"Das BIT muss über 1000 Verträge mit IT-Dienstleistern prüfen"

15. Dezember 2023 um 14:00
image
Dirk Lindemann (rechts) und Peter Studer vom Bundesamt für Informatik (BIT). Fotos: zVg

Zum neuen Jahr wechseln 340 Mitarbeitende von der militärischen FUB ins zivile BIT. Was das bedeutet und wie die gemeinsame Organisation das ereignisreiche Jahr beurteilt, haben wir im Doppelinterview mit Dirk Lindemann und Peter Studer besprochen.

Die Cyberangriffe auf Xplain und Concevis sowie die DDoS-Attacken auf den Bund haben auch das nicht direkt davon betroffene Bundesamt für Informatik (BIT) beschäftigt. Parallel dazu hat das Informatikamt wohl so viele Personalressourcen beschafft, wie noch nie zuvor. Und es muss jetzt auch noch 340 Mitarbeitende der Führungsunterstützungsbasis (FUB) bei sich integrieren.
Was das mit den aktuellen BIT-Leuten macht und welche Herausforderungen 2024 anstehen, darüber haben wir mit BIT-Direktor Dirk Lindemann und Peter Studer, Leiter Defence Platform, gesprochen.
Das Jahr 2023 ist bald zu Ende. Welche Bilanz ziehen Sie, Dirk Lindemann? Eine sehr positive. Wir konnten dank unseren Mitarbeitenden viele Themen vorantreiben, wie zum Beispiel die Swiss Government Cloud. Ausserdem konnten wir unsere Leistungen – wie die jüngste Umfrage bei unseren Kunden zeigt – wie gewohnt und gewünscht erbringen.
Dabei hatte die Bundesverwaltung zwei schwere Datenabflüsse aufgrund der Cyberangriffe auf Xplain und Concevis zu beklagen. Hier ist wichtig zu verstehen, dass die Datenabflüsse nicht auf den Systemen der Bundesverwaltung stattfanden. Dennoch hat uns insbesondere der Fall Xplain sehr beschäftigt. Es ging einerseits darum, unsere Kunden zu unterstützen. Und andererseits um die Bereitstellung von Informationen für die Administrativuntersuchung. Ebenfalls viel Aufwand haben uns die DDoS-Attacken bereitet.

DDoS-Attacken haben uns auch Spass gemacht

Diese hatten sie aber vergleichsweise gut im Griff? Ja. Sie waren zu Beginn etwas stressig für unsere Mitarbeitenden. Danach hatten sie aber auch Spass daran (lacht).
Wirklich, wieso? Wir konnten uns schnell an die Cyberkriminellen adaptieren und jeweils rasch reagieren. Solche Angriffe wirksam abzuwehren, ist für die Mitarbeitenden auch immer ein Erfolgserlebnis. Aus Sicht des BIT hatten wir diese DDoS-Attacken gut im Griff.
Aber nochmal zurück zu Xplain und Concevis: Welche Rolle spielt das BIT jetzt? Stehen Sie den Ämtern vor allem beratend zur Seite? Nebst der erwähnten Unterstützung der Administrativuntersuchung ist es genau das: Wir sind in einer Consulting-Rolle. Es geht um Unterstützung und Vorsorge, dass solche Fälle möglichst nicht mehr vorkommen, zum Beispiel durch Anpassung von Verträgen. Und wir helfen betroffenen Ämtern bei der Aufarbeitung der Datenabflüsse.
War denn die Zeitspanne von einem halben Jahr zwischen Xplain und Concevis zu kurz, um einen zweiten Fall zu verhindern? Das kann ich nicht beurteilen. Der entscheidende Punkt ist das Handeln sowohl aufseiten der Lieferanten als auch aufseiten der Bundesverwaltung.
Die Verträge mit den Lieferanten hat aber die Bundesverwaltung abgeschlossen. Das ist so und deshalb sind wir jetzt auch dabei, diese zu überprüfen. Zudem sind wir zusammen mit dem Bundesamt für Bauten und Logistik (BBL) daran, die Vertragsvorlagen zu überarbeiten, um beispielsweise eine Informationspflicht bei Cyberangriffen zu verankern. Dafür fühlen wir uns auch verantwortlich.

