2.02 hzd jharesbericht 11 druck umschlag · LEISTUNGEN DER HZD 8 IT-Projekte 9 Projekt KONSENS I 9 MOSS 9 eBeihilfe 10 E-Inventory 12 Anlageninventursystem 12 ELEVATOR 13 Betriebsmanagement,

Jahresbericht 2010Leistungen in der Informationstechnik

Mainzer Straße 29 | 65185 WiesbadenTelefon: 06 11 3 40-0 | Fax: 06 11 3 40-11 50 E-Mail: [email protected] | www.hzd.hessen.de


4

Vorwort des Direktors 6

LEISTUNGEN DER HZD 8

IT-Projekte 9Projekt KONSENS I 9MOSS 9eBeihilfe 10E-Inventory 12Anlageninventursystem 12ELEVATOR 13

Betriebsmanagement, System-, Netz- und Anwendungsbetrieb 14Betrieb KONSENS I 14Betriebsmanagement der Finanzverwaltung 14Betrieb Polizeiverfahren 16Virtualisierung der zentralen WTS-Umgebung 17

Softwarepfl ege, Beratung, Betreuung und Schulung 19KONSENS-GINSTER 19ElsterLohn II 19Lehrer- und Schülerdatenbank 20Geodaten-online 20JUKOS-Redesign 21Elektronischer Rechtsverkehr in der hessischen Justiz 21Geschäftsprozess management 22HZD-Schulungszentrum 23

IT-Hessennetz und Mehrwertdienste 24Nationale Strategie zum Schutz kritischer Infrastrukturen 24Neues Modell LAN-Port 24Erfolge bei der Spam-Abwehr 25

IT-Beschaffungen 26Zentrale IT-Beschaffungsstelle des Landes Hessen 26WAN-Ausschreibung 27

Inhalt

5

IM FOKUS DER IT: SICHERHEIT UND DATENSCHUTZ 28

Mit LÜKEX und dem Cyber-Abwehrzentrum gegen Hacker, Viren und Würmer 29

Hacker für Moskau oder Gefahren aus dem Netz 30

LÜKEX: Wenn die IT zusammenbricht 32

Gespräch mit dem LÜKEX-Länder-Koordinator Viktor Jurk 34

Der IT-Sicherheitsdienstleister des Bundes 37

Bund richtet Cyber-Abwehrzentrum ein 39

Gefahren durch Mobilität 42

Hereinspaziert – aber nicht gleich ins Rechenzentrum 44

Datenschutz und IT-Sicherheit in der HZD 45

DIE HZD – EIN PORTRÄT 50

Shared Service Center 51Kooperationen 51Rechtsform 51Selbstverständnis 52Nachhaltigkeit 53Die HZD in Zahlen 53

JAHRESABSCHLUSS 2010 54

Glossar 56

Impressum 58

6

Sehr geehrte Damen und Herren,

das Geschäftsjahr 2010 ging in die HZD-Geschichte mit zwei Jubiläen ein: Die HZD feierte im Januar 40-jähriges Bestehen und im Juni vor 20 Jahren wurde die Außen-stelle Hünfeld gegründet. Auch das 41. Jahr ihres Beste-hens war geprägt von zahlreichen Neuerungen, über die wir Sie auf den folgenden Seiten informieren wollen.

Seit dem 6. Dezember 2010 bin ich Direktor der HZD. Für das Geschäftsjahr 2010 geht mein Dank an meine Vorgängerin Martina Böhme, die als Finanzpräsidentin in die Oberfi nanzdirektion Frankfurt zurückgekehrt ist.

Das vergangene Jahr war vor allem durch große Anstren-gungen zur Kosteneinsparung geprägt. Die HZD hatte vom Hessischen Finanzministerium die Aufl age erhal-ten, 30 Mio. € und damit 20 Prozent ihres Umsatzes von 2009 einzusparen. Wie Sie dem Kapitel Jahresabschluss entnehmen können, sind wir hier auf einem guten Weg. Die Sparzwänge der Verwaltung sind für die HZD auch eine Chance. Die Informationstechnologie muss Verwal-tungshandeln effi zienter und kostengünstiger gestalten. Bei den externen Kosten sind an erster Stelle der Abbau von externen Fremdleistungen und der Aufbau von inter-nem Personal für Daueraufgaben zu nennen. Zwar wird externe Unterstützung immer gebraucht werden, aber zumindest im Projektmanagement und insbesondere bei landesspezifi schen Aufgaben wollen wir auf interne Kompetenz bauen.

Die Personalgewinnung und -entwicklung nimmt die HZD sehr ernst. Im Jahr 2010 hat sich die Zahl der HZD-Mitarbeiterinnen und Mitarbeiter um 38 gegen-über dem Vorjahr erhöht. In diesem Tempo wird der Personalaufbau nicht weitergehen können. Daher gilt der Qualifi kation des angestammten Personals unser besonderes Augenmerk. Umfangreiche Qualifi zierungs-maßnahmen für interne Mitarbeiterinnen und Mitarbeiter sind angelaufen. Neben bewährten Aktivitäten wie der betrieblichen Ausbildung, den Trainee-Programmen und der IT-Zusatzausbildung für Finanzbeamte wurde in um-fangreiche Fortbildungen für künftige Betriebsleitungen investiert.

Auch durch Kooperationen mit anderen Bundesländern, die von den hessischen Ressorts initiiert werden, haben sich der HZD im Jahr 2010 neue Chancen eröffnet. Ge-rade vor dem Hintergrund knapper werdender öffentli-cher Budgets erscheint es zwingend, IT-Kooperationen systematisch anzugehen. Die HZD als Shared Service Center der hessischen Landesverwaltung hat bereits in der Vergangenheit sehr erfolgreich die länderüber-greifende IT-Zusammenarbeit ihrer Kunden unterstützt und verfügt über ein breites Erfahrungsspektrum. Schon lange werden Kooperationen beispielsweise auf den Gebieten der Finanzverwaltung und der Justiz praktiziert. Ein aktuelles Beispiel ist das Verfahren eBundesrat. Die HZD unterstützt hier mit dem Betrieb des Verfahrens eine Zusammenarbeit zwischen der Hessischen Staatskanzlei und dem Saarland. Für das Automatische Mahnverfahren AUMAV bereiten wir den Betrieb für Rheinland-Pfalz und das Saarland vor.

Vorwort des Direktors

7

Wir verstehen uns als zentralen und anerkannten IT-Dienstleister für die hessische Landesverwaltung. Die HZD hat den Anspruch, für den Bereich der öffentlichen Verwaltung bundesweit führend in der Lieferung von erstklassigen IT-Services zu sein. Hierfür sind wir perso-nell gut aufgestellt. Seit März 2010 verstärkt Marcus Milas als Technischer Direktor die HZD. Wir haben durch orga-nisatorische Maßnahmen gleichartige Aufgaben zusam-mengelegt. Beispielsweise durch die Zusammenfassung von Verfahrensentwicklung und -betrieb innerhalb der Abteilung Softwarehaus, die Bündelung der Benutzer-servicezentren in einem Bereich des IT-Betriebs und die Zusammenführung von Betrieb und Planung der techni-schen Infrastruktur (HCN) in einem Bereich der Abteilung Kommunikationsdienste. Insgesamt wurden Effektivität und Effi zienz gesteigert.

Im Jahr 2011 werden weitere Maßnahmen folgen. Ein Schwerpunkt wird auf der Umsetzung der Maßnahmen des Hessischen Finanzministers zur Steigerung der fach-lichen und rechtlichen Effi zienz durch die Optimierung der Abläufe und Strukturen bei IT-Beschaffungsprozes-sen liegen. Die Aufbau- und Ablauforganisation unserer Vergabestelle werden hier entsprechend den Erkenntnis-sen aus externen Gutachten umgestaltet. Damit tragen wir der wachsenden Bedeutung des Beschaffungsrechts Rechnung.

Sonderthema dieses Jahresberichts ist die Informations-sicherheit. Den Anlass geben die bundesweiten LÜKEX-Aktivitäten, bei denen Hessen eine besonders hervorge-hobene Rolle spielen wird. Informationssicherheit spielt

aber auch sowohl im Berufs- als auch im Privatleben eine immer größere Rolle, was sich durch die zunehmende Berichterstattung in den Medien spiegelt. Nicht zuletzt liegen hier Kernkompetenzen der HZD.

Ich möchte allen Kunden der HZD für das entgegen-gebrachte Vertrauen danken. Gerade in wirtschaftlich schwierigen Zeiten ist eine gute Zusammenarbeit ein hohes Gut. Wir legen viel Wert auf Ihre Einschätzung unserer Leistungen und werden daher 2011 wieder eine Kundenzufriedenheitsumfrage durchführen.

Allen Mitarbeiterinnen und Mitarbeitern danke ich für das außerordentliche Engagement und das 2010 erreichte Ergebnis. Sie sind mit Ihren Kompetenzen das Aushängeschild der HZD. Gemeinsam werden wir die aktuellen Herausforderungen bewältigen.

Dr. Ulrich Schmidtberg

8

LEISTUNGEN DER HZD

9Leistungen der HZD

Projekt KONSENS I

o Das Projekt KONSENS I steht für eine bundesweite Vereinheitlichung der Steuerverfahren und gilt als Vor-stufe zu dem Vorhaben KONSENS, das die Neuentwick-lung der steuerlichen IT-Verfahren aller Bundesländer zum Ziel hat. Zur Realisierung der Vereinheitlichung hat Hessen mit den Bundesländern Bayern, Baden-Württem-berg, Niedersachsen und Nordrhein-Westfalen eine Migrationsvereinbarung zur Übernahme des bayerischen Verfahrens abgeschlossen, da die übrigen Bundesländer dieses Verfahren bereits im Einsatz haben.

Voraussetzung für die Übernahme des bayerischen Sys-tems ist allerdings eine Verbesserung und Erweiterung der Programmfunktionalität um circa 40 zusätzliche Pro-grammteile. Die technische Plattform bildet das Siemens System BS2000. Für Hessen bedeutet diese Vereinheit-lichung eine Softwareumstellung und Schulung für über 10.000 Arbeitsplätze in den Finanzämtern.

Die Vorarbeiten dazu haben im Jahr 2009 unter ande-rem mit der Beschaffung der Hardware begonnen. Das Projekt KONSENS I ist in drei Phasen unterteilt. In der Projektphase 1 standen im Berichtsjahr 2010 folgende Arbeitsschwerpunkte an: Aufbau der Jobnetze zur Ab-laufsteuerung der Tagesproduktionen mit dem BS2000-System, Übernahme von etwa 4.500 Programmmodulen, Makros und Prozeduren aus Bayern. Diese galt es an die hessischen Rahmenbedingungen anzupassen. Nicht zuletzt war in den Vordrucken der bayerische Löwe durch den Hessen-Löwen zu ersetzen.

Nach Herstellung der Lauffähigkeit der Programme musste die HZD zunächst noch die Integration der bei-behaltenen hessischen Programm- und Verfahrensteile vornehmen, da beispielsweise bestimmte Teile der hessi-schen Dialogverfahren in Bayern nicht verfügbar waren. Erst danach konnten die Programme an die Oberfi nanz-direktion zum Test und zur Freigabeerklärung überge-ben werden. Alle Meilensteine wurden 2010 erreicht.

Projektleiter Wolfgang Schäfer freute sich zudem, dass auch personell wie fi nanziell alles in den vorgegebenen Bahnen verlief.

2011 stehen die Projektphasen 2 und 3 zur Erledigung an. Phase 2 ist dabei der Übernahme und den Tests der letzten verabredeten Programmverbesserungen vor-behalten und in Phase 3 wird das endgültige Verfahren mittels Schattenläufen zur Betriebsreife gebracht. Ende Juli 2011 sollen dann alle über 10.000 Arbeitsplätze in einer einzigen Aktion („Big Bang“) auf das neue Verfah-ren umgestellt sowie ca. 95 Mio. Datensätze von der der-zeitigen IBM-Plattform auf den neuen FTS-Großrechner migriert werden. Der Produktionsbeginn mit dem neuen System ist für den 1. August 2011 geplant.

MOSS

o Der Microsoft Offi ce Sharepoint Server (MOSS) ist ein seit März 2008 eingeführtes Produkt in der hessi-schen Landesverwaltung. Zum Funktionsumfang gehören Teamräume für geschlossene Benutzergruppen, Berechtigungsstrukturen innerhalb der Teamräume, Bibliotheken für die Dokumentenablage, die Versionie-rung der Dokumente, Kalender und Listen aller Art, Umfragen und die Integration mit der Offi ce-Produkt-familie von Microsoft.

Für Projekte wurde ein Standard-Teamraum entwickelt, der einen schnellen Start in die Projektarbeit ermöglicht und gleichzeitig fl exibel für komplexe und anspruchs-volle Projekte verwendet werden kann. Der Sharepoint Server dient darüber hinaus als Plattform für Anwendun-gen und Fachverfahren. MOSS steht im Intranet und im Extranet zur Verfügung. Zu den großen E-Government-Verfahren DOMEA und Portal gibt es Schnittstellen.

Das Jahr 2010 war von einem starken Wachstum ge-prägt: Zum Jahresende gab es 420 Teamräume, das ent-spricht einem Wachstum von über 70 % gegenüber dem

IT-Projekte

10

Vorjahr. Durchschnittlich benutzten pro Monat 4.800 Mitarbeiterinnen und Mitarbeiter die Teamräume, hier ist ein Wachstum von 80 % gegenüber 2009 zu verzeich-nen. Die Teamräume werden von über 20 Dienststellen des Landes genutzt, wobei der Schwerpunkt auf den Ministerien und den Mittelbehörden liegt.

In der Sitzung des Kabinettsausschusses Verwaltungs-modernisierung vom 23. August 2010 wurde MOSS zum Standard für die Dokumentation von Projekten bestimmt. Damit ist auch die Entwicklung von MOSS als Projekt management-Datenbank zu einem vorläufi gen Abschluss gekommen.

2010 hat die HZD die Anbindung von Arbeitsplatz-PCs an die Extranet-Teamräume erheblich verbessert. Dazu kommen weitere Verbesserungen bei der Anmel-dung und in der Suche. Die MOSS-Teamräume im Extranet sind damit funktional fast identisch zu den Intranet-Team räumen. Seit Herbst 2010 ist die aktua-lisierte Produkt seite mit vielen Informationen zu Sharepoint in der hessischen Landesverwaltung unter https://moss.intern.hessen.de erreichbar.

Das Produktteam testete im Berichtszeitraum die neue Sharepoint-Version 2010 auf einem eigenen System und bewertete sie. Eine Migration des bestehenden Systems auf Sharepoint 2010 wird auf Grundlage einer Wirtschaft lichkeitsanalyse vorbereitet.

Um Daten aus Befragungen an Schulen zu gewinnen und zu verarbeiten, nutzt das Kultusministerium seit 2009 ESDAL (Erhebung statistischer Daten über das Landesnetz), ein Verfahren, das auf MOSS aufsetzt. Die „Erhebung Pandemie-Vorsorge“ – aus Anlass der Schweinegrippe konzipiert – war eine der ersten Umfra-gen mit ESDAL. Sie wurde 2010 an den 2.000 Schulen des Landes erfolgreich abgeschlossen und ESDAL daraufhin weiter ausgebaut.

Neben anderen Fachverfahren ist MOSS auch Bestand-teil des Integrierten Verwaltungsarbeitsplatzes (IVA), der für die Arbeitsschutzverwaltung pilotiert wird. Seit Jahresende ist MOSS eines der Produkte des HessenPC. Damit wird der Betrieb von MOSS in seiner Standardaus-prägung weiterhin zentral fi nanziert.

eBeihilfe

o Das Land Hessen gewährt Beamten, Richtern, Ver-sorgungsempfängern und anderen Berechtigten in Krankheits- und Todesfällen Beihilfen. Die Leistungen basieren auf dem Grundgedanken der Fürsorge, der in der Verfassung verankert ist. Als zentrale Beihilfestelle ist das Regierungspräsidium in Kassel seit 2005 für die Bearbeitung entsprechender Anträge zuständig. Täglich gehen dort etwa 2.300 Anträge und Schreiben ein. Allein 2008 waren 537.000 Anträge zu bearbeiten.

Die HZD ist für den Betrieb des IT-Verfahrens eBeihilfe zuständig. Hier werden die Bescheide gedruckt und ver-sandt. eBeihilfe ging 2005 als eines der ersten E-Govern-ment-Projekte an den Start. Es war damals das einzige papierlose Antrags- und Zahlungsverfahren in Hessen und damit ein wahres Leuchtturmprojekt.

2008 begannen die Planungen für das Projekt „eBeihilfe Redesign“. Zur gleichen Zeit dachte man auch in Rhein-land-Pfalz und Nordrhein-Westfalen über ein neues Beihilfeverfahren nach. Was lag da näher, als sich zusam-menzutun? Bereits Ende 2008 waren sich die Beteiligten über ein gemeinsames Vorgehen einig geworden.

Ein Großteil der anstehenden Arbeiten fi el der HZD zu, wo Thomas Fehling die Fäden in der Hand hielt. Die HZD war zuständig für Projektleitung, die Konzeption, die Entwicklung einiger Module und die Ausschreibung für die Datenerkennungssoftware. Das Regierungspräsidium

IT-Projekte

11Leistungen der HZD

Dr. Alberto Kohl, Leiter der Abteilung IT-Betrieb,

vor dem Monitor in der Sicherheitsschleuse zum RZ

Kassel war Kunde und Projektpartner zugleich. Aber auch in Rheinland-Pfalz und Nordrhein-Westfalen abeitete man an der neuen Software. Die Integration mit dem hessischen Fachverfahren und die Tests erfolg-ten dann wieder in der HZD.

Nach nur 18 Monaten ging das neue Verfahren am 7. Juni 2010 in den Echteinsatz. Nordrhein-West-falen war kurz zuvor an den Start gegangen; Rheinland-Pfalz plant den Echteinsatz im Sommer 2011. Dass eine Entwicklung in Länder-kooperation nach nur 18 Monaten in Produktion ging, macht Thomas Fehling auch heute noch stolz. Hinzu kommt nämlich, dass unter eBeihilfe jedes beteiligte Bundesland sein eigenes Fachverfahren betreibt. Die Betriebsumgebung ist bis auf die Datenbank-Server virtualisiert auf-gebaut. Die Betriebsumgebung lief von Beginn an stabil. Anfängliche „Kinderkrankheiten“ im Fachverfah-ren waren schnell behoben.

»Die HZD versteht sich als das Shared Service Center der hessischen Landesverwaltung.«

12

IT-Projekte

E-Inventory

o Das Lifecycle-Management der IT-Komponenten ist Voraussetzung für die effi ziente Arbeit jedes IT-Bereichs. Neben dem Management der Hardwarekomponenten stellt insbesondere das Lizenzmanagement der einge-setzten Software besondere Herausforderungen an die Verwaltung. Denn die Kosten für die Software machen oft einen substantiellen Teil des IT-Budgets aus.

Die IT-Bestandsführung E-Inventory bietet eine weitest-gehend automatisierte Hard- und Softwareinventari-sie rung zur Unterstützung des IT-Betriebes in den Dienststellen des Landes Hessen. Die Daten werden in regelmäßigen Abständen aktualisiert und bieten somit die Voraussetzung für das umfassende Lifecycle-Ma-nagement der IT-Komponenten.

Bei der Entwicklung von E-Inventory stand für die HZD der maximale Nutzen für die Kunden im Vordergrund. Die einfache Handhabung wird durch eine Windows-orientierte Benutzerführung garantiert. Das System ist offen und intelligent skalierbar und bietet somit eine hohe Investitionssicherheit.

2010 realisierte die HZD eine Schnittstelle in das SAP-Modul Rechnungswesen des Landes Hessen, in dem IT-Geräte als Anlagen geführt werden. Der Prototyp wurde erfolgreich getestet und abgenommen. 2011 wird die Schnittstelle für den ersten Kunden produktiv gesetzt. Vorab ist eine Migration der Daten notwendig. Mit der Schnittstelle ist dann ein Abgleich zwischen beiden Sys-temen möglich.

