1 Vorbemerkungen

Seit 1990 gibt es Bemühungen der Landesverwaltung, Maßnahmen zu planen und vorzubereiten, um beim Eintreten unvorhersehbarer Ereignisse im sog. Katastrophenfall (z.B. Brand, Wassereinbruch, Stromausfall, Ausfall Klimaanlage, Explosion, Sabotage), längeren Stillstand- oder Ausfallzeiten der Rechner, DV-Verfahren und Datenbanken zu begegnen und die Wiederanlaufzeiten möglichst kurz zu halten. Zwar ist die Wahrscheinlichkeit des Eintritts eines solchen K-Falls gering; wenn er aber eintritt, sind seine Folgen schwerwiegend und im Voraus, angesichts der vernetzten Datenwelt, nicht voll überschaubar.

Entscheidend für eine erfolgreiche Notfallvorsorge und einen schnellen Wiederanlauf nach Eintritt eines K-Falles sind im Wesentlichen drei Punkte:

• die Planung und Durchführung aller Maßnahmen, die geeignet sind, einen Ausfall zu verhindern bzw. den Schaden nach Eintritt eines Ausfalls zu minimieren,

• die Planung und Beschreibung aller Maßnahmen, die nach Eintritt eines Notfalles durchzuführen sind („Notfallhandbuch“) und

• die Durchführung von Notfallübungen.

Eine bis 1995 für die Großrechenzentren des Landes bereitgestellte sog. "Empty Shell"-Lösung (klimatisierte Raumreserve mit Datenanschlüssen, ohne DV-Geräte) bezog nur wenige der damals vorhandenen Rechenzentren des Landes ein und erwies sich darüber hinaus mangels Wiederanlaufkonzeption und mit einer Wiederanlaufzeit von etwa 8 Wochen als unzureichend.

2 Ausweichrechenzentrum der Landesverwaltung

2.1 Ausgangslage

Auf Grund der veränderten politischen Lage und wegen jährlicher Unterhaltungskosten von 520 000 DM hat der Ministerrat 1992 beschlossen, den in einer mehrstöckigen Bunkeranlage untergebrachten Ausweichsitz der Landesregierung aufzugeben. Eine endgültige Stilllegung oder Abgabe der Anlage hat das Land nicht verfolgt; stattdessen wurde die Verwaltung beauftragt, eine mögliche Folgenutzung zu prüfen. Alternativ stand die Konservierung zur Diskussion.

Das Land hat daraufhin die Themen „Folgenutzung der Bunkeranlage“ und „Ausfallvorsorge/Backup“ miteinander gekoppelt. Seit 1995 ist ein Unternehmen der IT-Branche Mieter des landeseigenen Bunkers und betreibt dort ein Ausweichrechenzentrum (ARZ) für IBM-Großrechenanlagen.

Das Land ist als Mitträger des wirtschaftlich eigenständigen Projekts vertraglich am erwirtschafteten Überschuss zu 50 % beteiligt und nimmt als Kunde gegen Zahlung einer monatlichen Gebühr Backup-Leistungen des Rechenzentrums in Anspruch. Trotz stetigen Anstiegs der Kundenzahl sind in absehbarer Zeit jedoch keine Projektüberschüsse aus diesem Joint Venture zu erwarten.

Zu den Backup-Leistungen zählen u.a. Beratungsleistungen zur Herstellung der Wiederanlauffähigkeit, die Bereitstellung von Personal für den ARZ-Betrieb, das Vorhalten von Flächen, Zentral- und Speichereinheiten, Monitoren, Konsolen, Netzanschlusskomponenten und Betriebssystemen sowie regelmäßige Notfallübungen. Im K-Fall und bei Übungen müssen die Anwendungssoftware und die Datenbestände durch Landespersonal installiert und das ARZ mit dem Landesverwaltungsnetz gekoppelt werden (“warmes” Backup).

2.2 Stand der Ausfallvorsorge

Trotz des seit knapp 6 Jahren laufenden ARZ-Projekts mit Kosten in Höhe von rd. 10 Mio. DM ist die Ausfallvorsorge für die Rechenzentren der Landesverwaltung insgesamt noch nicht zufriedenstellend.

