In der IT der Bundesverwaltung werden seit dem Januar 2012 zentral geführte Standarddienste etabliert. Dabei bestimmt der Bundesrat den Leistungserbringer. Daneben bieten verschiedene Fachämter spezifische Fachdienste mit hohem Wiederverwendungspotenzial an. Dieser Beitrag illustriert die Herausforderungen, die das Management einer solchen Diversität mit sich bringt, und den daraus resultierenden Bedarf an IT-Governance-Instrumenten. Hierzu wird das Potenzial von bestehenden Best-Practice-Ansätzen wie COBIT und TOGAF evaluiert.

1. 50
Praxis – Schweiz
Dr. Silvia Knittl
accessec gmbh
IAM Solution Architect
knittl@accessec.com
Dienste und IT-Governance in der Bundes-
verwaltung – Bedarf, Nutzen und Potenzial
In der IT der Bundesverwaltung werden seit dem Januar 2012 zentral geführte Standarddienste etabliert.
Dabei bestimmt der Bundesrat den Leistungserbringer. Daneben bieten verschiedene Fachämter spezifische
Fachdienste mit hohem Wiederverwendungspotenzial an. Dieser Beitrag illustriert die Herausforderungen,
die das Management einer solchen Diversität mit sich bringt, und den daraus resultierenden Bedarf an IT-
Governance-Instrumenten. Hierzu wird das Potenzial von bestehenden Best-Practice-Ansätzen wie COBIT
und TOGAF evaluiert.
DieIT-LandschaftderBundesverwaltung
isttraditionelldezentral.SeiteinigenJahren
werden aber Standarddienste eingerichtet,
diezentraldurchdasInformatiksteuerungs-
organ des Bundes (ISB) geführt werden. Auf
der Basis eines Marktmodells bestimmt der
Bundesrat den Leistungserbringer. Weiter
bestehen dezentrale oder fachspezifische
Dienste in den Ämtern, die nicht der
ISB-Führung unterliegen. Beispielsweise
bietetdasBundesamtfürStatistik(BFS)Ser-
vices für Betriebe und Unternehmen (BUR,
UID) an, die den Zugriff auf seine Register
sowiederenMutationermöglichen,unddas
Bundesamt für Landestopografie swisstopo
stellt Dienste rund um Geoinformationen
und Karten bereit. Das Management dieser
Diversität ist eine Herausforderung. Geeig-
nete Governance-Instrumente können je-
doch helfen. Nachfolgend wird erörtert, in-
wiefern mit «minimaler Governance» und
im Sinn des Pareto-Prinzips (80-20-Regel)
rasch und mit vertretbarem Aufwand Ver-
besserungen erzielt werden können.
Dienste und IT-Governance in der Bundesverwaltung
Abbildung 1 zeigt die aktuelle organisatorische Aufteilung der
Bundesverwaltung bezogen auf IT-Aspekte vereinfacht auf. Es gibt
sieben Departemente, welche die Bundesämter (ca. 80) umfassen,
zudem die Bundeskanzlei (BK). Das Eidgenössische Departement
des Innern (EDI) zum Beispiel umfasst unter anderen das Bundes-
amtfürStatistik(BFS).DasInformatiksteuerungsorgandesBundes
(ISB) führt die IT-Standarddienste zentral. Damit werden Informa-
tikleistungen bezeichnet, die in vergleichbarer Funktionalität und
Qualität von mehreren Organisationseinheiten benötigt werden.
Mit der bei ihm angesiedelten Geschäftsstelle E-Government
Schweiz koordiniert das ISB die Zusammenarbeit von Bund, Kan-
tonen und Gemeinden im Bereich E-Government. Zudem leitet es
die Melde- und Analysestelle Informationssicherung MELANI zum
Schutz der IT bei den kritischen Infrastrukturen. Die etablierten
StandarddienstesindDatenkommunikation,Telefonie,Identity-und
Access-Management (IAM) sowie Büroautomation/Unified Com-
municationandCollaboration(UCC)1.Bereitgestelltwerdensievom
jeweiligen Betreiber in der Rolle des Leistungserbringers (LE) ge-
mäss Entscheid des Bundesrats. Die verschiedenen Departemente
und Ämter treten in der Rolle des Kunden auf, hier Leistungsbezü-
ger(LB)genannt.NebendenStandarddienstenstehendiverseFach-
dienste zur Verfügung, die nicht vom ISB geführt werden, sondern
inderVerantwortungderVerwaltungseinheitenliegen.AmBeispiel
des BFS erklärt: Das BFS nimmt die genannten Standarddienste in
Anspruch, liefert aber selbst eigene Fachdienste, wie etwa das
UID-Register. Diese können wiederum anderen Organisationen zur
Verfügung gestellt werden. Das BFS tritt somit sowohl in der Rolle
des Leistungsbezügers als auch in derjenigen des Serviceanbieters
auf, eine fachliche Rolle gemäss der bundesweiten Vorgabe R016 –
SOA-Policies2.