Um den Arbeitsablauf bei E-Inventory zu erleichtern, wurde 2010 das Projekt Barcode-Scanning gestartet. Für den Anwender bedeutet dies eine Arbeitserleichterung durch den Wegfall der doppelten Erfassung von IT-Konfi gurationsdaten, die zunächst manuell in Formularen oder auf Notizzetteln und danach in E-Inventory erfasst

wurden. Zukünftig kann der Anwender die mittels PDA oder Notebook vor Ort an den Mitarbeiter-Arbeitsplät-zen mit Barcode-Scanning erfassten Daten direkt nach E-Inventory übernehmen.

Zu den Anwendern von E-Inventory zählen die hessische Finanzverwaltung mit Finanzministerium und Oberfi nanz-direktion und die hessische Polizei.

Anlageninventursystem

o Das Zählen und die Erfassung von Anlagegütern im Rahmen von Inventuren sind oft mühselig und mit ho-hem Aufwand verbunden. Das von der HZD entwickelte Anlageninventursystem mit Barcode-Scanning erleichtert wesentlich die gesetzlich geforderte Bestandserfassung und beschleunigt sie.

Mussten bei früheren Inventuren PCs, Drucker, Büro-stühle, Schreibtische und anderes umständlich erfasst und manuell in die Systeme übertragen werden, so genügt heute ein kurzer Druck auf den Auslöser des mobilen Barcode-Scanners. Nach elektronischer Erfas-sung der Daten werden diese im Anlageninventursystem auf Basis von ARS Remedy gespeichert und bereits hier mit dem aktuellen Soll-Anlagebestand der SAP-Anlage-buchhaltung abgeglichen.

Gleichzeitig bildet das HZD-Anlageninventursystem die organisatorische Durchführung der Anlageninventur ab und stellt Standort- und Raumlisten, die Festlegung der Zählerteams und die Defi nition von Erfassungsauf-trägen zur Verfügung. Seit 2010 ist das System auch für Teilinventuren sowie werksübergreifende Inventuren einsetzbar. Geplant ist eine Erweiterung für „permanente Inventuren“.


ELEVATOR

o Unter der Abkürzung ELEVATOR (Elektronische Nach-richten empfangen, verteilen, austauschen, transformie-ren, organisieren) startete die hessische Justiz 2010 ein Projekt zum weiteren Ausbau des elektronischen Rechts-verkehrs. Die Hauptziele von ELEVATOR sind die Zusam-menführung und Konsolidierung der Projekte im Bereich des elektronischen Rechtsverkehrs sowie die Förderung und Vereinfachung des Datenaustausches zwischen Jus-tizbehörden, Gerichten und externen Partnern.

An der Entwicklung waren das Hessische Ministerium der Justiz, für Integration und Europa, die Gemeinsame IT-Stelle der Hessischen Justiz und die HZD beteiligt. Schwerpunkte der HZD-Tätigkeiten waren 2010 erste grundlegende Überlegungen zur Systemarchitektur und die Erarbeitung eines Konzeptes, welches 2011 hinsicht-lich der Nutzung durch andere Bundesländer fortge-schrieben wird. In einem ersten Schritt wurde für das Elektronische Gerichts- und Verwaltungspostfach (EGVP) ein Webservice erstellt, für den die Konzeption und der Test in der HZD erfolgte. Dieser von bremen online services realisierte Webservice wird in mehreren Bundes-ländern genutzt und 2011 weiterentwickelt. In Hessen profi tiert eRechnung als erstes Verfahren von diesem Webservice. Mit eRechnung verschickt die hessische Justiz elektronisch Rechnungen.

Nach Umsetzung von ELEVATOR soll eine möglichst automatisierte Verarbeitung von Standardprozessen bzw. eine vollständig IT-unterstützte Verarbeitung für Prozesse erfolgen. Bestandteil ist die Nutzung einer eAkte, welche schrittweise in einzelnen Projekten umgesetzt wird. Aktuell steht das archivierte Postein- und -ausgangsbuch auf der Agenda. Hierfür sind zukünftig sämtliche Post-eingänge in der Justizverwaltung digital zu erfassen und zu bearbeiten. Ein Metadatenparser, also ein Service, welcher zur Ordnung nutzbare Attribute – die Metadaten – innerhalb von Dokumenten sucht, wird dabei sowohl

die elektronischen Posteingänge wie EGVP, aber auch die Papier-post untersuchen. Die gefunde-nen (Ordnungs-)Attributsausprä-gungen (Metadaten) sowie die Nachricht selbst werden dann miteinander verknüpft und über den BizTalkServer zur Bearbei-tung durch die Fachverfahren transportiert. Zuvor wird diese Dokumentenverknüpfung im elektronischen Archiv der Justiz abgelegt, womit das elektronische Posteingangsbuch entsteht. Falls die gefundenen Metadaten zur automatischen Prozesswei-terleitung nicht ausreichend qualifi ziert sind, wird durch die ELEVATOR-Komponente „Clearing Arbeitsplatz“ die Sachbearbeitung in die Lage versetzt, manuell die Meta-daten zu beschreiben, um so die Weiterleitung über den BizTalkServer an die Fachverfahren zu ermöglichen. Die Ergebnisse dieser Bearbeitung fi nden über den gleichen Weg zurück an den Empfänger.

Technologisch wurde ein komponentenbasierter Ansatz gewählt. So ist beispielhaft bei der Speicherung von Dokumenten nicht mehr – wie bisher üblich – eine direkte Einbindung an eine Datenbank erlaubt, sondern die Abspeicherung erfolgt über die internationale CMIS (Content Management Interoperability Services)-Verein-barung. Dieser Weg wurde in Abstimmung und unter Einbeziehung der Überlegungen der E-Government-Abteilung des Hessischen Innenministeriums beschrit-ten. Neben der so erfolgten landesweiten Abstimmung bei der Nutzung von IT-Systemen werden zwei Ziele erreicht: die Unabhängigkeit von eingesetzter Speicher-systemtechnologie und die vereinfachte Pfl ege von Persistenzoperationen. Damit leistet man indirekt einen Beitrag zur Kostendämpfung.

14

Betriebsmanagement, System-, Netz- und Anwendungsbetrieb

Betrieb KONSENS I

o Im Rechenzentrum der HZD wurde im Jahr 2010 auf dem Fujitsu-Rechner S 200 das Betriebssystem BS2000/OSD für den Betrieb von KONSENS I installiert. Auf dem Rechner wurden mehrere virtuelle Maschinen für die Test- und Produktionsumgebung eingerichtet. Auf diesen testen nicht nur die HZD-Mitarbeiterinnen und -Mitarbeiter, sondern auch die Anwenderinnen und Anwender.

Das Finanzamt Gießen fungiert dabei als Test-Finanzamt. Es gilt die Daten aller hessischen Finanzämter auf den Siemens-Großrechner zu überführen. Teilprojektleiter Rudolf Gremm-Rehbein: „Dies bedeutet eine Übertra-gung von 95 Millionen Datensätzen: Auslesen auf dem IBM-Rechner, Umsetzen in das bayerische Datenformat, Einspielen auf dem Siemens-Rechner.“ Der erste Massen-test fand von Juni bis Juli 2010 statt. Obwohl ein zweiter Prozessor zum Einsatz kam, zeigte der Test, dass mit einer Migrationszeit von rund 220 Stunden zu rechnen ist. Zur Minimierung der Verarbeitungszeiten wurde ein dritter Prozessor beschafft. Damit wird gewährleistet, dass die Migration im Juli 2011 planmäßig verläuft.

Fachgebietsleiter Stefan Junger testete derweil mit seinen Kolleginnen und Kollegen die Jobnetze, die aus dem Saarland übernommen wurden. Diese gilt es an hessische Bedingungen anzugleichen und die Verän-derungen auszutesten. Zudem galt es, eine Vielzahl von Steuerungsdateien anzupassen. Unter anderem muss von zehn Finanzämtern im Saarland auf 47 Finanz-ämter in Hessen umgestellt werden. In Hessen erfolgt eine zentrale Druckausgabe anstelle einer dezentralen Druckausgabe in anderen Bundesländern. Das machte Modifi kationen in zahlreichen Jobs notwendig und führte zu entsprechendem Testaufwand im Druckzentrum und in Hünfeld.

Zur optimalen Produktionssteuerung und zur Gewähr-leistung des Datenschutzes war für die Benutzerkennun-gen ein Securitysystem zu installieren und zu konfi gurie-ren. Bei den Aktivitäten im Jahr 2010 handelte es sich grundsätzlich um vorbereitende Arbeiten zu den anste-henden Testläufen. Der Verfahrensablauf bei KONSENS I unterscheidet sich grundlegend von der bisherigen Produktionsumge bung. Daher sind ausführliche Tests notwendig, in die die HZD-Entwicklungsabteilung für die Steuerverwaltung ebenso eingebunden wird wie die Oberfi nanzdirektion.

Betriebsmanagement der Finanzverwaltung

Das Betriebsmanagement der Finanzverwaltung arbei-tete freitags noch mit Offi ce 2003, montags ging es mit Offi ce 2007 weiter. So geschehen auf den über 10.000 Clients in den 35 hessischen Finanzämtern im Jahr 2010. Die HZD bereitete die technische Umstellung vor und führte die Installationsarbeiten während der arbeitsfreien Zeit in den Finanzämtern mittels zentraler Softwarever-teilung an den Wochenenden durch. Mit den wesent-li chen Features der neuen Software hatten sich die Bedienste ten der Finanzämter vorher in Schulungen vertraut gemacht.

Ebenfalls ohne größere Beeinträchtigung im Betriebs-ablauf verlief die Umstellung der Betriebssysteme der rund 270 Server in den Finanzämtern von Windows Server 2003 auf Windows Server 2008R2. Auf den Ser-vern laufen wichtige Fachanwendungen der Finanzämter wie beispielsweise „WiF“ (Windows im Finanzamt). Die Umstellung erfolgte ebenfalls zum größten Teil während der arbeitsfreien Zeiten.


Rund 300 Notebooks, deren Leasing-Verträge 2010 abgelaufen waren, wurden von der HZD durch neue ersetzt. Dabei galt es möglichst reibungslos die auf den Festplat-ten verschlüsselt gespeicherten Daten auf die neuen Notebooks zu überspielen. Die Datenübertragung erfolgte skriptgesteuert. Die Anwen-der mussten lediglich die Zielad-resse angeben. Möglich war diese bequeme und sichere Form der Datenübertragung, weil die neuen Notebooks jeweils eine eigene IP-Adresse zugeteilt bekommen hatten und so gleichzeitig mit den alten ins Netz gehen konnten.

Ein Steuerabgleich bei den Renten-bezugsmitteilungen war Ziel einer bundesweiten Aktion 2010. Hier-für lieferten alle Rententräger die geforderten Daten an die Zentrale Zulagenstelle für Altersvermögen, die wiederum die Daten länderspe-zifi sch an die Bundesländer verteilte, wo der Steuerabgleich berechnet wurde. Die HZD stellte dafür die technische Infrastruktur und die Ser-ver bereit, auf denen der Abgleich über einen Zeitraum von mehreren Wochen berechnet und anschlie-ßend den Finanzämtern weiterge-leitet wurden.

HZD-Direktor Dr. Ulrich Schmidtberg vor den Überwachungsmonitoren

in der Sicherheitszentrale

»Sparen als Chance sehen: Wir entwickeln und gestalten IT, um Verwaltungshandeln effi zient und kostengünstig zu unterstützen.«

16

Ein wichtiges Projekt für die Polizei war 2010 die Erneue-rung der Softwareverteilung. Bisher wurde die Software mit Hilfe einer skriptbasierten Lösung verteilt. Die Auf wände für Administration und Einarbeitung neuer Mitarbeiterinnen und Mitarbeiter waren beträchtlich und sollen mit der Umstellung auf die Standardlösung SCCM (System Center Confi guration Manager) gesenkt werden. Mit SCCM werden dann rund 13.500 PCs und Note-books der Polizei in 240 Dienststellen mit der jeweils aktuellen Software und Patches bespielt. In Zusammenar-beit mit der Polizei, dem PTLV und dem Hersteller sorgte die HZD 2010 für die technische Umsetzung dieses ehrgeizigen Projektes. Ehrgeizig unter anderem deshalb, weil etwa 150 Softwarepakete an unterschiedliche Be-nutzergruppen zu verteilen waren und die Dienststellen über unterschiedliche Bandbreiten bei der Anbindung verfügen, was den Aufbau einer anspruchsvollen Infra-struktur erforderte.

Einen beträchtlichen Anteil leistete die HZD auch bei der Einführung der neuen Software Kriminalitätslagebild neu (KLBneu). Die Anwendung ermöglicht es, Tatzusammen-hänge und Brennpunkte leichter zu erkennen, indem sie Daten aus der Vorgangsbearbeitungs-Anwendung ComVor verwendet und diese statistisch, grafi sch und georeferenziert aufarbeitet. 2010 sollte die von einem externen Hersteller entwickelte Software KLBneu in die Infrastruktur eingebunden werden, auf der auch die wichtige Polizeianwendung POLAS basiert. Innerhalb einer speziell zum Projektende hin erforderlichen Task Force sorgte die HZD in Zusammenarbeit mit Hersteller und Projektverantwortlichen der Polizei mit erheblichem Einsatz dafür, dass die Software auf der Infrastruktur auf-setzen und wie geplant in Betrieb gehen konnte.

Der Trend zur Servervirtualisierung macht auch vor der Polizei nicht halt. Nachdem die HZD eine mehrstufi ge Umsetzungsplanung vorgelegt hatte, erfolgte als erste

Betrieb Polizeiverfahren

o Die HZD betreibt im Auftrag der hessischen Polizei deren komplette zentrale IT-Infrastruktur, also Netze, Sys-teme und Dienste, teilweise rund um die Uhr an sieben Tagen in der Woche und unterstützt damit die Arbeit von circa 18.000 Anwendern in rund 240 Dienststellen. Fast alle IT-Verfahren der hessischen Polizei werden von der HZD betrieben. Die Spanne der Anwendungen reicht dabei von Standardprodukten wie dem E-Mail-Dienst über den Internetauftritt und das Intranet bis hin zu speziellen polizeifachlichen Lösungen wie der Vorgangs-bearbeitung ComVor und dem Auskunftssystem INPOL-Land (POLAS).

Neben den Applikationen werden auch die Basiskom-ponenten betrieben. Hierzu gehört insbesondere das Netzwerk mit seinen vielfältigen Anforderungen an die Sicherheit, sowohl im leitungsgebundenen Umfeld als auch über drahtlose Infrastruktur wie UMTS. Damit stellt die HZD sicher, dass jeder Mitarbeiter der hessischen Polizei jederzeit und von (fast) jedem Ort aus auf die von ihm benötigten Daten zugreifen kann. Die sichere und verfügbare Speicherung aller Daten der Polizei in einem SAN ist ein weiterer Kernpunkt der bereitgestellten Infrastruktur.

Betriebsmanagement, System-, Netz- und Anwendungsbetrieb


Stufe 2010 die Virtualisierung der Qualitätssicherungs-umgebung für Systemtechnik. Bei der Virtualisierung werden mehrere virtuelle Server auf einem physika-lischen Gerät betrieben. Auf diese Weise lassen sich Kapazitäten effi zienter nutzen. Neben Einsparungen bei Energie und Platzbedarf wurde die Verwendung der Test- und Qualitätssicherungssysteme, die einen großen Teil des Polizei-IT-Betriebs ausmachen, durch diese Maß-nahme deutlich fl exibler. Fachliche Testumgebungen können viel schneller zur Verfügung gestellt werden. In den nächsten Schritten wird die Virtualisierung auf die fachlichen Qualitätssicherungsumgebungen sowie die Produktionsebene ausgedehnt.

Ein weiteres Projekt startete im Jahr 2010: Nach Auswahl eines Herstellers durch eine seit mehreren Jahren tätige Projektgruppe des Landespolizeipräsidiums begannen die Arbeiten zur Vorbereitung der Betriebseinführung der neuen Telekommunikationsüberwachung (TKÜ), die für das Land Hessen in der HZD betrieben werden soll. Dafür stellte die HZD die erforderliche Basis-Infrastruktur zur Verfügung und baute ein Betriebsteam auf. Erst-mals erfolgt damit der Betrieb einer solchen Anlage durch zwei Häuser unterschiedlicher Ressorts: Die HZD zeichnet für den technischen Betrieb verantwortlich, dem Landeskriminalamt obliegt der fachliche Betrieb, während der Hersteller für die Soft- und Hardware sowie deren Wartung zuständig ist.

Daneben unterstützte die HZD 2010 die Polizei bei zahlreichen weiteren Projekten, zum Beispiel bei der Betriebseinführung der neuesten Version des integrier-ten Zeit-Erfassungs-Management-Systems IZEMA, mit dem die Arbeitszeiten aller Polizeibediensteten erfasst werden. Im Rahmen der Einführung erfolgten sowohl die Umstellung auf das neueste Serverbetriebssystem als auch die Virtualisierung der Systeme.

Virtualisierung der zentralen WTS-Umgebung

o Neben den ressortübergreifenden Anwendungs-umgebungen DMS Land und ARS Remedy werden auf der zentralen Windows Terminal Server-Umgebung der HZD (der „WTS E-Government-Farm“) etliche Systemum-gebungen für Kunden bereit gestellt. Zu nennen sind hier beispielsweise die Desktop-Anwendungen für den Landesbetrieb Landwirtschaft Hessen, aber auch für die HZD selbst sowie die Arbeitsschutz-Verfahren IFAS des Hessischen Innenministeriums. Bis dato geschah dies auf Basis konsolidierter, aber traditioneller Servertechnik.

Im Jahr 2010 wurde hier einiges bewegt, um es zu-rückhaltend auszudrücken. Martin Swiderek, der für die Fachleistung WTS zuständige Bereichsleiter: „Wir haben im vergangenen Jahr eine komplette Umstellung der WTS-Umgebung auf virtuelle Server vollzogen und sind damit der Zielausrichtung der weitgehenden Virtualisie-rung im Rechenzentrum der HZD einen wichtigen Schritt näher gekommen.“

Solche Verbesserungen sind natürlich kein Selbstzweck. In erster Linie sollen sie sich für die Kunden positiv aus-wirken. Diese können sich nun auf eine hochverfügbare Anwendung stützen, müssen keine Produktionsausfälle befürchten und tun dabei noch etwas für die Umwelt (Stichwort Green IT). Der Stromverbrauch ging nämlich um 47.600 Watt zurück; die Wärmeabgabe ließ sich um 20.458 kJ/h zurückschrauben. Vor allem wirkt es sich auch in fi nanzieller Hinsicht vorteilhaft aus. So konnten durch die Umstellung auf die virtuelle Plattform die Betriebskosten für DMS Land (DOMEA) um 300.000 € gesenkt werden. Beim WTS-Desktop der HZD war immerhin noch eine Einsparung von ca. 100.000 € zu erzielen.

18

Das Virtualisierungsprojekt startete am 15. September 2010 und war kurz vor Weihnachten abgeschlos-sen. Die WTS-E-Government-Farm ist noch in einer weiteren Hinsicht beispielhaft: 2009 wurde der Betrieb der WTS-Anwendung an die HZD-Hünfeld verlagert, in Wiesbaden verblieb die Planung und Projektie-rung der Leistung sowie der Betrieb der Serverkomponenten. Insgesamt arbeiten hier Teams der HZD aus zwei Lokationen und drei fachlichen Einheiten erfolgreich zusammen.

