Österreichischer Städtebund

Das Anliegen, IT-Ausfälle zu verhindern und in einem Notfall rasch reagieren zu können, bildet eine Herausforderung nicht nur für die Technik, sondern auch das Management der Amtsgeschäfte. Hiebei steht das Funktionieren der Verwaltung am Spiel.

 

Als Anfang Jänner 2009 das IT-System des Landes Kärnten Opfer einer Virenattacke wurde, mussten zur Abwehr möglicher Schadwirkungen auf System und Daten sowie zur Bereinigung des Virenbefalls kurzfristig sämtliche PC der Bediens¬teten vom Netz genommen werden.1 Etwa 3.000 PC-Arbeitsplätze an mehr als 100 Standorten waren davon betroffen. Diese Ausnahmesituation hat praktisch veranschaulicht, wie verletzlich die auf den Einsatz elektronischer Betriebsmittel angewiesene Verwaltung und E-Government sein können: Sowohl das Wissensmanagement (Zugriff auf Datenbanken oder elektronisches Telefonbuch) als auch die Abwicklung einer Reihe von Geschäftsprozessen sind ohne Vorhandensein einer funktionierenden IT-Infrastruktur stark beeinträchtigt, wenn nicht sogar unmöglich. Neben technischen Vorsorgemaßnahmen bildet daher eine administrativ-organisatorische Notfallplanung für das Szenario eines IT-Ausfalls ein vitales Anliegen jedes Verwaltungsapparates und der jeweiligen Leitung des inneren Dienstes.
Orientierung in diesem Bereich bietet ein umfassender Maßnahmenkatalog zur Notfallvorsorge, der – als Teil von „IT-Grundschutz-Katalogen“ – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) der BRD entwickelt wurde.2 Gleichfalls hat das Bundeskanzleramt (Informationssicherheitsbüro) in Zusammenarbeit mit A-SIT (Zentrum für sichere Informationstechnologie – Austria) und der OCG (Österreichische Computer Gesellschaft) ein „Österreichisches Informationssicherheitshandbuch“ herausgegeben.3

Verfügbarkeitsanforderungen
Damit die Wahrnehmung der Verwaltungsaufgaben durch einen IT-Ausfall nicht behindert wird, sind für die in einem IT-System betriebenen Anwendungen und deren Daten die Verfügbarkeitsanforderungen zu erheben: Die verantwortlichen Bediensteten sind, bezogen auf die jeweilige IT-Anwendung, nach den tolerierbaren Ausfallzeiten der in einem System benutzten IT-Komponenten zu befragen. In Form einer tabellarischen Zusammenstellung (System, Komponente, Anwendung, tolerierbare Ausfallzeit) ist eine Übersicht über die Verfügbarkeitsanforderungen der einzelnen IT-Anwendungen zu erstellen. Auf dieser Grundlage können die besonders zeitkritischen Komponenten des IT-Systems identifiziert und zum Gegenstand der Notfallvorsorge, insbesondere der Wiederanlauf-Planung und Prioritätenreihung, gemacht werden. Dabei stellt sich die Frage, welche IT-Anwendung keine oder nur eine geringe Ausfallstoleranz hat. Es versteht sich von selbst, dass die Übersicht über die Verfügbarkeitsanforderungen bzw. zeitkritischen Anwendungen regelmäßig zu überprüfen und erforderlichenfalls zu aktualisieren ist.

Notfall-Handbuch
Zentrale Bedeutung hat die Erstellung eines „Disaster Recovery“-Handbuchs (Synonym: „Notfall-Handbuch“). In diesem ist verbindlich festzulegen, welche Maßnahmen nach Eintritt eines notfallauslösenden Ereignisses zu ergreifen sind. Sachverständige Dritte müssen in der Lage sein, die festgelegten Maßnahmen umzusetzen. Das Handbuch ist für Verantwortliche allgemein verfügbar zu halten und erforderlichenfalls zu aktualisieren; auch ist es extern zu deponieren. Als wesentliche Inhalte des Notfall-Handbuchs sind zu nennen: Sofortmaßnahmen (Alarmierung der Verantwortlichen und Meldewege, Notrufnummern, Handlungsanweisung für spezielle Ereignisse, z. B. Stromausfall, Brand oder Vandalismus), Notfall-Organisation (Verantwortlichkeiten), Tabelle der Verfügbarkeitsanforderungen, Wiederanlauf-Planung einschließlich Ersatzbeschaffungspläne, Dokumentation von Ausweichmöglichkeiten sowie Maßnahmen zur Sicherung der DFÜ-Versorgung im Notbetrieb. Um den Anforderungen an die Verfügbarkeit der einzelnen IT-Anwendungen Rechnung zu tragen, ist eine Reihenfolge für den Wiederanlauf der IT-Anwendungen festzulegen. Ein Wiederanlauf-Plan soll durch Notfallübungen auf seine Durchführbarkeit getestet werden. Zur Umsetzung des Notfall-Handbuchs sind Verantwortliche zu bestimmen, die das Vorliegen eines Notfalls festzustellen und die jeweils vorgesehenen Maßnahmen einzuleiten haben.

