die Behörde, ist klar: Nicht nur die Verfügbarkeit von Geschäftsprozessen ist von Bedeutung, sondern auch der Schutz von Informationen. "Ohne Sicherheit der sensiblen Daten nachweislich umzusetzen, kämen wir in diesem Bereich erst gar nicht ins Geschäft", so Christian Oecking, Leiter Global Outsourcing bei Siemens Business Services in München.

Mangelnde IT-Sicherheit bloß vorgeschoben

Wesentlich weiter in puncto IT-Auslagerung ist man in angelsächsischen Ländern. "Dort setzte der IT-Outsourcing-Trend schon in den achtziger Jahren ein, unterstützt durch die frühzeitige Privatisierung und Deregulierung. Entsprechend progressiv gehen die Behörden mit dieser kostensparenden und reifen Alternative um, um ihre Verwaltungen zu modernisieren", registriert Oecking. "Keiner der Behörden würde dort einfallen, die vermeintlich mangelnde Sicherheit von Outsourcing als Hinderungsgrund vorzuschieben."

"Solche Argumentationen sind hierzulande kaum mehr als eine Alibifunktion, um dringend notwendige Strukturreformen und den Bürokratieabbau nicht in Angriff nehmen zu müssen", schätzt Mathias Hein, freier Unternehmensberater in Tavern bei Trier, ein. Zumal Outsourcing per Service-Verrechnung das schlechte Kosten-Leistungsverhältnis einer inflexiblen Bürokratie in vielen Bereichen gleich mit aufdecken würde. Daran, wiederum, sei das Führungspersonal selten interessiert. "Infolge dessen", so der Berater, "bleibt hier das Finanzmanagement weitgehend auf der Strecke und in den öffentlichen Verwaltungen in puncto Sicherheit weitgehend alles beim Alten: ein unzureichendes Sicherheitsniveau für Daten und Prozesse".

Externe IT-Services mit hohem Sicherheitsniveau

Walter Gora, Vice President Global Industry Practice Government bei EDS: "Mit der Hinwendung zum Outsourcing müssen die Entscheider in öffentlichen Verwaltungen konkret über Sicherheit nachdenken."

Foto: EDS

Walter Gora, Vice President Global Industry Practice Government bei EDS, pflichtet bei. Er hat in den letzten Jahren diverse Behörden-Rechenzentren untersucht. Dabei war er bei vielen von ihnen auf teils eklatante Security-Probleme gestoßen. "Es fehlten elementare Sicherheitsmechanismen", so der EDS-Manager. Bei Outsourcing könne dies nicht passieren, sei doch beispielsweise die Behörde gezwungen, sich über Sicherheit detailliert Gedanken zu machen und die dafür notwendigen organisatorischen und funktionalen Voraussetzungen vorzuschreiben, so Gora. In diesem Fall entstünde kein Freiraum, intern erforderliche Vorkehrungen zu vernachlässigen oder ganz unter den Teppich zu kehren. "Wie hoch dieser Sicherheitswall im Einzelfall auch sein müsse", gibt sich Gora überzeugt, "professionell agierende Outsourcer können ihn heute errichten".

Milliarden vergeudet

Dennoch hält man sich im öffentlichen Sektor Deutschlands mit der Auslagerung von IT-Services an private Dienstleister weiterhin zurück. Stattdessen werden diese Dienste meist über das eigene Rechenzentrum abgewickelt, mit oft ähnlich veralteten und ineffizienten Strukturen und Technologien. Diese Zurückhaltung ist für Bund, Länder und Kommunen sehr schmerzlich. Auf Kosten der Steuerzahler werden buchstäblich Milliarden vergeudet und parallel Entwicklungen wie ein sicheres, Kosten sparendes E-Government über Behördengrenzen hinweg sowie ein moderner elektronischer Bürgerservice ausgebremst. Outsourcer warten mittlerweile mit verbrauchs- und ergebnisorientierten Gebührenmodellen auf. "Über Public Private Partnerships könnten die öffentlichen Verwaltungen ihre Budgets wirkungsvoll entlasten und notwendige Investitionen über viele Jahre verteilen", offeriert Uwe Bergweiler, Leiter Managed Services bei Steria in Köln. Parallel, so der IT-Manager, könnten sie per Delegation die Modernisierung der Verwaltungen über innovative Technologien, einen versierten Know-how-Transfer und effizientere Abläufe schneller voran bringen, wenn sie nur wollten.

Nachträglich in Rechnung gestellte Zusatzkosten hätten die Verwaltungen über solche verbindlichen Gebührenmodelle besser im Griff. Bei den ohnehin über kurz oder lang fälligen Sicherheitsinvestitionen könnte der öffentliche Sektor durch Outsourcing einsparen und gleichzeitig von einem hohen Sicherheitsniveau profitieren. Die Logik dahinter ist offensichtlich: "Der Outsourcer richtet das generelle Niveau seiner Sicherheitsinfrastruktur am anspruchsvollsten Kunden aus", unterstreicht Oecking von Siemens Business Services. Diese Infrastruktur kann der private Dienstleister Aufwand sparend, anders als beispielsweise behördeninterne Rechenzentren, mehreren Kunden offerieren, auch für eine behördenübergreifende Kommunikation. Olaf Lindner, Director Security Services bei Symantec in München, stimmt ein: "Wir bieten Sicherheitsdienste, die Funktionalitäten wie Monitoring, Firewall, Intrusion Detection und Viren-Scan auf die für unsere Kunden wesentliche Informationen herunterbrechen." Mit Blick auf die knappen Budgets und das meist fehlende Security-Kow-how in den öffentlichen Verwaltungen wundere ihn nicht, dass in Eigenregie umgesetzte Sicherheitsprojekte oft fehlschlagen, so Lindner.

Bürokratie blockiert zusätzlich sicheres Outsourcing

Uwe Bergweiler, Leiter Managed Services bei Steria: "Öffentliche Verwaltungen könnten per Outsourcing ihre Modernisierung über innovative Technologien, einen versierten Know-how-Transfer und effizientere Abläufe schneller voran bringen."

Foto: Steria

Dass der von höchster Stelle propagierte moderne Staat und ein sicheres Outsourcing als Wegbereiter in Deutschland nur langsam voran kommen, liegt wohl auch an der ausstehenden Entflechtung der Bürokratie. Sie verkompliziert externe IT-Services und die dafür erforderlichen Sicherheitsmechanismen. Zwar beziffert Ute Vogt, Parlamentarische Staatsekretärin im Bundesministerium des Innern, das Einsparpotenzial durch einen moderneren Staat und den Einsatz von E-Government und elektronischer Beschaffungsmaßnahmen auf bis zu 25 Milliarden Euro jährlich. Die Verfahrensrealität sieht jedoch anders aus. Seit Regierungsübernahme durch die SPD vor knapp sechs Jahren sind 600 neue Verordnungen hinzugekommen. Vom ehrgeizigen Masterplan aus dem Frühjahr 2003 zum Bürokratieabbau sind von den anvisierten 55 Verordnungen bisher lediglich neun gekippt worden. Das sind gerade mal eineinhalb Prozent sämtlicher neuer Direktiven.

* Hadi Stiel ist freier Journalist in Bad Camberg.