Ohne OZG 2.0 - was passiert nun?
Das OZG 2.0 hat die Hürde im Bundesrat am 22.03.2024 nicht genommen und hängt weiter in der Schwebe. Nun soll ein Vermittlungsausschuss die Wogen glätten. Doch während auf Bundes- und Landesebene noch um die Details gestritten wird, stehen vor allem Umsetzungsprojekte auf Landes- und Kommunalebene vor der Herausforderung, wie genau die Umsetzung gelingen kann. Es stellen sich die Fragen, welche Bedeutung dem Änderungsgesetz zukommt, und wie sich die Umsetzung diesmal zielgerichtet gestalten lässt? Und wie bekommt man die Leistungen in die Kommunen?
Die Umsetzungsfrist des OZG 1.0 ist Ende des Jahres 2022 ausgelaufen. Das Ergebnis ist bekannt. Die Großzahl der Onlinedienste stehen immer noch nicht flächendeckend zu Verfügung. Ein retrospektiver Kommentar ist an dieser Stelle nicht zielführend. Entscheidend ist, aus den Fehlern und Versäumnissen der Vergangenheit zu lernen und OZG 2.0 besser aufzusetzen. Betrachtet man die Anpassungen und Änderungen des OZG 2.0, so ergeben sich einige wichtige Punkte, die es bei der Umsetzung nun zu berücksichtigen gilt.
Die Einführung eines Rechtsanspruchs auf den elektronischen Zugang zu Verwaltungsleistungen des Bundes sollte nicht nur für den Bund gelten. Auch wenn der Anspruch der Nutzer (Bürgerinnen, Bürger und Unternehmen) einen elektronischen Zugang zu Verwaltungsleistungen des Bundes ein gutes Signal ist, fehlt hier die Konsequenz für die Länder. Gerade dort ist mit dem aktuell unzureichenden Umsetzungsstand ein starkes Signal notwendig, um den Umsetzungsdruck zu erhöhen und festgefahrene Diskussionen über Zuständigkeiten und Ressourcen erneut in Bewegung zu setzen.
Um die Umsetzung in den Ländern zu erleichtern, sollten der Einsatz von offenen Standards, offenen Schnittstellen und Open-Source-Software (OSS) gestärkt werden. Wenn auch gut gemeint, zeigt sich in der breiten Masse von Anwendungen in den Ämtern und Behörden immer noch ein starker Durchsatz von kommerzieller Software. In der Nutzung von OSS steckt unbestritten ein Potenzial zur Community-getriebenen Weiterentwicklung von Anwendungen, bei der kommerzielle Produkte zum Teil nicht mithalten können. Hier ist jedoch Obacht geboten, denn OSS glänzt immer dann, wenn die Behörden und Ämter entsprechende Fachkräfte vorhalten, die eine tiefe Expertise vorweisen und sich bei der Weiterentwicklung beteiligen. In vielen Einrichtungen ist das aufgrund mangelnder Expertise und/oder Ressourcen jedoch nicht der Fall. Zudem hat das jüngste Beispiel des rein zufällig gefundenen Schadcodes in „XZ Utils“ gezeigt, dass OSS nicht per se vor Schaden schützt. Es ist eine architekturelle und sicherheitsbezogene Priorisierung von Anwendungen zu treffen, die in OSS in Zukunft abgebildet werden können. Gerade für die Kommunen sollte es hier über die IT-Dienstleister der Länder in Zusammenarbeit der IT-Dienstleister der Kommunen eine Empfehlung geben, an der sich die Behörden und Ämter orientieren können
Ein wesentlicher Kritikpunkt an der Umsetzung des OZG 1.0 war die späte Vorgabe von Standards. Für IT-Systeme, bei denen übergreifende IT-Zugänge zu Verwaltungsleistungen von Bund und Ländern genutzt werden, legen BMI und IT-Planungsrat u. a. Architekturvorgaben, Qualitätsanforderungen und Interoperabilitätsstandards fest. Diese Vorgaben sind für alle Stellen verbindlich, deren Verwaltungsleistungen über den Portalverbund angeboten werden, und können nicht durch Landesrecht überschrieben werden. Diese Maßgabe ist ein wichtiger Schritt in Richtung einer Standardisierung des Backbones für Verwaltungsleistungen, die miteinander vernetzt sind. Gleichwohl sollten die getroffenen Vorgaben die betriebliche Realität auf allen drei föderalen Ebenen berücksichtigen und (langfristig) auf für sich stehende Verwaltungsleistungen ausstrahlen. Es ist eine Sache, den aus Mangel an Struktur entstehenden Wildwuchs von Initiativen zur Verwaltungsdigitalisierung zu kritisieren. Es ist eine ganz andere, im föderalen Miteinander Entscheidungen zu treffen, die den Mangel an Struktur beheben. Die jüngst im IT-Planungsrat getroffene Entscheidung, in der Föderalen IT-Kooperation (FITKO) neben dem föderalen IT-Architekturboard auch ein föderales IT-Standardisierungsboard einzuführen, ist eine gute Entwicklung. Insbesondere ist die Beteiligung und das Stimmrecht für die Industrievertreter positiv zu sehen.
