Prüfung effizienter und sicherer Telearbeitsumfelder im georgischen öffentlichen Sektor mit IT-Governance
Die Schaffung eines leistungsstarken und sicheren Telearbeitsumfelds im öffentlichen Sektor erfordert klare Strategien, sorgfältige Planung, Technologie und Infrastruktur, Datensicherheit, Leistungsmessung sowie eine Schwerpunktsetzung auf die Produktivität der Belegschaft – und Organisationen der staatlichen Finanzkontrolle haben bei der Gewährleistung dieses Umfelds eine Rolle zu spielen.
Mit der Digitalisierung des öffentlichen Sektors wächst die Abhängigkeit der Organisationen von Informationstechnologien (IT) rasant an. Aus dieser Abhängigkeit ergibt sich die Notwendigkeit eines leistungsstarken und effizienten IT-Managements, das durch koordinierte Maßnahmen des oberen und mittleren Managements ausgeführt wird. Die Entscheidungen, die in IT-Prozessen auf strategischer und operativer Ebene getroffen werden, sollten insbesondere zur Erreichung des Hauptziels der Organisation beitragen, das in erster Linie in der effektiven Verwaltung der Geschäftsprozesse und der Informationssicherheit besteht. Daher bilden vordefinierte Strategien, Richtlinien, Verfahren und Aktionspläne die Grundvoraussetzung für eine wirksame IT-Governance.
Wirksame IT-Governance gewann mit dem Ausbruch der COVID-19-Pandemie, als staatliche Organisationen als Reaktion auf die Social-Distancing-Vorgaben auf Telearbeit umstellten, zunehmend an Bedeutung. Diese Umstellung führte zu einer Notsituation für die Behörden und machte neben wirksamen Entscheidungen seitens der Führungsebene ebenfalls die jeweiligen Materialien sowie technischen Arbeitsressourcen erforderlich. Bewährten Verfahren zufolge helfen einheitliche Regeln und standardisierte Bedingungen für die Erbringung der Arbeitsleistung in Notsituationen der Organisation, optimale Entscheidungen zu treffen.
Die ORKB Georgien (vom Englischen kurz SAOG) untersuchte die von den geprüften Ministerien getroffenen administrativen Entscheidungen über die Umstellung auf Telearbeit, und wie erfolgreich diese während der Pandemie in Georgien umgesetzt wurden. Im Zuge der Prüfung fand das SAOG folgende Umstände vor:
- Die geprüften Ministerien hatten keine Betriebskontinuitäts- und Aufbaupläne erarbeitet, die ihnen geholfen hätten, rechtzeitig auf die Pandemie zu reagieren. Darüber hinaus hatten die überprüften Stellen keine Telearbeitsrichtlinie mit Mindestanforderungen an die Informationssicherheit. Für Telearbeit ist es besonders wichtig, dass Behörden Richtlinien ausarbeiten, welche die jeweiligen Bedingungen und Grenzen festlegen. Derartige Richtlinien würden die überprüften Stellen dabei unterstützen, Ressourcen besser einzusetzen und Informationssicherheitsprinzipien einzuhalten, wenn sie auf Telearbeit umstellen.
- Bei der Umstellung auf Telearbeit bekamen viele Mitarbeiterinnen und Mitarbeiter der überprüften georgischen Stellen von den Behörden keine angemessene Computerausrüstung zur Verfügung gestellt und mussten daher ihre eigenen Geräte zu Arbeitszwecken verwenden. In manchen Fällen verwendeten Mitarbeiterinnen und Mitarbeiter, obwohl ihnen Computerhardware bereitgestellt wurde, aufgrund der leistungsschwachen oder veralteten Geräte, welche die Behörden zur Verfügung stellten, dennoch ihre persönliche Hardware. In dieser Hinsicht müssen die folgenden Umstände und Schlussfolgerungen erwähnt werden:
- Von den überprüften Einrichtungen haben das georgische Ministerium für Wirtschaft und nachhaltige Entwicklung sowie das georgische Ministerium für Umweltschutz und Landwirtschaft innerhalb ihrer Institutionen keine IT-Ressourcen erfasst und klassifiziert. Bei der nationalen Behörde für öffentliche Register war die Bestimmung der Ressourcen im Bezug auf die bestehenden Geschäftsprozesse und die Vorbereitung der entsprechenden Register gerade im Gange.
