Schlagwort-Archive: Verwaltungsalltag

Das graue Rhinozerus der oeffentlichen IT-Infrastruktur

Die letzten zwei Wochen waren rasant. Was ich hier aufzuschreiben versuche, gehoert ganz klar in die „unsortierte Gedanken“-Kategorie, die hier augenzwinkernd im Titel steht. Das ist nicht reif. Das ist einfach dahingeschrieben, Status jetzt. Und mit einer gehoerigen Portion Wut im Bauch geschrieben.

Die IT-Infrastruktur der oeffentlichen Hand ist eine Shitshow. Das ist nichts neues. Wer auch nur ein wenig Zeit damit verbracht hat, sich damit zu beschaeftigen und die notwendige Fachkompetenz mitbringt, wird dem zustimmen. Oder ist BeraterIn, und macht jede Menge Geld damit, das naechste Leuchtturmprojekt zu verkaufen – natuerlich nicht auf andere Einsatzorte transferierbar, nicht nachhaltig, Hauptsache Powerpoint. Die Gruende dafuer sind vielfach hier und an vielen anderen Orten beschrieben, und ich habe nicht einmal Lust, die passenden, teilweise Jahre alten Texte dazu zu verlinken. Ich dachte lange Zeit, das liesse sich durch „Kill them by friendliness“ und Umarmung loesen. (Danke an der Stelle an meinen guten Freund S. fuer die jahrelange Motivation, nicht in noch mehr Zynismus abzugleiten. Bei ihm funktionierte seine Methode innerhalb seiner oeffentlich-rechtlichen Struktur, und ich bin ein wenig neidisch).

Covid-19 bringt derzeit viele Dinge ans Tageslicht, die bislang implizit irgendwie dahinschmorten. Es steht die Frage im Raum, wie Verwaltungen ihre Kernaufgaben wahrnehmen koennen, auch dann, wenn zur Sicherheit der Allgemeinheit Menschen aus der Verwaltung von zuhause aus arbeiten sollen. Und vielleicht bekomme ich nur einseitig Informationen, oder ich bekomme Erfahrungsberichte nur von Staedten, in denen es strukturell schon viel zu lange brennt, aber die Antworten bleiben bislang aus.

Es geht hier um strukturelle Defizite der oeffentlichen Hand, die lange Zeit gerade mal Feuerwehr spielen konnte, wenn es irgendwo im eigenen Haus brennt. Nicht selten waren die IT-affinen Kraefte die einzigen, die (um in der Metapher zu bleiben) ueberhaupt eine Rauchentwicklung wahrnehmen konnten – was zur Folge hatte, das sie gar nicht das notwendige Loeschwasser bekommen haben, um abwehrenden Brandschutz zu betreiben. Und da sind wir noch nicht einmal bei der Praevention und der Luft zum Atmen, um die Situation strukturell zu verbessern. Wir haben den Zustand, dass im metaphorischen Gebaeude der Verwaltung im Treppenhaus offene Reifenfeuer aufrechterhalten werden, um die Bude zu heizen – und keiner stoert sich daran. Ich war vor gut zwei Jahren Teil des kommunalen Fachpublikums bei einem Vortrag, wie die Verwaltungs-IT einer nicht genannten Kommune (nein, nicht meine) mit Kryptotrojanern umgehen moechte. Und die geplanten Massnahmen waren – und das ist kein Witz – die Vorbereitung von Alarmfax-Boegen, und der Austausch der Netzwerkkabel durch rote Kabel, um diese nach Ausloesung der Kryptotrojaneralarms (per Fax, klar) aus der Wand ziehen zu koennen.

Das ist der Status Quo.

Und jetzt haben wir unseren Black Swan, der vielleicht eher ein Gray Rhino ist.

Zur Erklaerung. Ein Black-Swan-Event ist ein Ereignis, das sich durch folgende drei Kriterien auszeichnet, copy und paste aus Wikipedia:

1) The event is a surprise (to the observer).

2) The event has a major effect.

3) After the first recorded instance of the event, it is rationalized by hindsight, as if it could have been expected; that is, the relevant data were available but unaccounted for in risk mitigation programs. The same is true for the personal perception by individuals.

https://en.wikipedia.org/wiki/Black_swan_theory#Identifying, CC BY-SA

Die Black-Swan-Theorie wurde 2013 von Michele Wucker durch die Gray-Rhino-Theorie ergaenzt. Gray-Rhino-Faelle sind durchaus realistisch und ihr Eintreten wahrscheinlich, ihr Einfluss ist betraechtlich, aber dennoch werden die mit ihnen verbundenen Folgen systematisch kleingeredet. Eine Uebersicht habe ich in diesem Post gefunden – auch wenn ich das Wording etwas problematisch finde, ich habe leider nichts besseres auf die Schnelle gefunden.

Das graue Rhinozeros, ueber das wir hier sprechen, sind die systematischen Folgen einer ueber Jahre, wenn nicht Jahrzehnte, vernachlaessigten IT-Infrastruktur aus oeffentlicher Hand. Wenn wir als Gesellschaft laut fragen, warum das RKI die letzten Wochen lang die Meldungen der Gesundheitsaemter haendisch in Excel-Listen gepflegt hat: Das ist das Resultat eines Gray Rhino. Wenn wir uns fragen, ob und wie Kommunen in der Lage sind, auch dann handlungsfaehig zu bleiben, wenn die Beschaeftigten mobil arbeiten: Das ist das Resultat eines Gray Rhino.

