EFK prüft EFD-Plattform: Mängel "in der Systemarchitektur"

Ziele und Ressourcen der Plattform Digitalisierung (DIP) sind laut EFK-Bericht "angemessen". Es zeigen sich aber Probleme wegen der Programmiersprache Go und beim Identitäts-Management.
 
Die Eidgenössische Finanzkontrolle (EFK) hat die Plattform Digitalisierung (DIP) des Eidgenössischen Finanzdepartements (EFD) unter die Lupe genommen. Die Verwaltungseinheit DIP ist für die Entwicklung und den Betrieb von Anwendungen zuständig, mit denen die Digitalisierung der Prozesse beim EFD unterstützt werden sollen. Ihr Budget beträgt 7,1 Millionen Franken, wie die EFK in einem Bericht schreibt.
 
Die Finanzkontrolle hat sich die Steuerung der Tätigkeiten, den Entwicklungsprozess, das Projektmanagement der DIP und den Betrieb der Dienste angeschaut. Seit ihrem 18-monatigen Bestehen habe die DIP drei Anwendungen und Mikrodienste entwickelt sowie Erfahrungen mit Entwicklungsmethoden gesammelt, so die EFK. Und weiter: "Die definierten Ziele und Ressourcen der DIP sind für eine Anlaufphase angemessen."
 
Allerding müssten unter anderem Position und Status der DIP überdacht werden. Auch müsste etwa die Setzung der Schwerpunkte transparenter definiert werden und die Steuerung – namentlich die Kontrolle der Zielerreichung und das Risikomanagement – verbessert werden, mahnt die Finanzkontrolle.
 
"Kompromiss erst nach langwierigen Diskussionen"
Und die EFK hält einen weiteren Kritikpunkt fest: Es gebe nämlich "Reibungspunkte in der Systemarchitektur". Einige der neu umgesetzten Technologien würden teilweise in die Praxisvorgaben der Bundesinformatik und in deren Standards eingreifen. So konkurrenziere etwa der Mikrodienst PAMS für das Access-Management der DIP teilweise den Standarddienst für die Identitäts- und Zugriffsverwaltung (IAM) des Bundes. Und offenbar stiess die EFK hier mit dem Drängen auf Verbesserung auf Widerstand, wie sich dem Bericht entnehmen lässt: "Erst nach langwierigen Diskussionen zeichnete sich ein Kompromiss für die gemeinsame Lösungssuche ab."
 
Des Weiteren würde von der DIP die Programmiersprache Go benutzt, für die weder das Bundesamt für Informatik und Telekommunikation (BIT) noch andere interne Leistungserbringer einen Support anbieten würden. Dies berge das Risiko, dass die Wartung der Anwendungen in Go mittelfristig nicht mehr gewährleistet seien.
 
Projektmanagement, Entwicklung und technischer Betrieb
Für das Projektmanagement und die Entwicklung stellt die EFK dem DIP gute Noten aus. Die Projektmethodik enthalte eine Liste aller erforderlichen Dokumente, Tools ermöglichten die systematische Nachverfolgung des Arbeitsfortschritts. Allerdings müssten einige Aspekte wie etwa das Risikomanagement und Änderungen in den agilen Entwicklungen besser beschrieben werden.
 
Man habe derweil nicht prüfen können, ob alle geforderten Unterlagen erstellt worden seien, hält die Finanzkontrolle fest. Zudem seien die Anwendungskontrollen und Sicherheit nicht ausreichend in den Prozess der agilen Entwicklung eingebettet.
 
Aktuell sind beim DIP drei produktive Anwendungen in Betrieb, die sich auf der Cloud-Infrastruktur des BIT befinden. Der technische Betrieb sei gewährleistet, so die EFK. Allerdings seien noch nicht alle organisatorischen Details geklärt: Es bestehe etwa noch Klärungsbedarf bei der Aufgabenverteilung zwischen Entwicklern und Betriebsfachleuten. Auch die Verantwortlichkeit nach Ablauf einer vierjährigen Zeitspanne sei noch nicht definiert. (ts)