Beratende Äußerungen

Beratende Äußerung zum IT-Einsatz bei den Universitäten

Bei den Hochschulen ist der IT-Einsatz im Verwaltungs-, Lehr- und Forschungsbereich von zentraler und angesichts der fortschreitenden Digitalisierung sogar noch zunehmender Bedeutung. 2019 haben die neun staatlichen Universitäten in Bayern hochgerechnet insgesamt 159 Mio. Euro für den IT-Einsatz ausgegeben. Das entspricht 5% des Haushaltsvolumens der Universitäten von knapp 3,2 Mrd. Euro im Jahr 2019.

Der Bayerische Oberste Rechnungshof hält Konsolidierungen, insbesondere die Reduzierung des dezentralen technischen Betriebs und dessen Bündelung in einem zentralen Rechenzentrum, sowie hochschulübergreifende Kooperationen im IT-Bereich für dringend erforderlich, damit die Hochschulen ihre Aufgaben wirtschaftlich und sparsam erledigen können.

Beratung des Bayerischen Landtags gemäß Art. 88 Abs. 2 BayHO

In Bayern bestehen neun staatliche Universitäten: zwei in München und je eine in Passau, Regensburg, Bayreuth, Bamberg, Erlangen-Nürnberg, Würzburg und Augsburg. In Nürnberg befindet sich eine zehnte staatliche Universität im Aufbau. Neben den Universitäten gibt es 17 staatliche Hochschulen für angewandte Wissenschaften.

Bei den Hochschulen ist der IT-Einsatz im Verwaltungs-, Lehr- und Forschungsbereich von zentraler und angesichts der fortschreitenden Digitalisierung sogar noch zunehmender Bedeutung. 2019 haben die neun staatlichen Universitäten in Bayern hochgerechnet insgesamt 159 Mio. EURO für den IT-Einsatz ausgegeben. Das entspricht 5% des Haushaltsvolumens der Universitäten von knapp 3,2 Mrd. EURO im Jahr 2019.

Der Bayerische Oberste Rechnungshof (ORH) hält Konsolidierungen, insbesondere die Reduzierung des dezentralen technischen Betriebs und dessen Bündelung in einem zentralen Rechenzentrum (RZ), sowie hochschulübergreifende Kooperationen im IT-Bereich für dringend erforderlich, damit die Hochschulen ihre Aufgaben wirtschaftlich und sparsam erledigen können. So ergaben die Prüfungen des ORH, dass neben den RZ der Universitäten weitere, dezentrale IT-Dienstleister bestehen, die auch Basisdienste und zentrale Infrastruktur bereitstellen. Zudem stellte er fest, dass die Universität mit einem zentralen IT-Beauftragten (CIO) bei der Konsolidierung hin zu einem übergreifenden Rechenzentrumsbetrieb weiter fortgeschritten ist als andere Universitäten. Diese Universität berichtete von 10% Einsparung beim Personaleinsatz, den sie durch teilweise Bündelung des Betriebs in ihrem zentralen RZ erzielt habe; allerdings besteht auch an dieser Universität noch weiteres Konsolidierungspotenzial.

Bereits 2010 hatte die IT-Strategie der Hochschulen Konsolidierung und hochschulübergreifende Kooperationen als wichtige Punkte aufgegriffen. Die Staatsregierung hatte 2011 die IT-Strategie zustimmend zur Kenntnis genommen, das Wissenschaftsministerium hierüber die Hochschulen informiert und diese dabei gebeten, entsprechend dieser IT-Strategie zu verfahren.

Ein zentrales Ziel der Staatsregierung ist die Neuausrichtung der bayerischen Hochschulen. Hierzu hat sie den Entwurf eines Gesetzes über Hochschule, Forschung und Innovation in Bayern (Bayerisches Hochschulinnovationsgesetz - BayHIG-E) erarbeitet. Damit will die Staatsregierung Bayerns Hochschulen eigenständiger und wettbewerbsfähiger machen. Art. 6 BayHIG-E sieht nach wie vor die Zusammenarbeit der Hochschulen vor. Dies betrifft nach dem Entwurf der Gesetzesbegründung insbesondere das „Zusammenwirken bei der Digitalisierung“ sowohl bei Infrastrukturen als auch Diensten und Kompetenzen.