BIT übernimmt Verträge der Führungsunterstützungsbasis

Das sind tausende Verträge… Wie viele haben Sie schon geprüft und bis wann wollen Sie fertig sein? Ja, beim BIT handelt es sich um über tausend Verträge und es kommen bald weitere hinzu. Wir übernehmen derzeit die Verträge der Führungsunterstützungsbasis (FUB), welche zukünftige Leistungen des BIT betreffen.
Was mir aufgefallen ist im Jahr 2023: Sie haben so viele Dienstleistungsverträge für externes Personal abgeschlossen wie wohl noch nie. Warum waren diese in dieser Häufung notwendig? In der Bundesverwaltung gibts ein hohes Bedürfnis in Sachen Digitalisierung, insbesondere zwei stechen hervor: Superb und Dazit. Zudem gibts viele weitere Projekte, die zwar nicht so gross sind, aber auch viele Ressourcen benötigen. All diese Leistungen können wir nicht mit unserem bestehenden Personalplafond erbringen.
Wie entscheiden Sie, was Sie selbst machen und was extern abgedeckt wird? Wir fokussieren uns auf Bereiche, in denen wir der Verwaltung einen Mehrwert bieten und nachhaltig tätig sein können.
Das ist mir jetzt ein bisschen zu abstrakt. Können Sie ein Beispiel machen? Aktuell benötigen wir beim Projekt Superb viele SAP-Beraterinnen und -Berater. Nach Projektabschluss können wir diese für reine Betriebsaufgaben nicht mehr einsetzen. Wir versuchen also unsere Mitarbeitenden im Programm so einzusetzen, dass sie nachher den Betrieb selbst bewältigen können. Deshalb holen wir punktuell und wo nötig, Externe hinzu.
image
BIT-Direktor DIrk Lindemann.
Wenn ich Sie richtig verstehe, gehts bei diesen Rahmenverträgen darum, Peaks abzudecken. Können Sie prognostizieren, ob es in diesem Ausmass weitergeht oder werden es künftig wieder weniger? Es kommen neue Digitalisierungsprojekte auf uns zu: etwa E-ID, DigiSanté oder Swiss Government Cloud. Dort werden wir jeweils prüfen, welches Know-how wir auf Dauer intern brauchen und welches nur punktuell nötig ist. Ausserdem kommen wie gesagt bestehende Verträge der FUB zu uns, dort gibt es sicher Synergien. Aber es kommen sicher auch noch neue Projekte und Wünsche hinzu.

340 Mitarbeitende wechseln den Arbeitgeber

Bei der E-ID wünscht sich die Bevölkerung eine staatliche Lösung. Das heisst ja auch, dass sie möglichst viel selbst machen und nur wenig externe Hilfe beiziehen, oder? Das ist richtig, diesen Auftrag nehmen wir ernst und wollen intern entsprechend viel Know-how aufbauen.
Sie haben es jetzt mehrfach angesprochen. Die Führungsunterstützungsbasis wird teilweise ins BIT integriert. Es wechseln also nicht nur Verträge die Seite, sondern auch viele Mitarbeitende. Wie weit sind Sie bei diesem Prozess, Herr Studer? Wir sind auf Kurs und starten am 1. Januar in der neuen Organisation. Die FUB gibts nächstes Jahr nicht mehr, sie wird aufgeteilt: Ein Teil kommt ins BIT, ein Teil ins neue Kommando Cyber und ein weiterer Teil in den Armeestab.
Vom Wechsel ins BIT sind ungefähr 340 Mitarbeitende betroffen. Wie managen Sie das? Es geht um die Verschiebung von einer militärischen in eine zivile Organisation. Das dürfte nicht nur einfach sein. Lindemann: Wir haben ihnen relativ früh ein neues Vertragsangebot gemacht, das identisch war mit dem vorherigen – um ihnen die nötige Sicherheit zu bieten.
Studer: Es stimmt, viele Mitarbeitende haben eine emotionale Beziehung zum Militär. Deshalb haben wir dieses kulturelle Thema früh thematisiert und konnten sie gut darauf einstimmen. Weil sie aber zu einem grossen Teil immer noch für die Armee arbeiten werden, ist das schlussendlich ein problemloser Wechsel, den praktisch alle mitgehen.
Fast alle heisst? Studer: 3 Mitarbeitende haben unsere Vertragsangebote nicht angenommen, sondern wechselten ins Kommando Cyber.
Und wie war es umgekehrt beim BIT? Die heutigen Mitarbeitenden haben bald über 300 neue Kolleginnen und Kollegen mit Militärvergangenheit. Bisher haben wir uns mehrheitlich um die detaillierte Information der betroffenen FUB-Mitarbeitenden gekümmert. Nun sollen die bisherigen BIT-Mitarbeitenden noch stärker abgeholt werden.