Almut Dillenberger, Leiterin der Zentralabteilung, an der Zufahrtsschranke zur Tiefgarage

»Der Abbau externer Personalleistungen insbesondere durch Weiterqualifi zierung und Aufbau eigenen Personals hat zu spürbaren Kostensenkungen geführt – ohne Einbußen der Leistungsfähigkeit.«


KONSENS-GINSTER

o Mit dem Projekt GINSTER (Grundinformationsdienst Steuer) werden die Grunddaten aller steuerpfl ichtigen Personen verwaltet wie beispielsweise Steuernummer, Name, Adresse, Bankverbindung. Im Rahmen von KON-SENS hat die HZD diese Aufgabe für alle Bundesländer übernommen.

Ein wesentliches Ziel im Jahr 2010 war es, weitere Grundlagen für die Etablierung von GINSTER als Master-system für die Verarbeitung von Grunddaten zu schaffen. So wurde ein Prototyp für eine Benutzeroberfl äche zur Eingabe von Stammdaten auf Basis von bundesweit abgestimmten Konzepten erstellt. Die Defi nition von umfangreichen Prüfungen garantiert in diesem Zusam-menhang eine konsistente und qualitativ hochwertige Datenhaltung.

Weiterhin hat die HZD im abgelaufenen Jahr das Überwachungskonto entwickelt. Hierbei handelt es sich um eine Dialoganwendung, über die steuerrechtliche Sachverhalte (wie beispielsweise Kontrollmitteilungen, Pfändungs- und Abtretungsanzeigen), zu denen noch kein Steuerfall existiert, verwaltet werden. Es stellt sicher, dass bisher vorhandene Funktionalitäten den Bearbei-tern in der hessischen Finanzverwaltung auch nach der Umstellung auf KONSENS I noch zur Verfügung stehen.

Nach dem Beschluss der Finanzministerkonferenz vom 12. November 2009 war für die Ausgabe von Steuer-bescheiden hinsichtlich der darin enthaltenen Finanz-amtsdaten auf GINSTER zurückzugreifen. Mit der Version „GINSTER Server 3.2.2 stellte das Release-Management KONSENS im März 2010 eine erste Fassung zur Ver-fügung, die dann abgenommen und zertifi ziert an die Bundesländer ging. Der Einsatz in den Ländern erfolgte fristgerecht zum 30. Juni 2010.

2008 haben fast alle Bürger eine neue steuerliche Identifi kationsnummer erhalten. Im Jahr 2010 begannen vorbereitende Arbeiten für die Vergabe von Identifi kati-onsnummern an nicht melderechtlich erfasste natürliche Personen (z. B. Personen, die im Ausland leben, aber in Deutschland steuerpfl ichtige Einkünfte haben). Die

HZD beschäftigte sich dabei im Projekt GINSTER mit der Erstellung und Abstimmung der DV-Konzeption.

Im Rahmen der länderübergreifenden Kooperation bei der Erstellung von Software für die Länderfi nanzbehör-den leistete die HZD auch bei der elektronischen Lohn-steuerkarte (siehe den Bericht zu ElsterLohn II) einen Beitrag. So wird bei ELSTER unter Berücksichtigung von GINSTER-Daten ein Identifi kationsmerkmal gebildet, an-hand dessen ein Arbeitgeber eindeutig erkannt werden kann.

ElsterLohn II

o Nachdem Steuerpfl ichtige mit ELSTER bereits seit Jah-ren die Steuererklärung elektronisch abgeben können, wird mit ElsterLohn II die bisherige Lohnsteuerkarte in Papierform ersetzt. Die digitale Lohnsteuerkarte startete 2005 mit der elektronischen Übermittlung der Jahres-lohndaten. ElsterLohn II (siehe auch www.elster.de) läutet nun eine weitere Phase zur Erreichung dieses Ziels ein. Damit werden auch die persönlichen Daten von den Kommunen für eine elektronische Übermittlung der Da-ten aus der Lohnsteuerkarte zur Verfügung gestellt.

2009 wurden letztmals Lohnsteuerkarten durch die Städ-te und Gemeinden ausgestellt, mit Wirkung bis 2011. 2012 kommt dann das neue Verfahren zur Anwendung. Der HZD sind dabei zwei wesentliche Aufgabenstellun-gen zugefallen. Sie ist einerseits für die Datenversorgung in den Finanzämtern zuständig und fungiert andererseits als zentrale Drehscheibe zur Datenhaltung des Zentral-bestands in Hessen. Damit hat die HZD die hessische Finanzverwaltung 2010 bei der Einführung von Elster-Lohn II wesentlich unterstützt.

Neben dem Elster-Fachbereich war auch das Rechenzen-trum stark eingebunden. Alle Arbeiten erfolgten in enger Abstimmung und guter Zusammenarbeit mit der Ober-fi nanzdirektion, die fachlich zuständig ist. Hier erfolgt beispielsweise die Freigabe der Verfahrensversionen oder die Organisation der zahlreichen Schulungen. Seit November 2010 nutzen die Anwender in den Finanzäm-tern das entsprechende Dialogverfahren.

Softwarepfl ege, Beratung, Betreuung und Schulung

20

Lehrer- und Schülerdatenbank

o Die hessische Lehrer- und Schülerdatenbank (LUSD) ist ein deutschlandweit einzigartiges und zukunftswei-sendes Schulverwaltungsverfahren. Verantwortlich für die LUSD ist das Hessische Kultusministerium (HKM), für den Betrieb der Anwendung sorgt die HZD. Seit Ende 2006 stellt die HZD über das Verfahren allen hessischen Schu-len eine Netz- und Systeminfrastruktur zur Verfügung, die als Plattform für weitere Anwendungen aus der Schulver-waltung dient. In den Jahren 2008 und 2009 haben zu-sätzliche qualitätssichernde Maßnahmen – in Verbindung mit einem Redesign des Herstellers – zur weiteren Stabili-sierung des Verfahrens beigetragen. Wie positiv sich die LUSD in der Zwischenzeit entwickelt hat, wurde auch bei der Präsentation anlässlich der CeBIT 2010 dokumen-tiert. Kay Hansen (LUSD-Projektleiter im HKM) lobt die gute Zusammenarbeit im Projekt: „Die hohe Qualität in Bezug auf Fehlerfreiheit und Performance der LUSD be-ruht auch auf der engen Zusammenarbeit der Projektbe-teiligten des Hessischen Kultusministeriums, dem Team der Hessischen Zentrale für Datenverarbeitung und dem Softwarehersteller.” Die LUSD hat bundesweites Interesse gefunden und so gibt es Kontakte zu anderen Bundes-ländern hinsichtlich einer Verfahrensübernahme und Nutzung. Höhepunkt im Jahr 2010 war in dieser Hinsicht der in der HZD durchgeführte zweitägige LUSD-Kon-gress, an dem zahlreiche Vertreter anderer Bundesländer und eine Delegation aus Österreich teilnahmen. Dabei ging es unter anderem um die Möglichkeit, die LUSD für weitere Bundesländer in der HZD zu betreiben. Darüber hinaus soll von Seiten des Hessischen Kultusministeriums und der HZD auch Aufbauhilfe geleistet werden. 2010 startete eine Reihe von neuen Projekten, die die LUSD als Basisplattform benutzen und über einen Standardweg per BizTalk-Technologie an diese anbinden sollen. Nach erfolgreicher Umsetzung können auch Schulämtern und Schulträgern Funktionen angeboten werden, die auf LUSD-Daten basieren.

Geodaten-online

o Geodaten-online (siehe auch www.gds.hessen.de) bildet die E-Commerce-Plattform der Hessischen Ver-waltung für Bodenmanagement und Geoinformation (HVBG). Über diese Plattform bietet die Verwaltung ihre vielfältigen Produkte, wie Liegenschaftskarten, Kataster-auszüge, Luftbilder und verschiedene topografi sche und historische Kartenwerke (beispielsweise Wanderkarten) an. Sie steht im Internet rund um die Uhr zur Verfügung. Seit 2004 ist Geodaten-online nun schon im Einsatz. Für den Betrieb sorgt seither die HZD.

Nach Inbetriebnahme der neuen Systemplattform im Jahr 2009 wurden Anfang 2010 die Arbeiten zur Um-stellung auf die ALKIS-Datenstrukturen abgeschlossen. ALKIS® steht für Amtliches Liegenschaftsinformations-system und ist Teil des AFIS-ALKIS-ATKIS-Modells (kurz AAA-Modell) der Vermessungsverwaltungen der Länder. Mit der erfolgten Umstellung war Hessen das erste Flächenbundesland, das ALKIS® im Einsatz hat. Der HZD kam dabei die Aufgabe zu, die Betriebseinführung der neuen Infrastruktur zu bewerkstelligen. Zudem war man in die Beschaffung eingebunden. Es waren Systeme zu beschaffen, diese in die Netze zu integrieren und Soft-ware zu installieren – immerhin fast 100 Server.

Viel Aufwand investierten die Fachbereiche der HZD in die Festigung der Betriebsabläufe. Der Betrieb blieb während der Umstellungsphase stabil und konnte sogar stellenweise optimiert werden. Verbessert wurden zudem die Datenhaltung und die Netzkommunikation zwischen den Systemen. Eine wesentliche Datenkompo-nente konnte um 50 Prozent reduziert werden.

Die HVBG hat 2010 ihren Produktkatalog von Geodaten-online kontinuierlich erweitert. Ende 2010 sind auch die ATKIS-Daten in Geodaten-online aufgenommen worden. ATKIS steht für Amtlich Topografi sch-Kartografi sches Informationssystem. Die HZD hat die Fortführungspro-zesse automatisiert, das Angebot von Geodatendiensten ausgebaut und eine Datenabgabe an andere Behörden (z. B. die Polizei) eingerichtet.

Softwarepfl ege, Beratung, Betreuung und Schulung


JUKOS-Redesign

o JUKOS steht für Justiz und Kosten und ist ein Verfah-ren zur Automation des Gerichtskosten- und -kassenwe-sens und der Geldstrafenvollstreckung. Die Anwendung ist ein wahrer Dauerläufer in der IT der hessischen Justiz. JUKOS ist in Hessen bereits seit 1986 im Einsatz und damit eines der ganz wenigen Verfahren, das auch nach drei Jahrzehnten noch nicht „zum alten Eisen“ zählt. Für die schnelllebige IT-Welt ist dies umso erstaunlicher. Auch die JUKOS-Erfassungsprogramme für die Staats-anwaltschaften und Gerichte kommen seit vielen Jahren erfolgreich zur Ausführung.

Um auf zukünftige Anforderungen fl exibel reagieren zu können, war allerdings ein Redesign der Anwendung unausweichlich. In diesem Zusammenhang haben HZD und Justizverwaltung die Kostenprozesse der Staatsan-waltschaften und Gerichte intensiv auf Synergieeffekte untersucht. Als Ergebnis konnten die bisherigen zwei Kostenmodule für Staatsanwaltschaften und Gerichte in einem modernen C#-Programm zusammengefasst werden. Pilotiert wurde im Sommer 2010 in den Staats-anwaltschaften Fulda und Gießen. Die Produktions-einführung bei allen hessischen Staatsanwaltschaften erfolgte im Herbst 2010. Aufgrund der neu entwickelten Steuerung der verfügbaren Funktionalitäten über Profi le kann das Programm fl exibel an die jeweiligen Kunden-anforderungen angepasst werden.

Das ist besonders hilfreich für den Mehrländereinsatz des Verfahrens. JUKOS wurde von Beginn an als Mehr-länderlösung konzipiert und kommt außer in Hessen noch in Schleswig-Holstein, Nordrhein-Westfalen, Hamburg und Brandenburg zur Anwendung. Die über-arbeitete Version wird zukünftig zusätzlich in Berlin und Mecklenburg-Vorpommern eingesetzt.

Elektronischer Rechtsverkehr in der hessischen Justiz

o Der elektronische Rechtsverkehr ist die rechtsver-bindliche Kommunikation innerhalb aller in der Justiz beteiligten Partner über sichere elektronische Medien.

Die Justiz nutzt dafür aktuell das EGVP (elektronisches Gerichts- und Verwaltungspostfach), wel-ches ein bundeseinheitlicher Standard ist, der eine sichere und verschlüsselte Übertra-gung durch die Nutzung der OSCI-Schnittstelle (Online Services Computer Interface) gewährleistet.

Zukünftig werden weitere Wege in dieser Richtung unter Nutzung der technischen und rechtlichen Möglichkeiten beschritten (siehe im Ab-schnitt zum Justizprojekt ELEVATOR). 2010 wurden weitere Projekte und Verfahren initialisiert und etabliert. Die elektronische Rechnung (eRechnung) durchlief beim Landgericht Limburg eine erfolgreiche Pilotphase und kam danach bis zum Jahresende landesweit zum Einsatz. Allein im Monat Dezember versandte man bereits 2.700 automatisiert erstellte Rechnungen. Dies war nur durch gezielte Schulungen und vor allem durch die hohe Motivation der Justizmitarbeiterinnen und -mitarbeiter möglich. Für das Jahr 2011 wird ein Volumen von bis zu 60.000 eRechnungen angestrebt.

Einen Aufschwung erlebte auch der elektronische Zah-lungsverkehr. Mit der Integration des ePayment in die elektronische Rechnung ging diese Komponente gleich-falls produktiv. Sie wird durch die hessischen Anwälte immer mehr genutzt.

Als weitere Neuerung startete bei der Gerichtskasse in Wiesbaden der Pilotversuch im Projekt Zahlautomat. Der Zahlautomat soll den Barzahlungsverkehr in der hes-sischen Justiz ablösen. In einem ersten Schritt können alle JUKOS-Rechnungen mittels Zahlautomaten bezahlt werden. Die Rechnungen enthalten einen entsprechen-den Barcode zur Identifi zierung des Zahlvorgangs. Im Frühjahr 2011 wurde der Pilotbetrieb auf alle Geschäfts-prozesse des Amtsgerichts mit Barzahlungsverkehr ausgeweitet.

tuell das erichts- h), wel-cher

chere tra-

g der ne face)

re Wege in utzung der technischen und

22

Geschäftsprozess-management

o In einer immer komplexer wer-denden Welt nimmt die Bedeutung klar defi nierter Geschäftsabläufe nicht nur in der Wirtschaft, sondern auch in der Verwaltung stetig zu. Die Verbesserung der Effi zienz dieser Verwaltungsabläufe durch deren gezielte Analyse und Optimierung bietet ein hohes Einsparpotenzial. Bereits seit vielen Jahren unter-stützt die HZD ihre Kunden bei der Geschäftsprozessmodellierung mit zunehmender Nachfrage.

Dazu hat die HZD gemeinsam mit dem Kultusressort eine Vorgehens-methodik entwickelt, die aus einer langjährigen, vertrauensvollen Zusammenarbeit entstand. Die Er-stellung der Prozessmodelle erfolgt durch Spezialisten der HZD unter Einbeziehung der Fachexperten des Auftraggebers. Die strukturierte Dar-stellung der Prozessmodelle zwingt zur Klarheit und klärt den Einsatz von IT-Systemen, wodurch Anfor-derungen an diese Systeme besser erkannt werden.

Besonders hilfreich erweist sich die Geschäftsprozessmodellierung bei organisationsübergreifenden Pro-zessen. Hier werden Schnittstellen genau beschrieben und Medien-brüche oder Lücken zwischen den Teilprozessen identifi ziert.

Dr. Peter Triller, Leiter der Abteilung Softwarehaus, vor einer Überwachungskamera am Eingang zum Haupthaus

»Das Verfahren eBundesrat ist ein gutes Beispiel für eine vielversprechende länderübergreifende Zusammenarbeit.«


Zentrales Werkzeug der HZD für die Geschäftsprozess-modellierung ist die Standardsoftware ARIS. 2010 baute die HZD eine zentrale ARIS-Plattform auf, die inklusive Testsystem und Publisher für die Veröffentlichungen von Geschäftsprozessen im Web seither allen Kunden als Service angeboten wird. So ist es möglich, dass die gesamte Landesverwaltung mittelfristig eine gemeinsa-me ARIS-Plattform für ihre Geschäftsprozesse nutzt, was neben einer Effi zienzsteigerung auch mit Kostenreduk-tion einhergeht. Das Kultusressort mit seiner großen in ARIS modellierten Prozesslandschaft ist bereits auf diese Plattform umgezogen.

Zu den Geschäftsprozessen, welche die HZD 2010 gemeinsam mit ihren Kunden modelliert hat, zählen unter anderem der Prozess zur Einführung des kleinen Schulbudgets durch das Hessische Kultusministerium, welche im Rahmen des Vorhabens „selbständige Schule“ erfolgt. Für den Krisenstab der Landesregierung wurde die Zusammenarbeit der Ressorts und des Krisenstabes bei übergreifenden Gefährdungslagen über Prozessmo-delle geklärt. Geschäftsprozessmodellierungs-Aufträge vom Umweltministerium beinhalteten die Analyse von Geschäftsprozessen unter Nutzung verschiedener Fach-informationssysteme. Hier war es das Ziel des Kunden, zuerst die Abläufe zu klären, bevor über die Weiterent-wicklung der IT-Verfahren entschieden wird.

HZD-Schulungszentrum

o Der positive Trend im HZD-Schulungszentrum – ohne Berücksichtigung der Sondereffekte durch zahlreiche Offi ce 2007 Umsteiger-Schulungen in 2008 und 2009 – hielt auch im vergangenen Jahr an. Rund 4.600 Teilneh-merinnen und Teilnehmer besuchten Schulungen an etwa 7.400 Schulungstagen. Dr. Johann von Schweinitz, Leiter des HZD-Schulungszentrums, zeigte sich zufrieden mit der Entwicklung: „IT-Fortbildung wird auch zukünftig eine Schlüsselrolle in allen Verwaltungsebenen einneh-men. Durch zunehmende Standardisierung und Automa-tisierung müssen Arbeitsabläufe effi zienter und produkti-ver gestaltet werden.“

Das Schulungszentrum richtet sein Angebot daher ganz auf diese Anforderungen der Landesverwaltung ein. Ab 2011 wird sich die Schule ausschließlich auf IT-Schu-lungsangebote konzentrieren, Soft Skill-Themen wurden aus dem Programm genommen. Dies erfolgte in enger Abstimmung mit der Zentralen Fortbildung des Landes und dem Hessischen Finanzministerium. Zudem enthält das Seminarprogramm 2011 erstmals Zielgruppensemi-nare und spezielle Kurse für Teilzeitkräfte.

Im Jahr 2010 waren mehr als die Hälfte aller Lehrgänge individuell auf den Kunden zugeschnittene Schulungen. Die Inhalte wurden auf die jeweiligen Bedürfnisse der Ressorts und Dienststellen angepasst und gemein-sam festgelegt. Aus dem Gesamtangebot konnten die Interessierten aus folgenden Lernbausteinen auswählen: E-Government, Microsoft Offi ce, Organisationsmethoden und Wissensvermittlung, Datenbanken und Program-mierung, Internet/Intranet, Betriebssysteme, DTP/Grafi k/Design sowie Netzwerke/Systemtechnik. Gut besucht waren erneut die Espresso-Seminare und die Sommer-akademie.

Eingebunden war das Team des Schulungszentrums zudem in die hausinterne betriebliche Ausbildung der Fachinformatiker. Alle fünf Auszubildenden haben in 2010 die Prüfung bestanden, vier davon wurden durch die HZD übernommen. Ein weiteres FABI-Programm zur Verstärkung der Abteilung „Verfahren der Steuerver-waltung“ konnte erfolgreich durchgeführt werden. Hier wurden Angestellte und Beamte in der Fachrichtung In-formationstechnik weitergebildet. Ein Traineeprogramm zielte auf die Ausbildung von Fachkräften für den Re-chenzentrumsbetrieb ab. Für die HZD-Beschäftigten lief ein internes Ausbildungsprogramm an, das zur Übernah-me leitender Aufgaben im Betriebsumfeld vorbereitet.

Die Gesamtnote für die HZD-Schulungen lag wie 2009 bei 1,6. Die Schulungsteilnehmerinnen und -teilnehmer gaben also wieder gute Noten für Dozenten, Seminaror-ganisation und IT-Infrastruktur des Schulungszentrums.