Ein wesentlicher Punkt ist die Verankerung der Registermodernisierung, auf den ich an anderer Stelle auch noch einmal dezidiert eingehen möchte. Während das OZG die Digitalisierung der Verwaltungsdienstleistungen regelt, müssen die dafür notwendigen Änderungen in den einzelnen Registern zum Datenaustausch im Registermodernisierungsgesetz geregelt werden. Hier sollen weitere Lücken geschlossen werden, die vor allem Gesundheitsdaten und Daten zum Sozialstatus von Bürgern betreffen. Dafür sind Änderungen im Sozialgesetzbuch notwendig, die zusammen mit Änderungen im E-Government-Gesetz die Umsetzung des Prinzips „Once Only“ endlich voranbringen sollen. Diese Änderungen sind richtig und wichtig, da sie den gesetzlichen Rahmen zur Verwaltungsdigitalisierung überhaupt erst schaffen. Das daraus entstehende Datenschutzcockpit erlaubt es jedem Bürger einzusehen, wie und von wem seine Daten abgerufen wurden. Es bleibt vor allem in den Kommunen dafür zu sorgen, daraus entstehende Fragen, Sorgen und ggf. auch Irritationen mit ihren Bürgern zu klären. Dafür ist wiederum eine Ertüchtigung der Fähigkeiten kommunaler Ansprechpartner notwendig. Und weil es schon angesprochen wurde, auch der Ausbau des Datenschutzcockpits selbst ist hier zu benennen. Mit der Einsicht in Protokoll- und Bestandsdaten können Bürger in Zukunft sowohl die Daten bei Behörden selbst als auch deren Abruf von Behörden verfolgen. Mit der dritten Komponente, einem Steuerungsmechanismus (z. B. in Form einer Änderung von fehlerhaften Daten), erhalten Bürger eine transparente Übersicht, so ist zumindest die Hoffnung. Das Anschließen der jeweiligen Register, in denen Bestandsdaten eingepflegt sind, erstreckt sich auf alle möglichen Datenbanken in Behörden und Ämtern, eine logistische Mammutaufgabe. Hier werden vor allem wieder die Kommunen gemeinsam mit ihren IT-Dienstleistern und ggf. den IT-Dienstleistern der Länder gefordert sein, Lösungen im Detail zur Verfügung zu stellen. Wir erinnern uns: ein Thema, das den Aufbau von Fähigkeiten ebenso wie von Ressourcen erfordert.
Um ein entsprechendes Change Projekt erfolgreich durchzuführen, braucht es neue Mittel und Wege der Kommunikation im Public Sector. Wie ließe sich Ihrer Meinung nach der Informationsfluss und die Zusammenarbeit auf allen Ebenen und mit der Zivilgesellschaft verbessern?
