Bericht zur Abschreibung der Motion 10.3640 Finanzkommission des Nationalrates vom 7. September 2010: Zuständigkeiten im Bereich der Informatik und Telekommunikation der Bundesverwaltung vom 25. Mai 2016
Sehr geehrte Frau Nationalratspräsidentin Sehr geehrter Herr Ständeratspräsident Sehr geehrte Damen und Herren Mit diesem Bericht beantragen wir Ihnen, den folgenden parlamentarischen Vorstoss abzuschreiben: 2010
M 10.3640
Zuständigkeiten im Bereich der Informatik und Telekommunikation der Bundesverwaltung (Annahme NR 1.12.10, Annahme SR 16.6.11)
Wir versichern Sie, sehr geehrte Frau Nationalratspräsidentin, sehr geehrter Herr Ständeratspräsident, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.
25. Mai 2016
Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Johann N. Schneider-Ammann Der Bundeskanzler: Walter Thurnherr
2016-0177
4273
BBl 2016
Bericht 1
Ausgangslage
Die Motion der Finanzkommission des Nationalrates vom 7. September 2010 beauftragte den Bundesrat, zuhanden der zuständigen Aufsichtsorgane der Bundesversammlung: a.
das Verfahren und die Kriterien zur Bestimmung aufzuzeigen, welche Informatik unter Artikel 2 Absatz 3 der (damals geltenden) Bundesinformatikverordnung (aBinfV) fällt und für die in der Folge die Informatikvorgaben der BinfV keine Gültigkeit haben;
b.
zu prüfen, ob das Verfahren und die Kriterien gemäss Buchstabe a den departementsübergreifenden Interessen genügend Rechnung tragen;
c.
aufzuzeigen, welche Informatik, gestützt auf die Ausnahmeregelung gemäss Artikel 2 Absatz 3 aBinfV, in der Bundesverwaltung parallel betrieben wird.
Der Bundesrat wurde beauftragt, zuhanden der Bundesversammlung: d.
mit der Botschaft zur Staatsrechnung 2010 über die Ergebnisse der Prüfung gemäss Buchstabe b sowie über allfällig getroffene Massnahmen und deren Umsetzung Bericht zu erstatten.
Mit der Totalrevision vom 9. Dezember 2011 der Bundesinformatikverordnung (BinfV)1 hat der Bundesrat den in der Motion zitierten Artikel 2 Absatz 32 ersatzlos aufgehoben. Damit gelten grundsätzlich alle Vorgaben der BinfV auch für die Systeme der Armee. Zu diesen Vorgaben gehört im Bereich von IKT-Leistungen, die in der Bundesverwaltung vielfach und unter gleichen oder ähnlichen Anforderungen der Leistungsbezüger verwendet werden (also Leistungen mit potenziellem Parallelbetrieb gemäss dem Fokus der Motion), das Regime der IKT-Standarddienste. Diese werden zentral durch das Informatikstrategieorgan des Bundes (ISB) geführt. Der Bundesrat legt die Standarddienste einschliesslich der entsprechenden Marktmodelle fest. Für die Führung der IKT-Standarddienste ist das ISB zuständig. Im Rahmen der Marktmodelle werden in Absprache mit den Departementen die abzudeckenden Funktionalitäten, das Sourcing sowie das Leistungsbezugs- und Verrechnungsmodell festgelegt. Das Prinzip der Standarddienste erlaubt dem Bundesrat eine bessere Steuerung und Führung der Informatik und ermöglicht der Bundesverwaltung die Nutzung von Synergien wie auch die Reduktion der Informatikkosten.
Mit der erwähnten Verordnungsrevision wurden die Bedingungen für die Wahrung der departementsübergreifenden Interessen und das Vermeiden von parallelem Betrieb von gleichen Anwendungen im Rahmen der dezentralen Grundorganisation
1 2
SR 172.010.58; AS 2011 6093 Art. 2 Abs. 3 aBinfV: «Die Informatikvorgaben nach dieser Verordnung gelten nicht für die Informatik der Waffensysteme und nicht für die Führungs- und Einsatzsysteme der Armee».
4274
BBl 2016
der Bundesverwaltung substanziell verbessert. Nach der ersten Strategieperiode in der Folge dieser Revision können die konkreten Umsetzungen aufgezeigt werden.