Ausweichmöglichkeiten
Einen wesentlichen Punkt der Wiederanlauf-Planung bildet die Feststellung interner und externer Ausweichmöglichkeiten für IT-Anwendungen (z. B. Ausfallrechenzentrum). Voraussetzung für die Nutzung einer Ausweichmöglichkeit ist die Kompatibilität und ausreichende Kapazität des ersatzweise heranzuziehenden IT-Systems. Wenn eine interne Verlagerung auf ein anderes IT-System nicht möglich ist oder die Verfügbarkeitsanforderungen einer IT-Anwendung intern nicht mehr oder nicht wirtschaftlich erfüllt werden können, sind externe Ausweichmöglichkeiten insbesondere im Rahmen einer Verwaltungskooperation zu suchen.

Lehren aus der Krise
Wie Verwaltungsarbeit in Situationen eines IT-Ausfalls bewältigt werden kann, war kürzlich Gegenstand eines von der Kärntner Verwaltungsakademie und dem Land Kärnten veranstalteten Workshops zum Thema „Verwaltung ohne EDV“. Aus der bewältigten Krise konnte die Lehre gezogen werden, dem Anliegen der Prävention durch Fortentwicklung und Konkretisierung der Notlaufplanung Rechnung zu tragen. Notlaufplanung bildet ein strategisches Thema, dem sich etwa ein eingerichteter Lenkungsausschuss für IT-Sicherheit im Hinblick auf den Aspekt „Verfügbarkeit der Betriebsmittel“ regelmäßig widmen sollte.
Anlässlich des erwähnten Workshops wurde auch die Idee geboren, ein System der „Freiwilligen Feuerwehr“ einzurichten, damit sich Gebietskörperschaften bei IT-Ausfällen gegenseitig auf technischer und administrativer Ebene helfen können. Gebietskörperschaften sollten für Fälle eines eingeschränkten IT-Betriebs Möglichkeiten der Verwaltungskooperation prüfen. So bietet sich etwa die Möglichkeit der Langzeitarchivierung von kritischen Daten im Verbund mit externen Partnern, insbesondere im Zentralen Ausweichsystem des Bundesrechenzentrums in St. Johann im Pongau.
Dienststellen sollten, soweit dies erforderlich und möglich ist, in ihrem Vollzugsbereich Ersatzverfahren und Wissensressourcen auf analoger Basis entwickeln und vorhalten (z. B. Printausgabe des elektronischen Telefonbuchs). Als Ersatz für die elektronische Aktenevidenz müsste für die Protokollierung (Vergabe von Geschäftszahlen) ein Notsystem eingerichtet werden (z. B. vorläufige handschriftliche Aktenevidenz). Ferner könnte am lokalen PC-Arbeitsplatz bzw. in der Offline-Umgebung eine „Notfallebene“ geschaffen werden, um wichtige Erledigungen, Informationen oder Amtsvorlagen speichern zu können (z. B. auf dem Laufwerk C oder auf USB-Speicher-Sticks). Hiezu wäre allerdings erforderlich, die Konsistenz und Aktualität der gesondert gespeicherten Daten sicherzustellen.


1 Siehe Platzer/Köller, Krisenmanagement bei Virenattacken, in: Wiener Zeitung GmbH (Hrsg.), VerwaltungInnovativ („Effizienz und Wirkungsorientierung für eine rechtsstaatliche und leistungsstarke Verwaltung“ – Zehn Jahre Führungsforum Innovative Verwaltung) vom 29. 4. 2009, 34–36.
2 Siehe Maßnahmenkatalog M 6 – „Notfallvorsorge“, im Internet abrufbar unter der Adresse
www.bsi.bund.de/ghsb/.
3 Siehe Teil 2 („Informationssicherheitsmaßnahmen“) des Österreichischen Informationssicherheitshandbuchs, Version 2.3, April 2007, im Internet abrufbar unter der Adresse
demo.a-sit.at/siha-hone/home/.