Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Ich war bis 2018 bei einer Konkurrenzfirma von Xplain als Software-Architekt tätig. Aus Rücksicht auf meinen ehemaligen Arbeitgeber und seine Kunden schreibe ich hier anonym.
Dass Bundesämter damals öffentliche Ausschreibungen nach Möglichkeit umgangen haben war in der Branche ein offenes Geheimnis. Als Gründe genannt wurden der hohe Aufwand für die Durchführung einer Ausschreibung (unter anderen wurde kolportiert, die WTO-Ausschreibung eines bestimmten Projektes habe eine halbe Million gekostet), und die Dauer eines Ausschreibungsverfahrens, die den Projektstart auch ohne Rekurse um ein Jahr verzögern könne. Da Bundesämter ein Interesse an einer möglichst einfachen und schnellen Auftragsvergabe haben, wurden manche sehr kreativ, um sich die Juristen vom Bundesamt für Bauten und Logistik vom Leib zu halten ...
Die Sache mit den Folgeaufträgen sehe ich sehr zwiespältig. Einerseits geht es bei vielen dieser Projekte ja um Individualentwicklungen - und die sind halt, wie der Name schon sagt, individuell. Das Team, dass die ursprüngliche Software entwickelt hat, kennt diese bereits, und hat bei Aufträgen für Weiterentwicklungen einen Wettbewerbsvorteil. Ein Anbieter müsste schon sehr hoch pokern, damit er die Ausschreibung des Folgeprojekts nicht gewinnt. Wenn umgekehrt aber aufgrund dieses Wettbewerbsvorteils der Gewinner schon im voraus klar ist, lohnt sich dann die Ausschreibung? Und die Verzögerung des Projektstarts, die diese mit sich bringt? Andererseits: Wie kann man sich sonst gegenüber überhöhten Preisen absichern?
Und das bringt mich zur Bevorzugung bestimmer Anbieter, die in der Tat immer wieder vorkam, und die, wie Frau Fichter zu Recht schreibt, durchaus problematisch ist. Aber auch hier lohnt sich auf Blick auf die Ursachen: Wenn sie mit einem Anbieter erfolgreich und annehm zusammengearbeitet haben, würden sie diesen bekannten Anbieter dann nicht auch einem unbekannten Anbieter vorziehen? Ein bekanntes Bonmot in diesem Bereich ist, dass das "wirtschaftlich günstigste Angebot", das laut Beschaffungsrecht den Zuschlag erhalten soll, oft von dem Team stammt, dass "das Projekt am meisten unterschätzt hat". Und wenn das Team dann nichts brauchbares liefert und das Projekt scheitert müssen sie von vorn anfangen und haben viel Zeit (und Aufwand) verloren. Die rechtlich korrekte Lösung wäre natürlich, die IT-Kompetenz der Anbieter im Rahmen der Offerte zu bewerten. Es ist jedoch nicht gerade einfach, das an objektiven Kriterien festzumachen, die einem Rekurs standhalten. Und ausserdem erfordert es einiges an IT-Fachwissen, über das das entsprechende Bundesamt oft nicht verfügt. Da ist es viel einfacher, Anbieter, die sich bereits in anderen Projekten bewährt haben, zu bevorzugen ... (natürlich kann eine Bevorzugung auch andere Gründe haben, zum Beispiel Korruption ... in meiner Erfahrung war es jedoch meistens, dass die Fortsetzung einer eingespielten Zusammenarbeit für den Auftraggeber einfacher war, als mit einem neuen Anbieter eine Zusammenarbeit aufzubauen).
Ich will die Beugung des Beschaffungsrechts nicht verteidigen. Wettbewerb ist unerlässlich, damit staatliche Aufträge effizient erbracht werden. Aber nicht jede Rechtsbeugung in diesem Bereich ist böswillig oder grobfahrlässig. Manchmal waren die Auftraggeber auch einfach überfordert. Und das hat auch mit den Rahmenbedingungen zu tun.
oft von dem Team stammt, dass "das Projekt am meisten unterschätzt hat"
Ich war auch schon häufiger bei (WTO-) Ausschreibungsprojekten dabei und habe in vielen Fällen auch die Dramen danach erlebt.
Deshalb behaupte ich mal provokativ, dass das Projekt durchaus nicht unterschätzt wurde, sondern vom zuständigem Sales bewusst unterpreisig deklariert wurde - wohl wissend, dass man dann eher problemlos Nachschläge organisieren kann, und sei es nur, um Zeitpläne auf Seiten des Auftraggebers einhalten zu können.
