IT bei Kunst- und Kultureinrichtungen [Beitrag Nr. 24]

Die staatlichen Kunst- und Kultureinrichtungen müssen den Übergang der IT zur BITBW gründlich vorbereiten. Dazu gehört, Klarheit über die tatsächlichen IT-Aufwendungen zu schaffen, um die finanziellen Auswirkungen nach der Migration darstellen zu können. Außerdem müssen die IT-Systeme vereinheitlicht und an den geltenden Standards ausgerichtet werden. Die BITBW sollte frühzeitig in Planungen eingebunden werden, die Auswirkungen auf die IT-Strukturen und Systeme haben.

1 Ausgangslage

Nach dem Gesetz zur Errichtung der Landesoberbehörde IT Baden-Württemberg (BITBWG) müssen grundsätzlich alle Landeseinrichtungen die IT-Dienstleistungen der BITBW nutzen. Die IT-Migration der nachgeordneten Bereiche mehrerer Ressorts zur BITBW verzögert sich jedoch. In zahlreichen Fällen wurde von der Ausnahmeregelung in § 7 Absatz 2 BITBWG Gebrauch gemacht und mit dem Innenministerium ein späterer Migrationszeitpunkt vereinbart.

Auch das Wissenschaftsministerium hat für seine Kunst- und Kultureinrichtungen mehrfach Ausnahmen von der Nutzungspflicht vereinbart. Vorerst können die Einrichtungen ihre IT bis Ende 2024 wie bisher eigenständig verwalten und betreiben. Ausgenommen davon ist die Staatsgalerie, deren IT bereits Anfang 2019 zur BITBW migriert wurde.

Das Staatliche Rechnungsprüfungsamt Stuttgart hat die Wirtschaftlichkeit und die Kosten des IT-Betriebs folgender Kunst- und Kultureinrichtungen geprüft:

Staatliches Museum für Naturkunde Karlsruhe, Staatliches Museum für Naturkunde Stuttgart, Staatliche Kunsthalle Karlsruhe, Staatsgalerie Stuttgart, Badisches Landesmuseum, Landesmuseum Württemberg, Archäologisches Landesmuseum Baden-Württemberg, Linden-Museum, Staatliche Kunsthalle Baden-Baden, Haus der Geschichte Baden-Württemberg, Badisches Staatstheater Karlsruhe und Württembergische Staatstheater Stuttgart.

2 Prüfungsergebnisse

Die Einrichtungen setzten 27 Personen mit 16 Vollzeitäquivalenten für die Betreuung und den Betrieb der rund 1.850 Bildschirmarbeitsplätze ein. Alle Einrichtungen waren an das Landeshochschulnetz „BelWü“ angeschlossen. Weniger als ein Drittel der Arbeitsplätze hatte zusätzlich einen Zugang zum Landesverwaltungsnetz (LVN).

2.1 IT-Aufwendungen und Kostenermittlung

2.1.1 Uneinheitliche Buchungspraxis und fehlende Kostentransparenz

Die Einrichtungen buchten ihre IT-Aufwendungen in unterschiedlicher Weise auf IT-Sachkonten und teilweise auch auf andere Konten. Diese Buchungspraxis erschwert den Überblick über die IT-Gesamtaufwendungen. Sie lassen sich somit nicht exakt beziffern. Damit konnten weder die Einrichtungen noch das Wissenschaftsministerium belastbar beurteilen, ob die über die Zuführung bereitgestellten Haushaltsmittel wirtschaftlich und zweckmäßig verwendet wurden.

Die Einrichtungen inventarisierten ihren Hard- und Softwarebestand nicht einheitlich und nicht regelmäßig. Sie haben deshalb keinen umfassenden Überblick über ihren IT-Bestand und damit auch nicht über den Finanzbedarf für Reinvestitionen.

2.1.2 Kostenvergleich auf Basis unvollständiger Daten

Mit Blick auf die Migration zur BITBW bat das Wissenschaftsministerium die Einrichtungen, ihre bisherigen IT-Kosten zu ermitteln und diese den Kosten für entsprechende Dienstleistungen der BITBW gegenüberzustellen. Während die eigenen IT-Kosten mit rund 2 Mio. Euro jährlich berechnet wurden, gingen die Einrichtungen davon aus, für die Dienstleistungen der BITBW künftig rund 11 Mio. Euro jährlich aufwenden zu müssen.

