1 Die Fachhochschule Pforzheim

Die heutige Fachhochschule (FH) Pforzheim wurde 1992 durch Fusion der FH Wirtschaft und der FH Gestaltung gebildet und gleichzeitig um den Hochschulbereich Technik erweitert. Im Jahre 1996 wurde zusätzlich noch ein Studiengang Wirtschaftsrecht eingerichtet. Die Hochschule, die im Stadtgebiet Pforzheim an vier Standorten untergebracht ist, bildet rd. 3 700 Studenten aus und beschäftigt rd. 320 Personen wissenschaftliches und nichtwissenschaftliches Personal.

Das Gesamtbudget der FH Pforzheim betrug im Jahr 2000 37,4 Mio. DM. Sie finanziert sich aus Landesmitteln, Zuweisungen nach dem Hochschulbauförderungsgesetz (HBFG) sowie Drittmitteln und bucht ihre Ausgaben in acht Kapiteln mit rd. 130 Titeln. Bedingt durch diese außergewöhnliche Aufsplitterung ist das finanzielle Geschehen nur schwer nachvollziehbar, die Höhe des Gesamt-Budgets für IuK ist nicht genau bekannt. Diese Komplexität führt die FH auf die Gründungszeit zurück. Denn nach dem Gesetz zur Errichtung der FH Pforzheim genossen die Einrichtungen der FH für Gestaltung einen sog. Minderheitenschutz, d. h., sie durften sechs Jahre lang durch Beschlüsse der neuen FH nicht benachteiligt werden. Im Ergebnis seien zwei Haushalte in einem Haushalt zu führen gewesen.

Zusammen mit dem StRPA Stuttgart hat der RH die IuK-Ausgaben der FH Pforzheim an Hand der Buchungsbelege geprüft und weitere Erhebungen beim Rechenzentrum, der Verwaltungsabteilung sowie bei 11 von 14 Fachbereichen durchgeführt.

2 Feststellungen

Die IuK-Ausstattung der FH Pforzheim erscheint in den untersuchten Organisationseinheiten zur Aufgabenerfüllung im Wesentlichen sachgerecht; es sind allerdings Optimierungen und Verbesserungen möglich. Teilweise wird gegen die Grundsätze der Ordnungsmäßigkeit und Wirtschaftlichkeit verstoßen. Außerdem ist die informationstechnische Sicherheit nicht ausreichend gewährleistet.

2.1 Ordnungsmäßigkeit und Wirtschaftlichkeit

2.1.1 Beschaffungen

Die Fachbereiche beschaffen ihre IuK-Ausstattung überwiegend in eigener Zuständigkeit und zwar bisher ausschließlich im Wege der freihändigen Vergabe. Lediglich für technische Fragen wird teilweise das Rechenzentrum (RZ) zugezogen. Die Hochschule geht davon aus, dass die Fachleute aus den Fachbereichen den Markt entsprechend beobachten und die Beschaffungen nach wirtschaftlichen Überlegungen vollziehen. Handlungsanweisungen für die Beschaffer, festgelegt in Beschaffungsrichtlinien für die FH, erläutern nur, wie bei Freihandvergaben vorzugehen ist; auf Ausschreibungen gehen sie nicht ein. Als Folge davon wird häufig bei den selben Anbietern beschafft („Hoflieferanten“) und überteuert eingekauft.

Die nachteiligen Auswirkungen des unabgestimmten Vorgehens lassen sich durch die Beispiele in den Übersichten 1 und 2 belegen.

Die FH hätte teilweise Mittel einsparen können, wenn sie weniger komfortable Geräte beschafft hätte. Häufig fanden sich Markengeräte an Standard-Arbeitsplätzen, an denen nur BK-Funktionen erforderlich sind. Vielfach genügen sog. No-Name-PCs statt teurer Markengeräte, handelsübliche Server statt Work-Stations und einfachere Drucker zur Aufgabenerfüllung, ohne dass Lehre, Forschung und Verwaltung beeinträchtigt werden.

Preisunterschiede zeigt beispielhaft Übersicht 3.

Das FM schreibt in regelmäßigen Abständen Standard-Arbeitsplatz-PC, Notebook, Drucker und Zubehör für die Landesverwaltung öffentlich aus. Andere Stellen des Landes sind berechtigt, diese Angebote zu nutzen. Die vom FM ausgeschriebenen PC oder Laptop sind bei vergleichbaren Leistungsdaten und ebenfalls von namhaften Herstellern nur etwa halb so teuer, als die von der FH gekauften. Die FH hat diese Beschaffungsmöglichkeit bisher nicht genutzt. Die erheblichen Preisunterschiede zeigt Übersicht 4.