Ein gutes Change Management ist für die Transformation eines der wichtigsten Erfolgskriterien. Damit das gelingt, müssen alle – Verwaltung, Wissenschaft, Zivilgesellschaft und Wirtschaft – besser zusammenarbeiten. Es gibt bereits gute Formate und Netzwerke, in denen dieser Gedanke verfolgt wird. Eine nachhaltige Veränderung – egal ob in Bezug auf die Digitalisierung oder Nachhaltigkeit – gelingt aber nur dann, wenn wir auch zusammen an Themen arbeiten.
Aktuell sehen wir verschiedene Veränderungsprozesse im Public Sector. Denn nicht nur die Digitalisierung stellt einen großen „Change“ im öffentlichen Bereich dar, sondern auch die Transformation zu mehr Nachhaltigkeit macht vor der Verwaltung keinen Halt. Vielmehr möchte auch hier die Verwaltung vorangehen. Ich finde daher, dass die Frage nach einer besseren Zusammenarbeit und einem besseren Informationsfluss die richtige zur richtigen Zeit ist.
Ich möchte dabei aber gerne die unterschiedlichen Ebenen auch separat in den Blick nehmen. Voran einmal die Verwaltung selbst. Deutschland ist ein föderaler Bundestaat und das hat erstmal die Konsequenz, dass sich 16 Länder und der Bund gleichzeitig um bestimmte Themen kümmern. Bei der Digitalisierung der Verwaltung zeigt sich sehr deutlich, dass hier bereits eine Herausforderung liegt, um gemeinsame Standards zu schaffen und gemeinsame Themen zu bearbeiten. Meiner Meinung nach hat uns neben allen Herausforderungen und Problemen aber das OZG eines gebracht: mehr Kooperation zwischen einzelnen Ländern und zwischen Ländern und dem Bund. Insbesondere die Rolle des IT-Planungsrates als Entscheidungsgremium ist hierüber weiter emanzipiert und die Föderale IT-Kooperation (FITKO) als Arbeitsmuskel des IT-Planungsrates ist eine wirklich positive Entwicklung, die zu einem viel besseren Austausch zwischen den Ländern und dem Bund in Fragen der IT führt. Im Übrigen habe ich den Eindruck, dass bei aller Schelte auch die Beschlussqualität des IT-Planungsrates sich in den letzten Jahren verbessert hat. Was aber noch fehlt, ist die konsequente Integration der Kommunen. Ein positives Beispiel ist Rheinland-Pfalz. Fedor Ruhose als Digitalisierungsstaatssekretär des Landes hat hierzu mit dem IT-Kooperationsrat ein Gremium etabliert, um den Austausch zwischen Land und Kommunen zu verbessern. Ich denke, das ist der richtige Weg und auch die Interaktion zwischen Bund und Kommunen sollte noch stärker in den Blick genommen werden.
Gleiches gilt für die Interaktion mit der Wirtschaft und der Zivilgesellschaft. Auch wenn es zu dem Thema „Verwaltungsdigitalisierung“ schon einige gute Austauschformate und etablierte Netzwerke gibt – der eGovernment Summit ist ja auch ein gutes Beispiel dafür – brauchen wir noch mehr direkte Interaktion zwischen allen Beteiligten. Es ist schon wahrzunehmen, dass sich die Wirtschaftsverbände stärker und offener mit der Politik und Verwaltung austauschen. Der Austausch von Forderungen bringt uns aber an dieser Stelle nicht signifikant weiter. Ich halte es für wichtig, dass wir mehr aktiv zusammenarbeiten. Wir merken das auch in unserer Arbeit als IT-Dienstleister für die Verwaltung. Durch die gemeinsame Arbeit für und mit der Verwaltung haben wir ein viel höheres Verständnis von Hemmnissen, Rahmenbedingungen und verstehen schlicht weg unseren Kunden und die Verwaltung besser. Dieses Modell können wir doch gut übertragen. Gerade da, wo die Themen im Public Sector Unternehmen und Wirtschaft gleichermaßen betreffen, sollten wir noch stärker direkt zusammen an Themen arbeiten. Ein gutes Beispiel ist hier das offene und partizipative Konsultationsverfahren zur Zielbilderarbeitung der OZG-Rahmenarchitektur. Die Arbeitsergebnisse werden vom BMI auf Open CoDE veröffentlicht, so dass sich alle Interessensgruppen aktiv mit Kommentaren und Impulsen an dem Erarbeitungsprozess beteiligen können. Auch das Nutzerfeedback zu den vorhandenen Onlinediensten ist ein positives Beispiel, um die Leistungen der Verwaltung noch stärker an den Bedarfen der Bürgerinnen, Bürger und Unternehmen auszurichten.