24

Nationale Strategie zum Schutz kritischer Infrastrukturen

o Der Bund hat eine nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS) entworfen. Das Thema wird als eine gesamtgesellschaftliche Aufgabe angese-hen, die ein zwischen Staat, Wirtschaft und Öffentlichkeit abgestimmtes Vorgehen erfordert. Neben den Berei-chen Energieversorgung, Wasserversorgung, Transport und Verkehr zählt die Informations- und Kommunika-tionstechnik zu den technischen Basisinfrastrukturen. Daneben werden Gesundheitswesen, Rettungswesen, öffentliche Verwaltung, Finanzwesen und Medien als sozioökonomische Dienstleistungsinfrastrukturen be-zeichnet.

Als Reaktion auf die qualitativ und quantitativ wachsende IT-Bedrohungslage hat das Bundeskabinett 2007 den „Nationalen Plan zum Schutz der Informationsinfrastruk-turen“ (NPSI) beschlossen und zur weiteren Umsetzung beauftragt. Dieser Plan stellt eine Kernaufgabe staatli-cher Sicherheitsvorsorge dar und gibt drei strategische Ziele vor: Prävention, Reaktion und Nachhaltigkeit. Es gilt IT-Infrastrukturen angemessen zu schützen, bei IT-Sicher-heitsvorfällen wirkungsvoll zu handeln und die deutsche IT-Sicherheitskompetenz zu stärken, um so auch interna-tionale Standards zu setzen.

Ein zentrales Element der Reaktion sind Notfall- und Krisenübungen. So steht bei der bundesweiten Stabs-rahmenübung LÜKEX 2011 die IT-Infrastruktur im Mittelpunkt (siehe auch den Beitrag hierzu in unserem Themen schwerpunkt). In Form von vorgegebenen Szenarien soll der Umgang mit großfl ächigen Störungen und Schäden geübt werden. Die gewonnenen Erkennt-nisse fl ießen in der Weiterentwicklung der kritischen Infrastrukturen ein.

Die HZD als zentraler IT-Dienstleister hat sich beim Aufbau und dem Betrieb der IT in Hessen immer an den Maßstäben der kritischen Infrastrukturen orientiert und greift hier maßgeblich auf die Regelungen des Bun-desamtes für Sicherheit in der Informationssicherheit (BSI) zurück. Bei der Konzeption des Weitverkehrsnetzes

Hessennetz, das auf einen Auftrag des Kabinetts im Jahr 1997 zur Integration der damals bestehenden Teilnetze zurückgeht, wurde ein Netzkonzept zur Umsetzung der Anforderungen an kritische Infrastrukturen festgelegt. Dieses Konzept sieht landeseigene Netzknoten an den vier Standorten Wiesbaden, Frankfurt, Hünfeld und Kas-sel vor. Dedizierte Backbone-Leitungen vernetzen diese Knotenstandorte. Die Dienststellen werden über einzel-ne Anschlussleitungen an diese Netzknoten angebun-den. Das Netz verfügt über einen zentralen Übergang in das Rechenzentrum der HZD; hier befi ndet sich der zentrale Zugang zum Internet. Planung, Steuerung und Betrieb des Hessennetzes erfolgt durch die HZD.

Für Dienststellen mit geringeren Anforderungen an die Kommunikationsinfrastruktur wurde das Angebot an Netzanschlüssen um kostengünstige Lösungen auf DSL-Basis erweitert. Die Kommunikationsplattform wird ständig weiterentwickelt und basiert derzeit auf moder-ner MPLS-Technologie. 2011 soll die Umstellung aller Festverbindungen auf diese Plattform abgeschlossen werden. Das Ziel, die Teilnetze in der Landesverwaltung in einem integrierten Landesnetz zusammenzufassen, ist nahezu vollständig erreicht worden. Der Leistungs-umfang des Netzes skaliert vom Anschluss von abgele-genen Revierförstereien mit zwei Arbeitsplätzen bis zu einem großen Polizeipräsidium mit 4.000 Arbeitsplätzen. Das Datennetz ist auch für die Übertragung hochwerti-ger Anwendungen wie Voice und Video gerüstet.

Neues Modell LAN-Port

o Die Leistungsfähigkeit der lokalen Netze (LAN – Local Area Network) in den Dienststellen ist eine wesentliche Voraussetzung für einen stabilen und performanten Zugriff auf IT-Verfahren. Die LAN-Ausstattung erfolgte bisher stufenweise, jeweils mit separaten Aufträgen. Die Dienststelle beauftragte zunächst bei der HZD eine Netzplanung. Diese basiert auf den einschlägigen Richtli-nien zum LAN-Design und enthält die Anpassung an die spezifi schen Anforderungen der Dienststelle. Ergebnis ist ein Netzplan einschließlich einer Liste von Netzwerk-komponenten. Anschließend wurden diese Komponen-

IT-Hessennetz und Mehrwertdienste


ten über das Standardangebot der HZD beschafft und in Betrieb genommen. Für den laufenden Betrieb bietet die HZD ergän-zend einen Netz-Service an, der die Überwachung der Komponenten und einen Austausch-Service enthält. Auch hierfür war ein eigener Auftrag erforderlich.

Dies hat sich mit dem neuen Produkt LAN-Port geändert, für das die HZD 2010 alle Voraussetzungen geschaffen hat. Mit dem neuen Angebot werden die oben erwähn-ten Teilleistungen zu einem Service zusammengefasst. Zu einem festen monatlichen Portpreis übernimmt die HZD die Konzeption, den Aufbau sowie den Betrieb des lokalen Netzes. Die benötigten Komponenten sind alle enthalten, einschließlich der bedarfsgerechten Erneu-erung. Gerade die zyklische Erneuerung von Netz-werkkomponenten (rund alle fünf Jahre) stellte für die Kunden der HZD eine besondere Herausforderung dar, da sie mit Investitionsschüben verbunden waren, die im Haushalt schwer abzubilden sind. Das neue Portpreismo-dell sorgt für einen kontinuierlichen und gut planbaren Kostenverlauf für die Dienststellen.

In der technischen Ausprägung handelt es sich bei den LAN-Ports um Ethernet-Ports, die in unterschiedlichen Geschwindigkeitsklassen (10/100/1.000 Mbit/s) ange-boten werden. Die Dimensionierung der Komponenten ist auf eine Verfügbarkeit des LAN von 99,8 Prozent pro Jahr ausgelegt. Neue Anwendungen wie Voice over IP oder Video over IP, die besondere Anforderungen an die Echtzeitfähigkeit der Netzwerkinfrastruktur stellen, können über den LAN-Port betrieben werden. Damit ist die Zukunftsfähigkeit gesichert. Mit dem LAN-Port folgt die HZD einem Trend am Markt, Leistungen gebündelt (Managed Service) und nach Bedarf (on Demand) anzu-bieten.

Erfolge bei der Spam-Abwehr

o Die Spam-Flut steigt weiter – und es ist auch kein Ende abzusehen. Dabei sind im Internet durchschnitt-lich nur fünf Prozent der elektronischen Posteingänge

gewollte E-Mails. Im Hessennetz hingegen hat erfreuli-cherweise im Gegensatz zur allgemeinen Entwicklung die Spam-Flut 2010 signifi kant abgenommen.

Den Höhepunkt erreichte die Flut Ende 2008/Anfang 2009. Damals registrierten die Fachleute der HZD 60.000 Sendeversuche pro Minute. Als dann 2009 das Greylis-ting, das die erste E-Mail von unbekannten Absendern abweist und erst nach einem weiteren Zustellversuch annimmt, überwunden wurde, traten verstärkt Probleme auf. Es musste eine zusätzliche Schutzfunktion her – und zwar schnell.

Die Antwort war die eigene Blacklist. Aufgrund dieser Blacklist wird schon direkt beim Übergang vom Internet zu den Landesnetzen eine Menge Spam-Müll abgelehnt. Derzeit ist aus datenschutzrechtlichen Gründen noch keine weitergehende, eventuell auch inhaltsbasierte Filterung möglich. Dies würde die Sicherheit nochmals erhöhen und weitere unliebsame Meldungen vermeiden helfen. Deshalb sehnt man in der HZD die Verabschie-dung der Internet-Nutzungsrichtlinie händeringend her-bei. Danach könnten noch weitere Anti-Spam-Maßnah-men umgesetzt werden. Die Blacklist aus dem Februar 2009 zeichnete für das starke Nachlassen der Angriffe im Jahr 2009 verantwortlich; diese Entwicklung hat sich 2010 fortgesetzt. Offensichtlich werten die Spammer ihre „Erfolgsquoten“ aus. „Das Land ist für Spammer nicht mehr attraktiv“ zieht Projektleiterin Christiane Wiegand ein positives Fazit der Bemühungen.

Zudem hat man im Jahr 2010 den Virenschutz umge-stellt. Virenverseuchte E-Mails, die aus dem Internet auf die hessische Infrastruktur hereinstürmen, werden jetzt schon vor den gesicherten Netzen abgewehrt. Auch dies hilft, die Spam-Flut zu den internen E-Mail-Systemen wei-ter zu reduzieren. Wiegand ist sich aber auch im Klaren, dass eine völlig spamfreie Welt auch in der Verwaltung nicht zu erreichen ist. Hundertprozentige Sicherheit gibt es eben nicht – und schon gar nicht im Netz. 2010 lief die Anti-Spam-Infrastruktur zur Zufriedenheit der Verant-wortlichen. Es gab keine Ausfälle. Dies ist nicht zuletzt der erfolgreichen Arbeit des zuständigen Betriebsteams rund um Michael Rohleder zu verdanken.

t eb n

gewchdie

De

26

Zentrale IT-Beschaffungsstelle des Landes Hessen

o „Die HZD ist zentrale Beschaffungsstelle des Landes Hessen für Anlagen, Geräte und Kommunikationsein-richtungen (zum Beispiel digitale Nebenstellenanlagen) sowie Liefer- und Dienstleistungen der Informationstech-nik (IT).“ So steht es im aktuellen Beschaffungserlass des Hessischen Finanzministeriums.

Gemeinsam mit ihren Kunden überprüft die HZD laufend die Möglichkeiten der sinnvollen Bedarfszusammenfas-sung und stellt daraus ihr IT-Standardangebot zusam-men. Darüber hinaus unterstützt die HZD ihre Kunden auch bei der Beschaffung von Spezialbedarf, der aus wirtschaftlichen Gründen nicht sinnvoll gebündelt wer-den kann.

Für das Standardangebot werden Rahmenverträge nach den geltenden vergaberechtlichen Vorschriften ausgeschrieben, auch beim Spezialbedarf werden die Vergabeverfahren an den relevanten Rechtsvorschriften ausgerichtet. 2010 wurden Vergabeentscheidungen der HZD zum Teil auch öffentlich kontrovers diskutiert. Das führte dazu, dass das Finanzministerium ein Rechtsgut-achten in Auftrag gab. Dieses konnte kein vorsätzliches Fehlverhalten der HZD erkennen, identifi zierte jedoch auch Fehler als Verkettung von Umständen.

Der Finanzminister betonte im Anschluss ausdrücklich: „Alle vorliegenden Unterlagen weisen darauf hin, dass die Mitarbeiterinnen und Mitarbeiter nach bestem Wis-sen die Vergabeverfahren durchgeführt haben. Daher ist es nicht gerechtfertigt, Kritik an der Arbeit der HZD insgesamt zu üben – die knapp 800 Mitarbeiterinnen und Mitarbeiter leisten durchweg gute Arbeit.“

Um die Prozesse bei der Vergabe zu optimieren und Fehler künftig zu vermeiden, hat das Finanzministerium einen Fünf-Punkte-Plan vorgelegt, der unter anderem eine externe Organisationsuntersuchung der HZD zur Folge hatte. Von Dezember 2010 bis März 2011 führ-te der TÜV Rheinland diese Untersuchung durch. Die Ergebnisse waren Grundlage für die Umorganisation und Optimierung bei der IT-Beschaffung der HZD im Jahr 2011. Der Fünf-Punkte-Plan sieht aber auch ad-hoc-Maßnahmen zur Steigerung der Verfahrenstransparenz vor. Ein Qualitätsbeauftragter wird seither bei der Festle-gung des Vergabeverfahrens und der Zuschlagerteilung mit einbezogen. Unter bestimmten Kriterien erfolgt die Einbeziehung einer Drittinstanz beim Hessischen Com-petence Center für neue Verwaltungssteuerung (HCC) in die Vergabeentscheidung. Die HZD unterrichtet außer-dem eine Vergabekommission beim Finanzministerium regelmäßig über alle wesentlichen Vergabeverfahren.

IT-Beschaffungen


WAN-Ausschreibung

o Mit dem Hessennetz werden den Dienststellen der Landesverwaltung leistungsfähige Anschlüsse an das Weitverkehrsnetz bereitgestellt. Das Netz besteht aus den Teilleistungen Leitungen, Netzwerkkomponen-ten und Betriebsleistungen. Diese Teilleistungen werden jeweils über ausgeschriebene Rahmenverträge beschafft. Den größten Anteil stellen die 2.500 Leitungen dar; es handelt sich überwiegend um digitale Fest-verbindungen und DSL-Anschlüsse.

Die HZD hat im Mai 2010 bei der 2009 begonnenen Ausschreibung des Rahmenvertrags für die Hessen-netz-Leitungen den Zuschlag erteilt. Mit den Konditionen des neuen Rahmenvertrags können die Leitun-gen zu deutlich wirtschaftlicheren Bedingungen beschafft werden. Ein-sparungen in Höhe von 3 Millionen Euro stellen einen bemerkenswerten Beitrag zur Erzielung der Einsparvor-gabe für 2010 dar.

Frank Werner,Leiter der Außenstelle Hünfeld,

beim Gang durch die Türschleuse

»Die Übernahme des Betriebs des „Automatisierten Mahnverfahrens“ für Rheinland-Pfalz und das Saarland unterstreicht unsere Leistungsfähigkeit.«

28

IM FOKUS DER IT:SICHERHEIT UND DATENSCHUTZ

29Im Fokus der IT: Sicherheit und Datenschutz

Je mehr die Informationstechnik (IT) alle Lebensbe-reiche erfasst, desto mehr gewinnen Sicherheit und Datenschutz an Bedeutung. Bestand anfangs ein reines Eigeninteresse an einem sicheren Ablauf von Program-men und Verfahren, galt es in der Folgezeit die Abwehr von Außenangriffen zu organisieren. Vor allem als die Daten vermehrt über weltweite Netze geschickt wurden, nahmen die Gefahren zu. Computer wurden zu Angriffs-zielen. War es früher damit getan, Räume und Maschinen zu sichern, so stiegen die Täter nun vielfach unsichtbar über die elektronischen Netze ein. Der legendäre Chaos-Computer-Club sorgte mit spektakulären Aktionen für ein Aufrütteln in der Szene. Plötzlich hielten Trojaner, Vi-ren und Würmer Einzug in den Sprachschatz der IT-Zunft. Hacker verschafften sich Zugang zu Daten, teilweise um mit gestohlenen Informationen Geschäfte zu machen,

teilweise auch nur aus purem Spieltrieb und Hebung des eigenen Egos. Irgendwann kam dann der Zeitpunkt, an dem in Wirtschaft und Verwaltung, in Forschung und Lehre ohne IT gar nichts mehr ging. Der Absturz eines Servers legte Abteilungen lahm, der Ausfall eines Netzes ganze Firmen. Ein Hackerangriff konnte selbst eine Re-gierung außer Gefecht setzen. Mit der stetig steigenden Bedeutung und Notwendigkeit der Informationstechnik stieg dann zwangsläufi g auch das Bedürfnis an entspre-chender Sicherheit. Der vorliegende Jahresbericht hat daher das Thema IT-Sicherheit und Datenschutz in den Mittelpunkt gestellt. In einzelnen Beiträgen gehen wir auf Bedrohungen und Gefährdungen ein, zeigen aber die vielfältigen Anstrengungen zur Abwehr solcher Angriffe auf Netze und Daten.

Mit LÜKEX und dem Cyber-Abwehrzentrum gegen Hacker, Viren und Würmervon Wolfgang Gerz

30

Sie scheiterten an der unlösbaren Aufgabe in ihrem begrenzten Speicher RTM programmgemäß unendlich zu vervielfältigen. Durch einen Programmierfehler war der RTM-Wurm aus dem Uni-Netz entwichen. Morris rief einen Krisenstab von US-Army, Airforce, FBI und CIA auf den Plan und verursachte rund 95 Millionen Dollar Schaden.

Und heute? Stuxnet war im letzten Jahr ein ganz heißes Thema für die Computersicherheitsexperten. Vermut-lich westlichen Geheimdiensten war es gelungen einen ungewöhnlichen Computerwurm in der iranischen Atomforschung zu platzieren. Die FAZ sprach von einer amerikanisch-israelischen Kooperation. Im Iran sollte der Wurm das dortige Atomprogramm stoppen, indem man die Zentrifugen in der Atomfabrik in Natans manipulierte. Stuxnet war erfolgreich – was sogar der Iran eingestehen musste. Fachleute waren sich schnell einig, dass der hier betriebene Aufwand nur mit staatlichen Ressourcen zu bewältigen war. Der Stuxnet-Wurm hatte nämlich eine ganz neue Qualität. Er untergrub die eingesetzten Pro-gramme und übernahm die Kontrolle über die Steuer-programme der Zentrifugen. Es wurden gute Ergebnisse ausgewiesen, obwohl diese in Wirklichkeit nicht erzielt werden konnten.

Wie man sieht, werden die Bedrohungen aus dem Netz immer größer und immer ungeheuerlicher. Seitdem 1949 das erste Computervirus auftrat, hat sich nicht nur die IT-Technik rasant weiterentwickelt. Auch Hacker und Würmer haben mächtig dazugelernt. Wo sich fast die gesamte Menschheit auf Computer verlässt, kann deren Sicherheit gar nicht hoch genug eingestuft werden.

Das Internet hat nicht nur die Welt erobert, es hat auch alle Lebensbereiche erfasst. Jeder ist online. Und mit der Nutzung von mobilen Geräten auch überall. Ob im häuslichen Wohnzimmer oder am Arbeitsplatz, ob im Flugzeug oder im Intercity Express. Kein Sektor, den das Internet nicht erobert hat. Und es bietet ja auch einiges an Information, Wissen, Unterhaltung und Kommunika-tion. Aber wie alles auf der Welt hat es leider auch seine Schattenseiten. Die Pädophilen beispielsweise haben das Netz für sich entdeckt und betreiben hier ihr schmut-ziges Geschäft. Und natürlich machen sich auch Verbre-

Es war der 2. März 1989. Ein Sondereinsatzkomman-do des Bundeskriminalamtes (Abteilung Staatsschutz) durchsuchte Wohnungen in Berlin, Hamburg, Hannover und Karlsruhe. 18 Personen wurden festgenommen. Es waren aber keine altgedienten Agenten ausländi-scher Geheimdienste, die dem BKA da ins Netz gingen, sondern jugendliche Computerfreaks. Über Jahre hatten diese als Hacker die Computer militärischer Einrichtun-gen und großer Elektronikkonzerne nach brauchbarem Datenmaterial durchsucht – ohne dass sie einen Fuß in die entsprechenden Gebäude setzten. Die modernen Spione kamen durch das Netz. Und sie kamen hin, wohin sie wollten. In die USA, nach England, Frankreich, Japan, Kanada oder Hongkong. Weder die NASA noch das Pentagon, weder Militärstützpunkte noch Firmen wie Dornier, SEL oder Porsche waren vor den Netzspionen sicher. Gegen Bargeld und Drogen lieferten die Hacker Zugangscodes, Forschungsdaten und ganze Programme via Ostberlin an den KGB nach Moskau. Dahinter stand nicht etwa eine perfekte Organisation. Nein, es genügten ein 17-jähriger Informatikstudent, ein haschischrauchen-der Programmierer und ein zwielichtiger Croupier. Die Zentrale dieser „Spionageorganisation“ war ebenfalls mehr als bescheiden: eine Studentenbude in Hannover. Von dort aus zeichneten sie für den ersten großen Fall von Spionage über das Datennetz verantwortlich. Den Weg zu den geheimen Daten ebneten ihnen die gemein-sam von Wissenschaft und Militär genutzten Datennetze ARPANET und MILNET.