Zeitgemäße Software wird der FH von Firmen teilweise kostenlos oder zu stark reduzierten Preisen für Lehre und Forschung überlassen. Sie erfordert meist leistungsfähige Rechnerplattformen, die aber nicht in allen Labors und Pools zur Verfügung stehen, sodass der Funktionsumfang der Programme nicht immer voll ausgeschöpft werden kann oder das Antwortzeitverhalten unbefriedigend ist. Zu einem früheren Rechneraustausch sieht sich die FH wegen fehlender Haushaltsmittel nicht in der Lage. Unterschiedliche Hardwareausstattung führt darüber hinaus zu hohem Systembetreuungsaufwand. Durch gebündelte und abgestimmte Beschaffungen sowie ggf. alternative Finanzierungsformen (z. B. Leasing) könnte bei gleichbleibendem Mitteleinsatz der Rechnerbestand früher erneuert werden.

2.1.2 Personalverwaltungssystem

Für das von der FH Pforzheim für die Personalverwaltung vorgesehene Programm hat das Land noch keine Schnittstelle zum Datenaustausch mit den DV-Programmen des LBV erstellen lassen. Die bei der FH gespeicherten Personaldaten werden ausgedruckt, dem LBV per Papier zugeleitet und dort wieder neu erfasst. Dieser unwirtschaftliche und nicht mehr zeitgemäße Ablauf ist dem FM und dem MWK bekannt.

Bei Einführung neuer Verfahren darf nicht nur isoliert der eigene Geschäftsbereich betrachtet werden. Vielmehr ist die gesamte Prozesskette zu analysieren, darzustellen und nach Möglichkeit zu automatisieren.

2.1.3 Bestandsnachweis

Beim Bestandsnachweis sind folgende Unzulänglichkeiten aufgefallen:

• Verwendet wird ein veralteter Geräteschlüssel aus dem Jahre 1978. Die Schlüssel sind nicht selbsterklärend, die Einträge müssen ihnen unter zu Hilfenahme eines Kataloges zugeordnet werden.

• Der im Programm verwendete, vom Land vorgegebene Geräteschlüssel ist für den Wissenschaftsbereich nicht genügend differenziert und z.T. auch nicht aktuell, für neuere Geräte fehlen Schlüssel, hingegen sind solche für längst nicht mehr am Markt erhältliche Geräte vorhanden. Bei der Dateneingabe ist daher Einfallsreichtum gefragt. Fast zwangsläufig wurden gleichartige Komponenten mit unterschiedlichen Begriffen gebucht.

• Das Programm hat keine

• benutzerfreundliche Bedieneroberfläche,

• prüft Eingaben nicht auf Plausibilität und

• lässt Auswertungen nach der Finanzierungsquelle (Land, HBFG, Drittmittel) nicht zu.

Die Mängel führen zu unschlüssigen Daten. Einige Fachbereiche führen eigene Bestandsverzeichnisse mit einer anderen Software.

2.1.4 Revisionsfähigkeit

Die beschaffenden Einrichtungen bewahren auch die Beschaffungsunterlagen auf; an keiner Stelle der FH besteht ein vollständiger Überblick über alle IuK-Beschaffungsvorgänge und auch nicht über Verträge, nach denen fortlaufend Ausgaben zu leisten sind, z. B. Wartungsverträge („Dauerbelege“). In einem Fall konnte die FH für wiederkehrende Zahlungen keine begründenden Unterlagen vorlegen.

Weder mit dem Bestandsverwaltungsprogramm, noch mit dem für den Haushaltsvollzug eingesetzten Programm ist das finanzielle IuK-Geschehen vollständig darstellbar. Revisionsfähige Unterlagen sind mit den Auswertemöglichkeiten der Programme nur eingeschränkt zu gewinnen, sodass letztendlich die Ordnungsmäßigkeit der Bestandsverwaltung nicht gegeben ist. Außer für den Vermögensnachweis ist ein Bestandsmanagement auch für wirtschaftliches Handeln unentbehrlich. Mit ihm können beispielsweise Garantiefristen überwacht, Reparaturanfälligkeit einzelner Geräte verfolgt oder auch Grenzen für Rabattstaffeln bei Software-Lizenzen überprüft werden.