Die Kostenermittlung war aus Sicht des Rechnungshofs im Ergebnis nicht plausibel. Sie ließ wichtige Aspekte außer Betracht, die bei einem seriösen Kostenvergleich hätten berücksichtigt werden müssen:

  • Die BITBW kalkuliert ihre Leistungen auf Vollkostenbasis. Die für den Vergleich errechneten eigenen IT-Aufwendungen der Kunst- und Kultureinrichtungen waren aber aufgrund der Buchungspraxis nicht exakt ermittelbar.
  • In den Kostenvergleich sind die den Einrichtungen berechneten Betriebskosten des BelWü-Netzes eingegangen, die nach Einschätzung des Rechnungshofs deutlich unter den tatsächlichen Kosten liegen dürften.
  • Für die Ermittlung und Gegenüberstellung der Hardware-Kosten gab es keine einheitlichen Vorgaben. Einige Einrichtungen kalkulierten ihre Aufwendungen für Hardware auf Basis einer längeren Nutzungsdauer als die BITBW. Auch dies führte dazu, dass die bisherigen Aufwendungen günstiger erscheinen als sie tatsächlich sind.
  • Fachspezifische IT-Leistungen wie die IT-gesteuerte Bühnenbeleuchtung der Staatstheater sind in der Regel nicht im Leistungskatalog der BITBW abgebildet. Trotzdem wurden sie von den Einrichtungen mit Katalogpreisen eingerechnet, die für einen Standard-Büroarbeitsplatz gelten.
  • Bei der Kostenermittlung wurden auch Arbeitsplätze einbezogen, die so spezifisch sind, dass ein Betrieb in der BITBW weder sachgerecht noch wirtschaftlich scheint. Solche Arbeitsplätze sollten sinnvollerweise im Betrieb der jeweiligen Einrichtung verbleiben. Dazu gehört beispielsweise die oben genannte IT-gesteuerte Bühnenbeleuchtung.

2.2 Sicherheitsrisiken durch den Einsatz veralteter Betriebssysteme und unsichere E-Mail-Kommunikation

Die Einrichtungen setzten Geräte unterschiedlicher Hersteller ein. Die als Server und Bildschirmarbeitsplätze eingesetzten Geräte waren heterogen und teilweise veraltet. Oftmals waren noch Betriebssysteme wie Windows Server 2008 und Windows 7 im Einsatz. Der Extended-Support für Windows Server 2008 und der reguläre Support für Windows 7 wurde im Januar 2020 vom Hersteller beendet. Die Einrichtungen hätten sich deshalb frühzeitig um einen Umstieg auf neue Betriebssysteme bemühen müssen. Das Land vereinbarte zwischenzeitlich eine kostenpflichtige Verlängerung der Supportleistungen.

Neben veralteten Serverbetriebssystemen waren auch von den Einrichtungen selbst zusammengebaute Server vorhanden. Der Einsatz solcher Geräte ist schon unter Sicherheitsaspekten problematisch. Vor allem aber ist ihr Einsatz in der Regel nicht wirtschaftlich. Die über die Warenkataloge der BITBW bzw. des Logistikzentrums Baden-Württemberg angebotenen Server decken die Bedürfnisse der geprüften Einrichtungen ab.

Eine Einrichtung nutzte seit dem ersten Halbjahr 2016 ein E-Mail-System, das dienstliche Inhalte und eventuell beigefügte Dokumente über Server kommerzieller Anbieter verschickt. Bei diesem Vorgang werden Daten auf deren Servern zwischengespeichert. Dies stellt ein Sicherheitsrisiko dar, da dienstliche und personenbezogene Daten, die auf diese Weise versendet werden, vor dem Zugriff Dritter nicht ausreichend geschützt sind.

2.3 Informationssicherheitsbeauftragte und Vertretungen für IT-Verantwortliche

Nicht in allen geprüften Einrichtungen wurden Informationssicherheitsbeauftragte bestellt. Die Rolle und die Bedeutung eines Informationssicherheitsbeauftragten waren den Einrichtungen oft nicht klar.

Der IT-Betrieb und die Einhaltung der Informationssicherheit erfordern besondere Sachkenntnisse, die nicht überall vorhanden sind. Eine einrichtungsübergreifende Zusammenarbeit könnte die vorhandenen Kapazitäten und Kompetenzen bündeln, Synergiepotenziale ausschöpfen und so die Vorgaben der Verwaltungsvorschrift Informationssicherheit erfüllen.

Bei sechs Einrichtungen war jeweils nur eine Person für den IT-Betrieb verantwortlich. Vertretungspersonal fehlte, der IT-Betrieb konnte dadurch nicht durchgängig sichergestellt werden.