Letztlich ist hier erkennbar, dass sich die Bereitschaft zur Partizipation und zur gemeinsamen Arbeit positiv verändert. Davon braucht es aber sicher noch einen viel größeren Maßstab, um angesichts der großen Herausforderungen gemeinsam geschaffene Ergebnisse zu erzielen, die von allen Interessensgruppen mitgetragen werden.
Die Registermodernisierung kann Verwaltungshandeln etwa verschlanken und automatisieren, aber die eigentliche Prozessorchestration bleibt. Was kann die Registermodernisierung für die öffentliche Verwaltung im Kern leisten und wo braucht es weitere Maßnahmen?
Die Digitalisierung und Vernetzung der Register ist neben der Umsetzung des OZG das entscheidende Hebelprojekt für die Verwaltungsdigitalisierung. Dies wird an allen Stellen betont, doch sind wir auch hier weit von einer Umsetzung entfernt. Wichtig für einen medienbruchfreien, digitalen Verwaltungsprozess sind flächendeckend verfügbare Onlinedienste für die Interaktion der Verwaltung mit Bürgerinnen, Bürgern und Unternehmen. Die dafür erforderlichen Daten müssen im Sinne eines Once-Only-Prinzips automatisch in die Anträge aus den Registern integriert werden und in einem voll digitalen Fachverfahren bearbeitet werden. Die Registermodernisierung ist damit der zweite wesentliche Treiber für vollständig digitale Prozesse.
Die Registermodernisierung ist ein zentraler Bestandteil der Digitalisierungsstrategie der öffentlichen Verwaltung. Sie verfolgt das Ziel, Verwaltungsprozesse für Bürgerinnen, Bürger und Unternehmen digital, effizient und serviceorientiert zu gestalten und steht damit im direkten Zusammenhang mit dem OZG. Mit dem Registermodernisierungsgesetz (RegMoG), das am 6. April 2021 in Kraft trat, und dem Identifikationsnummerngesetz (IDNrG), das am 31. August 2023 folgte, wurden die rechtlichen Grundlagen für eine umfassende Modernisierung der Registerlandschaft in Deutschland geschaffen. Im Fokus stehen einige wenige priorisierte Register, welche in einem ersten Schritt zur einheitlichen Identifikation der Registerinformationen, die Steuer-ID in die Register integrieren müssen. Das Bundesverwaltungsamt (BVA) als Registermodernisierungsbehörde hat dazu bereits Vorbereitungen getroffen und mit dem Identitätsdatenabrufverfahren eine Möglichkeit geschaffen, die Steuer-ID zur Erstbefüllung der Register automatisch abzurufen. Dieses Verfahren dient auch für den künftigen Einzelabruf auf Registerdaten. Ein erster guter Schritt.
Ich finde es gut, dass die langwierige Diskussion über die Auswahl der Steuer-ID als registerübergreifendes Identifikationsmerkmal mit der Gesetzgebung nun verbindlich beantwortet ist und bereits ein Verfahren besteht, um diese Steuer-ID als Merkmal über die verschiedenen Register zu nutzen. Die Registermodernisierung ist aber nicht nur bei der Nutzung im Onlinedienst für die Antragstellung der Bürgerinnen, Bürger und Unternehmen wichtig. Auch die Verwaltung selbst profitiert davon, wenn Registerinformationen anderer Stellen in Verwaltungsprozessen digital integriert sind. Wenn wir an vielen Stellen über Entbürokratisierung sprechen, ist das eben auch ein verwaltungsinternes Thema zu mehr Effizienz, Prozess- und Serviceorientierung der Verwaltung.