Mobil arbeiten ist derweil keine Statusfrage. Viel zu lange wurden Laptops und Smartphones im oeffentlichen Dienst quasi als Perks fuer Fuehrungs- und sonst irgendwie herausragende Kraefte verstanden. Es geht aber darum, auch in aussergewoehnlichen Lagen die Grundfunktionalitaeten der Verwaltung aufrecht zu erhalten. Kann eine Kasse keine Zahlungen mehr anweisen, trifft das im schlimmsten Fall sehr vulnerable Bevoelkerungsgruppen. Es geht nicht darum, ob die Arbeitsgruppe Trullala den Fuehrungskraefteaustausch jetzt auch remote durchfuehren kann. Sondern darum, ob Bafoeg-EmpfaengerInnen Geld aufs Konto bekommen, um ihre Miete zu bezahlen. Oder Menschen, die Wohngeld bekommen. Spielt die Szenarien gerne weiter durch. Wir haben das im eigenen Beritt vor zwei Wochen gemacht.

Was jetzt abzusehen ist: Die kommunalen Haushalte werden leiden. Die notwendigen Massnahmen zur Eindaemmung der Pandemie werden das Gewerbesteueraufkommen der Kommunen – und das ist ihre wesentliche Einnahmequelle – treffen. Auch Staedte, die bislang gut dastanden, werden knapper wirtschaften muessen.

Und jetzt sind wir wieder bei der Rauchwahrnehmung des Reifenfeuers.

Wenn die Konsequenz ist, dringend notwendige Investitionen in die Verwaltungs-IT nicht vorzunehmen. Wenn die Konsequenz ist, rundum den Guertel enger zu schnallen und eine funktionierende Infrastruktur irgendwie als eh-da zu betrachten. Wenn die derzeitige Offenlegung systematischer Defizite nicht Anlass ist, massiv Versaeumnisse der vergangenen Jahre nachzuholen, sondern allenfalls der metaphorischen IT-Feuerwehr endlich mal ein bissel Wasser nachzufuellen, um die allerallerschlimmsten Braende zu loeschen. Dann haben wir ein Problem. Das Shitrix-Desaster hat gezeigt, dass selbst fuer die Reaktion auf oeffentlich angekuendigte Sicherheitsluecken vielerorts keine Luft ist. Dass Verwaltungs-IT von Ereignissen getrieben ist, und aufgrund ihrer Besoldungsstruktur im Zweifelsfall vielerorts nur solche Leute in verantwortungsvolle Positionen bekommt, fuer die Alarmfaxe und rote Netzwerkkabel als zeitgemaesse Loesung angemessen scheint. Jetzt hier Abstriche zu machen und die offenkundig werdenden Defizite nicht als laut schreiendes Warnsignal zu verstehen, dass wir es mit dem Aequivalent zu jahrelang vermodernder Infrastruktur analog zu Bruecken zu tun haben, und als Reaktion nicht alle gebotenen Mittel aufzuwenden, den Betrieb nachhaltig zu sichern ist grob fahrlaessig. Jetzt kurzfristig einzusparen, wird sich auf Jahre hinweg raechen.

Der naechste Black Swan, ach was, das naechste Graue Rhinozeros wird kommen. Wer jetzt nicht umgehend handelt, muss sich persoenlich die Konsequenzen zuschreiben lassen. Wer jetzt nicht trotz zu erwartender knapperer Kassen nicht in Infrastruktur investiert, laesst wider besseren Wissens notwendige Bruecken in sich zusammenfallen. Bis sie nicht mehr passierbar sind. Und steht bei der naechsten kritischen Situation mit weit heruntergelassenen Hosen da. Das sollten wir alle klarstellen. Und die Verantwortung dafuer klar personell benennen.

Corporate-IT-Tipp fuer entspannten Urlaub

Seitdem ich Angestellter in einer Stadtverwaltung bin, muss ich IT-Infrastrukturen mit Windows und Outlook nutzen. Neben der wahnsinnig machenden Unbedienbarkeit von Outlook gehoert dazu auch Die Passwortpolicy. 

Die Passwortpolicy kommt noch aus einer Zeit, in der man annahm, dass Passwoerter genau dann sicher sind, wenn sie jeweils eine bestimmte Anzahl Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen beinhalten. Dem ist zwar nicht so, aber Der Beschluss, Das So Zu Machen wurde halt noch nicht aktualisiert. 

Dazu kommt, dass Der Beschluss auch vorsieht, dass Passwoerter alle paar Wochen geändert werden muessen. Das ist eigentlich eine ganz furchtbare Praxis, denn sie führt dazu, dass Leute Passwoerter einfach rotieren oder sich Hinweise auf Post-Its schreiben – aber so ist halt Der Beschluss. Und wenn man mehrere Tage nicht im Buero ist und in dieser Zeit das Passwort ausläuft, hat man vom Handy aus keinen Zugriff mehr auf Mail und Kalender. 

Um dem vorzubeugen, aendere ich das Passwort immer auch vor Dienstreisen, zur Sicherheit um nicht auf dem Trockenen zu sitzen. So auch vor der jhasien-Reise nach Tokio und dem danach folgenden Urlaub. Ich dachte mir ein neues Passwort nach meinem beängstigend vorhersehbaren Passwortausdenkmuster aus, das Die Policy erfüllt, setzte die Abwesenheitsbenachrichtigung „Mails werden erst ab dem 23.10. gelesen“, ging aus dem Buero. 

Und vergaß das neue Passwort instantan. 

Sehr entspannter Urlaub bislang.