2
Begründung des Antrags auf Abschreibung der Motion
Das in der Motion unter den Buchstaben a und b angeführte Verfahren kommt seit der Inkraftsetzung der totalrevidierten BinfV nicht mehr zur Anwendung. Die generelle Ausnahme für die Waffen-, Führungs- und Einsatzsysteme der Armee ist weggefallen. Es ist zum Beispiel bei jedem neuen Standarddienst zu prüfen und gegebenenfalls aufzuzeigen, inwiefern Ausnahmen im konkreten Fall gerechtfertigt sind. Diese werden dem Bundesrat mit dem entsprechenden Marktmodell zum Entscheid vorgelegt.
Durch den Einbezug des VBS in das Führungskonzept der Standarddienste haben sich die Zusammenarbeit und die Synergiefindung zwischen der VBS-Informatik und der zivilen Informatik massiv verbessert. Folgende Synergien mit dem VBS wurden zum Beispiel im Rahmen der bestehenden Standarddienste realisiert:
Datenkommunikation (DAKO): Der Bundesrat hat das Marktmodell IKTStandarddienst DAKO am 14. Dezember 2012 genehmigt und damit als Leistungserbringer das BIT festlegt. Die krisenresistenten Netze der Bundesverwaltung, für die zusätzliche Anforderungen gelten, sind nicht Teil des Standarddienstes DAKO; sie werden ausschliesslich unter der Leitung des Leistungserbringers Führungsunterstützungsbasis (FUB) und der Armee geplant. Damit konnte eine klare und wirtschaftliche Rollentrennung umgesetzt werden. Weil krisenresistente und zivile Netze von unterschiedlichen Organisationen entworfen und betrieben werden, wurden die architektonischen und operativen Grundlagen erarbeitet, die zur Anwendung kommen, wenn eine durchgängige End-zu-End-Datenkommunikation über die zivilen (Standarddienst DAKO) und die krisenresistenten Netze (VBS/FUB) notwendig sind.
Büroautomation inkl. Unified Communication & Collaboration (UCC): Durch das gemeinsame Engineering im Bereich der Büroautomation und UCC konnten mit dem VBS bereits umfassende Synergien (Engineering, Beschaffung etc.) erzielt werden. Mit Ausnahme des VBS werden bis Ende 2016 alle Departemente auf UCC migriert sein; die Migration des VBS wird 2017 erfolgen. Bereits voll integriert ist das VBS in die Arbeiten im Rahmen des vom ISB zentral geführten Programms Arbeitsplatz 2020 (APS2020). In diesem Zusammenhang wird die Zusammenarbeit zwischen den Büroautomations-Leistungserbringern BIT, FUB und EDA zur Harmonisierung der Produktionsstrassen weiter intensiviert.
Identitäts- und Zugangsverwaltung (IAM) und Public-Key-Infrastruktur (PKI): Im Jahr 2015 wurde die PKI (ebenfalls ein IKT-Standarddienst) des VBS erfolgreich zum PKI-Standarddienst-Leistungserbringer BIT migriert.
4275
BBl 2016
Auch weiterhin sollen dort, wo sinnvoll, Synergien ausgeschöpft werden.
So sollen z. B. die IAM-Systeme von VBS/V (ICAM3) Teilleistungen (z. B.
Informationen) aus dem zivilen Identity-Store (Teil des zivilen IAMSystems) nutzen.
Elektronische Geschäftsverwaltung (GEVER): Im Bereich GEVER, der ab 2019 als Standarddienst geführt werden soll, hat das ISB bereits 2014 ein komplementäres Leistungserbringer-Modell festgelegt. Das Information Service Center WBF (ISCeco) ist der Leistungserbringer (Integrator) für alle Leistungsbezüger, auch für das VBS. Das ISCeco bezieht aber seine Infrastrukturservices (Speicher, Rechner, Server etc.) vom BIT.
Webauftritte der Bundesverwaltung (Content Management System CMS): Im Rahmen der Prüfung eines Standarddienstes CMS wird eruiert, inwiefern Synergien zwischen den beiden in den letzten Jahren beschafften Lösungen des BIT und des VBS realisiert werden können. Bereits im Jahr 2015 verlief z. B. die Anbindung der CMS-Systeme des VBS an die eIAM-Systeme (E-Government Identity und Access Management) des BIT erfolgreich.
Die aktuelle IKT-Strategie des Bundes 20162019 sieht für die departementalen IKT-Leistungserbringer den Grundsatz der Komplementarität vor. So wird beispielsweise der angestrebte zentrale Datacenter-Verbund zu einer weiteren geografischen Zusammenlegung der Infrastrukturen führen. Zahlreiche dezentrale Rechenzentren werden aufgehoben. In einem gemeinsamen Steuerungs- und Betriebsmodell werden Synergien im Betrieb und der Leistungserbringung angestrebt.