Fluktuation im üblichen Bereich

Kam es nicht zu vermehrten Kündigungen? In der Branche hört man von starker Fluktuation. Natürlich gibt es Abgänge, aber die Zahl bewegt sich im üblichen Bereich. Bei der Netto-Fluktuation sind wir leicht über dem Bundesdurchschnitt. Brutto – also mit Pensionierungen – bewegen wir uns aber auf einem vergleichbaren Niveau. Auch unsere Mitarbeiterumfragen zeigen gute Werte.
Wie beurteilen Sie das Synergiepotenzial, welches die Integration der FUB mit sich bringt? Lindemann: Sehr hoch. Wir können unsere Supporteinheiten, Tools, Lizenzverträge oder auch Dienstleistungen konsolidieren.
Diese Konsolidierung wird Sie aber noch über den 1. Januar hinaus beschäftigen, nehme ich an. Wann wollen Sie fertig sein? Das hängt in erster Linie von der Laufzeit der Verträge ab. Ich gehe davon aus, dass diese Prozesse in den nächsten 2 Jahren abgeschlossen sind. Es ist jetzt spannend, die erzielten Preise mit den jeweils gleichen Dienstleistern vergleichen zu können.

Vollständige Entflechtung dauert bis Ende 2020er-Jahre

Wer hat besser verhandelt? (beide lachen) Lindemann: Mal die einen, mal die anderen. Bei der Konsolidierung gehts natürlich darum, am Schluss den besten Preis herauszuholen.
Es gibt aber sicher auch Mitarbeitende, deren Kompetenzen und Stellenprofile sich überschneiden. Wirds zu einem Stellenabbau kommen? Nein, keinesfalls. Eher wird es darauf hinauslaufen, dass weniger Externe benötigt werden. Es gibt genügend Aufgaben im BIT.
Wie viele Mitarbeitende wird das BIT zum 1. Januar 2024 zählen? Lindemann: Das müssen wir kurz nachschauen.
Die anwesende Sprecherin öffnet ihr SAP.
Ist das schon auf S/4Hana? Ja. Alles auf Hana, technisch gesehen ist das Projekt Superb abgeschlossen. Wir haben 16 Milliarden Datensätze migriert.
Das SAP zählt 1190 FTE im Bundesamt für Informatik und Telekommunikation. Hinzu kommen rund 320 von der FUB – also 1510 ab dem 1. Januar 2024.
Von aussen betrachtet verstehe ich eines nicht: Sie sagten, dass das BIT weiterhin Leistungen für die Armee erbringt – und das Kommando Cyber steht auch zivilen Ämtern zur Verfügung. Warum wird das jetzt nicht klarer getrennt? Studer: Diese Trennung, dass das BIT nur zivilen und das Kommando Cyber nur hauptsächlich militärischen Einheiten sowie bspw. Blaulichtorganisationen dient, ist der Endzustand. Im Moment gibts tatsächlich noch eine Vermischung, weil Infrastruktur, Abläufe, Prozesse und die Organisationen noch stark verwoben sind. Diese auseinanderzureissen, würde die Leistung gefährden. Deshalb tun wir das langsam.
Wie lange dauert es noch, bis der "Endzustand" erreicht wird? Lindemann: Der aktuelle Plan sieht Ende 2026 vor. Das hängt unter anderem davon ab, wie schnell die Armee in der Lage sein wird, die neuen Services aufzubauen.
image
Leiter Defence Plattform Peter Studer.
Das Datum ist also noch flexibel? (lacht) Ja, wir sind agil. Wir wollen nichts mit der Brechstange machen, weil kritische Infrastrukturen betroffen sind. Sicherheit und die Aufrechterhaltung der Services gehen also vor.
Studer: Via Programm "Ruver" – welches den thematisierten Wechsel von FUB-Mitarbeitenden ins BIT beinhaltet – werden das BIT und das Kommando Cyber ab 2024 mit der Entflechtung der Fachsysteme, -services und -anwendungen beauftragt. Eine entsprechende Roadmap mit definierten Endzuständen soll bis Mitte 2025 stehen. Die vollständige Entflechtung und Aufteilung der Leistungserbringung in militärisch einsatzkritische (Kommando Cyber) und militärisch nicht einsatzkritische (BIT) Leistungen wird im Regelbetrieb umgesetzt und dauert wohl bis Ende der 2020iger Jahre.