Derzeit gibt es landesweit zwei zu sichernde Großrechenzentren. Für das Landesrechenzentrum mit IBM-Rechnern ist im ARZ ein „warmes“ Backup installiert. Das andere Landesrechenzentrum arbeitet mit Siemens-Rechnern, deren Betrieb das ARZ nicht unterstützt. Aus diesem Grund wird für dieses Rechenzentrum gegen eine monatliche Festgebühr nur eine Empty Shell mit installierten Speichereinheiten im Bunker vorgehalten.

Die Vorsorgemaßnahmen für das erstgenannte Rechenzentrum sind weit vorangeschritten. Nach einer Reihe vorbereitender Tests wurde der erste erfolgreiche Wiederanlauf und damit die Herstellung der Backup-Fähigkeit für einen Teil der DV-Verfahren im November 1997 erreicht. Seitdem führt das Land regelmäßig im ARZ mehrtägige Notfallübungen durch. Die planmäßige Verfügbarkeit wichtiger Anwendungen bei den Ämtern vor Ort per Landesverwaltungsnetz wird mit 36 Stunden nach Eintritt eines Katastrophenfalls angegeben. Ein Notfallhandbuch ist noch in Arbeit. Im zweiten Schritt konnte im November 1999 der Wiederanlauf weiterer DV-Verfahren und Programme erfolgreich getestet werden.

Ein Wiederanlauf des zweiten Rechenzentrums wurde bislang nicht getestet bzw. geübt, da die vorgehaltene Empty Shell dies nicht zulässt. Im K-Fall wäre zunächst ein Rechner zu beschaffen und zu installieren. Danach wären die Betriebssysteme, DV-Programme und Datenbestände zu laden, ehe die Datennetzanschlüsse hergestellt und Testläufe durchgeführt werden könnten. Optimistische Schätzungen gehen von mindestens 2 Wochen Wiederanlaufzeit aus. Die Installation eines Siemens-Betriebssystems auf einem im ARZ vorhandenen Rechner („warmes“ Backup) war aus lizenzrechtlichen Gründen nicht möglich. Der Versuch, einen im Rechenzentrum ohnehin existierenden zweiten Siemens-Rechner im ARZ dauerhaft zu installieren und per Steuerung vom eigentlichen Rechenzentrum aus (Remote-Operating) zu betreiben („heißes“ Backup), scheiterte an den hohen Kosten, insbesondere für Leitungsverbindungen. Ein preiswerteres heißes Backup im in der Nähe gelegenen anderen Rechenzentrum des Landes wurde ebenfalls aus finanziellen Gründen nicht realisiert. Die einzige Alternative wurde in der Bereitstellung einer Empty Shell im ARZ gesehen.

2.3 Feststellungen des Rechnungshofs

2.3.1 Die Bunkeranlage ist ein Vermögensgegenstand, den das Land für den ursprünglichen Schutzzweck nicht mehr benötigt. Unter dem Gesichtspunkt der Wirtschaftlichkeit wäre auch eine Veräußerung zu prüfen gewesen. Dies ist nicht geschehen.

2.3.2 An Vorbereitung und Abwicklung des ARZ-Projekts waren bzw. sind landesseitig eine Vielzahl von Organisationseinheiten beteiligt. Das Projektmanagement weist Defizite auf. Insbesondere hat das FM als zuständiges Ministerium versäumt, die Verantwortung für das wirtschaftliche Gesamtergebnis einer Organisationseinheit bzw. einer Person zuzuweisen. Keine Stelle hatte einen Überblick über die finanzielle Gesamtsituation. Revisionsfähige Projektabrechnungen zur Überprüfung des Betriebsergebnisses und anderer finanziell relevanter Sachverhalte - wie vertraglich vereinbart - hat die Verwaltung vom Betreiber nicht angefordert.

2.3.3 Die für die Umnutzung der Bunkeranlage erforderlichen, vom Land zu tragenden Investitionen von 4,6 Mio. DM netto hat das Betreiberunternehmen gegen einen Nachlass auf die monatliche Miete vorfinanziert. Eine zunächst vereinbarte "Deckelung" der vom Land zu tragenden Kosten greift nicht, da alle darüber hinaus gehenden Investitionen des Betreibers als Abschreibungen das Projektergebnis und damit die Gewinnerwartungen des Landes negativ beeinflussen.