Herausforderungen im Bereich der IT-Governance
DieIT-GovernancederBundesverwaltungsollteumfassendsein
und sich daher auf alle relevanten Dimensionen beziehen. Wichti-
ge Wirkmechanismen sind unter anderem abgestimmte Prozesse,
Organisationsstrukturen und die IT-Architektur. Bei der Organisa-
tionsstruktur wurde die Notwendigkeit eines aktiven Stakeholder-
managements zur Förderung von Synergieeffekten bereits dar-
gelegt3. Aufgrund neuer Anforderungen einer übergreifenden
Zusammenarbeit sind nun auch neue Mechanismen notwendig.
DieIT-GovernancekannindendiversenOrganisationseinheiten
der Verwaltung sehr unterschiedlich ausgeprägt sein. Ein Beispiel
mithohemReifegradistetwadieArchitektur-Governanceinklusive
Service-Portfolio-Management des WBF4. Dabei werden Vorgaben
im Prozesskontext definiert, wie etwa die projektbegleitende Be-
Hans Ulrich Wiedmer
Informatiksteuerungs-
organ des Bundes ISB
GRC Architekt IAM Bund
hansulrich.wiedmer@isb.
admin.ch
Abbildung 1: IT-Governance: Organisation in der Bundesverwaltung (Auszug)
Leistungsbezüger
VBS
• Swisstopo
• …
EDA
EJPD
EFD
UVEK
WBF
Andere:
Bürger, Kantone,
Unternehmen
EDI
• BFS
• …
Standard-
dienst
UCC
LE
Standard-
dienst
LE
Standard-
dienst
Service-
anbieter
Fachdienst
ISB
BFSISC-EJPD
Standard-
dienst
IAM
Standard-
dienst
IAM
UID
Register
Eigene
Governance
Eigene
Governance
Eigene
Governance
Serviceanbieter
Standarddienste

2. 51
Praxis – Schweiz
ratung des Unternehmensarchitekten. So können die Lösungen
bereits in einer frühen Phase des Projekts auf die vorhandene Inf-
rastruktur ausgerichtet werden, oder diese kann entsprechend
erweitert werden. Services werden mit strukturierten Servicebe-
schreibungen dokumentiert und via www.e-services.admin.ch
publiziert, gestützt auf die bereits erwähnten SOA-Policies2.
DieseLB-spezifischeAusprägungwarinderVergangenheitsinn-
voll, da die Dienste auch stark auf die meist amtsspezifischen Be-
dürfnisse ausgerichtet waren. Verschiedene Trends, vor allem aus
demUmfeldvonE-Government,führenjedochdazu,dassdiebisher
rein internen Fachprozesse nun auch amtsübergreifende Aspekte
haben oder mitbedingt durch Open-Data-Initiativen anderen Per-
sonenkreisen zu öffnen sind. Beispiele aus dem Bereich Geoinfor-
mation sind Fachgemeinschaften rund um spezifische Themenbe-
reiche wie etwa Umwelt und Naturgefahren oder Kataster. Nicht
vernachlässigt werden darf die eigentliche Integration der Dienste
als Voraussetzung für deren Nutzung in der Praxis. Bei der Integ-
rationvonIT-SystemenwerdennebenFileschnittstellenundSOAP-
WebserviceszunehmendauchApplicationProgrammingInterfaces
(API) genutzt, meist in Form von REST-Webservices, zum Beispiel
api.geo.admin.ch für den Zugriff auf raumbezogene Daten.
Diese Strukturen stellen für die IT-Governance der Bundesver-
waltung Herausforderungen dar, besonders im Hinblick auf die
weiter steigende Nachfrage nach E-Government-Lösungen, aber
auch aufgrund neuer Bedrohungen, etwa im Bereich der Cyber-Ri-
siken. Eine übergreifende Koordination der LE und LB könnte diese
Risiken minimieren. Lokal bei den einzelnen Organisationseinhei-
tenidentifizierteAspekte,wieneueServiceanforderungen,Risiken
oder Sicherheitsaspekte, könnten effizient über die gesamte Orga-
nisation koordiniert und kommuniziert werden. Hierfür wäre eine
globale Übersicht notwendig, etwa mithilfe einer vollständigen
Bundesservicelandkarte.
Nutzen einer organisationsübergreifenden Governance
Eine organisationsübergreifende IT-Governance kann durch
ausgewählte Standards sowie die Definition von abgestimmten Or-
ganisationsstrukturen,ProzessenundArchitekturvorgabenNutzen
stiften.GenaufestgelegteAufgaben,KompetenzenundVerantwort-
lichkeiten sorgen für klare Rollen und Organisationsstrukturen.
DasSpezifizierenvonübergreifendenIT-Governance-Prozessenmit
derOrientierunganbestehendenBest-Practice-Ansätzen,wie etwa
COBIT oder TOGAF, hilft vor allem in dezentralen Organisationen,
ein einheitliches Verständnis von IT-und Architektur-Governance
zu schaffen5.. Das in solche Standards eingeflossene Know-how ist
wiederverwendbar und relativ leicht zugänglich: Es kann durch
Schulungen zur Qualifikation von Mitarbeitenden vermittelt oder
am Markt eingekauft werden.
