Behebung des IT-Debakels im öffentlichen Sektor

Die IT-Dienste des öffentlichen Sektors sind nicht mehr zweckdienlich. Ständige Sicherheitsverletzungen. Inakzeptable Ausfallzeiten. Endemische Überausgaben. Verzögerungen bei wichtigen Serviceinnovationen, die die Kosten senken und das Erlebnis der Bürger verbessern würden. 

Während der öffentliche Sektor Großbritanniens an vorderster Front einer weltweiten Eskalation von Cyberangriffen steht, ist die Zahl der Verstöße, die zu Dienstunterbrechungen, Datenverlusten und zusätzlichen Kosten für den Wiederaufbau und die Wiederherstellung von Systemen führen, inakzeptabel und unnötig. Mangelndes Fachwissen, unzureichende Beschaffungsgenauigkeit und eine Herdenmentalität haben zu einer übermäßigen Abhängigkeit von einer Handvoll Anbietern, allgegenwärtigen Infrastrukturmodellen und identischen Sicherheitslücken geführt, die schnell und einfach ausgenutzt werden können. 

Die Budgets sind ausreichend. Bessere, erschwinglichere und sicherere Technologien sind ausgereift und bewährt. Wie Mark Grindey, CEO von Zeus Cloud, argumentiert, ist es der fehlerhafte Ausschreibungsprozess, der die Innovation grundlegend untergräbt und den öffentlichen Sektor verheerenden Sicherheitsrisiken aussetzt.

Kaputte Systeme

Es besteht kein Zweifel daran, dass die Organisationen des öffentlichen Sektors im Vereinigten Königreich einer ständig wachsenden Sicherheitsbedrohung ausgesetzt sind. Neben öffentlichen Einrichtungen in allen entwickelten Ländern zielen staatlich geförderte Angriffe darauf ab, die Bereitstellung wesentlicher Dienstleistungen zu untergraben. Und die Kosten für die Wiederherstellung nach diesen Cyberangriffen sind verheerend, da Kommunen in den letzten Jahren Millionen für die Wiederherstellung nach Ransomware-Angriffen ausgegeben haben.

Die ständig steigende Bedrohungslage ist jedoch nur ein Teil der Geschichte. Obwohl Behörden des öffentlichen Sektors aufgrund des Umfangs der gespeicherten sensiblen Daten, der Auswirkungen von Angriffen auf kritische Infrastrukturen und der Attraktivität, eine hochkarätige Organisation ins Visier zu nehmen, Hauptziele sind, muss nicht jede öffentliche Einrichtung aufgrund von Verstößen wiederholt Ausfallzeiten erleiden.

Auch wirkt sich ein einzelner Hack nicht automatisch auf alle Teile der Organisation aus und führt zu einer tage- oder sogar wochenlangen Unterbrechung lebenswichtiger Dienste. Was unterscheidet also Organisationen wie Bexley Council und Bedford Council, die eine gute Erfolgsbilanz im Bereich Cybersicherheit vorweisen können, von den anderen? Und vor allem: Was ist der beste Weg, bewährte Verfahren im gesamten öffentlichen Sektor zu verbreiten, um Risiken zu mindern?

Ausschreibungsprozess unterbrochen

Das Problem ist nicht das Budget. Der öffentliche Sektor beklagt möglicherweise ständig mangelnde Finanzierung, aber Geld ist nicht die Hauptursache für unzureichende Sicherheit oder inkonsistente Leistungserbringung. Das Problem ist, wie dieses Geld ausgegeben wird. Trotz der Versuche, die IT-Investitionen des öffentlichen Sektors strenger zu gestalten, führt das aktuelle Ausschreibungsverfahren zu fehlgeleiteten und übermäßigen Ausgaben.

Theoretisch sollte ein offenes Ausschreibungsmodell dafür sorgen, dass das Geld sinnvoll eingesetzt wird. Es sollte garantieren, dass der Service vom besten Anbieter bereitgestellt wird. In Wirklichkeit wird die überwiegende Mehrheit der Verträge an dieselbe Handvoll großer Organisationen vergeben. Das wäre in Ordnung, wenn die erbrachten Dienstleistungen von höchster Qualität, äußerst sicher und zu fairen Preisen wären. Sie sind nicht. Dem öffentlichen Sektor werden für gleichwertige IT-Einsätze routinemäßig dreimal so viele Gebühren berechnet wie dem privaten Sektor. Dreimal so viel. 

Zusätzlich zu dieser allgegenwärtigen Mehrausgabe erhöht die Abhängigkeit von einer kleinen Anzahl von Anbietern das Sicherheitsrisiko aufgrund der Allgegenwärtigkeit von Infrastrukturmodellen erheblich. Wenn die Mehrheit der Organisationen des öffentlichen Sektors auf denselben Public-Cloud-Hyperscaler umgestiegen ist und identische Sicherheitsvorkehrungen übernommen hat, ist es unvermeidlich, dass ein Verstoß bei einer Organisation schnell ausgenutzt und bei anderen wiederholt wird. 

Unzureichende Strenge

Dem aktuellen Ausschreibungsverfahren mangelt es völlig an Strenge. Warum werden diese Anbieter angesichts der anhaltenden Sicherheitsverletzungen nicht zur Rechenschaft gezogen? Warum erhalten sie immer noch neue Aufträge? Warum gewinnen sie überhaupt den Auftrag, die Systeme wieder aufzubauen und wiederherzustellen, die durch eine unter ihrer Aufsicht aufgetretene Sicherheitsverletzung beschädigt wurden? Wenn andere Managed-Services-Anbieter und Cloud-Plattformen nicht nur bessere Preise, sondern auch eine weitaus bessere Sicherheitsbilanz bieten können. Im öffentlichen Beschaffungswesen läuft eindeutig etwas schief.