M365 aus dem Bundes-eigenen RZ ist das Ziel

Blicken wir in die Zukunft: Was sind aus Ihrer Sicht die grossen Herausforderungen, die auf das BIT zukommen? Lindemann: Wir haben schon darüber gesprochen. Wichtig werden im Jahr 2024 die E-ID sowie die aktuellen Projekte Superb und Dazit. Ab 2025 wird uns dann die Swiss Government Cloud beschäftigen.
Aber die Swiss Government Cloud ist auch heute schon ein Thema. Ja, aber zuerst müssen wir eine Botschaft ans Parlament für einen Verpflichtungskredit erarbeiten. Nächstes Jahr wollen wir die Projektstruktur hochziehen, deshalb wirds da vor 2025 eher nicht konkret.
Ein anspruchsvolles Projekt. Definitiv. Wir wollen die Vorteile von Cloud-Lösungen mit hohen Ansprüchen an Datenschutz und Datensicherheit bieten. Ziel ist es, ein dreistufiges Modell anzubieten: Leistungen von Hyperscalern in der Cloud sowie On-Prem und drittens eine eigene On-Prem-Cloud mit Hoheit über den Betrieb.
Sie selbst haben aber nur zwei Rechenzentren, in der Public-Cloud-Ausschreibung des Bunds wurden hingegen 3 verlangt. Diese Anforderung erfüllen Sie nicht. Das stimmt. Es wird aktuell diskutiert, ob es mittelfristig einen dritten Standort braucht. Aber das wäre ein Projekt für die nächsten 15 bis 20 Jahre. Deshalb werden wir unseren Auftrag mit den zwei aktuellen erfüllen.
Wenn Sie mit Ihren aktuellen Kunden sprechen, spüren Sie das Bedürfnis nach einer bundeseigenen Cloud-Lösung? Wir sind gerade mitten in der Bedarfsanalyse. Bei den aktuellen Lösungen mit ausländischen Anbietern spüren wir grosse Vorbehalte bezüglich Datenschutz und Datensicherheit. Deshalb: Ja, es gibt definitiv ein Bedürfnis nach einer bundeseigenen sicheren Cloud-Lösung.
Sie erwähnten, dass Sie Hyperscaler-Lösungen On-Prem anbieten wollen – also M365 aus dem Bundes-eigenen RZ? Zum Beispiel. Mit der Cloud-Lösung M365 wird die Datenhaltung in unserem RZ umgesetzt. Zudem stellen wir sicher, dass keine besonders schützenswerten und vertraulichen Daten in die Cloud abgegeben werden. So ist sichergestellt, dass Microsoft keinen Zugriff auf sensitive Daten von unserer Seite erhält.
Haben Sie schon mit Microsoft über Ihre Vorstellungen gesprochen? Ja, wir haben mögliche Umsetzungen diskutiert. Aktuell ist es noch nicht so, dass uns die besprochene Lösung "pfannenfertig" zur Verfügung gestellt werden kann.
Sie sind aber guter Dinge, dass Sie das so hinbekommen? Das hängt sicherlich vom Anbieter ab, ob sie solche Services zur Verfügung stellen wollen. Wir setzen uns jedenfalls für eine solche Lösung ein.

Möchten Sie uns unterstützen?

Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Jetzt unterstützen



Loading

Mehr erfahren

Mehr zum Thema

image

Parldigi direkt: Wenn ein neues Gesetz ins Leere beisst

Die Mitte-Nationalrat Dominik Blunschy schreibt in seiner Kolumne, wie die Digitalisierung der Sozialversicherungen gelingen kann. Heute ist der Papierweg noch vorgeschrieben.

publiziert am 22.5.2024 1
image

BFH besetzt neue Professur für User Experience & Data Visualization

Erfolgreiche Digitalisierung im öffentlichen Sektor braucht benutzerfreundliche Anwendungen, glaubt die Fachhochschule. Sie schafft dafür eine neue Professur und besetzt sie mit Julia Mia Stirnemann.

publiziert am 21.5.2024
image

EFK kritisiert Justitia 4.0

Die Finanzkontrolle stört sich an einem unvollständigen Stake­holder­management, nicht messbaren Effizienz­optimierungen und der fehlenden Einhaltung von Vorgaben.

publiziert am 21.5.2024
image

KI-Gesetz der EU tritt schon bald in Kraft

Die EU-Länder haben dem "AI Act" zugestimmt. Damit nimmt das Gesetz die letzte Hürde.

publiziert am 21.5.2024