Bei der Pilotierung des Importes der Steuer-ID in das vom BVA selbst geführte Waffenregister hat sich aber gezeigt, dass nur 75 % der Registerdaten zweifelsfrei einer Steuer-ID zugeordnet werden konnten. Dabei ist das Waffenregister eines der technologisch und zeitlich jüngsten Register. Zudem ist es ein sehr kleines Register und wird selbst beim BVA geführt. Hier zeigt sich, wie hoch der noch zu erwartende Korrekturbedarf innerhalb der Register – vor allem bei den besonders großen und auch sehr alten Registern – sein wird. Deswegen gilt es keine Zeit zu verlieren und schnell in die Umsetzung zu starten.
Meine Vermutung ist aber, dass auch hier der Startschuss zu spät erfolgt ist und die erforderlichen Vorbereitungen erst mit steigender Dringlichkeit angegangen werden. Beispielsweise soll das bei der FITKO angesiedelte Projekte „Gesamtsteuerung Registermodernisierung“ die erforderlichen technischen und rechtlichen Rahmenbedingungen schaffen. Zudem soll es die für die Umsetzung der Single Digital Gateway Verordnung der EU (SDG) relevanten Register, im Übrigen auch der korrespondierenden Onlinedienste, beim Anschluss an die nationale Infrastruktur (Nationales Once Only Tecnical System (NOOTS) begleiten. Dieses dient dann als Intermediär zum Anschluss an das Europäische OOTS. All diese Maßnahmen wurden erst 2023 initiiert und sollen bis 2025 umgesetzt werden – wobei die Umsetzungsfrist der SDG-Verordnung bereits im Dezember 2023 endete und 21 wichtige Verfahrensbündel und Leistungen aus vier Richtlinien vollständig digital und grenzüberschreitend hätten bereitgestellt werden müssen.
Auch im Kern der Registermodernisierung stecken noch weitere Herausforderungen und ich möchte damit nochmal auf das wichtige Thema „Prozessorientierung“ zurückkommen. Wichtig ist, dass bei der Integration der Registerinformationen in den Onlinedienst im Sinne des Reifegrades 4 der Ende-zu-Ende Prozess noch mehr im Mittelpunkt steht. Das heißt eben auch, dass überall dort, wo bisher lediglich der Onlinedienst die Schnittstelle zum Bürger oder zur Bürgerin digitalisiert hat und der folgende Fachprozess nicht medienbruchfrei digital passiert, noch eine Mammutaufgabe wartet. Wenn ich mir anschaue, wie bisher bei der Digitalisierung der Onlinedienste vorgegangen worden ist, fehlt auch noch ein ganzes Stück im Prozess selbst.
Ich will kurz erklären, was ich damit meine. Bei einem Onlinedienst steht die jeweilige Rechtsvorschrift im Vordergrund der Verfahrensbetrachtung. Das bedeutet, es wird relativ eng nur das digital umgesetzt, was für den rechtlichen Vollzug der Verwaltungsleistung laut Gesetz erforderlich ist. Für die Bearbeitung des zugrundeliegenden Antrages sind aber viel mehr Prozessschritte innerhalb der Verwaltung erforderlich, die auch nicht in den Rechtsvorschriften geregelt sind. Hier müssen wir ein starkes Augenmerk darauflegen, dass wir nicht einfach Prozesse weiter digitalisieren, sondern zuvor innehalten und uns mit dem Prozess selbst befassen. Dabei können und sollten wir auch direkt die Automatisierungsmöglichkeiten und technologische Innovationen wie KI im Prozessdesign mitdenken. Wenn wir diese Prozesse schlank digitalisieren, die richtigen Schnittstellen zu den Registern anbinden, sind wir sowohl innerhalb der Verwaltung als auch an der Kundenschnittstelle der Verwaltung, den Bürgerinnen, Bürgern und Unternehmen ein wirkliches Stück weiter.
Eine bedeutende Rolle bei der Digitalisierung wird auch den digitalen Identitäten zugeschrieben. Mit dem Stopp der Smart eID und des kostenlosen PIN-Rücksetzdienst gab es hier jedoch in letzter Zeit vor allem negative Publicity. Wie lässt sich die eID etablieren und welche Rolle kommt dem EUDI-Wallet zu?