Auf diesem Weg hatte schon ein halbes Jahr vorher ein anderer Informatikstudent für Aufsehen gesorgt: Robert Tappan Morris, 23 Jahre alt und Student der Cornell Uni-versität in New York. Morris hatte mit Spionage nichts im Sinn, er wollte lediglich seiner Universität einen Streich spielen. Und so startete er dann am 3. November 1988 auf seinem SUN-Grafi kcomputer das von ihm entwickelte Wurm-Programm RTM (steht für Robert T. Morris) und schickte es ins Uni-Netz. Binnen zwei Tagen standen mehr als 6.000 Rechner in den USA still. Unter anderem die vorwiegend militärisch genutzten SUN- und VAX-Computer im Verteidigungsministerium, im SDI Waffen-labor, im Atombombenzentrum in Los Alamos oder auf der Luftwaffenbasis Hanscom – um nur einige zu nennen. Die befallenen Computer gaben einfach den Geist auf.

Hacker für Moskau oder Gefahren aus dem NetzDie Freibeuter der Netze sind ganz normale Kriminelle


cher und Betrüger die Vorteile des Internets zunutze. Daher muss trotz aller positiven Aspekte deutlich ge-sagt werden: Im Internet lauern auch Gefahren. Dies ist nicht neu. Aber in den dunklen Kanälen der Netze tun sich immer raffi niertere Fallen auf.

Überall warten solche Fallen auf den nichtsahnenden Nutzer. Blindes Vertrauen, gutgläubige Informati-onsweitergabe oder allzu offenes Umgehen mit vertraulichen Daten verbieten sich im Internet. Sowohl beim Surfen, beim E-Mail-Versand, bei Onlinespielen oder beim Chat-ten können Betrüger mit im Spiel sein. Beim Austausch von Dateien machen sich dann schon einmal Viren, trojanische Pferde, Würmer und sonstiges Getier im eigenen Computer breit. Und die haben in der Regel unangenehme Neben-wirkungen, die vom Datenverlust bis zum abgeräumten Bankkonto reichen. Schützen muss man sich im Vorfeld. Leider stehen die Erfi nder von Schadsoftware den Programmie-rern der Sicherheitssoftware in nichts nach. Es ist wie beim Sportdoping: Kann man ein Mittel endlich nach-weisen, kommt schon das nächste auf den Markt.

Wolfgang Lehmann, Leiter der Abteilung Kundenmanagement,

vor den Stickstofffl aschen der RZ-Löschanlage

»Unsere Kundenberater pfl egen engen Kontakt zum Kunden und kennen die Bedürfnisse der Verwaltung.«

32

Strategie zum Bevölkerungsschutz

o Die weltweiten Katastrophen des letzten Jahrzehnts haben gezeigt, dass länder- und ressortübergreifende Konzepte zur Gefahrenabwehr und -eindämmung not-wendig sind. Und sie haben zu der Einsicht geführt, dass Krisenmanagement geübt werden muss. So hat man in der Bundesrepublik Deutschland schon 2002 eine „Neue Strategie zum Schutz der Bevölkerung“ beschlossen. Darin enthalten ist die Notwendigkeit von Übungen auf der politisch-administrativen Ebene, das „strategi-sche Krisenmanagement“. Seit 2009 ist dies sogar im Gesetz festgeschrieben. Das Ganze fi rmiert unter der Überschrift LÜKEX: Länder Übergreifende Krisenmana-gement EXercise; wobei Exercise für Übung steht. Etwas englisch muss schon sein, auch in der größten Krise. Die Projektleitung liegt in den Händen des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe.

Stromausfall und schmutzige Bomben

o Notfallszenarien kann man sich viele vorstellen: Stromausfall, Terroranschlag, Pandemie oder „schmut-zige“ Bomben. So haben die Krisenstäbe bei Bund und Ländern seit 2004 auch an der Eindämmung und Handhabung entsprechender Ereignisse geübt. Ziel solcher Übungen ist es, die Übungskultur im strategi-schen Krisenmanagement entsprechend neuer Heraus-forderungen weiterzuentwickeln. Die Vorbereitung einer Übung dauert etwa 18 Monate, bis zu 3.000 Personen sind eingebunden. Großen Wert legt LÜKEX auf die Öffentlichkeitsarbeit. Deshalb werden auch fi ktive TV-Sendungen, Pressebeiträge oder Anfragen von Journa-listen in die Übung einbezogen. Für jede Übung wird eine Art Drehbuch verfasst. Beteiligte, Rollen, Planung und Ausführung werden genau festgelegt, die Durchfüh-rung minutiös beobachtet. Alle Erkenntnisse fl ießen in einen abschließenden Bericht ein.

Wenn das Unvorstellbare passiert

o Katastrophen bescheren uns Tod und Zerstörung, Not und Elend. Sie hinterlassen auch beim unbeteiligten Beobachter Bestürzung und Trauer, Wut und Fassungs-losigkeit. Doch wenn sich der erste Schreck gelegt hat und der Schock überwunden ist, führen selbst unvor-stellbare Ereignisse zu einem Hinterfragen der Ursachen. Die Terroranschläge vom 11. September 2001, das Elbehochwasser 2002 oder der Tsunami in Südostasien 2005 haben eines gezeigt: Unsere vordergründig so sichere Gesellschaft ist angreifbar und anfällig, allem technischen Fortschritt zum Trotz. Aber selbst solche Katastrophen haben letztlich noch ihr Gutes: Sie zei-gen, wo wir verwundbar sind. Machen deutlich, wo sich Schwachstellen, Lücken im System oder ungenügende Vorsichtsmaßnahmen auftun. Wissenschaft, Politik und Wirtschaft suchen nach Lösungen, um Ähnliches zukünf-tig zu verhindern. Nicht alles aber lässt sich letztlich völlig ausschließen – beispielsweise Erdbeben oder Hoch-wasserfl uten. Für solche Fälle wird dann aber zumindest ein Krisenmanagement aufgebaut, das sich in Notfällen bewähren kann. Damit man im Fall der Fälle weiß, was zu tun ist.

LÜKEX: Wenn die IT zusammenbrichtNeue Strategien zum Schutz der Bevölkerung bei KatastrophenÜbungen von Krisenstäben des Bundes und der Länder

Foto

: HM

DIS


Internet-Krieg

o Dass diese Übungen nicht in den Hirngespinsten übervorsichtiger Verschwörungstheoretiker gründen, be-legen zumindest zwei Vorfälle überaus deutlich. Estland wurde im Frühjahr 2007 in den ersten Internet-Krieg der Geschichte verwickelt. Hacker aus 178 Ländern stürzten sich auf das kleine Land an der Ostsee und brachten eine Million Rechner unter ihre Kontrolle. Die staatliche Verwaltung war ausgeschaltet. Es dauerte Tage bis der Staat die Hoheit über seine Rechner zurückgewann. Organisiert hatte dies angeblich die privatwirtschaftlich betriebene IT-Tochter des weißrussischen Geheimdiens-tes. Rund 25.000 Dollar sollen dabei gefl ossen sind. Im vergangenen Jahr hat der Stuxnet-Wurm für viel Wirbel gesorgt. Erstmals wurde gezielt eine Atomanlage im Iran angegriffen. Fachleute ordnen einen Angriff dieser Dimension nicht mehr dem Hacker- und Kleinkriminel-len-Umfeld zu. Hier hatten mit Sicherheit hochprofessio-nelle, möglicherweise auch staatliche Stellen ihre Finger im Spiel. Es ist also überaus angebracht, dass man sich auch in Deutschland mit diesem Thema beschäftigt und die Vorkehrungen verbessert. LÜKEX 2011 leistet hierzu seinen Beitrag.

Intensiv übendes Land Hessen

o Bei der LÜKEX11 steht das Thema IT-Sicherheit auf der Agenda. Das Szenario sieht folgendermaßen aus: Zielgerichtete Angriffe werden mit gleichzeitiger Ausnut-zung von IT-Schwachstellen kombiniert und es entstehen infolgedessen erhebliche gesamtstaatliche/gesamtge-sellschaftliche Folgewirkungen (wie Gefährdung der Luftfahrtsicherheit, Versorgungsengpässe). Die IT ist zur Lebensader der Gesellschaft geworden. Das wird erst richtig deutlich, wenn Störungen oder Gefährdungen eintreten. Dass ein PC ausfällt, ist noch keine Katastro-phe. Wenn aber in großem Stil die Netze zusammen-brechen, stehen Strom- und Wasserversorgung ebenso vor dem Kollaps wie die medizinische Versorgung oder die Versorgung der Bevölkerung mit Geld. Die Übung im November/Dezember 2011 soll IT-Gefährdungen und IT-Abhängigkeiten verdeutlichen. LÜKEX 2011 will zudem Folgewirkungen aufzeigen und das IT-Krisen-management verbessern. An der LÜKEX 2011 beteiligt sich Hessen als eines von fünf intensiv übenden Ländern. Weitere neun Länder und zahlreiche Bundesministerien nehmen ebenfalls an der Übung teil. Als Vertreter der Bundesländer wurde Viktor Jurk vom IT-Planungsrat in den Lenkungsausschuss für die LÜKEX11 berufen (siehe Interview Seite 34).

Foto

: HM

DIS

34

HZD: Der Behördenspiegel ist der Meinung, dass der komplette IKT-Zusammenbruch dem totalen Krieg gleich kommt. Sehen Sie das auch so dramatisch?

JURK: Das ist sehr reißerisch formuliert. Bei solchen Ver-gleichen stimmen die Maßstäbe nicht. Es ist allerdings nicht zu leugnen, dass unsere Verwaltung, wie die mo-derne Gesellschaft insgesamt, immer abhängiger vom Funktionieren der IKT wird. Diese zunehmende Abhän-gigkeit bringt eine Gefährdung der Handlungsfähigkeit bei Ausfällen oder bei der Manipulation der IKT mit sich. Wir müssen uns darauf einstellen, dass es solche Angriffe gibt und dass es in deren Folge zu Ausfällen und Beein-trächtigungen kommt.

HZD: Aber haben die Hacker der IT nicht schon immer das Leben schwer gemacht?

JURK: Wir erleben in diesen Tagen einen grundlegen-den Wandel in der IKT-Bedrohungslage. Die Angreifer werden professioneller, kommerzieller und krimineller; sie organisieren sich weltweit und es kommt darüber hinaus zu einer Verquickung mit halbstaatlichen und staatlichen Angriffen; Stichwort: Industriespionage. Sie können sich heute schon bei der Entwicklung von Soft-ware die Lücken für Angriffe kaufen. Gleichzeitig gehen viele Menschen sträfl ich leichtsinnig mit ihren persönli-chen Netzdaten um.

HZD: Nach Stromausfall, Pandemie und „schmutziger Bombe“ ist LÜKEX 2011 also aus gutem Grund dem Thema „IT-Sicherheit“ vorbehalten. Die Vorbereitungen haben bereits Mitte 2010 begonnen. Was ist bis jetzt passiert?

JURK: Zunächst wurden die Grundszenarien der Übung und daraus resultierend die Beteiligungen abgestimmt. Hessen zählt zusammen mit Niedersachsen, Hamburg, Sachsen und Thüringen zu den Intensiv-Übungsländern. Derzeit werden die Grundszenarien detailliert. LÜKEX ist eine strategische Übung auf der staatlichen und gesell-schaftlichen Ebene – nicht etwa zu vergleichen mit einer Katastrophenübung. In Fachkonferenzen mit Bundes- und Landesbehörden sowie Unternehmen mit kritischer Infrastruktur wird dann Näheres besprochen.

Viktor Jurk hat Wirtschaftsinformatik studiert und war nach Tätigkeiten bei Banken und im Handel über Jahre in verschiedenen Führungspositionen der HZD tätig. 2002 wechselte er zum Hessischen Innenministerium. Hier war er zunächst für die IT der Polizei zuständig und dann für die IT des gesamten Innenressorts. Mit der Bildung der Abteilung E-Government und Verwaltungsinformatik wurde er deren stellvertretender Leiter. Im November 2010 wurde er als Vertreter des IT-Planungsrats in den LÜKEX-Lenkungsausschuss berufen.

HZD: Herr Jurk, organisiert ein Hesse übungshalber die Rettung der Welt?

JURK: Nein, um die Rettung der Welt geht es hier wirk-lich nicht und dafür wären auch dann andere zuständig. Ich wäre schon damit zufrieden, einen Beitrag dafür zu leisten, Hessen gegen die wachsenden Gefahren aus dem Netz zu wappnen.

HZD: Was glauben Sie, war ausschlaggebend für Ihre Berufung?

JURK: Hessen ist eines der fünf intensiven Übungslän-der. Das liegt nicht zuletzt darin begründet, dass wir bei-spielsweise mit dem Flughafen, dem Bankplatz Frankfurt oder dem transatlantischen Internetknoten ein besonde-rer Standort sind. Daher tragen wir in Hessen auch eine besondere Verantwortung. Als der für die IT-Sicherheit des Landes Zuständiger lag diese Berufung nahe, sie war quasi in meiner Tätigkeit begründet.

Gespräch mit dem LÜKEX-Länder-Koordinator Viktor JurkDie Fragen stellte Wolfgang Gerz


spielt. Am Morgen des 30. November eskaliert die Lage, die IKT der Verwaltung wird der Angriffe nicht Herr, die Angriffe schwappen auf die Unternehmen mit kritischer Infrastruktur über und die Krisenstäbe der Länder und des Bundes werden einberufen. Der zweite Übungstag ist den Abwehrmechanismen vorbehalten.

HZD: Wenn es ein Drehbuch gibt, gibt es dann auch einen Regisseur, der den gesamten Ablauf steuert?

JURK: Die Fäden laufen beim BBK zusammen, dem Bun-desamt für den Bevölkerungsschutz. In deren Händen liegt die Steuerung – und im Übrigen auch die Bewer-tung. Es wird nicht nur geübt, es wird auch die Fähigkeit und Performance der Abwehr beobachtet und beurteilt.

HZD: Inwieweit ist die hessische Verwaltung in diese Übung einbezogen?

JURK: Hessen verfügt über ein gut ausgestattetes Krisenzentrum und ist organisatorisch wie technisch gut aufgestellt, um Gefahren abzuwenden. Wir haben zudem einen ständigen Arbeitskreis IT-Sicherheit eingerichtet, in dem alle Ressorts vertreten sind. Damit haben wir eine erste Voraussetzung erfüllt. Im Vorfeld der Übung werden wir diese Grundlagen weiterentwickeln und ein IT-Krisenmanagement einrichten – auch ein gewollter Übungszweck von LÜKEX, sich in der Vorbereitung auf die Übung besser zu organisieren.

HZD: Was kommt denn nach dem zweiten Übungstag? Wie werden die Erfahrungen verarbeitet und ausge-wertet?

JURK: Nach dem 1. Dezember 2011 beginnt umgehend eine intensive Auswertungsphase. Die gesamte Übung wird nicht nur von einem separierten Netzwerk gesteu-ert, sondern auch über eine spezielle Software bundes-weit nachverfolgt; auch unsere Arbeit im Krisenstab des Innenministeriums. Daraus ergeben sich natürlich zahl-reiche Schlussfolgerungen. Bis April 2012 werden sich die Auswertungen hinziehen. Dann erst kann ich dem IT-Planungsrat meinen Abschlussbericht mit Schlussfol-gerungen speziell für die Zusammenarbeit der Länder bei IT-Sicherheitsfragen vorlegen.

HZD: Was, beispielsweise?

JURK: In Fachkonferenzen wird z. B. die Frage der Sicherheit im Luftverkehr erörtert. Hier sind dann unter anderem die Fraport AG, die Deutsche Flugsicherung, Airlines, das Bundesverkehrsministerium oder die Bun-despolizei beteiligt. Wie sehen Angriffsszenarien aus, welche Gegenmaßnahmen sind möglich, wer muss sich mit wem abstimmen, derartige Themen werden vertieft. Die Ergebnisse fl ießen zu einem Übungsszenario ein.

HZD: LÜKEX reicht also weit über die öffentliche Ver-waltung hinaus?

JURK: Ja, natürlich. Besonders die Abstimmung und Zusammenarbeit mit Unternehmen, die eine kritische IT-Infrastruktur betreiben, ist uns wichtig. In Hessen sind das für die LÜKEX 11 der Flughafen, die Banken oder auch bedeutende IuK-Unternehmen. Wenn infolge von IKT-Angriffen die Geldautomaten nicht mehr korrekt funktionieren, wird selbst die Bevölkerung unruhig.

HZD: Die eigentliche Übung fi ndet am 30. November und 1. Dezember 2011 statt. Was wird da geprobt?

JURK: Es beginnt eigentlich schon am 24. November mit ersten Angriffen auf die IKT der Landes- und Bun-desbehörden. Über ein gemeinsames Übungsdrehbuch mit verschiedenen Ereignissen werden die Teilnehmer in den Ländern und im Bund mit Angriffssituationen konfrontiert, erste Abwehrstrategien werden durchge-

36

HZD: Wenn für eine IT-Sicherheits-übung ein solcher Aufwand betrie-ben wird, ist dann das Sicherheits-denken immer noch nicht in den Köpfen der IT-Welt angekommen?

JURK: Doch, das ist durchaus ange-kommen. Aber ich sehe dies als eine Daueraufgabe an. Man muss immer wieder auf die Gefahren hinweisen, sonst schleicht sich mit der Zeit eine gewisse sorglose Routine ein. Daher veranstalten wir in Hessen auch regelmäßig IT-Sicherheitstage. Zuletzt war dort das BSI zu Gast und hat erläutert, welche Fallen sich beim Internet-Surfen für den arglosen Benutzer auftun. Dane-ben gilt es technische Vorsorge zu treffen. So starten wir in 2011 mit der TU Darmstadt und dem Hessi-schen Datenschutzbeauftragten ein wissenschaftliches Projekt „Sicheres Surfen“. Wir werden in Hessen unse-re IT-Sicherheitsarchitektur anlässlich LÜKEX immer weiterentwickeln.

Manfred Pospich, Leiter der Abteilung Kommunikationsdienste, an der Drehtür im HZD-Neubau

»Das Hessennetz zur Sprach- und Datenkommunikation ist ein Beitrag zur Umsetzung des nationalen Plans für kritische Infrastrukturen.«


Neue Aufgaben

o So verwundert es nicht, dass das BSI auch bei dem geplanten Nationalen Cyber-Abwehrzentrum eine ent-scheidende Rolle spielt. Das Bundesamt residiert an der Godesberger Allee in Bonn und zählt derzeit etwa 500 Bedienstete. Als Präsident fungiert seit dem 16. Oktober 2009 Michael Hange. Gegliedert ist es bislang in vier Ab-teilungen: Eine Allgemeine Verwaltung und Abteilungen für Sicherheit in Anwendung, Infrastrukturen und Netzen, Kryptographie und Abhörsicherheit sowie Zertifi zierung, Zulassung, Neue Technologien.

Anwendungen und Netze

o Besondere Bedeutung kommt in Anbetracht der neu-en Entwicklungen der Abteilung Sicherheit zu, die von Hartmut Isselhorst geleitet wird. Die beiden integrierten Fachbereiche sorgen sich um die Sicherheit in Anwen-dungen und Kritischen Infrastrukturen (Fachbereich 11) und um die Sicherheit in Netzen (Fachbereich 12). Der Fachbereich 11 umfasst fünf Referate. Deren Bezeich-nungen sind bereits sehr aussagekräftig hinsichtlich der Aufgabenstellung: Kommunikationssicherheit in Ge-schäftsprozessen, Kritische Infrastrukturen und IT-Sicher-heitsrevision, IT-Sicherheitsberatung, IT-Sicherheitsma-nagement und IT-Grundschutz sowie Hochverfügbarkeit in kritischen Geschäftsprozessen. Der Fachbereich 12 gliedert sich in sechs Referate. Hier dreht sich alles um die Netzsicherheit. Das Referat 2 beispielsweise sorgt sich um Internetsicherheit, das Referat 5 arbeitet an der Abwehr von Internetangriffen.