Der öffentliche Sektor ist an dieser Mehrausgabe mitschuldig: Jeder Anbieter, der versucht, einen niedrigeren (fairen) Betrag zu verlangen, wird automatisch vom Ausschreibungsverfahren ausgeschlossen. Warum? Dafür gibt es mehrere Gründe, nicht zuletzt, weil der öffentliche Sektor von der IT-Branche darauf „geschult“ wurde, mit diesen überhöhten Kosten zu rechnen, aber es besteht auch die Abhängigkeit von engagierten Beschaffungsbeauftragten, denen grundlegende Branchenkenntnisse fehlen. Warum befindet sich beispielsweise jedes einzelne System, das der Stadtrat von Leicester nutzt, auf derselben öffentlichen Cloud-Plattform? Es sollte unmöglich sein, dass sich ein Systemverstoß auf jeden einzelnen Teil der Organisation ausweitet, doch weil der Rat die grundlegenden Sicherheitsprinzipien nicht versteht, bereitet er sich auf einen kostspieligen Ausfall vor. 

Der Mangel an Fachwissen ist ein ernstes Problem. Die anhaltende Abhängigkeit von großen IT-Anbietern hat dazu geführt, dass viele Organisationen des öffentlichen Sektors gefährlich unterqualifiziert sind. Aufgrund des Mangels an internem Wissen wenden sich Unternehmen häufig an etablierte Anbieter, um Informationen zur Unterstützung des Ausschreibungsprozesses zu erhalten, was unweigerlich zu einer weiteren Preissteigerung führt. Darüber hinaus führt die Abhängigkeit von Dritten und nicht von internem Fachwissen im Krisenfall zwangsläufig zu Verzögerungen, die die Probleme verschlimmern und zu zusätzlichen Kosten für die Reparatur und Wiederherstellung von Systemen führen.

Überfällige Aufsicht

Die Situation ist äußerst frustrierend für IT-Anbieter, die über das Fachwissen verfügen, kostengünstigere und sichere Systeme bereitzustellen. Die fehlgeleiteten Ausgaben haben dazu geführt, dass die öffentlichen Einrichtungen völlig veraltet sind. Sicherheitsmaßnahmen sind nicht nur erschreckend altmodisch; Es kommt jedoch zu inakzeptablen Verzögerungen bei wichtigen Innovationen bei der Bereitstellung von Dienstleistungen, die das Erlebnis der Bürger verändern und zu Betriebskosteneinsparungen führen würden.

Angesichts des zunehmenden Drucks, dem alle Organisationen des öffentlichen Sektors ausgesetzt sind, ist ein Wandel unerlässlich. Das interne Fachwissen muss neu aufgebaut werden, um sicherzustellen, dass Branchenexperten in den Beschaffungsprozess einbezogen werden, und die Preiserwartungen müssen sofort überarbeitet werden: Geizige IT-Anbieter werden weiterhin zu hohe Preise verlangen, wenn sie nicht in Frage gestellt werden. Eine Möglichkeit besteht darin, einen ausgelagerten CTO mit umfassendem Fachwissen im öffentlichen und privaten Sektor zu ernennen, eine Person mit dem Wissen und der Erfahrung, um die weit verbreitete Überladung zu melden und den Beschaffungsprozess auf Plausibilität zu überprüfen.

Wichtig ist auch die Abkehr vom Herdendenken. Wäre beispielsweise eine On-Premise-Private-Cloud-Lösung eine bessere Option als ein Public-Cloud-Hyperscaler? Wie hoch sind die Kosten im Vergleich, wenn man interne Sicherheitsexpertise hinzufügt, anstatt sich auf einen Dritten zu verlassen – natürlich unter Berücksichtigung des Werts einer schnellen Reaktion, wenn ein Problem auftritt? Es ist bezeichnend, dass die wenigen lokalen Behörden mit einer guten Erfolgsbilanz im Bereich Sicherheit nicht den gleichen Public-Cloud-Ansatz großer Anbieter übernommen haben, sondern beim Beschaffungsprozess Strenge anwendeten, um einen sichereren und kosteneffektiveren Ansatz zu erreichen. Andere könnten und sollten von diesen Organisationen lernen. 

Fazit

Gute, effektive IT-Systeme bilden die Grundlage für jeden Aspekt der Leistungserbringung im öffentlichen Sektor, und derzeit ist die überwiegende Mehrheit ihrer Systeme nicht zweckdienlich. Daher ist es wichtig, die guten Leistungsträger hervorzuheben und zu würdigen – und die Anbieter herauszufordern, die weiterhin zu viel verlangen und unterdurchschnittliche Leistungen erbringen.

Der Informationsaustausch zwischen Organisationen, sowohl zur Unterstützung der strategischen Ausrichtung als auch zur täglichen Risikominderung, ist für die Verbreitung bewährter Verfahren von entscheidender Bedeutung. Entscheidend ist, dass der öffentliche Sektor durch die Bündelung von Wissen und Fachwissen beginnen kann, die Kontrolle über ein heute kaputtes Modell zurückzugewinnen. Während der öffentliche Sektor weiterhin mit unzureichender Sicherheit und mangelndem Wissen zu kämpfen hat, werden die IT-Anbieter weiterhin gewinnen. Sie müssen zur Rechenschaft gezogen werden, und das kann nur geschehen, wenn Organisationen des öffentlichen Sektors zusammenarbeiten, um mehr zu fordern und die Branche zur Rechenschaft zu ziehen.