Die Etablierung digitaler Identitäten, insbesondere der elektronischen Identifizierung (eID), ist ein zentraler Baustein der Digitalisierung. Sie ermöglicht es Bürgerinnen und Bürgern, sich online auszuweisen und Zugang zu digitalen Diensten zu erhalten. Die Einführung einer bundesweiten eID ist aber nicht nur eine technische Herausforderung, sondern auch eine vertrauens- und sicherheitsrelevante Frage. Die Erwartungshaltung einer digitalen Gesellschaft ist eindeutig: elektronische Identitäten müssen einfach, sicher und akzeptiert sein. Für die breite Nutzung ist dann das Vorhandensein genügender Nutzungsmöglichkeiten essenziell.
In der Vergangenheit hat sich gezeigt, dass die Benutzerfreundlichkeit und die technischen Anforderungen schnell zum Scheitern solcher Lösungen führen können. Die flächige Nutzung des neuen Personalausweises (nPA) war vor allem durch das Vorhandensein eines passenden Lesegerätes limitiert. Die Online-Ausweisfunktion (eID-Funktion) in Kombination mit der AusweisApp2 hatte dieses Hemmnis zwar nicht mehr, allerdings fehlten lange Zeit die richtigen Anwendungsfälle für die Nutzung dieser Funktionen. Ich denke vielen Menschen in unserem Land ging es dann wie mir, dass sie entweder die Online-Ausweisfunktion erst gar nicht aktiviert haben oder den PIN-Brief noch gar nichtverwendet haben. Inzwischen ist die Nutzung besser, allerdings fehlt es nach wie vor an wirklichen Anwendungsfällen. Andere Länder sind hier einen anderen Weg gegangen und ich kann mir vorstellen, dass dies auch in unserem Land besser funktioniert hätte. Estland hat bei der Einführung der Smart ID direkt die Onlinebanken als Dienst integriert und damit einen praktischen und vor allem häufigen Anwendungsfall für die Bürgerinnen und Bürger mit der Einführung der eID direkt mitgeliefert. So konnten über die Zeit auch das PIN/TAN Verfahren abgelöst werden.
Für die eID ist dieser Weg aber auch immer noch möglich. Wichtig bleibt, dass die Integration der Funktion auch bei den Dienstanbietern (Banken, Versicherungen, etc.) einfach und unkompliziert ist. Andernfalls bleibt dies das so oft benannte „Henne-Ei-Problem“. Das setzt allerdings voraus, dass der PIN-Rücksetzungsdienst wieder kostenfrei angeboten wird. Mindestens für das einmalige Zurücksetzen, so dass jene, die zwar eine Online-Ausweisfunktion aktiviert haben, aber den PIN nicht mehr kennen, diese Funktion auch nutzen.