Nationale IT-Sicherheit

o Wo geheime, sensible oder vertrauliche Daten verarbeitet und verschickt werden, ist Datensicherheit oberstes Gebot. Das gilt dann natürlich auch für die Daten der zahlreichen Behörden bei Bund, Ländern und Kommunen. Denken Sie nur an Bundeswehr und Polizei, an Steuer- und Gesundheitsdaten. Kein Wunder, dass mit dem Aufkommen der Datenverarbeitung auch deren Sicherheit vermehrte Aufmerksamkeit zukam. Heute ist das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) die nationale IT-Sicherheitsbehörde, vorrangig auch der zentrale IT-Sicherheitsdienstleister des Bundes. Das Amt wirkt dabei weit über die Bundesverwaltung hinaus: So haben sich auch die Länder, darunter unter anderem Hessen, Standards und Vorgaben des Bundes-amtes zu Eigen gemacht. Dies ist in der Informationssi-cherheitsleitlinie des Landes Hessen niedergeschrieben. Die HZD hat in ihren Datensicherungsstandards ver-merkt, dass das Leistungsangebot gemäß BSI-Grund-schutz erbracht wird.

Anfänge im Chiffrierwesen

o Die Geschichte der Behörde reicht bis 1986 zurück. Damals wurde der Zentralstelle für das Chiffrierwesen ein Aufgabenbereich „Computersicherheit“ zugewiesen. 1989 erfolgte die Umwandlung in die Zentralstelle für Sicherheit in der Informationstechnik. Im gleichen Jahr verabschiedet die Bundesregierung das IT-Zukunfts-konzept und daraus abgeleitet ein „Rahmenkonzept zur Gewährung der Sicherheit bei Anwendung der Informa-tionstechnik“. Darin wird schon das BSI als selbständige Bundesoberbehörde genannt. Am 1. Januar 1991 nahm das Amt seine Arbeit auf. 2001 und nochmals 2009 wurden dem BSI im Zuge gesetzlicher Verordnungen weitere Befugnisse zugebilligt. Diese Erweiterung des Aufgabenspektrums gründet zum einen in der wachsen-den Bedeutung der IuK-Technik und zum zweiten in den weiter steigenden Bedrohungen im IT-Umfeld.

Der IT-Sicherheitsdienstleister des BundesDas Bundesamt für Sicherheit in der Informationstechnik wirkt auch in die Länder hinein

38

Das BSI betreibt deutschlandweit die Verwaltungs-PKI. Ziel ist es, einen sicheren Datenaustausch zwischen Bund, Ländern und Kommunen und auch untereinander sicherzustellen. Die Hessen-PKI ist an die Verwaltungs-PKI des Bundes angeschlossen. Die HZD als Betreiber sowie die Nutzer müssen für den sicheren Betrieb bezie-hungsweise den Einsatz der Hessen-PKI die technischen und organisatorischen nationalen und internationalen Standards umsetzen, die sich aus den Vorgaben aus Bonn ergeben.

Was bei der Einführung ganz deutlich wird, ist die Tat-sache, dass Sicherheit nicht allein durch die Technik be-stimmt wird. Auch die Organisation muss sich Anpassun-gen und Neuerungen gefallen lassen. Von daher ist auch der lange Prozess bis zur Einführung nicht verwunderlich. Etwa zwei Jahre hat es in Hessen gedauert. Das BSI muss dabei alle Vorgaben und Dokumente prüfen und genehmigen. Für die Anbin-dung an die Verwaltungs-PKI hat das Land Hessen (vertreten durch die HZD) einen umfassenden Vertrag mit dem BSI abgeschlossen.

HZD – PKI – BSI

o Besonders eng haben HZD und BSI bei der Einfüh-rung der Hessen-PKI zusammengearbeitet. Abteilungs-leiter Manfred Pospich, der die Zertifi kate persönlich in Bonn abholte, bewertet das Zusammenwirken seit 2004 als äußerst angenehm und produktiv. Zum Einsatz einer Public Key Infrastructure (PKI) gibt es verschiedene Mög-lichkeiten. Die in Hessen realisierte Lösung hat sich als die derzeit beste, weil sicherste Variante, herausgestellt, da Chipkarten als Zertifi katsspeichermedium verwendet werden. Der praktische Einsatz in Hessen ging in Schü-ben voran. Komplett ausgestattet ist bisher das Ministe-rium für Wirtschaft, Verkehr und Landesentwicklung. Bei allen anderen Ressorts und nachgeordneten Behörden befi ndet sich die Hessen-PKI in der Einführungsphase. In der HZD wird die Hessen-PKI zum verschlüsselten Versand von Daten mit Personenbezug verwendet. Die Hessen-PKI ist Teil der zentralen IT-Dienste im Land und Standard für alle Ressorts. Die hessische Verwaltung kann damit verschlüsseln, signieren und sich am Rechner anmelden.

Der IT-Sicherheitsdienstleister des BundesDas Bundesamt für Sicherheit in der Informationstechnik wirkt auch in die Länder hinein

g


Kritische Infrastrukturen schützen

o Der damalige Innenminister Thomas de Maizière wurde dabei deutlich: „Der Schutz kritischer Informa-tionsinfrastrukturen ist eine existentielle Frage des 21. Jahrhunderts.“ Dass der Beschluss zur Einrichtung eines Cyber-Abwehrzentrums solange gedauert hat, verwun-dert eigentlich. In der Fachpresse wurde schon länger auf die Gefahren hingewiesen. Die Politik wollte es lange Zeit nicht wahrhaben. Auch Militärs wirkten weitgehend ratlos. Dabei hätte man spätestens im Sommer 2004 hellhörig werden müssen, als Millionen von E-Mails pro Stunde auf die Netz-Adressen der Regierung prasselten. Die Systeme fi elen infolgedessen aus und die Ministe-rien waren vom Internet abgeschnitten. Erst nach Tagen zogen sich die unbekannten Angreifer zurück. Trotz der Einschaltung des Bundeskriminalamtes bleibt der Vorfall bis heute unaufgeklärt. Netzgangster hinterlassen eben zwar virtuelle Fingerabdrücke, sind aber selten in der Realität zu fassen. Längst geht es um mehr als nur die Lähmung von Infrastrukturen. Die Manipulation rückt als Motivationsgrund in den Vordergrund. Große IT-Systeme regeln beispielsweise die Versorgung mit Wasser, Strom oder Gas. Wer dort an der richtigen Stelle einen Virus platziert, kann eine gesamte Volkswirtschaft zum Still-stand bringen. Die Bundesregierung bewertet ein funkti-onsfähiges Internet und reibungslose Informationsfl üsse zur Steuerung von Industrie, Wirtschaft und Verwaltung genauso wichtig „wie fl ießend Wasser und die Luft zum Atmen“, so die FAZ.

Wikileaks und Stuxnet

o Die Enthüllungen geheimer Aufzeichnungen der US-Regierung durch das Online-Portal Wikileaks haben nicht nur dessen Betreiber Julian Assange weltweit in die Schlagzeilen gebracht. Selbst Bürger, die bisher noch nicht im Netz zu Hause sind, diskutierten über die teilweise peinlichen Inhalte und auch über die Wege, auf denen die brisanten Informationen den Weg an die Öffentlichkeit fanden. Alles, was Wikileaks bisher pub-liziert hat, passt auf einen Speicher nicht größer als ein Fingernagel. Dass Datenträger in dieser Größenordnung praktisch überall hinein- bzw. herauszuschmuggeln sind, muss daher nicht verwundern. Für die vorrangig betrof-fenen USA war somit der Bote der Bösewicht. Ansons-ten sah man von Sanktionen gegen die Verfasser der Vermerke größtenteils ab. In Berlin musste zumindest ein Informant aus den Reihen der FDP seinen Hut nehmen.

Während Wikileaks – samt seinem exzentrischen Chef – über Wochen Topthema in den Medien war, beschäftigte der Stuxnet-Wurm indessen die IT-Insider. Beide Vorfälle trafen die Schönredner einer lückenhaften und teils ge-fährlichen Informationstechnik ins Mark. Auch die Politik kam letztlich nicht mehr umhin, Gefährdungspotenziale ernstzunehmen. Selbst die Münchener Sicherheits-konferenz im Februar 2011 hat es deutlich formuliert: Cyberangriffe sind eine bisher unterschätzte Bedrohung moderner Gesellschaften. Das Netz ist Segen und Fluch zugleich. Ein Cyber-Abwehrzentrum soll die IT der öf-fentlichen Verwaltung zukünftig gegen Angriffe aus dem Netz sicherer machen. Im Februar 2011 hat das Kabinett eine entsprechende Vorlage beschlossen.

Bund richtet Cyber-Abwehrzentrum einPolitik nimmt IT-Gefährdungspotenziale ernst – Angriffe aus dem Netz werden immer dreister

40

Krieg im Netz

o Der „Cyber-War“, der Krieg im Netz, ist kein Horror-gemälde der Zukunft, sondern leider schon Realität. Mit dem neuen Abwehrzentrum hat die Bundesregierung den Kampf angenommen. Die Federführung liegt beim Innenminister, doch schon im November letzten Jahres hat der damalige Innenminister de Maizière seine Kolle-gen aus dem Außen- und Verteidigungsressort einbezo-gen. Im Nationalen Cyber Abwehr Zentrum (kurz NCAZ) kommt dem Bundesamt für Sicherheit in der Informati-onstechnik eine tragende Rolle zu. Auf dessen Schultern wird ein Großteil der entsprechenden Aufgaben ruhen. Eingebunden beim Krieg im Netz sind vorrangig zudem das Bundesamt für Bevölkerungs- und Katastrophen-schutz und der Bundesnachrichtendienst. Nach dem Vorbild des schon bestehenden Terrorabwehrzentrums sollen später noch die Bundeswehr, das Bundeskrimi-nalamt, die Bundespolizei und der Zoll hinzugezogen werden. Dass man sich so umfassend organisiert, un-terstreicht den Ernst der Lage und macht deutlich, dass man den Gefahren nun mit Nachdruck ins Auge sieht.

Aurora Experiment

o In Amerika hat man die Gefahren aus dem Netz früher als in Europa erkannt, ist aber auch nicht viel weiter in der Abwehr. Nach dem Anschlag vom 11. September 2001 bildete sich ein Koordinierungsstab, dem Heimat-schutzministerium, Armee und Geheimdienst ange-hörten. Kompetenzgerangel verhinderte jahrelang ein wirksames Arbeiten dieses Stabes. 2007 initiierte das Heimatschutzministerium dann das so genannte Aurora-Projekt. Durch manipulierte Steuerungsbefehle brachte man einen Dieselgenerator zur Explosion. Kernstück dieser digitalen Attacke war ein Computer, der Steue-rungsdaten auffi ng, veränderte und die manipulierten Daten an den Generator zurückgab. Das Experiment glückte. Das Ministerium verordnete absolute Geheim-haltung. Dabei war etwas ähnliches schon 1982 einem kanadischen Unternehmen in Russland gelungen. Dieses hatte das Steuerungsprogramm für die Verdichtungssta-tion einer Pipeline mit einem Schutzprogramm gegen Softwarediebstahl ausgestattet. Als nach acht Monaten der Freistellungscode nicht aktiviert wurde, was den rechtmäßigen Erwerb nachgewiesen hätte, veränderte die Software automatisch die Drucksteuerung. Folge: Die Verdichtungsstation der Pipeline explodierte. Staat und Wirtschaft können gleichermaßen von Cyber-Attacken betroffen sein. So soll in Deutschland zur besseren Zu-sammenarbeit auch ein „Nationaler Cyber-Sicherheitsrat“ eingerichtet werden. Neben der Wirtschaft sind hier das Kanzleramt, das Auswärtige Amt sowie die Ressorts In-nen, Verteidigung, Justiz und Wirtschaft vertreten. Auch die Länder werden beteiligt.

Bund richtet Cyber-Abwehrzentrum einPolitik nimmt IT-Gefährdungspotenziale ernst – Angriffe aus dem Netz werden immer dreister


Tägliche Angriffe

o Im Jahr 2009 registrierte der Verfassungsschutz 1.600 Angriffe auf die Regierungscomputer. Im Jahr 2010 stieg die Zahl auf über 2.000. Noch zeigt sich das Netz den Angriffen weitgehend gewachsen. Doch die Angreifer werden immer geschickter. Sie nutzen vor allem Si-cherheitslücken in Betriebssystemen und Kommunikationsprotokollen aus. Viele Schad-Mails an das Aus-wärtige Amt werden so deklariert, als stammen sie von Botschaften im Ausland. Einige Wege führen dabei in die asiatische Welt. So vermutet es zumindest der Verfassungsschutz. Dort sollen etwa 30.000 Mitarbei-ter von Armee und Geheimdienst zum Spionieren im Netz abgestellt sein. Beweisen lässt sich so etwas natürlich nicht. Beschwerden werden damit beantwortet, dass man selbst von den Angriffen bedroht sei. Zwecks Abwehr will man gerne mit Deutschland zusammenarbeiten. Wo die Zusammenarbeit aber wirklich angebracht wäre, da steckt sie noch in den Kinderschuhen: auf europä-ischer Ebene.

Marcus Milas, Technischer Direktor der HZD,

vor der Netzersatzanlage

»Hohe Sicherheit, Qualität und Kundenzufriedenheit mit Kosteneffi zienz verbinden – das ist unser Auftrag.«

42

Smartphone/iPhone/BlackBerry

o Das Smartphone und seine Verwandten iPhone oder BlackBerry sind kleine Alleskönner. Sie sind PC, Tele-fon, Fotoapparat und Media-Player in einem. Und sie sind winzig. Das macht sie so gebrauchsfähig und auch so gefährlich. Sie passen in jede Hosentasche. Jeder kann so zum Beispiel überall schnell und unbemerkt Fotoaufnahmen machen. Sie eignen sich vortreffl ich zur Spionage. Wer kennt nicht die Minikameras aus alten Agentenfi lmen? Die waren für den Normalsterblichen unerschwinglich. Heute kann jeder ein solches Teil mit sich führen, und das ganz und gar unauffällig. Mit dem Smartphone ist man auch ganz schnell im Netz – sowohl im Mobilfunk- oder Festnetz als auch im Internet – und kann über Twitter und Facebook Aufnahmen und Nach-richten in Sekundenschnelle weltweit publik machen. Das hat, wenn man an die zurückliegenden Ereignisse in der arabischen Welt denkt, durchaus eine positive Seite. Genauso schnell sind aber auch Bilder in Umlauf gebracht, die Menschen verunglimpfen, beleidigen oder bloßstellen, oder betriebsinterne Informationen der Öffentlichkeit preisgeben.

Am 7. November 2010 titelte die FAZ „Was willst du mit dem iPad, sprich!“ Es geht um die wirkliche brauchbare Nutzung immer neuer Technik. Im Foto zum Artikel ist der damalige Bundeswirtschaftsminister Rainer Brüderle bei der Nutzung eines iPads abgebildet. Auf dem Pult vor ihm liegen noch Brille, Kuli und Handy. Jetzt stellt sich die berechtigte Frage: Braucht Brüderle auf seiner Regierungsbank außer Handy auch noch ein iPad? An-scheinend schon. Doch ist er sich auch bewusst, welche Gefahren in seiner immer ausufernden Mobilität liegen? Im Folgenden haben wir einige Errungenschaften der modernen IT hinsichtlich ihrer Gefährdungspotenziale betrachtet.

Notebook/Netbook

o Das Notebook ist inzwischen zu einem weitverbreite-ten und gängigen Arbeitsgerät geworden. Ob im Café, im Intercity oder in der Flughafenhalle – überall machen sich fl eißige Hände an ihrem Kleincomputer zu schaffen. Natürlich werden die Geräte dann auch schnell einmal irgendwo liegengelassen, bisweilen werden sie auch zum beliebten Ziel von Langfi ngern. Auch gegen unlieb-same Schulterblicke ist man nicht gefeit. Da lassen sich mitunter wichtige vertrauliche Informationen mitlesen. Abhilfe gegen „Mitleser“ kann eine Blendschutzfolie schaffen. Gegen den Datendiebstahl hilft eine verschlüs-selte Festplatte, gegen den Hardware-Diebstahl mecha-nische Diebstahlsicherungen und natürlich das wache Auge des Benutzers. Die Datenübertragung über öffent-liche und damit in der Regel unsichere Netze ist auch ein Risikofaktor, dem nur mit Verschlüsselung entgegnet werden kann.

Gefahren durch Mobilität


der irrt. Auch der USB-Stick eignet sich hervorragend für Datendiebstahl. Auf fast unsichtbare Weise können damit Daten heruntergeladen werden. Umgekehrt lässt sich Schadsoftware (Viren, Trojaner) unauffällig in einen Rechner einschleusen. Außerdem verführt die Größe der Sticks zum Gelegenheitsdiebstahl. Um zumindest die auf dem Stick gespeicherten Daten abzusichern, sollte der USB-Stick verschlüsselt und mit einem Passwortschutz versehen sein.

MP3-Player

o Mit dem MP3-Player lässt sich Musik hören, oft auch Videos abspielen und sogar Daten abspeichern. Das ist die ungefährliche Variante. Es lassen sich damit auch unbemerkt Tonaufnahmen und Mitschnitte anfertigen. Das ist dann nicht mehr so angenehm und entspannend. Wenn auch solche Mitschnitte keine Anerkennung vor Gericht fi nden – einem Erpressungsversuch kann damit aber Tür und Tor geöffnet werden.

iPad

o Das iPad ist ein Tablet-Com-puter der Firma Apple, der sich über einen berührungsempfi ndlichen Bildschirm bedienen lässt und kaum Wünsche an die umfangrei-chen Funktionen eines PCs offen lässt. Das Gerät kam in Deutschland am 28. Mai 2010 auf den Markt und fand sofort eine große Fangemeinde. Mit seiner glänzenden schwarzen Oberfl äche wirkt es wie ein Spiegel, der die Wünsche derjenigen refl ektiert, die hineinschauen. Sicherheitstechnisch steht das iPad in nichts seinen Brü-dern und Schwestern von Apple nach. Seit Jahren wer-den dem Betriebssystem mehr Lücken nachgewiesen als Windows oder Linux, allerdings ist es für Virenschreiber aufgrund der weltweiten relativ geringen Verbreitung al-les andere als attraktiv, Apple ins Visier zu nehmen. Doch sollte Apple gerade durch solche Topseller wie dem iPad den PC-Markt nachhaltig beeinfl ussen und neue Benutzerkreise erschließen, werden die ersten Viren und Würmer nicht lange auf sich warten lassen.

USB-Stick

o Der USB-Stick ist ein Minidatenträger, der die frü-her gebräuchlichen Disketten fl ächendeckend ersetzt hat. Hierbei gilt aber: Der USB-Stick ist als kurzzeitiger Datenträger gedacht und nicht als langfristiges Spei-chermedium für wichtige Datenbestände. Diese gehören noch immer auf eine gesicherte Festplatte. Wer meint, auf dem Stick seine Daten dauerhaft sicher abzulegen,

44

Gefahren für die Datenbestände drohen auch durch Katastrophen oder terroristische Anschläge. Der Hoch-sicherheitsbereich im RZ ist daher gegen Hauseinsturz und Bombenanschläge gesichert. Die Betonwände sind entsprechend stabil ausgelegt. Aber es besteht auch ein Gefahrenpotenzial, das nicht von Menschenhand ausgeht. Feuer beispielsweise muss nicht unbedingt gelegt werden. Deshalb hat die HZD viel Geld in einen umfassenden Brandschutz investiert. Zu den brand-schutztechnischen Anlagen gehören sauerstoffreduzierte Luft in den Rechenzentrumsräumen, Oxy-Reduct Lösch-anlagen (Stickstoffl öschung), Rauch- und Wärme-Melder, Rauch- und Wärme-Abzugsanlagen, Rauchansauganla-gen, Rauchschutztüren, Rauchschürzen, Wandhydranten/Steigleitungen, Überdrucklüftungs-anlagen, Sprink-leranlagen. Eine beeindruckende Aufzählung.