2.2 Sicherheit

Die Gebäude der FH Pforzheim an den vier Standorten sind über ein sog. Metropolitan Area Network (MAN) teils über Lichtwellenleiter, teils über ATM-Richtfunkstrecken mit dem Rechenzentrum am Hauptstandort verbunden.

Das hochschulweite Datennetz ist mehrfach kaskadiert, d. h., an die globale Struktur sind lokale Netzwerke (LAN) für die einzelnen Gebäude angeschlossen, an die sich wiederum Subnetze der einzelnen Fachbereiche koppeln. Darüber hinaus hat die FH seit 1997 eine Verbindung zum landesweiten wissenschaftlichen Hochgeschwindigkeitsnetz Belwü. Aufbau und technischer Stand der Computernetze sind nach den Untersuchungen nicht zu beanstanden.

Allerdings ist die Sicherheit der IuK in der FH Pforzheim nicht vollständig gewährleistet, es fehlen sowohl ein Datenschutz- und Sicherheitskonzept mit den notwendigen organisatorischen Regelungen („security-policy“) als auch technische Vorkehrungen in notwendigem Umfang.

Insbesondere fehlt eine Firewall zur Abwehr von Angriffen aus dem Internet, die das Campusnetz wirksam nach außen abschottet. Darum besteht ein Sicherheitsrisiko. Lediglich im Netzwerksegment der Verwaltung ist ein Firewall-System installiert, das aber nur rudimentären Schutz und auch nur für die Verwaltung bietet. Die Rechner und Server in den anderen Stellen der FH sind selbst mit einfachen Methoden leicht angreifbar. Hier besteht Handlungsbedarf. Die geschätzten Kosten für die Realisierung eines Firewall-Konzepts belaufen sich auf 30 000 - 50 000 DM.

Der RH hat der FH Pforzheim ein Firewall-Konzept mit folgenden Merkmalen zur Diskussion gestellt:

• Alle Datenströme von außen dürfen nur über ein zentrales Portal in das Campusnetz gelangen.

• Zwischen internem und externem Netz darf keine direkte physikalische Kopplung bestehen.

• Die internen Netzwerkadressen (IP-Adressen) sollten nicht nach außen sichtbar und gegen Fälschung und Missbrauch gesichert sein (IP-Spoofing). Die interne Netzstruktur ist nach außen hin zu verbergen.

• Zu installieren wäre ein externer IP-Router (Paketfilter), ein so genannter Bastion Host (Application Level Gateway) und ein nachgeschalteter interner Router (Paketfilter). An den Bastion Host ist die sog. demilitarisierte Zone (DMZ) als isoliertes Teilnetz zwischen dem geschützten und ungeschützten Bereich einer Installation anzuschließen. In der DMZ sind alle Web-Server, z. B. www-, Email-, FTP-, Telnet-Server, anzukoppeln.

• Zusätzlich zur Verschlüsselung der Daten zwischen dem Hauptstandort der FH und den anderen Standorten im Stadtgebiet Pforzheim ist die Einrichtung von sog. Virtual Private Networks (VPN) mit geschlossenen Benutzergruppen (closed user groups) sinnvoll.

3 Bewertung und Vorschläge

Wissenschaftliche Einrichtungen heben häufig auf „Besonderheiten“ ab, auch die IuK sei nicht mit der IuK in anderen staatlichen Einrichtungen vergleichbar. Das stimmt sicher für verschiedene Ausstattungsgegenstände, IuK-Anwendungen und Forschungsvorhaben. Bei genauerem Hinsehen zeigt sich aber, dass der weit überwiegende Teil der IuK-Aufgaben mit handelsüblichen Servern, Netzwerkkomponenten, PC, Bildschirmen und Druckern erledigt wird oder erledigt werden könnte. Insoweit müssen auch hier die üblichen Beschaffungs- und Dokumentationsmechanismen greifen und die Wirtschaftlichkeit stärker als bisher beachtet werden.