- Bei der Verwendung von persönlichen Computern durch Mitarbeiterinnen und Mitarbeiter wurden die den Mindestanforderungen an die Informationssicherheit entsprechenden Tätigkeiten nicht durchgeführt.
Folglich waren die überprüften Stellen nicht in der Lage, die IT-Ressourcen in ihrem Besitz ihren Bedürfnissen entsprechend zu bewerten, hinsichtlich der Zuweisung von Arbeitsausrüstung optimale Entscheidungen zu treffen und das angemessene Sicherheitsniveau festzulegen.
- Im Rahmen der Telearbeit mussten die Mitarbeiterinnen und Mitarbeiter der Behörden externe Netzwerke, die nicht unter der Kontrolle der IT-Services der Behörden stehen und daher weniger stark geschützt sind, verwenden. Zu den bewährten Verfahren für die Lösung dieses Problems zählt die Verwendung eines Virtual Private Networks (VPN). Die überprüften Stellen stellten ihren Mitarbeiterinnen und Mitarbeitern zwar rechtzeitig VPN-Dienste zur Verfügung, diese wurden von einem Teil der Belegschaft allerdings nur verwendet, um auf arbeitsbezogene Dienste zuzugreifen (z. B. das Intranet). Dadurch blieb dieser den Risiken, die von einem unbegrenzten Zugriff auf das ungeschützte externe Netzwerk ausgehen, ausgesetzt (siehe Abbildung 1).
Abbildung 1: Voraussetzungen für Effizienz und Sicherheit im Telearbeitsumfeld
Um die Kontinuität der IT-Services zu verbessern, wurden den drei überprüften Stellen – den Ministerien für Wirtschaft, Landwirtschaft und Register – zwei Hauptempfehlungen gegeben.
- Zunächst wurde den Organisationen geraten, ein Managementsystem einzurichten, das Personen mit entsprechenden Befugnissen, Qualifikationen und Kompetenzen bestimmt, die für die Planung sowie Umsetzung von für die Kontinuität des Managementprozesses relevanten Tätigkeiten und die diesbezügliche Reaktion verantwortlich sind. Als Ausgangspunkt wurden die Ministerien gebeten, erste Schritte für die Entwicklung eines Leistungskontinuitätsplans, der die Kontinuität wichtiger Geschäftsprozesse der Organisation unterstützt, zu setzen und in regelmäßigen Abständen (zumindest einmal pro Jahr) eine Lückenanalyse in Bezug auf die Kontinuität von IT-Services durchzuführen, um so den momentanen sowie gewünschten Zustand der Organisation zu bestimmen.
- Zweitens wurde den Ministerien zur Handhabung von Informationssicherheitsrisiken geraten, eine Strategie oder ein Verfahren auszuarbeiten, mit dem sichergestellt wird, dass Betriebssysteme und Softwares zeitgerecht lizensiert und aktualisiert werden.
Abgesehen davon, dass es der Schlüssel zum Erfolg bei der Einrichtung eines leistungsfähigen und sicheren Telearbeitsumfelds ist, ist es wichtig, durch regelmäßige Kommunikation ein Gleichgewicht zwischen den Bedürfnissen der Organisation sowie der Bewusstseinsschärfung der Belegschaft zu halten und ein Streben nach Verbesserung an den Tag zu legen. Diese vom SAOG geteilte Prüfungsfallstudie zeigt die Bedeutung der für ein leistungsfähiges und sicheres Telearbeitsumfeld wesentlichen Elemente auf. Die internationale Prüfungsgemeinschaft kann ihre Erfahrungen diesbezüglich austauschen und voneinander lernen.
Über die Autoren
Dr. Nino Kereselidze
Leiter der Abteilung für internationale Beziehungen und Beziehungen mit der Gebergemeinschaft
Oberste Rechnungskontrollbehörde Georgien
Herr Giorgi Kapanadze
Leiter der Abteilung für Wirtschaftlichkeitsprüfungen
Oberste Rechnungskontrollbehörde Georgien
iroffice@sao.ge