Ich war allerdings auch schon in der Situation, dass ein "Verlängerungsprojekt" im Bereich "Time & Material" (also schlicht: Personenüberlassung) geschickt unter dem Ausschreibungsradar deklariert wurde, weil es einfach unsinnig ist, plötzlich ein neues Team in das Projekt einarbeiten zu müssen. Wenn sowas natürlich über 5+ Jahre geht wird es langsam absurd (und ich frage mich dann immer, ob es nicht sinnvoll gewesen wäre, diese Leute gleich fest anzustellen). Ich bin nicht unglücklich, dass ich in dem Umfeld nicht mehr tätig bin.
Ich kann dem OT gar nichts mehr hinzufügen, das beschreibt zusammen mit dem anderen 'Anonymen' ganz genau was so problematisch ist.
Ich ergänze hier nur, dass T&M nicht simples Bodyleasing ist. Sondern gerade mit einem umsichtigen Projektteam mit begrenztem Budget erlaubt Wertstiftend zu arbeiten. Man hat ein Budget und kann am Scope bzw. Qualität schrauben.
Die besten Projekte für den Kunden, bei dem der Kunde das meiste für sein Geld bekam waren immer T&M Projekte.
Fixpreise und Kostendach (Werkvertrag) sind nur vermeintliche Absicherungen des Auftraggebers aber danach kann er sich auf Änderungen nur schwer einstellen und dann fängt das ganze Change Management Prozedere an, was auch wieder viel kostet.
Ich arbeite ebenfalls bei einem XPlain Konkurrenten als Software-Architekt und kann bestätigen: Diese Praktik ist gang und gäbe. Um Ausschreibungen zu gewinnen muss oft eine extrem optimistische (lese: billige) und nicht selten für den Anbieter defizitäre Offerte gemacht werden. Dies wissend darum, dass man danach den "Vendor Lock-In" etabliert hat und sich Folgeaufträge einfach an Land ziehen lassen mit denen man das Defizit der Erstausschreibung wieder wett macht.
Sprich wenn man mal den Fuss in der Tür hat...
A) hat niemand mehr Bock auf weitere Ausschreibungen und man kriegt alles weitere unter der Hand damit lange Verzögerungen vermieden werden,
B) eine Ausschreibung wäre auch nicht zielführend weil es für Konkurrenten de facto unmöglich wäre sich in einer konkurrenzfähigen Offerte von null auf in Thematik/IT-Ökosystem/Technologie einzuarbeiten.
Ich erinnere mich an ein Erneuerungsprojekt eines bernischen Autobahntunnels, als noch der Kanton dafür verantwortlich war. Kurz zuvor gab es vom Grossrat die Anweisung, dass bei Ausschreibungen, wenn immer möglich, der günstigste Anbieter zu bevorzugen sei. Für ein wenig umfangreiches Teilsystem, die Ansteuerung der Lichtsignal-SPS über ein einheitliches Protokoll, erhielt eine, bis dahin in der Branche völlig unbekannte, Firma aus dem Tessin den Auftrag.
Der aus Polen stammende Programmierer, der keine Landessprache beherrschte, fing am Morgen des ersten Testtages, vor Ort, mit dem Programmieren an …
Das ganze Projekt wurde aufgrund dieses schlitzohrigen Schaumschlägers aus dem Tessin um Wochen verzögert.
So kann es auch ausgehen, wenn die Verantwortlichen der Ausschreibung unter Druck gesetzt werden.
So gesehen verstehe ich, dass die Leute bekannte Firmen bevorzugen, selbst wenn sie deutlich teurer als die Konkurrenz sind.
Es führt kein Weg daran vorbei, dass der Auftraggeber über eine tiefergehende Kompetenz verfügen muss, um nicht auf die eine oder andere Art über den Tisch gezogen zu werden.
Diese Kompetenzen sind im kleingeistigen Machtgerangel der Ämter und dem Sparwahn der bürgerlichen Politiker wohl nachhaltig zerstört worden.
Ich arbeite als IT-Spezialist meist für internationale Firmen, aber auch für den Bund. Teils war ich direkt angestellt, teils arbeite ich über einen IT-Provider. Aufgrund der Geheimhaltungspflichten bleibe ich anonym.
Während Grossfirmen die IT-Infrastruktur, die IT-Sicherheit und den IT-Einkauf zentralisierten, um die IT-Sicherheit zu erhöhen, tat der Bund dies nur auf Ebene IT-Infrastruktur. Es gibt zwar das Bundesamt für Informatik und Telekommunikation (BIT), welches Infrastruktur und ERP-Applikationen bereitstellt, ansonsten aber ein schwaches Bundesamt ohne Durchgriff ist. Die Departemente und die Bundeskanzlei sind weitgehend frei in ihren IT-Entscheidungen und viele der 80 Bundesämter beanspruchen diese Freiheit auch für sich. Merkmal dieser dezentralen Struktur ist, dass Personal über IT-Lösungen entscheidet, dem das heute erforderliche Wissen über Cybersecurity abgeht. Und - im Gegensatz zu Grossfirmen - kann die zentrale IT umgangenen werden.