Selbstverständlich können die verantwortlichen Wissenschaftler weiterhin die Angemessenheit und Notwendigkeit der IuK-Ausstattung definieren, die Vorschläge des RH tangieren nicht die Freiheit von Lehre und Forschung. Auch wird insoweit nicht einer „Schmalspurausstattung“ das Wort geredet. Wenn allerdings die Anforderungen definiert sind, müssen für Auswahl der Ressourcen und Abwicklung des Beschaffungsvorganges mehr Marktmechanismen greifen als bisher, um die vorhandenen Mittel möglichst wirtschaftlich und effizient einzusetzen, was letztlich der Forschung und Lehre zu Gute kommt.

Bisher kaufen die Fachbereiche und das RZ die IuK-Ausstattung - wie dargelegt - unabgestimmt und meist in Kleinmengen. Anzustreben ist eine Bündelung der Beschaffung durch Ausschreibungen, die auch vermehrt No-name-Produkte zulassen.

Leasingfinanzierung könnte zur schnelleren Erneuerung des Gerätebestandes mit den vorhandenen Mitteln beitragen. Soweit es keine HBFG-Beschaffungen sind, kann Leasingfinanzierung - dokumentierte Wirtschaftlichkeit vorausgesetzt - in Abstimmung mit dem FM unmittelbar angewandt werden. Bislang beteiligt sich der Bund an Beschaffungen nach dem HBFG nur im Fall des Kaufes. An einem geeigneten Projekt sollte die Vorteilhaftigkeit der Leasingfinanzierung dargelegt werden.

Beschaffungen müssen bei den FH häufig von Personen „nebenher“ miterledigt werden. Deshalb wären Hilfsmittel in Form eines Handbuches mit Checklisten und Formularen hilfreich.

Hinsichtlich der Verträge mit wiederkehrenden Zahlungen ist ein aktives Vertragsmanagement erforderlich, d. h., die Notwendigkeit der Verträge ist an Hand der tatsächlich erbrachten Leistungen und der Störfälle regelmäßig zu überprüfen, das Ergebnis zu dokumentieren und die Verträge ggf. anzupassen. Insbesondere sind „automatische“ Vertragsverlängerungen zu begründen.

Ebenso wenig wie auf dem Beschaffungssektor bestehen hinsichtlich der Anforderungen an die Netzwerksicherheit nennenswerte Unterschiede: Die FH verwalten und führen - wie andere staatliche Einrichtungen auch - Datenbestände mit unterschiedlich hohem Schutzbedürfnis.

Einen Teil der Verbesserungsmöglichkeiten kann die FH im Rahmen ihrer Organisationshoheit realisieren; für die Beseitigung anderer Mängel ist das Ministerium zuständig.

Im Einzelnen hat der RH vorgeschlagen:

3.1 Die FH muss ihre Beschaffungsrichtlinien anpassen. Der RH hat gegenüber dem MWK angeregt, möglichst ein Musterhandbuch zu erarbeiten.

3.2 Durch Bündelung der Beschaffung sind bessere Rabattierungen zu erreichen. Die Hauptbeschaffungszeitpunkte sollten deshalb möglichst vor Semesterbeginn liegen und die Ausschreibungen und Vergaben - unbeschadet der Verantwortlichkeit der einzelnen Einrichtungen - weitgehend abgestimmt sein. Ausschreibungsergebnisse des FM sind zumindest als Preisvergleiche geeignet. Die Finanzierungsalternative Leasing ist jeweils mit zu berücksichtigen, wie es die einschlägigen Haushaltsvorschriften verlangen.

3.3 Das MWK sollte Wirtschaftlichkeit und Praktikabilität einer zentralen Ausschreibung von IuK-„Alltagsgeräten“ durch eine eigene Ausschreibung (mit der Zielsetzung eines Rahmenvertrags) oder durch eine pilotartig beauftragte FH prüfen.

3.4 Die wesentlichen Meilensteine aller Beschaffungsvorgänge sollten in der Haushaltsabteilung revisionsfähig dokumentiert werden. Entsprechendes gilt für die Aufbewahrung von Vertragsduplikaten als zahlungsbegründende Unterlagen bei regelmäßig wiederkehrenden Ausgaben durch die mittelbewirtschaftende Stelle (VwV zu § 70 LHO), z. B. Wartungsverträge für IuK-Technik und Software. Die Verwaltungsabteilung darf nicht einfach Rechnungen gegenzeichnen und bezahlen.

• Die Datenbestände müssen hinsichtlich Mindestanforderungen und Vollständigkeit den Richtlinien für Bestandverzeichnisse entsprechen.