Schliesslich hat der Bundesrat 2013 auch die dezentrale IKT-Leistungserbringung ausserhalb der departementalen Leistungserbringer überprüfen lassen und darauf gestützt weitere Konsolidierungen beschlossen.
Dem VBS werden resp. müssen allerdings auch in Zukunft Ausnahmen von den zentralen IKT-Vorgaben gewährt werden. Diese begründen sich wie folgt:
3
Auch in der Bundesverwaltung sind nicht alle IKT-Systeme und Anwendungen gleich schützenswert. Schutzmassnahmen für besonders schützenwerte Infrastrukturen sind aufgrund der aktuellen Bedrohungslage sehr kostenintensiv. Ein pauschal hoher Schutz für alle Systeme ist weder sinnvoll noch bezahlbar. Auch deshalb sollte wieder vermehrt geprüft werden, inwieweit die IKT-Infrastrukturen allenfalls in solche mit hohem Schutzbedarf und solche mit normalem Schutzbedarf zu gliedern wären. Entsprechend können diese Infrastrukturen auch durch verschiedene Leistungserbringer betrieben werden (Bsp. Datenkommunikation). Infrastrukturen mit besonders hohem Schutzbedarf, insbesondere auch bezüglich der Verfügbarkeit über alle Lagen, können zum Beispiel durch den Leistungserbringer des VBS für die ganze Bundesverwaltung betrieben werden. Denn das VBS benötigt seit jeher viele solcher Lösungen und verfügt deshalb über das erforderlichen Fachwissen und die notwendigen Prozesse.
Identity, Credential and Access Management
4276
BBl 2016
Aus Gründen des Investitionsschutzes (Bestrebungen, den Wert von früher getätigten Investitionen nicht unnötig zu verringern) können diverse noch unter der aBinfV aufgebaute IKT-Infrastrukturen des VBS nicht einfach kurzfristig zu einem anderen Leistungserbringer migriert werden.
Das VBS und seine Verwaltungseinheiten beziehen ihre IKT-Leistungen zum grössten Teil bei der FUB. Einzelne Verwaltungseinheiten wie das BASPO (Büroautomation und UCC wird bereits vom BIT betrieben) oder swisstopo (der Entscheid, dass Büroautomation und UCC vom BIT betrieben werden, ist gefällt) beziehen ihre Leistungen beim BIT und nur spezifische Leistungen bei der FUB. Letztere erbringt Leistungen in einem «FünfProdukte-Cluster»: militärische Systeme; Kommunikationssysteme; Anwendungssysteme; betriebliche Informations- und Einsatzsysteme; sichere Front-End-Systeme.
Die militärischen Systeme sind mehrheitlich in die erwähnten Systeme eingebettet (z. B. FLORAKO4, FIS HE5, FIS LW6), da sie mit anderen technischen Geräten, so etwa Radaranlagen, verbunden sind. Hier ergibt sich aus der Sicht des VBS kein Handlungsbedarf, und es sind aus der Sicht des VBS auch keine Ausnahmen zu den geltenden IKT-Vorgaben des Bundes zu beantragen.
Die Leistungen im Bereich der Kommunikationssysteme werden im Bereich der Standarddienste durch das BIT erbracht. Die FUB dient hier nur als Ansprechpartner für die Leistungsbezüger des VBS. Die anderen Leistungen betreffen Funksysteme für die Armee, für die Botschaften oder für das Führungsnetz Schweiz (siehe unten auch krisenresistente Netze). Letzteres verbindet spezifische Führungspunkte mit einer hochverfügbaren Datenleitung.
Auch in diesem Bereich ergeben sich aus der Optik des VBS keine zusätzlichen Synergien.
Die Anwendungssysteme des VBS dienen, wie in anderen Departementen auch, der IKT-Unterstützung von sehr spezifischen Geschäftsprozessen und -aufgaben. Sie werden daher ausserhalb der Standarddienste fast immer nur von einer oder von sehr wenigen Verwaltungseinheiten beansprucht. Entsprechend stellt sich die Frage nach der «Synergie durch Zusammenlegung» kaum. Diese Systeme werden im Gegenteil optimalerweise dort betrieben, wo auch das Fachwissen für den zu unterstützenden Prozess vorhanden ist.
Im VBS kommt hinzu, dass insbesondere die Verteidigung sowie teilweise die armasuisse und das BABS eine Vielzahl von sogenannt «eingebetteten
4 5 6
FLORES RALUS KOMSYS; Luftüberwachungssystem (Schweizer Radarsystem für die Luftraumüberwachung der Militär- und Zivilluftfahrt) Führungsinformationssystem Heer Führungsinformationssystem Luftwaffe
4277
BBl 2016
Systemen»7 (embedded systems) benötigt. Die Laborsysteme des BABS und der armasuisse sowie praktisch alle Waffensysteme sind solche eingebetteten Systeme. Es ist kaum möglich und wirtschaftlich, von den Anbietern solcher Systeme eine Erfüllung aller IKT-Vorgaben des Bundes zu verlangen.