Mit dem European Digital Identity Wallet (EUDI-Wallet) folgt nun eine Initiative der Europäischen Union, die darauf abzielt, allen Bürgern, Einwohnern und Unternehmen in der EU eine sichere, grenzübergreifende digitale Identität bereitzustellen. Das EUDI-Wallet soll dabei nicht nur als Mittel zur Identifizierung dienen, sondern auch ermöglichen, verschiedene persönliche Dokumente und Zertifikate zu speichern und zu verwalten, wie beispielsweise Führerscheine, Bildungszertifikate, Bankverbindungen und mehr. Förderung der digitalen Souveränität, Verbesserung der Zugänglichkeit, Steigerung der Sicherheit und des Datenschutzes stehen dabei genauso im Vordergrund, wie die Steigerung der Sicherheit und des Datenschutzes sowie den erleichterten grenzüberschreitenden Verkehr. D
Deutschland wird die länderspezifische Umsetzung des European Digital Identity Wallet (EUDI-Wallet) im Rahmen der aktualisierten eIDASVerordnung (eIDAS 2.0) vornehmen. Am 29. Februar 2024 hat das Europäische Parlament in einer finalen Abstimmung der Novellierung der eIDAS 2.0 zugestimmt. Unter der Leitung des Bundesministeriums des Innern und für Heimat (BMI) wird nun eine prototypische Infrastruktur entwickelt, die die Anforderungen der eIDAS 2.0 erfüllt und die Basis für deutsche EUDI-Wallet(s) bildet. Auch hier bedient sich das BMI eines partizipativen Prozesses mit Zivilgesellschaft, Verbänden, der Wissenschaft und der Privatwirtschaft, um eine möglichst hohe Nutzerakzeptanz zu gewährleisten. Ich finde, hier zeigt sich, dass wir aus den Fehlern der Vergangenheit lernen können. Es bleiben aber noch viele Fragen offen. Beispielsweise, wie die Bundesverwaltung die Wallets herausgeben und zertifizieren oder aber auch nachhaltig betreiben kann. Ebenso ist die gegenseitige Anerkennung der ID-Wallets zwischen den Mitgliedsstaaten noch nicht sicher. Es ist nachvollziehbar, dass hier vor allem die Sicherheitsanforderungen im Fokus stehen und befürchtet wird, dass die nationalen Aufsichtsbehörden die Messlatte für die Vertrauensdienste unterschiedlich hoch ansetzen können.
Es bleibt also auch an dieser Stelle spannend, ob es nun im europaweitem Ansatz Deutschland gelingt, aus den Herausforderungen der Vergangenheit zu lernen.
Welche Rolle können Industrie- und Beratungsunternehmen beim weiteren Ausbau von eGovernment übernehmen?
Die eigene Bereitstellung der IT in der Verwaltung geht weiter zurück. Die Nutzung zentraler Dienste, sowohl von verwaltungseigenen zentralen Plattformen, Diensten und Infrastrukturen als auch souveräner und öffentlicher Möglichkeiten, steigt zunehmend. Der Fachkräftemangel führt zudem zu einer immer stärkeren Fokussierung auf das ITDienstleistermanagement, um externe IT-Beratungsunternehmen für die Leistungserbringung einzusetzen.
Die Gruppe der auf die öffentliche Verwaltung spezialisierter Dienstleister, Systemhäuser und Softwareunternehmen nimmt zu. Die hier verfügbaren Erfahrungswerte sind für eine effiziente Leistung wichtig und sollten in den Projekten aktiv genutzt werden. Dabei halte ich es für wichtig, dass diese Expertise nicht nur in der letztendlichen Umsetzung genutzt wird, sondern die verwaltungsspezifischen Verfahrenskenntnisse und Best-Practices auch frühzeitig, am Beispiel eines Softwareprojektes, bereits in die Prozessgestaltung mit integriert werden.
Im Zuge des OZG sehen wir, dass verwaltungsspezifische Lösungen inzwischen auch über eigene Marktplätze verwaltungsübergreifend anderen öffentlichen Stellen angeboten werden. Dies schafft eine ganz neue Möglichkeit, auch föderalübergreifende Lösungen auszutauschen. Hier liegt meiner Meinung nach auch ein weiteres Potenzial. Bestimmte Komponenten sind an vielen Stellen in der Verwaltung erforderlich und könnten als Basisdienste zentral bereitgestellt werden. Dazu ist es aber erforderlich, dass die spezifischen Besonderheiten, Vorgaben und auch unterschiedlichen gesetzlichen Regelungen auf einen gemeinsamen Nenner zusammengebracht werden. Wir haben im Rahmen der Einerfür-Alle Leistungen gesehen, dass dies gelingen kann.
In Zeiten einer angespannten Haushaltslage liegen hier auch Kosteneinsparpotenziale und Synergiepotenziale, die genutzt werden sollten.
Das Thema IT-Sicherheit entwickelt sich immer mehr zum Schlüsselthema der Verwaltungsdigitalisierung. Welche strukturellen Veränderungen werden die zunehmenden IT-Angriffe den Verwaltungen aufzwingen?