Die Höhe der Mehrkosten und der daraus resultierenden Abschreibungen sind der Verwaltung nicht bekannt, obgleich das Land diesbezüglich Einsicht in die erforderlichen Unterlagen nehmen könnte. Seitens des Betreibers wird von deutlich höheren Mehrinvestitionen gesprochen, die insbesondere auf vorab nicht berücksichtigte Brandschutzauflagen zurückgehen. Mit den finanziellen Folgen zusätzlicher Abschreibungen hat das Land einen Teil des unternehmerischen Risikos des Vertragspartners übernommen.

2.3.4 Die Substanzerhaltung der Bunkeranlage ist Sache des Landes. Es übernimmt auf Dauer die „Instandhaltung in Dach und Fach“. Von Umbaubeginn 1994 bis Ende 1999 beliefen sich die Bauunterhaltungskosten auf rd. 1,4 Mio. DM.

Daneben übernimmt das Land die Betriebskosten wie sie im Zustand des Nichtbetriebes zur Substanzerhaltung anfallen würden bzw. zur Aufrechterhaltung der grundlegenden Funktionen des Objektes erforderlich sind. Auch durch diese Regelung entstehen dem Land fortlaufend Ausgaben. Einnahmen werden u.a. aus der Vermietung der Liegenschaft erzielt. Für die Bewirtschaftung der Bunkeranlage verblieben beim Land bis 1999 Haushaltsbelastungen von rd. 438 000 DM.

2.4 Wertung

Die dem Land bis 1999 entstandenen Kosten für Umbau und Nutzung des ARZ haben schon jetzt die ursprünglich geschätzten Stilllegungs- bzw. Konservierungskosten für den Bunker weit überschritten. Als Gegenwert für diesen Mehraufwand verfügt das Land aber über Nutzungsrechte an einer Ausweichrechenanlage, welche jedoch nur das mit IBM-Rechnern betriebene Landesrechenzentrum sichert. Eine funktionierende K-Fall-Absicherung des anderen Rechenzentrums und der dort laufenden Anwendungen wurde bislang nicht erreicht.

Die Entscheidung, die für ihren ursprünglichen Zweck nicht mehr benötigte Bunkeranlage in Landeseigentum zu behalten und mit Steuermitteln zu unterhalten, hat zur Folge, dass Gebäudekosten zu tragen sind, die die Mieteinnahmen oder Überschüsse aus dem ARZ-Betrieb übersteigen. Damit kein „Verlustgeschäft auf Dauer“ entsteht, ist durch aktives Projektmanagement auf Kostendeckung hinzuarbeiten.

1993, im letzten Geschäftsjahr vor der Umwandlung, hat die Bunkeranlage Sachkosten von 205 000 DM verursacht. Seit Beginn der Umbaumaßnahmen kostete sie das Land durchschnittlich 350 000 DM im Jahr. Eine Verringerung der Belastung des Landeshaushaltes ist durch die Freisetzung ehemaligen Betreuungspersonals zwar eingetreten; es bleibt aber zu befürchten, dass auch in Zukunft die Ausgaben für Bauunterhaltung und Bewirtschaftung die Mieteinnahmen auf Dauer übersteigen, selbst wenn die derzeit rückläufige Kostenentwicklung anhält. Eine Abgabe der Bunkeranlage nach Vertragsablauf wäre zu prüfen.

Ob die in Aussicht gestellte Überschussbeteiligung jemals zu erwähnenswerten Einnahmen für den Landeshaushalt führen wird, bezweifelt der RH, da u.a. für die Wettbewerbsfähigkeit des Projekts ständige Investitionen, vor allem in DV-Technik, erforderlich sein werden.

Ferner scheinen 2 Wochen Wiederanlaufzeit für das mit Siemens-Rechnern betriebene Rechenzentrum des Landes in Anbetracht des für das andere Rechenzentrum erforderlichen Vorbereitungsaufwands knapp bemessen. Hinsichtlich der Ausfallvorsorge besteht aus Sicht des RH, auch wegen fehlender Übungsmöglichkeiten, ein erhebliches Risiko.

2.5 Stellungnahmen der betroffenen Ministerien

Das mangelnde Projektmanagement führt das FM auf die fehlende Kosten-/Leistungsrechnung und personelle Engpässe zurück. Einen Anlass, die ihm zugeleiteten, jedoch wenig aussagefähigen Projektabrechnungen zu verifizieren, sah es bislang nicht. Das Ministerium sagt aber jetzt die Klärung der Verantwortlichkeiten zu.