Diese Systeme sind spezifisch auf eine Aufgabe ausgerichtet und werden in einem sehr speziellen Kontext genutzt und von den Anbietern entsprechend spezifiziert. Eingebettete Systeme sind zudem keine Eigenheit des VBS, sondern sie sind in anderen Departementen auch vorhanden.
Im Bereich der betrieblichen Informations- und Einsatzsysteme betreibt die FUB die zwei SAP-Systeme des VBS und das Personalinformationssystem der Armee (PISA). Das Personalinformationssystem hat in der Bundesverwaltung keine weiteren Benutzer und auch kein entsprechendes Pendant und benötigt daher keine Ausnahme. Der Betrieb der SAP-Systeme wird im Rahmen der Motion 10.36418 detailliert behandelt.
Der letzte Serviceteil, die Front-End-Systeme, betrifft die Leistungen der FUB im Bereich der Büroautomation. Diese wurde vom Bundesrat als Standarddienst mit einem Marktmodell mit zwei Anbietern (BIT und FUB) sowie einem gemeinsamen Engineering definiert. Der Standarddienst beinhaltet die Bereiche E-Mail, SharePoint, Drucken, Endgeräte Büroautomation, Benutzerinnen und Benutzer, Peripherie etc. Die mobilen «Devices» wie Smartphone oder Tablets werden beim VBS seit 2012 durch einen Service der Swisscom erbracht. Die Bundesverwaltung hat diesen Service 2013 als «MDM Service» (Mobile Device Management) ausgeschrieben. Nach dem Zuschlag dieser WTO-Ausschreibung wurde auf Stufe Bund ein Einführungsprojekt gestartet. Die Ablösung der jetzigen VBS-Lösung durch die bundesweite Lösung ist auf Ende 2016 geplant.
Zusätzlich zu diesen Leistungen betreibt die FUB noch zwei spezielle Endgerätegruppen für die Armee. Sie dienen, z.B. als Scanner, der Abwicklung der Logistikprozesse (Waren-Ein- und -Ausgang, Inventur etc.). Diese Endgeräte sind direkt mit dem SAP-System der Armee verbunden und erlauben eine aktuelle Bestandesübersicht über die Materialien. Weitere spezielle Endgeräte sind die Büroautomationssysteme für die Truppe und die Kommandanten. Diese basieren auf der Software und Hardware der normalen Büroautomationsgeräte, also auf dem Standarddienst Büroautomation des Bundes, da sie lediglich mit spezifischer Zusatzsoftware (Truppenbuchhaltung, Ablagesystem etc.) bestückt sind.
7
8
Der Ausdruck «eingebettetes System» (engl. embedded system) bezeichnet einen elektronischen Rechner oder auch Computer, der in einen technischen Kontext eingebunden, d. h. eingebettet ist. Dabei übernimmt der Rechner entweder Überwachungs-, Steuerungsoder Regelfunktionen oder ist für eine Form der Daten- bzw. Signalverarbeitung zuständig, beispielsweise beim Ver- oder Entschlüsseln, Codieren oder Decodieren oder Filtern.
Motion 10.3461 der FK-N vom 7. September 2010; Überprüfung der Steuerung der Informatiklösung SAP in der Bundesverwaltung.
4278
BBl 2016
3
Fazit und Antrag auf Abschreibung der Motion
Der Bundesrat beantragt die Abschreibung der Motion, weil
Artikel 2 Absatz 3 aBinfV (zentraler Punkt der Motion) mit der totalrevidierten BinfV per 1. Januar 2012 aufgehoben wurde;
sich das VBS und damit auch die FUB in das neue Steuerungs- und Führungssystem gemäss totalrevidierter BinfV integrieren (insb. Standarddienste);
mögliche Synergien zwischen VBS-IKT und übriger IKT des Bundes unter Berücksichtigung von Sicherheitsüberlegungen und Wirtschaftlichkeit schrittweise genutzt werden (Standarddienste, Produktestandardisierung, Datacenter-Verbund, komplementäre Leistungsportfolio der internen Leistungserbringer etc.);
dem VBS in bestimmten Fällen aufgrund spezifischer Anforderungen begründete Ausnahmen gewährt werden müssen.
4279
BBl 2016
4280