Die Angriffe auf die IT-Systeme sowohl in Verwaltung als auch in der Wirtschaft nehmen immer weiter zu. Die Betroffenen sind aber dabei nicht unbedingt schlecht vorbereitet oder ungeschützt. Wir haben es mit einer immer höheren Intensität aber auch Qualität von Angriffen aus einer multi-nationalen Bedrohungslage zu tun. Die Konsequenzen einer Cyberattacke sind verheerend, wie sich zuletzt bei der Ransomware-Attacke auf Südwestfalen-IT gezeigt hat, bei der 70 Kommunen über einen längeren Zeitraum lahmgelegt wurden. In der Folge müssen nun mehr als die Hälfte aller Kommunen in Nordrhein-Westfalen ihre IT-Sicherheit verbessern, um künftig besser gegen Cyberangriffe gewappnet zu sein. Es zeigt sich einmal mehr, dass wir IT-Sicherheit wirklich ernst nehmen müssen. Dabei braucht es strukturelle Veränderungen sowohl innerhalb der Behörden als auch im Gesamtverbund.
In den verschiedenen Verwaltungsstrukturen muss IT-Sicherheit personell präsenter sein. Auch wenn diese Ressourcen immer schwieriger zu finden sind, braucht es klare Zuständigkeiten und Kompetenzen in jeder Verwaltungsorganisation. Zudem muss IT-Sicherheit zunehmend Chefsache werden und Relevanz in der Entscheidungsebene von Behörden haben. Damit geht einher, dass Informationssicherheitsmanagementsysteme umfassend genutzt und die resultierenden Maßnahmen konsequent umgesetzt werden müssen. Ebenso bleibt die Vorbereitung auf einen Cyberangriff und die Lage danach wichtig. Wir sollten uns nicht mehr sicher fühlen und darauf vertrauen, dass es schon gut gehen wird. Eine gute Vorbereitung hilft und die Lernumgebungen sind da. Zumal der Kreis der Betroffenen steigt und inzwischen – wie ich finde – auch offener mit diesen Aspekten umgegangen wird. Insofern ist der Raum für Lernerfahrungen gegeben. Eine externe Kontrolle und Penetrationstests bleiben wichtig, um die eigenen Maßnahmen zu prüfen – auch wenn es letztlich keine 100 %-ige Sicherheit gibt. Wir müssen aber auch daran denken, dass technische IT-Sicherheit und personelle Maßnahmen gleichzeitig gesteigert werden müssen, um das gesamte Sicherheitsniveau zu verbessern. Dazu braucht es regelmäßige Security Awareness Trainings, mit denen Mitarbeitende immer wieder eine Aufmerksamkeit auf Cyberbedrohungen haben.
Außerhalb der einzelnen Verwaltungsorganisationen gibt es aber auch weitere strukturelle Veränderungsbedarfe, um der aktuellen Situation zu entsprechen. Ein Beispiel könnte die Idee einer „Cyber-Range“ im Sinne eines digitalen Trainingsgeländes für Cyberangriffe sein. Als digitaler Zwilling könnten Ausschnitte der öffentlichen und zivilen IT, einschließlich der kritischen Infrastrukturen, nachgebildet und Szenarien komplexer Angriffe nachgestellt werden. Weiterhin brauchen wir eine stärkere Zentralisierung und Vernetzung der Cybersicherheitsorgane in Bund, Ländern und Kommunen bis in die Sektorenverantwortlichkeiten. Allerdings muss bei mehr Zentralität und einer Stärkung der zentralen Organisationen auch darauf geachtet werden, dass damit auch wirklich mehr Sicherheit geschaffen wird.
Welche Funktion kann der eGovernment Summit bei der Bewältigung der anstehenden Herausforderungen leisten?
Der eGovernment Summit ist bedingt durch seine Besetzung die ideale Plattform, um genau über die Lösungen der anstehenden Herausforderungen zu diskutieren.
Wir freuen uns auf jeden Fall auf einen in dieser sehr kompetenten Runde regen Gedankenaustausch und sind uns sicher, den eigenen Horizont erweitern, eigene Meinungen hinterfragen, bestätigen oder gegebenenfalls auch ändern zu können.