Im Rechenzentrum sind Stromversorgung und Klima redundant ausgelegt. So ist bei Ausfall eines Systems der Betrieb weiter gewährleistet. Zutritt gewährt die HZD nur unter strengsten Sicherheitsvorkehrungen. Externe müssen personenüberprüft sein und dürfen diesen Be-reich nur in Begleitung von HZD-Bediensteten betreten. Womit wir wieder am Anfang sind.

In der HZD sind Besucher immer willkommen. Wer aller-dings den Eingangsbereich betritt, der könnte zunächst einen gegensätzlichen Eindruck gewinnen. Die freundli-che Dame am Empfangsschalter will sehr genau wissen, wer da zu uns kommt. Man muss sich ausweisen und erhält dann eine elektronisch lesbare Identifi kationskarte, mit der die Drehtüren der so genannten Personenverein-zelungsanlage passiert werden können. Das macht die HZD natürlich nicht, um die Besucher zu schikanieren. Ganz im Gegenteil. Viele unserer Besucher kommen aus der hessischen Landesverwaltung. Und um genau deren Daten zu schützen, sind wir in puncto Sicherheit so peni-bel. Mit der Zugangskarte ist dann zwar die erste Hürde geschafft – doch man kommt längst noch nicht überall hin. Schon gar nicht ins Allerheiligste – das Rechenzent-rum. Zutritt hierzu hat nur ein Bruchteil der Bediensteten; nämlich diejenigen, die die Räume, Maschinen und Datenbestände überwachen und instandhalten. Besu-cher gelangen in diesen Hochsicherheitstrakt nur bei Führungen. Wer da hinein will, muss sich vorher zusätz-lich fotografi eren lassen. Denn in der Sicherheitsschleuse werden die Personen mit den gespeicherten Bildern abgeglichen. Ist kein Foto gespeichert oder stimmt das Gesicht auf dem Foto nicht mit dem der Person in der Schleuse überein, bleibt die Schleusentür zu – und damit der Zutritt ins Allerheiligste verwehrt. Das Sicherheits-konzept der HZD ähnelt einer Zwiebelschale. Von der äußeren bis innersten Schale steigen die Anforderungen an Sicherheit von niedrig bis zur Höchststufe. Die Sicher-heitszentrale der HZD überwacht die Zutritte und ist rund um die Uhr besetzt.

Der Herr der Gebäudesicherheit in der HZD heißt Uwe Schwab. Seine Handlungsweisen leiten sich aus der Informationssicherheitsleitlinie des Landes Hessen und dem Hessischen Datenschutzgesetz ab. Die Informa-tionssicherheitsleitlinie basiert zum Großteil auf den Vorgaben des BSI in Bonn. Diese sieht auch eine Außen-überwachung der Gebäude vor. Kameras ermöglichen eine Kontrolle der Häuserfronten. Die Sicherheitszentrale bedient das Gefahrenmanagementsystem. Dazu zählen Brandmeldeanlage, Einbruchmeldeanlage, Bewegungs-melder und Videoüberwachung.

Hereinspaziert – aber nicht gleich ins RechenzentrumGebäudesicherheit in der HZD

ztüren, Rauchschürzen, Wandhydranten/Überdrucklüftungs-


HZD: Herr Dr. Domack, wo gibt es denn Gemeinsam-keiten?

DR. DOMACK: Beides gründet in Regularien. Dort das Hessische Datenschutzgesetz, hier die Informationssi-cherheitsleitlinie für die Hessische Landesverwaltung. Gemeinsam ist uns die ordnungsgemäße und sichere Verarbeitung von Daten. Wir sind auch oftmals mit ähnli-chen Themen beschäftigt, betrachten sie dann aber aus unterschiedlichen Blickwinkeln.

HZD: Wo liegen die jeweiligen Schwerpunkte in Ihrer Arbeit?

BUCSA: Das Hessische Datenschutzgesetz listet in § 5 ziemlich genau auf, was der Behördliche Datenschutzbe-auftragte zu tun hat. Vorrangig geht es in der Praxis da-rum, Prozesse und Verfahren zu prüfen und zu beraten, in denen personenbezogene Daten verarbeitet werden. Vornehmlich passiert dies heute in der automatisierten Datenverarbeitung. Doch meine Verantwortung erstreckt sich auch auf Papier.

DR. DOMACK: Ein IT-Sicherheitsbeauftragter hat alle Informationen der HZD im Blick. In Abwägung der Werte der zu schützenden Informationen, der Risiken sowie des Aufwands an Personal und Finanzmitteln für Informati-onssicherheit soll für eingesetzte und geplante IT-Sys-teme ein angemessenes Informationssicherheitsniveau realisiert werden. Den Schwerpunkt meiner Arbeit sehe ich also darin, ein so genanntes Informationssicherheits-managementsystem bestehend aus Personen, Prozessen und Werkzeugen zu etablieren und weiterzuentwickeln. Dies ist eine Daueraufgabe. Vier Punkte ragen dabei he-raus. Einmal gilt es die organisatorischen Rahmenbedin-gungen zur Gewährleistung der Informationssicherheit aufrechtzuerhalten und weiterzuentwickeln. Dann ist das Informationssicherheitsmanagement kontinuierlich zu verbessern. Drittens sind abgestimmte Sicherheitsstan-dards einschließlich der Defi nition von Verantwortlichkei-ten und Befugnissen fortzuschreiben und schließlich gilt es die Komponenten zur Steigerung der Informationssi-cherheit zu zentralisieren und zu standardisieren und alle Sicherheitsvorkehrungen und -maßnahmen hinreichend zu dokumentieren.

Gundula Bucsa ist seit 2000 Behördliche Datenschutz-beauftragte der HZD. Ihr Jurastudium absolvierte Frau Bucsa in Passau und Mainz. 1998 kam sie zur HZD und war hier zunächst im Bereich „Recht“ tätig. Seit 2007 ist sie Bereichsleiterin „Organisation“.

Dr. Arno Domack ist seit 2000 in der HZD tätig. Er hat in Mainz Physik studiert, am Max-Planck-Institut promoviert und erste Berufserfahrungen im Telekommunikations-umfeld gesammelt. Seit 2001 ist Dr. Domack Bereichs-leiter, zunächst für „Neue Technologien“, seit 2007 für „Strategische Planung“ und seit Oktober 2010 als Leiter der Stabsstelle „Architekturmanagement und Informati-onssicherheitsmanagement“. Das Amt des IT-Sicherheits-beauftragten der HZD hat er im Juli 2009 übernommen. 2011 ist Dr. Domack zusätzlich auch der LÜKEX-Koordi-nator in der HZD.

HZD: Frau Bucsa, worin unterscheidet sich die Arbeit der HZD-Datenschutzbeauftragten von der des HZD-IT-Sicherheitsbeauftragten?

BUCSA: Der Gegenstand unserer Arbeit ist zwar ein an-derer, aber wir ergänzen uns auch in manchem. Für mich steht der Schutz von personenbezogenen Daten, also derjenigen Daten, die eine unmittelbare oder mittelbare Identifi zierung einer Person ermöglichen, im Vorder-grund. Hierbei geht es um solche personenbezogenen Daten, die die HZD als datenverarbeitende Stelle für ihre eigene Aufgabenerledigung verarbeitet. IT-Sicherheit beschäftigt sich hingegen umfassender mit Daten des Unternehmens. Während mir in erster Linie an einer Sparsamkeit in der Datenhaltung gelegen ist, interessiert sich der Kollege Dr. Domack mehr dafür, dass die Daten sicher und nachvollziehbar verarbeitet werden, d. h. wer wann auf welche Daten in welcher Weise zugegriffen hat.

DR. DOMACK: … und insbesondere wie diese Daten, als Werte des Unternehmens, zu schützen sind.

Datenschutz und IT-Sicherheit in der HZDDas Gespräch mit Gundula Bucsa und Dr. Arno Domack führte Wolfgang Gerz

46

HZD: Erfolgt innerhalb der Landes-verwaltung ein Informations- und Meinungsaustausch zu den Themen Datenschutz und IT-Sicherheit?

DR. DOMACK: Zur Informations-sicherheit gibt es einen entspre-chenden Arbeitskreis IT-Sicherheit, der unter der Federführung der Abteilung E-Government und Ver-waltungsinformatik des Hessischen Innenministeriums einmal monatlich tagt. Hier sind alle Ressorts vertre-ten, zusätzlich auch ein Vertreter des Hessischen Datenschutzbeauftrag-ten. Die HZD ist einerseits über den Ressortvertreter des Finanzministeri-ums und andererseits als beratendes Mitglied in diesem Gremium vertre-ten. Es werden regelmäßig Fragen an uns gerichtet und Empfehlungen von der HZD eingeholt.

BUCSA: Der Datenschutz hat sich anders entwickelt. Einen landes-weiten oder ressortübergreifenden Arbeitskreis ersetzt der Hessische Datenschutzbeauftragte. Von hier aus sorgt man für die Beratung, Kon-trolle und Information in den einzel-nen Häusern. Der Datenschutz war in den Anfängen der automatisierten Datenverarbeitung in Hessen allein über den zentralen Datenschutzbe-auftragten organisiert. Erst im Zuge der zunehmenden Ausweitung der automatisierten Datenverarbeitung wurden Datenschutzbeauftragte auf behördlicher Ebene installiert.

Ulrich Grahn, Leiter der Abteilung Steuerverfahren, vor dem Sicherungszaun der Außenanlage

»Durch länderübergreifende Kooperationen in der steuerlichen Verfahrensentwicklung sorgen wir für wirtschaftlichere IT-Lösungen.«


BUCSA: Die Beschäftigten, die tagtäglich mit Daten arbeiten, müssen sich ihrer Verantwortung bewusst sein und es auch bleiben. Sie spielen die zentrale Rolle bei der Umsetzung von Datenschutz und Datensicherheit.

HZD: Inwieweit gilt das auch für unsere Kunden?

DR. DOMACK: Unsere Kunden geben letztlich die IT-Sicherheitskonzepte mit den Sicherheitsmaßnahmen ihrer Fachverfahren frei, die sie durch die HZD betreiben lassen, und übernehmen damit auch die verbleiben-den Restrisiken. Die HZD verarbeitet als Dienstleister im Kundenauftrag die jeweiligen Kundendaten und stellt viele zentrale Infrastrukturen bereit, für die sie die Sicherheitsmaßnahmen umsetzt. Gerade in der Informa-tionstechnik ist ein rascher Technologiewandel gegeben. Daher ist die HZD bei der Informationssicherheit immer mit aktuellen Themen beschäftigt. Natürlich tritt auch die Landesverwaltung mit Fragen an uns heran. Wir beraten und unterstützen unsere Kunden dabei immer gerne.

BUCSA: Auch beim Datenschutz nehmen unsere Kunden die Verantwortung für die von ihnen in ihren jeweiligen Fachverfahren verarbeiteten personenbezogenen Daten selbst wahr. Bei Bedarf arbeitet die HZD vor allem bei der Erstellung von Vorabkontrollen und Verfahrensver-zeichnissen zu oder unterstützt anderweitig oder kommt ihrer Pfl icht zu Hinweisen an den Kunden beim Auftreten von Datenschutzverstößen nach.

HZD: Haben die von Wikileaks veröffentlichten Geheimdokumente zu einem verbesserten Bewusstsein in Sachen Datenschutz und IT-Sicherheit beigetragen?

DR. DOMACK: Diese Veröffentlichungen betreffen vorrangig ein Schutzziel der Informationssicherheit: die Vertraulichkeit. Häufi g sind solche Daten technisch und organisatorisch gut geschützt. Technische Mittel können allerdings nur sehr begrenzt gegen Vertraulich-keitsverlust schützen. Letztlich sind es die Personen, die berechtigten Zugriff auf die Daten haben, aber unbefugt weitergeben können.

HZD: Halten Sie die bestehenden Gesetze und Verordnungen für ausreichend?

BUCSA: Aus Sicht der HZD sind die bestehenden Regelungen ausreichend. Das Hessische Datenschutz-gesetz stößt allerdings an seine Grenzen, wenn es um länderübergreifende Projekte geht oder auch wenn – wie beispielsweise in MOSS – verschiedene Mandanten eigene Verfahren auf einer Plattform betreiben. Hier werden rechtliche und organisatorische Zuständigkeiten unscharf.

DR. DOMACK: Ich halte die Bestimmungen in Deutsch-land ebenfalls für ausreichend. Der neu eingerichtete IT-Planungsrat ist zur Informationssicherheit sehr aktiv. Das Bundesamt für Sicherheit in der Informationstechnik setzt im Bereich der öffentlichen Verwaltung zusammen mit der ISO-Norm 27001 ff. seit Jahren die de-facto-Standards in Sachen Informationssicherheit. Bund und Länder arbeiten immer enger zusammen, wie auch die deutschlandweite Stabsrahmenübung LÜKEX 2011 mit Schwerpunkt Informationssicherheit zeigt. Schwierig wird die Zusammenarbeit auf internationaler Ebene, da verschiedene Gesetzgebungen zu beachten sind. Die Bedrohungen aus dem Internet allerdings sind global und die Kriminalität wird immer professioneller. Hier wird mit großer Intensität an Schutzmaßnahmen gearbeitet.

HZD: Welche Rolle spielen die Bediensteten in der Landesverwaltung, was können sie tun?

DR. DOMACK: Die Informationssicherheitsleitlinie des Landes Hessen betont, wie wichtig die Beschäftigten der Landesverwaltung bei der Erreichung von Sicherheits-zielen sind. Es gilt da für alle aktiv mitzuarbeiten. Wie auch Frau Bucsa rufe ich zu einem verantwortungsvollen Umgang mit Informationen auf. Da gehen Datenschutz und IT-Sicherheit Hand in Hand. Die Mitarbeiter müssen sensibilisiert sein. Sie müssen Ungewöhnlichkeiten fest-stellen und dann auch melden. Ich stelle in letzter Zeit erfreut fest, dass die Mitarbeiter in dieser Hinsicht immer aufmerksamer werden.

Datenschutz und IT-Sicherheit in der HZD

48

BUCSA: Was Sie ansprechen, ist die Neuregelung der Datenschutzaufsicht für die Privatwirtschaft in Hessen. Regelung und Kontrolle der Datenverarbeitung durch Wirtschaft und Staat sind für den Einzelnen nach wie vor wichtig, da die Verarbeitung selten freiwillig und keines-wegs immer im Interesse des Einzelnen ist. Man denke an das Bundeszentralregister oder unkontrollierten Adresshandel. Was der Einzelne privat und freiwillig im Web veranstaltet, liegt in seiner Entscheidungshoheit. Dass die Grenzen zwischen diesen Bereichen fl ießend sind, die Konsequenzen einer Veröffentlichung eige-ner Daten im Netz wenig überschaubar und Angriffe auf die Person auch von privater Seite drohen, macht ein überlegtes Vorgehen für den Einzelnen allerdings schwierig. So weit möglich sollte der Gesetz- und Verord-nungsgeber hier fl ankierende Regelungen schaffen und befördern, beispielsweise bezüglich sicherer Kommu-nikationswege im Behördenverkehr, die dem Einzelnen die Hoheit über seine Daten im Netz so weit wie möglich sichern.

BUCSA: Der Sachverhalt macht einmal mehr deutlich, dass es keinen hundertprozentigen Schutz von Infor-mationen und personenbezogenen Daten geben kann. Restrisiken müssen identifi ziert und weitestgehend mini-miert werden. Das bezieht sich auch und gerade auf den Einsatz der Beschäftigten in sensiblen Bereichen. Bei der Umsetzung des Datenschutzes ist die Rolle der Beschäf-tigten und nicht zuletzt ihre Stellung zum Unternehmen zentral.

HZD: Frau Bucsa, für 2011 wurde eine Novelle des Hessischen Datenschutzgesetzes angekündigt, in der die Zuständigkeit für den Datenschutz von Privaten neu geregelt werden soll. Macht es überhaupt noch Sinn, die Daten von Privatpersonen zu schützen, wenn diese millionenfach freiwillig ins Netz gestellt werden?

Datenschutz und IT-Sicherheit in der HZD


BUCSA: Die systematische Betrachtung des Datenschut-zes bei der Planung, der Einführung und dem Betrieb von IT-Verfahren ist ein erster Garant dafür, dass Verstöße gegen den Datenschutz nicht gehäuft vorkommen. Und schließlich gibt es Mechanismen, die greifen, wenn es zu Verstößen gegen den Datenschutz kommt. Da zeigen sich die Beteiligten schnell einsichtig. Schließlich möchte keine Dienststelle Dauergast im alljährlich erscheinen-den Tätigkeitsbericht des Hessischen Datenschutzbeauf-tragten sein.

HZD: Herr Dr. Domack, das Treiben zwischen IT-Sicherheitskräften und Hackern mutet oftmals wie das Spiel zwischen Hase und Igel an. Wer ist letztlich schneller?

DR. DOMACK: Dieser Wettlauf ist der Informationssi-cherheit in die Wiege gelegt. Solange Informationen Werte darstellen, sind sie Ziel von Kriminellen, die sich dadurch Vorteile verschaffen wollen. Daten sind leicht zu transportieren, von großer Ferne aus zu manipulieren, eine Rückverfolgbarkeit auf den Verursacher oft nicht möglich oder rechtlich und technisch aufwändig. Die Schutzmaßnahmen müssen regelmäßig an neue tech-nische Entwicklungen und Nutzungsmöglichkeiten an-gepasst werden, so dass man stets ein unattraktives Ziel darstellt. Dies ist gar nicht so schwer, wenn Schutzmaß-nahmen nur konsequent genug angewendet werden. Eine Lücke kann dann dazu führen, dass viele ergriffene Schutzmaßnahmen unterlaufen werden können.

HZD: Weder bezüglich Datenschutz noch wegen IT-Sicherheitslücken ist das Land Hessen bisher in die Schlagzeilen geraten. Machen wir alles richtig?

DR. DOMACK: Die Vergangenheit hat gelehrt: Keine Schutzmaßnahme ist gut genug, dass sie nicht irgend-wann überwunden werden kann. Wir können nur ver - suchen, uns so gut wie möglich zur Informationssicher-heit aufzustellen. Vieles kann man planen, umsetzen und üben. Aus den Fehlern Einzelner können alle lernen und sich in diesem Aspekt verbessern. Daher legen wir großen Wert auf Informationsaustausch. Dass sich noch kein wirklich kritischer Sicherheitsvorfall ereignet hat, ist aber leider kein Garant dafür, alles richtig zu machen. Wir arbeiten täglich sehr intensiv daran, dass keine Sicherheitslücken entstehen.

50

DIE HZD – EIN PORTRÄT

51Die HZD – Ein Porträt

Die Hessische Zentrale für Datenverarbeitung (HZD) ist seit ihrer Gründung im Jahr 1970 der IT-Dienstleister für die hessische Landesverwaltung mit dem Hauptsitz in Wiesbaden und einer Außenstelle in Hünfeld. 1989 wurde sie Landesbetrieb. Zu ihren Kunden zählen im Wesentlichen die hessischen Ministerien und deren nachgeordnete Dienststellen, der Hessische Landtag und die Hessische Staatskanzlei. Darüber hinaus ist die HZD für Bund-Länder-Kooperationen, andere Bundeslän-der sowie Berufsgenossenschaften tätig.