Der ORH hat bei vier Universitäten bis 2020 den IT-Einsatz geprüft und stellte insbesondere fest:

  • Mit Ausnahme einer Universität entwickelten diese ihre IT-Organisationen nicht so weiter, wie dies in den Leitlinien der IT-Strategie empfohlen war.
  • Die geprüften Universitäten konnten trotz einer Kosten- und Leistungsrechnung (KLR) die Kostenkennzahlen (Personal- und Sachausgaben) für den IT-Einsatz nicht zuverlässig bestimmen. Ein IT-Controlling mit Kennzahlen war nicht etabliert. Damit fehlte ein wichtiges Instrument für eine Steuerung.
  • Synergieeffekte durch hochschulinterne Konsolidierung und intensivere hochschulübergreifende Zusammenarbeit wurden nicht ausreichend genutzt.

Ein wesentlicher Punkt beim IT-Einsatz ist die Informationssicherheit. Stehen IT-Systeme nicht zur Verfügung oder gehen Daten aus Forschung und Lehre verloren oder werden gestohlen, drohen enorme materielle und immaterielle Schäden. So verzeichneten laut Presseberichten beispielsweise im Jahr 2020 zwei deutsche Universitäten direkte Schäden in Millionenhöhe durch Cyberattacken.

Deshalb hat der ORH weitere zentrale IT-Themen, insbesondere IT-Sicherheit an allen neun staatlichen Universitäten und am Leibnitz-Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ) als Dienstleister für mehrere Hochschulen untersucht. Ebenso hat er das RZ-Flächenmanagement geprüft:

  • Ein Informationssicherheitsmanagement, wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die internationale Norm ISO 27001 empfehlen, fehlte bei den Universitäten. Das LRZ war in diesem Punkt wesentlich weiter; es hatte sich nach der Norm ISO 27001 zertifizieren lassen und hatte daher ein geringeres Sicherheitsrisiko.
  • Es gab in Einzelfällen gravierende Sicherheitsmängel etwa beim Zutrittsschutz und beim Brandschutz.
  • Es gab keinen Überblick zu den RZ-Flächen bei den Universitäten, insbesondere über deren Quantität und Qualität. Übergreifende strategische Überlegungen zum Ausbau der Universitäts-RZ waren deshalb nicht möglich und deren Zusammenarbeit ließ sich nicht koordinieren.

Der ORH stellte bei seinen Prüfungen dringenden Handlungsbedarf fest und empfahl,

  • die Organisation und Steuerung des IT-Einsatzes zu optimieren,
  • die Konsolidierung konsequent voranzutreiben,
  • die hochschulübergreifende Zusammenarbeit auszubauen und zu vertiefen,
  • das Informationssicherheitsmanagement zu verbessern und die Mängel in der Informationssicherheit zu beseitigen,
  • ein internes sowie übergreifendes RZ-Flächenmanagement einzuführen und
  • die 10 Jahre alte IT-Strategie fortzuschreiben.

Die Universitäten tragen die Verantwortung für die Wirtschaftlichkeit ihres IT-Einsatzes und für die Informationssicherheit. Eine Koordinierung durch das Wissenschaftsministerium sollte sie dabei unterstützen. Es sollte diese Empfehlungen daher bei den im geplanten Hochschulinnovationsgesetz vorgesehenen Rahmenvereinbarungen (Art. 8 Abs. 1 BayHIG-E) und Hochschulverträgen (Art. 8 Abs. 2 BayHIG-E) mit den Universitäten einbringen.

Bereits im Schreiben vom 24.02.2011 wies das Wissenschaftsministerium die Hochschulen u.a. darauf hin, dass sie bei der Weiterentwicklung der internen IT-Infrastruktur gegenüber Rechnungshof, Politik und Öffentlichkeit wirtschaftlich optimierte Lösungen nachweisen müssen. Es forderte die Hochschulen daher dringend auf, ihre internen Maßnahmen durch geeignete hochschulübergreifende Kooperationen zu ergänzen. Ferner führte es aus: „Die Leitlinien zur Weiterentwicklung der IT orientieren sich am Hauptziel der hochschulinternen Integration und Optimierung. Im Sinne der damit verbundenen Steuerungsaufgaben wird empfohlen, die IT-Governance-Strukturen weiterzuentwickeln und den IT-Bereich seiner Bedeutung gemäß als Ressort in der Hochschulleitung zu verankern.“

Der ORH teilt diese Ansicht. Bei der Bemessung der Mittel aus dem Staatshaushalt für die Hochschulen sollte sichergestellt werden, dass diese nach gleichen Maßstäben behandelt werden. Eine weniger effiziente Organisation des IT-Einsatzes, die zu einem höheren Sach- und Personalaufwand führt, darf nicht zu Lasten des Staatshaushalts gehen.

Angesichts der Bedeutung des IT-Einsatzes für die Hochschulen und der damit verbundenen finanziellen Dimension empfiehlt der ORH dem Landtag, sich regelmäßig - etwa im zweijährigen Turnus - über den IT-Einsatz bei den Hochschulen berichten zu lassen.