Im Kleinen hat sich ein durch das ISB koordiniertes Vorgehen
unter der konsequenten Berücksichtigung bestehender Governan-
ce und Standardisierung bereits bewährt: beim Programm IAM
Bund6. Dieses hat das Ziel, die bestehenden IAM-Standarddienste
andiezukünftigenBedürfnissederBundesverwaltunganzupassen.
Die Verantwortlichen haben die in COBIT postulierte Stakeholder-
orientierung stetig angewendet, indem sie durch zahlreiche Inter-
views die Anforderungen der verschiedenen Anspruchsgruppen
umfassend und nachhaltig erfassten. Der «Leitfaden für Unterneh-
mensarchitekten in der öffentlichen Verwaltung» half bei der
TOGAF-Anwendung, die kontinuierlich durch die Beratung und
Abstimmung mit Architekturspezialisten begleitet wurde. Zudem
enthält der Methodenkoffer zur Entwicklung der IAM-Architektur
neben TOGAF auch SABSA (Sherwood Applied Business Security
Architecture),einausderPraxisorientierterLeitfadenzurEntwick-
lung von Sicherheitsarchitekturen7.
In den nächsten Phasen werden spezifische auf IAM bezogene
Governance-Prozesse weiter detailliert. Dabei soll vom Know-how
profitiertwerden,dasbereitsinBest-Practice-DokumenteoderStan-
dards eingeflossen ist. Betrachtet werden dabei auch relevante
eCH-Standards, wie etwa eCH-01698. Dieser Standard spezifiziert
eine SuisseTrustIAM-Geschäftsarchitektur für föderiertes IAM als
wesentliche Komponente eines integrierten E-Governments oder
einer E-Economy. Aus der Geschäftsperspektive werden Rollen so-
wie Governance und Management einer STIAM-Domäne beschrie-
ben. Der Standard eCH-0169 selbst orientiert sich wiederum an
COBIT.
Ausblick
Es hat sich gezeigt, dass die Verwendung etablierter Best-
Practice-Rahmenwerke, aber auch organisationsintern entwickel-
terVorgabeninBundesverwaltungsprojekteneinenNutzenbringen
kann, indem von dem bereits vorhandenen Know-how Gebrauch
gemacht wird. Was im Programm IAM Bund initiiert wird, könnte
zukünftig im Sinne von «Lessons Learned» auch auf andere Projek-
te in der Bundesverwaltung übertragen werden. Ebenso essenziell
isteineAbstimmungmitderinEntstehungbegriffenenbundeswei-
ten Architektur-Governance. Wichtige Erfolgsfaktoren sind hierbei
aus unserer Sicht eine umfassende Stakeholderorientierung, eine
bei Programmstart festgelegte Auswahl relevanter Standards, die
jedoch bei Bedarf an die eigene Situation angepasst werden, und
die Projektbegleitung durch Spezialistinnen und Spezialisten, die
die Konformität mit Governance-Vorgaben prüfen und einfordern
(Stichwort Compliance). Standards wie COBIT können dank ihrem
umfassenden Ansatz für den Aufbau einer übergreifenden Diens-
te-Governance für Standard- und Fachdienste genutzt werden.
1 Ähnlich den Standarddiensten werden auch die SAP-Leistungen als
«Supportprozesse» zentral verantwortet.
2 ISB: R016 – SOA-Policies. 2012. http://www.isb.admin.ch/themen/
standards/alle/05019/index.html?lang=de (10.2014).
3 Wiedmer, H.U./Mueller, W./Frutiger, B.: Keine Synergien ohne aktives
Stakeholdermanagement. In: eGov Präsenz 2 (2013).
4 WBF: Handout zur Infoveranstaltung E-Services des EVD: Unternehmens-
daten, Geschäftsverwaltung, Web Service Kommunikation. 2010. http://
www.e-services.admin.ch/wbf/itwbf/index.html (10.2014).
5 Knittl, S./Kunzewitsch, M.: Herausforderungen und Lösungsansätze
bei der MaRisk-Umsetzung in einem internationalen Finanzkonzern.
In: GI-Jahrestagung, 2013. S. 1202–1215.
6 Minth, L./Rohr, R.: Information Assurance und IAM innerhalb und mit der
Schweizerischen Bundesverwaltung. In eGov Präsenz 1 (2014).
7 Hoernes, P.: Ein IAM-Grossprojekt aus der Perspektive des Enterprise Ar-
chitekten. Vortrag im Rahmen des AK-EAM der Gesellschaft für Informatik,
München, 2014.
8 Verein eCH: eCH-0169: SuisseTrustIAM-Geschäftsarchitektur. http://www.
ech.ch/vechweb/page?p=dossier&documentNumber=eCH-0169&docu-
mentVersion=1.0 (9.2014).