Zu den Aufgaben der HZD gehören:• Durchführung von IT-Projekten • Betrieb von IT-Verfahren mit

› Betriebsmanagement, System-, Netz- und Anwendungsbetrieb

› Softwarepfl ege• Beratung und Schulungen• IT-Hessennetz und Mehrwertdienste • IT-Beschaffungen

Shared Service Center

o Viele IT-Verfahren und IT-Infrastrukturen werden heute innerhalb der Landesverwaltung über Behördengrenzen hinweg genutzt, wie die Zentrale E-Mail-Plattform (ZEM), das Mitarbeiterportal oder das Dokumentenmanage-mentsystem (DMS), um nur einige Beispiele zu nennen. Die HZD als Shared Service Center bietet ihren Kunden neben der Betreuung der kundenspezifi schen Verfahren auch anspruchsvolle Querschnittsdienstleistungen an, auf die sie bei Bedarf zurückgreifen können. Vorteile sind unter anderem Synergieeffekte durch Ressourcenbün-delung, verbesserte Wirtschaftlichkeit, transparentere Abläufe durch Standardisierung und ein bedarfsgerech-tes Leistungsangebot.

Kooperationen

o Die konsequente Weiterentwicklung des Shared Ser-vice Center-Gedankens stellen weiterreichende Koope-rationen dar. Länderübergreifend ist die HZD beispiels-weise als aktives Mitglied in der Arbeitsgemeinschaft der Leiter der Datenzentralen (ALD) aktiv. Auf europäischer Ebene ist sie als Partner der „Allianz der europäischen Verwaltungs-IT-Dienstleister“ (European Association of Public IT Service Providers) tätig. Beim Betrieb der großen bundeseinheitlichen Fachverfahren, wie im Be-reich der Justiz und der Steuer, bestehen bereits heute intensive bundesweite Kooperationen, teilweise unter Federführung der HZD. Ein bedeutendes gemeinsames Projekt zwischen Hessen und Rheinland-Pfalz ist der Betrieb eines gemeinsamen Ausweich-/Ausfall-Rechen-zentrums, das in Mainz entsteht. Des Weiteren kooperiert die HZD mit der ekom21, dem größten kommunalen IT-Dienst leistungsunternehmen in Hessen. Ein Fokus bei der Zusammenarbeit liegt auf der Konvergenz der IT-Architekturen von Landesverwaltung und Kommunen.

Rechtsform

o Die Hessische Zentrale für Datenverarbeitung ist ein Landesbetrieb nach § 26 der Hessischen Landeshaus-haltsordnung. Grundlagen sind das DV-Verbundgesetz, das mit Änderungen am 4. Dezember 2006 neu in Kraft gesetzt wurde, die HZD-Betriebssatzung und der Kabinettsbeschluss vom 23. Dezember 1994. Die HZD untersteht der Dienst- und Fachaufsicht des Hessischen Ministeriums der Finanzen. Sie ist das Rechenzentrum der Landesfi nanzverwaltung und Oberbehörde. Soweit die HZD Aufgaben der Verwaltung oder der Gerichte und Staatsanwaltschaften wahrnimmt, die nicht zu dem Geschäftsbereich des Finanzministeriums gehören, untersteht sie der Fachaufsicht der dafür zuständigen obersten Landesbehörde, bei Rechtspfl egeaufgaben nach Maßgabe der gesetzlichen Vorschriften den zu-ständigen Gerichten und Staatsanwaltschaften.

52

Selbstverständnis

o Die Verwaltung stellt spezifi sche Anforderungen an das Know-how eines IT-Dienstleisters. Gleichzeitig muss dieser mit den Entwicklungen am IT-Markt Schritt halten und wirtschaftlich konkurrenzfähig sein. In diesem Span-nungsfeld bewegt sich die HZD seit nunmehr über 40 Jahren, hier hat sie ihre Stärken entwickelt und kontinu-ierlich ausgebaut. Die Mitarbeiterinnen und Mitarbeiter der HZD sind nicht nur IT-Spezialisten, sie arbeiten oft schon jahrelang vertrauensvoll mit ihren Kunden zusam-men und kennen deren besonderen Anforderungen an die IT.

Besonders wichtig ist in diesem Zusammenhang die Datensicherheit. In der Verwaltung werden besonders sensible Daten verarbeitet, die strengen Datenschutz-bestimmungen unterworfen sind. Mit ihren Hochsicher-heitsrechenzentren in Wiesbaden und Hünfeld sowie demnächst in Mainz verfügt die HZD über alle Vorausset-zungen, um den Anforderungen ihrer Kunden gerecht zu werden. Die Datensicherungsstandards der HZD beschreiben die IT-Sicherheitsmaßnahmen und Daten-schutzmaßnahmen, die im Leistungsangebot der HZD regelmäßig enthalten sind. Basis dafür sind die IT-Sicher-heitsleitlinie des Landes Hessen, die Regelungen des Bundesamtes für Sicherheit in der Informationssicherheit (BSI) und das Hessische Datenschutzgesetz. Über die

IT-Sicherheitsleitlinie hinausgehende Schutz-bedürfnisse werden individuell vereinbart

und maßgeschneidert umgesetzt. Die IT-Sicherheits- und Datenschutzmaß-

nahmen der HZD beschränken sich dabei nicht nur auf die Verarbei-

tung personenbezogener Daten, sondern beziehen alle auf den

Systemen der HZD verarbeite-ten und gespeicherten Daten

sowie den Gebäudeschutz mit ein. Die Gebäude der

HZD sind ähnlich einem Zwiebelschalenmodell aufge-baut. Die Sicherheitsanforderungen steigern sich von der äußeren Schale (niedrige Anforderungen) bis zu den Hochsicherheitsbereichen des Rechenzentrums (höchste Anforderungen). Vereinzelungsschleusen und Brand-schottungen schützen den hochsicherheitsrelevanten Bereich. Stromversorgung und Präzisionskühlung sind redundant ausgelegt, so dass bei Ausfall eines Systems der Betrieb dennoch gewährleistet ist. Zutritt zu den Hochsicherheitsbereichen gewährt die HZD nur unter strengsten Sicherheitsvorkehrungen − das gilt für die HZD-Mitarbeiterinnen und -Mitarbeiter genauso wie für Besucher.

Die HZD verdankt ihren Erfolg in erster Linie ihren kompetenten und engagierten Mitarbeiterinnen und Mitarbeiter. Um diese für die HZD zu gewinnen, geht die Personalpolitik der HZD schon seit vielen Jahren kreative Wege. Denn aufgrund der Vergütungsstrukturen ist es nicht einfach, IT-Spezialisten für die öffentliche Verwal-tung zu fi nden und an sie zu binden. Zu den seit Jahren bewährten Instrumenten der Personalgewinnung zählen unter anderem die regelmäßig stattfi ndenden Trainee-programme, in denen Hochschulabsolventen verschie-dener Fachrichtungen für die Informationstechnologie fi t gemacht werden sowie die anspruchsvolle Fachin-formatiker-Ausbildung mit integriertem Studium der Wirtschaftsinformatik. 2010 wurde erstmalig auch eine interne Fortbildungsmaßnahme angeboten, die gezielt für leitende Aufgaben im Betriebsumfeld ausgerichtet ist – mit großer Resonanz bei der Stammbelegschaft. Die Arbeitszufriedenheit ihrer Mitarbeiter versucht die HZD unter anderem durch gute Weiterbildungsmöglichkeiten und Arbeitsbedingungen zu erhalten und zu steigern. Bereits 2001 wurde die HZD als eine der ersten Dienst-stellen innerhalb der hessischen Landesverwaltung mit dem Zertifi kat „Beruf und Familie“ für ihre Familien-freundlichkeit ausgezeichnet. Seither hat die HZD, insbesondere die Frauenbeauftragte Ruth Hölzer, diesen Ansatz konsequent weiterverfolgt und durch Rezertifi zie-

Die HZD – Ein Porträt

IT-Sicherheitsleitlinie hbedürfnisse werden

und maßgeschneiIT-Sicherheits- un

nahmen der HZdabei nicht n

tung personsondern b

Systemeten un

sowimit e

53Die HZD – Ein Porträt

rungen bestätigen lassen. Rückmeldungen aus Mitarbei-terbefragungen bestätigen, dass die familienfreundli-chen Angebote der HZD wie fl exible Arbeitszeiten, eine betriebsnahe Kindertagesstätte und Telearbeit durchweg gut angenommen und bewertet werden. So gelingt es der HZD auch in Zeiten von Fachkräftemangel erfahrene IT-Fachkräfte für die Arbeit in der HZD zu gewinnen.

Um weiterhin auf einem qualitativ hohen Niveau zu ar-beiten und Verbesserungspotenziale zu erkennen, nutzt die HZD auch externes Fachwissen. Die HZD unterzieht ihr Qualitätsmanagement, das die kontinuierliche Selbst-prüfung sämtlicher HZD-Produkte und -Dienstleistungen umfasst, regelmäßig einer externen Prüfung. Bereits seit 1996 ist das Qualitätsmanagementsystem nach der inter-nationalen Norm DIN EN ISO 9001 zertifi ziert. Dies wird in jährlich stattfi ndenden Überprüfungen seitdem immer wieder bestätigt.

Nachhaltigkeit

o Es fällt nicht leicht, bei einem Rechenzentrum von Nachhaltigkeit zu sprechen. Immerhin sind Rechenzen-tren Schätzungen zufolge weltweit insgesamt für etwa die gleiche Menge Ausstoß an CO2 verantwortlich wie der gesamte internationale Flugverkehr. Und auch die HZD benötigt enorme Mengen Energie für den Betrieb ihres Rechenzentrums. Rund 13 Gigawattstunden (GWh) Strom verbrauchte die HZD am Standort Wiesbaden im Jahr 2010, das entspricht in etwa dem Strombedarf einer Kleinstadt von rund 5.000 Einwohnern. Nachhaltigkeit gehört dennoch zu den wichtigsten Herausforderungen für die Zukunft. Auch die HZD fühlt sich nachhaltigem Wirtschaften verpfl ichtet. In erster Linie heißt das derzeit: Strom so effi zient wie möglich zu nutzen − und für die Eigennutzung zu produzieren. Der Beitrag der HZD zu effi zienter Stromgewinnung besteht aus dem Betrieb eines hauseigenen Blockheizkraftwerkes, das 2005 auf dem Dach der HZD installiert wurde. Immerhin knapp

Die HZD in Zahlen

(Stand 31.12.2010)

Mitarbeiterinnen und Mitarbeiter 780SAP-Anwender 11.000Polizei-Anwender 19.000Schulungsteilnehmer/Jahr 4.595Unterstützte Büroarbeitsplätze 60.000Server im Rechenzentrum 2.964Gedruckte Seiten im Rechenzentrum/Jahr

90 Mio.

Hessennetz-Anschlüsse von Dienststellen

2.530

Netzwerkkomponenten im Service 4.830Netzwerkanschlüsse (Ports) in LAN und WAN

200.000

Einwahlverbindungen über VPN 2.500

vier GWh konnten darüber 2010 bereitgestellt werden. Auch wenn dieses nur einen Teil des benötigten Stroms abdecken kann, so ist die Energiegewinnung aus Erdgas in einem Blockheizkraftwerk so effi zient und damit um-weltfreundlich, dass die HZD von der Stadt Wiesbaden dafür im Rahmen des ÖKOPROFIT-Projekts als umwelt-freundlicher Betrieb ausgezeichnet wurde. Aber auch in ihrem Rechenzentrum selbst unternimmt die HZD unter Beachtung von Wirtschaftlichkeits- und Sicherheitsaspek-ten seit Jahren erhebliche Anstrengungen, um energieef-fi zienter zu werden – zum Beispiel durch die konsequente Virtualisierung von Servern. Dies führt zu einer deutlich besseren Auslastung von Servern, steigert damit deren Effi zienz und trägt so zur Energie- und Platzeinsparung bei.

54

JAHRESABSCHLUSS 2010

55Jahresabschluss 2010

Im Geschäftsjahr 2010 wurden die IT-Ausgaben in den Ressorthaushalten der hessischen Landesverwaltung auf Grundlage einer zentralen Einsparaufl age des Hessi-schen Ministeriums der Finanzen um 30 Mio. € reduziert. Die HZD erhielt die Aufl age, ihre Umsatzerlöse unter Beibehaltung gleicher Leistung und Qualität um diesen Betrag zu reduzieren und ihre Kosten in gleicher Höhe zu senken.

Durch die zentrale Kürzung der IT-Ausgaben in den Res-sorthaushalten reduzierten sich die Umsatzerlöse 2010 gegenüber dem Vorjahr um 19 % auf einen Betrag von 144 Mio. €. Neben der Reduzierung der Umsatzerlöse aufgrund der Einsparaufl age führt die Reduzierung der sonstigen betrieblichen Erträge gegenüber dem Vorjahr um 50 Mio. € zu einem Betriebsertrag 2010 in Höhe von 150 Mio. €. Der wesentliche Teil der Abweichung in den sonstigen betrieblichen Erträgen resultiert dabei aus ei-nem Einmaleffekt im Jahre 2009. Dieser ist Ergebnis der Herabsetzung der Pensions- und Beihilferückstellungen durch die Übertragung dieser Verpfl ichtungen auf die zentrale Vorsorgekasse des Landes Hessen. Im Rahmen der Neuorganisation der Versorgung des Landes Hessen wurde die zentrale Vorsorgekasse zum 1. Januar 2008 eingerichtet, in der alle Zahlungen der Versorgung und die erforderlichen Rückstellungen für Pensionsverpfl ich-tungen des Landes und künftige Beihilfeansprüche der aktiven Beamten veranschlagt werden. Im Rahmen der Integration der HZD in das Vorsorgemodell des Landes Hessen ab dem Jahr 2009 zahlt die HZD jährlich Beiträge an die Vorsorgekasse, wodurch der Ausweis der Pen-sions- und Beihilferückstellungen in der Bilanz der HZD entfällt.

Der Betriebsaufwand 2010 in Höhe von 162,6 Mio. € reduziert sich gegenüber dem Vorjahr um einen Be trag in Höhe von 72,5 Mio. €. Mit einem Betrag von 49 Mio. € waren im Jahre 2009 Anlagenabgänge aus der Übertra-gung der Grundstücke und Gebäude der HZD an den Landesbetrieb Hessisches Immobilienmanagement zu verzeichnen. Die Rückstellungen für drohende Verluste aus schwebenden Geschäften erhöhten sich im Ge-schäftsjahr 2010 gegenüber dem Vorjahr um 6,3 Mio. €. In den übrigen Kostenreduzierungen sind die Einspar-maßnahmen der HZD zur Kompensation der pauscha-

len Umsatzreduzierung dokumentiert. Als wesentliche Maßnahmen sind hier die Einsparungen im Rahmen des Ersatzes von externen Fremdleistungen durch die Gewin-nung eigenen Personals und die Kostenreduzierungen durch die Neuausschreibung der Netzdienste zu nennen. Der Leistungsplan der HZD weist das operative Ergebnis des Jahres 2010 mit einem Fehlbetrag von 9,3 Mio. € aus. Dieses Ergebnis zeigt, dass die Maßnahmen zur Kostenreduzierung zu einem wesentlichen Teil bereits erfolgreich umgesetzt wurden.

Die zentrale Einsparaufl age und die damit verbundene Minderung der Umsatzerlöse wird im Jahr 2011 fortge-führt. Es ist der selbst erklärte Anspruch der HZD, durch weitere Einsparmaßnahmen zukünftig wieder ein ausge-glichenes Jahresergebnis zu erzielen.Chancen zur Realisierung der Einsparvorgaben werden insbesondere in nachstehenden Maßnahmen gesehen:• Weiterführung des gezielten Abbaus der externen

Fremdleistungen• Erledigung des Kerngeschäfts mit eigenen

Mitarbei terinnen und Mitarbeitern• Optimierung des Rechenzentrums

Die Bilanzsumme der HZD hat sich gegenüber dem Vor jahr von 66,2 Mio. € auf 55,6 Mio. € verringert. Das Eigenkapital reduzierte sich von 32,2 Mio. € auf 19,6 Mio. € und umfasst einen erzielten Jahresüber-schuss 2010 in Höhe von 3,0 Mio. €.

Das Anlagevermögen minderte sich gegenüber dem Vorjahr um 3,8 Mio. €. Dabei stehen Abschreibungen in Höhe von 12 Mio. € Anlagenzugänge in Höhe von 8,2 Mio. € gegenüber.

Das Umlaufvermögen in Höhe von 20,3 Mio. € umfasst Ansprüche aus dem Cash-Pooling des Landes in Höhe von 14 Mio. €.

Im Jahresabschluss für das zum 31. Dezember 2010 en-dende Geschäftsjahr der HZD wurden die gesetz lichen Vorschriften einschließlich der Betriebssatzung, die Vor-gaben des Landesreferenzmodells Rechnungswesen des Landes Hessen sowie die Grundsätze ordnungsgemäßer Buchführung beachtet.

56

AFIS Amtliches Festpunktinformationssystem

ARIS Architektur integriertes Informationssystem

ARPANET Advanced Research Projects Agency Network

ARS Action Request System

ATKIS Amtliches Liegenschaftskatasterinformationssystem

BKA Bundeskriminalamt

BS2000/OSD Mainframe-Betriebssystemplattform von Fujitsu Technology Solutions

BSI Bundesamt für Sicherheit in der Informationstechnik

CIA Central Intelligence Agency

ComVor Computergestützte Vorgangsbearbeitung

DMS Dokumenten Management System

DOMEA Dokumentenmanagement für elektronische Archivierung

DSL Digital Subscriber Line

DTP Desktop Publishing

DV Datenverarbeitung

ELSTER Elektronische Steuererklärung

FABI Fortzubildende Angestellte und Beamte, Fachrichtung Informationstechnik

FAZ Frankfurter Allgemeine Zeitung

FBI Federal Bureau of Investigation

FTS Fujitsu Technology Solutions

HKM Hessisches Kultusministerium

IFAS Informationssystem für Arbeitsschutz

IKT Informations- und Kommunikationstechnik

Glossar

57

IP Internetprotokoll

ISO Internationale Organisation für Normung

IT Informationstechnik

KGB Komitee für Staatssicherheit (UdSSR-Geheimdienst)

kJ/h kilo Joule/Stunde (Energieeinheit)

KONSENS Koordinierte neue Software-Entwicklung der Steuerverwaltung

LÜKEX Länderübergreifende Krisenmanagement Exercise

MILNET Military Network

MPLS Multiprotocol Label Switching

OFD Oberfi nanzdirektion

PDA Personal Digital Assistant

PKI Public Key Infrastructure

POLAS Polizeiliches Auskunftssystem

PTLV Präsidium für Technik und Logistik der Polizei

RP Regierungspräsidium

RZ Rechenzentrum

SAN Storage Area Network

SDI Strategie Defense Initiative

TU Technische Universität

UMTS Universal Mobile Telecommunications System

USB Universal Serial Bus

WTS Windows Terminal Server

58

Herausgeber

Hessische Zentrale für DatenverarbeitungMainzer Straße 2965185 WiesbadenTelefon: 0611 340-0Fax: 0611 340-150E-Mail: [email protected]

Verantwortlich

Manuel Milani,Bereich Kommunikation und Information

Redaktion

Wolfgang Gerz, Friederike van Roye, Friederike Sachs

Gestaltung

ansicht kommunikationsagentur, WiesbadenHaike Boller (verantwortlich), Nora Herz, Anja Wernickewww.ansicht.com

Fotos

Soweit keine Quellen angegeben sind, alle Aufnahmen von Thomas Meissner (HZD).

Druck

Hessisches Landesamt für Bodenmanagement und GeoinformatikSchaperstraße 1665195 Wiesbaden

Erscheinungstermin: Juli 2011

Impressum


Mainzer Straße 29 | 65185 WiesbadenTelefon: 06 11 3 40-0 | Fax: 06 11 3 40-11 50 E-Mail: [email protected] | www.hzd.hessen.de

Documents

2.02 hzd jharesbericht 11 druck umschlag · LEISTUNGEN DER HZD 8 IT-Projekte 9 Projekt KONSENS I 9 MOSS 9 eBeihilfe 10 E-Inventory 12 Anlageninventursystem 12 ELEVATOR 13 Betriebsmanagement,