Eine negative Beeinflussung des Projektergebnisses durch Abschreibungen aus Investitionen der Betreiberfirma bestätigt das Ministerium, verweist aber darauf, dass im Gegenzug eine Verlustbeteiligung des Landes vertraglich ausgeschlossen wurde.

Nach Ansicht der Verwaltung ist die Wirtschaftlichkeit der Bunkeranlage für das Land nicht vom Überschuss der Einnahmen über die Ausgaben abhängig, sondern vom Vergleich mit den Kosten, die bei einer Konservierung der Anlage angefallen wären. Eine weitere Reduzierung der Kosten sei jedoch möglich. Bezüglich einer zu prüfenden Veräußerung der Bunkeranlage wäre ein politischer Auftrag erforderlich. Wie der RH rechnet auch das zuständige Ministerium in absehbarer Zeit nicht mit Einnahmen des Landes aus ARZ-Projektüberschüssen.

Auch seitens des für das zweite Landesrechenzentrum zuständigen IM wird das trotz Empty Shell verbleibende Risiko derzeit als „nicht unerheblich“ charakterisiert. Unter Bezugnahme auf aktuelle Planungen, insbesondere die künftige Dezentralisierung in Verbindung mit dem Umstieg auf Client-/Server-Technologien, geht die Verwaltung jedoch von einer zügigen Abnahme des Risikos aus.

2.6 Vorschläge

Das für das ARZ-Projekt zuständige FM sollte unverzüglich einen gesamt- und ergebnisverantwortlichen Projektleiter benennen und regelmäßig - zumindest stichprobenartig - und entsprechend den vertraglichen Vereinbarungen Einsicht in Abrechnungsunterlagen der Betreiberfirma nehmen.

Spätestens wenn der Mietnachlass die Höhe der vom Land vertraglich zugesagten Investitionen erreicht hat, muss die Miete angepasst werden. Der Vertragspartner des Landes hat nach Tätigwerden des RH Verhandlungsbereitschaft signalisiert.

Der RH empfiehlt, rechtzeitig vor Ablauf der Vertragsbindung zu prüfen, ob ein Verkauf der Bunkeranlage unter Berücksichtigung der in diesem Fall entstehenden Backup-Kosten wirtschaftlich umsetzbar ist.

In Anbetracht der monatlich anfallenden Kosten und des dennoch vorhandenen Risikos sollte das für das Rechenzentrum mit Siemens-Rechnern zuständige IM die Notwendigkeit der weiteren Vorhaltung einer Empty Shell im ARZ prüfen. Evtl. lassen sich mittelfristige Notfallmaßnahmen wie besondere Liefervereinbarungen für Geräte in Verbindung mit einer detaillierten Wiederanlaufplanung wirtschaftlicher und mit geringerem Risiko umsetzen.

3 Ausfallvorsorge in den DV-Fachzentren

3.1 Aktuelle Situation

Die drei sog. DV-Fachzentren des Landes betreiben zwar keine Großrechner im herkömmlichen Sinne, aber Server, an welche jeweils Hunderte von DV-Arbeitsplätzen angeschlossen sind. Auch wenn hier Ausweichrechenzentren wohl kaum in Frage kommen, müssen Risikoanalysen durchgeführt und zumindest für die vordringlichsten Aufgaben Vorsorgemaßnahmen geplant und dokumentiert werden. Notfallhandbücher, die im K-Fall zu treffende Maßnahmen dokumentieren, existieren bislang für keines der Fachzentren. Notfallübungen werden nicht durchgeführt.

3.2 Wertung und Vorschläge

Der RH hält die derzeitige Ausfallvorsorge für unzulänglich und schlägt vor, diesbezüglich kurzfristig Verbesserungen zu initiieren. Für eine kostengünstige Erarbeitung der erforderlichen Notfallhandbücher wird die Verwendung des auch von Beratungsunternehmen eingesetzten IT-Grundschutzhandbuches des Bundesamts für Sicherheit in der Informationstechnik empfohlen.

3.3 Stellungnahmen der Ministerien

In ihren Stellungnahmen haben die betroffenen Ministerien (MLR, KM und UVM) Defizite eingeräumt und verweisen auf bereits getroffene Maßnahmen wie den Abschluss von Wartungsverträgen für Server und Netzwerkkomponenten, Zugangsschutz, kleinere Backup-Systeme usw. Teilweise sagen sie die Einleitung von Maßnahmen für die Erarbeitung von Notfallkonzeptionen zu.