• Der Geräteschlüssel sollte den Anforderungen im Wissenschaftsbereich angepasst werden. Einem entsprechenden Vorschlag des MWK hat der RH im Rahmen einer Prüfung bei Universitäten bereits zugestimmt.

3.6 Heutzutage sollten keine DV-Verfahren mit Datenaustausch per Papier mehr realisiert werden, das Personalverwaltungsprogramm benötigt eine Schnittstelle zum maschinellen Datenaustausch mit dem LBV.

3.7 Ein umfassendes Datenschutz- und Sicherheitskonzept ist unverzichtbar. Die FH sollte baldmöglichst eine Risikoanalyse durchführen, Schutzmaßnahmen beschreiben und u. a. durch ein geeignetes Firewall-Konzept umsetzen.

4 Stellungnahme des Ministeriums

Gegen die vom RH getroffenen Feststellungen erhebt das MWK keine Einwendungen und will die meisten Vorschläge zusammen mit der FH Pforzheim umsetzen.

Die Sicherheitsproblematik in den Datennetzen sei auch an der FH erkannt worden. Ähnliche Probleme stellen sich bei allen FH. Die Sicherheitsdefizite will das MWK durch ein gemeinsam von der Konferenz der RZ-Leiter der Fachhochschulen erarbeitetes Datenschutz- und Sicherheitskonzept beheben lassen.

Der Bestandsnachweis soll überarbeitet, verbessert und durch eine neue Programmversion benutzerfreundlicher werden. Auch habe man den Softwarelieferanten des Personalverwaltungsprogramms mit der Schnittstellenprogrammierung beauftragt und nochmals auf die Dringlichkeit der Einführung eines maschinellen Datenaustausches mit dem LBV hingewiesen.

Durch die Fusion habe sich die Zahl der Beschaffungen vervielfacht, ohne dass eine spezielle Stelle mit dem Schwerpunkt Beschaffungswesen eingerichtet werden konnte. Die Hochschule wolle das bisherige Verfahren - unterstützt durch die Vorschläge des RH - überprüfen und ggf. umstellen. Sie sehe auch, dass durch bereichsübergreifende Beschaffungen Verbesserungen erzielbar sind. Die Beschaffung von Standardgeräten werde in Zukunft das zentrale RZ stärker koordinieren. Zusätzliche Personalkapazität, um ein öffentliches Ausschreibungsverfahren durchzuführen, sei nicht vorhanden. Die Hochschule teilt mit, sie sei auch bereit, bei einer zukünftigen Beschaffung pilotartig die Alternative Leasing anbieten zu lassen und wirtschaftlich zu bewerten.

Ein Musterhandbuch für das Beschaffungswesen an den Fachhochschulen hält das Ministerium für entbehrlich. Der Bereich sei umfassend in den Vergabevorschriften geregelt, zu denen auch Kommentare erschienen seien. Im Übrigen unterlägen organisatorische Festlegungen zur Durchführung von Beschaffungsvorgängen nicht der Fachaufsicht des MWK.

5 Schlussbemerkung

Mit dem Verweis auf Vorschriften ist nach Ansicht des RH den Bediensteten, die Beschaffungen meist „nebenher“ mit erledigen müssen, wenig gedient. Was fehlt ist eine Handreichung mit Formularen, Musterbriefen und Beispielen für Ausschreibungen. Auch nach Ansicht der FH Pforzheim selbst wäre es nicht nur für diese Hochschule hilfreich, zentrale auf die Hochschulbelange ausgerichtete Beschaffungsrichtlinien zu haben. Der RH wird die weitere Beschaffungspraxis beobachten.

Die Einhaltung der Wirtschaftlichkeitsgebote sollte in Zukunft auch ein Betätigungsfeld für das hochschulinterne Controlling darstellen (Investitions-Controlling), über dessen Ergebnisse auch regelmäßig zu berichten wäre.

Erörterungen des Prüfungsergebnisses zwischen dem RH, der FH und dem Ministerium deuten darauf hin, dass bei anderen Fachhochschulen ähnliche Situationen anzutreffen wären. Der RH erwartet deshalb, dass die Fachhochschulen an Hand der hier gegebenen Hinweise ihr IuK-Beschaffungswesen selbst überprüfen ggf. optimieren und die Netzwerksicherheit verbessern. Das MWK hat zugesagt, auf die Umsetzung der Maßnahmen vor Ort hinzuwirken.