2.4 Anstehende Um- und Neubauten in den Betriebsgebäuden

Im Badischen Staatstheater Karlsruhe, aber auch in anderen Einrichtungen, wurde mit Um- und Neubauten begonnen. Baumaßnahmen anderer Einrichtungen sind noch in der Planungsphase. Es stehen Modernisierungen und Umnutzungen an, für die es noch keine IT-spezifischen Planungen gibt, welche auf die Bedürfnisse nach einer späteren Migration Rücksicht nehmen. Die Gefahr, dass später unnötige Umbaukosten entstehen, steht daher im Raum.

3 Empfehlungen

3.1 IT-Kosten vollständig erfassen, Transparenz schaffen und die Migration zur BITBW sorgfältig vorbereiten

Die Einrichtungen sollten sämtliche IT-Aufwendungen nach einer einheitlichen Systematik auf IT-Sachkonten buchen, ihren Bestand einheitlich und regelmäßig erfassen und auf diese Weise für Transparenz sorgen.

Die Einrichtungen sollten die tatsächlichen Kosten der Migration und des späteren Betriebs im Vorfeld mit der BITBW individuell klären.

Mit Blick auf die vereinbarte Migration Ende 2024 sollte das Wissenschaftsministerium mit den Kunst- und Kultureinrichtungen, dem Innenministerium und der BITBW die Migration der IT rechtzeitig vorbereiten und umsetzen. Dabei sollten die Bedarfe hinsichtlich der Netzanbindungen und Services (über LVN hinaus) kritisch hinterfragt werden.

Es sollte zeitnah geprüft werden, ob einzelne IT-Dienstleistungen bereits im Vorfeld der Migration von der BITBW bezogen werden können.

3.2 Nur sichere IT einsetzen, Sicherheitsrisiken minimieren

Der Einsatz veralteter Technik wird den Sicherheitsstandards des Landes nicht gerecht. Um die Anforderungen des Datenschutzes und der Informationssicherheit zu erfüllen, müssen aktuelle Betriebssysteme eingesetzt werden. Die Verwendung selbst zusammengebauter Geräte und kommerziell betriebener E-Mail-Systeme ist schnellstmöglich zu beenden. Die IT-Systeme sind auf die geltenden Sicherheitsstandards umzustellen.

3.3 Synergien bei der Informationssicherheit aktiv nutzen

Die Einrichtungen sollten bei der Informationssicherheit verstärkt einrichtungsübergreifend zusammenarbeiten und mittel- bis langfristig gemeinsame Informationssicherheitsbeauftragte bestellen. Diese spezielle Fachkompetenz wird auch nach einer Migration zur BITBW benötigt.

Das Wissenschaftsministerium sollte darauf hinwirken, dass die einrichtungsübergreifende Zusammenarbeit organisatorisch umgesetzt wird.

Die Einrichtungen müssen darauf achten, dass die bestellten Informationssicherheitsbeauftragten ausreichend qualifiziert und für die jeweiligen Partner verfügbar sind. Sie sind in alle Projekte mit Sicherheitsbelangen einzubeziehen.

3.4 BITBW bei Um- und Neubauten frühzeitig einbinden

Über bereits laufende oder geplante Um- und Neubauten sollte das Wissenschaftsministerium die BITBW zeitnah in Kenntnis setzen, damit die entsprechenden Raumbedarfe rechtzeitig berücksichtigt werden können.

4 Stellungnahme des Ministeriums

Das Wissenschaftsministerium teilt mit, es könne sich den Empfehlungen des Rechnungshofs im Wesentlichen anschließen. Die geprüften Einrichtungen seien bereits gebeten worden, auf eine sorgfältige und konkrete Zuordnung der IT-Kosten zu achten.

Voraussetzung für die Umstellung der IT-Systeme der Kunst- und Kultureinrichtungen auf die geltenden Sicherheitsstandards sei, dass ihnen die dafür benötigten Ressourcen in ausreichendem Maße zur Verfügung gestellt würden. Aktuell bestehe kein Bedarf, die BITBW bereits im Vorfeld der Migration mit Dienstleistungen zu beauftragen. Sofern es ab 2025 zu einer Migration der Kultureinrichtungen zur BITBW komme, würden die Kosten auf Basis vollständiger Daten einheitlich ermittelt und abgestimmt.

5 Schlussbemerkung

Der Rechnungshof sieht keine Alternative zu einer Migration der IT der Kunst- und Kultureinrichtungen zur BITBW. Diese sollte spätestens zu dem zwischen Wissenschafts- und Innenministerium vereinbarten Termin erfolgen.