Das Problem des Bundes geht leider viel, viel weiter als das Umgehen von WTO-Ausschreibungsregeln. Solange Hobby-Informatiker:innen in den Ämtern kein Korretiv in Form eines Vetorechts einer zentralen IT-Fachstelle haben, wird das Grundproblem immer weiterbestehen. Dieses haben die Finanzindustrie, die Pharmaindustrie und andere bereits vor 20 Jahren erfolgreich abgestellt. Leider ist die Prognose für den Bund ungünstig: die Ämter sind zu machtbewusst sowie von regionalen und parteipolitischen Rivalitäten geprägt, als dass man sich darauf einliesse. Denn der wahre Feind sitzt für sie nicht im „Darknet“, sondern hinter der Tür des nächsten Bundesamtes.
Nicht nur die Departemente sind unabhängig in ihren IT-Entscheidungen:
Auch alle Kantone.
Und auch alle gut 2000 Gemeinden.
Software skaliert fast unendlich. Wir könnten sie zentralisieren.
Aber wir hängen so sehr an unserer Struktur, dass wir diese Skalierbarkeit nie nutzen. Unsere Aufgabenverteilung im Staat ist total veraltet.
Aber nächsten Sonntag gibt’s dann in der ganzen Schweiz wieder Reden über „Dezentralität als Erfolgsmodell“ :-)
Es braucht unbedingt eine Art IT-Kontrolling, wie das bei den Finanzen schon lange üblich ist (internes Kontrolling, FINMA, ..). Es geht schliesslich oft um sehr viel Geld und noch mehr Zeit. Das Problem ist natürlich die tatsächliche Umsetzung: Wie, wer, mit welchen Regeln. Aber wenn man das nicht endlich anfängt anzudenken, wird sich nie etwas ändern und wir stolpern weiterhin von einem Desaster zum nächsten.
Ein sehr guter Beitrag und zeigt auf, dass der Föderalismus auch und vor Allem in der Bundesverwaltung ein Stolperstein bei Digitalisierungsprojekten ist.
Ich bin daher ziemlich überzeugt, dass die Forderung nach Open Source nicht unbedingt Zweckdienlich um die Wartbarkeit, Nachhaltigkeit und Sicherheit einer Applikation sicher zu stellen. Dazu braucht es andere Konzepte, eine zentrale Kompetenzstelle mit entsprechenden Machtverlüsten in den unterschiedlichen Bundesämter wäre sicher ein guter Schritt.
Dazu werden die 7+1 Königreiche sich nicht durchringen können. Nicht ohne ein ordentlicher Zusammenbruch. Bis wir versagen, wird der Leidensdruck nicht hoch genug sein.
Da bin ich nicht einverstanden bezüglich Open Source. Für die Wartbarkeit und Nachhaltigkeit, und insbesondere für die Sicherheit wäre es für die öffentliche Hand sehr zweckdienlich. Da könnte man sich nicht einfach herausreden und den Experten mimen, denn man könnte ja sehen, was geliefert wurde. Der Audit wäre viel einfacher, man hätte viel weniger Klumpenrisiken und der Wettbewerb wäre auch offener.
Eine zentrale Stelle, die die Macht über alle IT Entscheidungen hat wird es nicht unbedingt lösen, wenn es sich dann auch nicht in die Karten blicken lässt. Eine Kontroll-Instanz, welche die Einhaltung der Auflagen überwacht und die Qualität einfordert wäre so oder so wichtig.
Super, danke für Ihren Kommentar. Gerne können Sie mir schreiben, wenn Sie mögen. Ihre Einschätzungen und Erfahrungen interessieren mich. Meine Email: adrienne.fichter@republik.ch, Threema-ID 3NTZN3ZU
Da sind wir wieder beim Thema Verfassung und meinem Vorschlag:
https://www.republik.ch/dialog?t=ar…8496eee634
Würde das deiner Meinung nach helfen?
