BIT hat Lehren aus grossen Störfällen gezogen

Was geschieht in einer Informatikkrise beim Bund? Wenn beispielsweise ein RZ ausfällt? Hat das Bundesamt für Informatik und Telekommunikation (BIT) und dessen Abteilung Betrieb (BTR) die nötigen Tools, Dokumentationen und Prozesse, um zentrale Krisen in seinem Verantwortungsbereich in den Griff zu kriegen?
 
Die Fragen sind nicht belanglos, denn das BIT ist mit Bereitstellung von x Plattformen, Infrastrukturen und Services von unterschiedlichen Departementen und Ämtern betraut. Und es war sowohl 2011 als auch 2013 mit schwerwiegenden Vorfällen konfrontiert, als ein Stromausfall in einem RZ zu Störungen bei wichtigen Anwendungen führen.
 
Die Eidgenössische Finanzkommission (EFK) hat untersucht, ob das BIT Lehren gezogen hat und das Business Continuity Management (BCM) nun im Griff hat, zudem mit welchen Methoden gearbeitet wird. Der Bericht wurde nun publiziert.
 
Im Fokus der EFK stand nicht das BCM des BIT, sondern die Vorkehrungen zur Aufrechterhaltung der Leistungsfähigkeit von BTR.
 
Kurz und gut: Auf Basis des als Rahmen angewandten ISO-Standards 22301 erhält das BIT gute Noten. Es kenne die kritischen Kerngeschäfte, habe eine Wirkungsanalyse erstellt und die Reaktion sei geregelt, befindet die EFK (PDF).
 
Auch die entsprechenden Leistungsvereinbarungen können eingehalten werden. Die für den Betrieb notwendige IT-Infrastruktur im Katastrophenfall ist verfügbar und eine Krisenübung hat im Untersuchungszeitraum auch stattgefunden.
Das Vorgehen – nach ITIL – regelt heute die Reaktion auf Störungen und dies in sinnvoller Weise, so die EFK.
 
Nur einige Details in Checklisten und der mehrjährigen Planung möchte die EFK verbessert haben, was das BIT auch zusichert.
 
Das BIT verantwortet für drei Departemente den Betrieb von Rechenzentren und Fachanwendungen, für vier Departemente werden Arbeitsplatzsysteme bewirtschaftet und für die gesamte Bundesverwaltung muss das BIT funktionierende Datennetze und Telecom- Infrastrukturen gewährleisten. (mag)