Ich schreibe diesen Beitrag aus der Perspektive eines Mit-Bewerbers in den frühen 2000er Jahren, als XPlain ebenfalls gestartet ist. Damals war die WTO-Beschaffungsrichtlinie noch nicht Standard und SIMAP - die Beschaffungsplattform des Bundes - nicht das normale Prozedere. XPlain hatte ein quasi-Monopol für schweizerische IT-Projekte im Bereich Polizei (nach ihrer eigenen Darstellung). XPlain trat auch an unsere Firma heran mit dem Angebot, dass wir doch unsere Produkte (über die sie nicht verfügten) nicht direkt ("da habt ihr keine Chance als Newcomer") sondern als ihr Unterakordant der Polizei anzubieten- d.h. XPlain tritt als Anbieter auf. Ihre Argumentation: "die Polizei arbeitet nur mit Firmen zusammen, die sie gut kennt und die das Polizeiwesen gut kennen" - meist Firmen, die von ehemaligen Polizeiangehörigen gegründet wurden. Wir machten zusammen mit XPlain einen (erfolglosen) Versuch. Wir beendeten diese "Zusammenarbeit" schnell, auch weil wir realisierten, dass wir eigentlich unser ganzes Wissen der XPlain hätten übergeben müssen, damit sie die Projekte auch erfolgreich verkaufen - und unterhalten - könnte. Wir versuchten dann - während mehr als 10 Jahren - unsere damals weltweit führenden IT-Systeme der Bundespolizei direkt zu verkaufen. Erfolglos. In diesem Sinne hatte XPlain die Wahrheit gesagt. Die IT-Lieferanten der Bundespolizei waren(sind?) eine kleine Insidergruppe. Ich gehe davon aus, dass die Beschaffungstricks von den Polizeibehörden regelmässig angewandt werden - nicht nur bei XPlain.
Sehr spannend und widerspiegelt ein wenig das was ich aus den Ausschreibungsunterlagen "herausgelesen" habe (aus den 2000er Jahren).
Wenn Sie mir vielleicht schreiben mögen: adrienne.fichter@republik.ch oder: https://threema.id/3NTZN3ZU
Danke für die Hartnäckigkeit, Adrienne Fichter. Die Recherche bei Behörden scheint nicht sehr komplex. Trifft man auf Schweigen ist man auf dem richtigen Weg. ;)
Bitte am Thema dran bleiben! Mich interessiert besonders, ob nach der ganzen Aufarbeitung auch mal Konsequenzen gezogen werden und Beschaffungs-Berater bzw. Verantwortliche in den Behörden aus diesem kaputten Beschaffungs-System entfernt werden.
Herzlichen Dank, Herr G. Ich bleibe dran! :-)
Das Problem ist, dass beim Bund, Kantonen und Gemeinden die nötige IT Expertise fehlt. Und es sieht schlecht aus für die Behörden: die Arbeitsumgebung und Arbeitskultur ist nicht kompatibel mit den Erwartungen von guten Software-Spezialisten, die sich heutzutage ihre Arbeitgeber aussuchen können.
Unpopuläre Meinung: der Bund braucht nicht Arbeitgeber von Software Engineers zu sein.
Er müsste nur Strukturen (ab-)schaffen, die es verhindern, dass die Expertise die er bereits hat ungenutzt verpufft.
Die mauern der 7+1 Königreiche müssen eingerissen werden. Die Kompetenzen der Bundesämter soweit einschränken, dass das zentrale Center of Excellence der Dreh und Angelpunkt ist. Dass der CISO und CIO entsprechend Handlungs und Weisungsbefugnis haben.
Dann findest du oder hast die Talente bereits, die nicht erst fragen müssen, welche Verordnung jetzt sagt, dass der CISO dem Procurement zwingende Anforderungen an die Beschaffung und den Lieferanten und seine Sublieferanten stellen darf.
Und da heisst es immer, die EU sei korrupt… Ich habe lange Erfahrung mit behördlichen Auftragserteilungen im EU-Raum, aber einen solch breiten Sumpf von systematischen Unlauterkeiten habe ich nur gerade in Italien, Malta und Polen, und abgeschwächt in einigen anderen osteuropäischen Staaten vorgefunden. Wäre die Schweiz in der EU, würde sie wohl diesen Schlusslichtern ernsthaft Konkurrenz machen.
Und nein, dass einst öffentliche Unterlagen nicht rausgerückt werden, gehört nicht zu meinem Erfahrungsschatz…, das müsste die Schweiz zum Patent anmelden :-)
Danke, Frau Fichter, für Ihre Beharrlichkeit!
Dass offene Beschaffungen immer günstiger sind und Konkurrenz den Markt belebt, ist eine immer gerne zitierte Binsenweisheit.
Nur stimmt das meiner Meinung nach eben nicht immer. Komplexe Produkte auszuschreiben, ist eine sehr teure, fehlerträchtige Angelegenheit und sie scheitert nicht selten.
Ich lese in der Angelegenheit nicht primär Korruption, dieser Vorwurf wird sicher untersucht und muss erst bewiesen werden.
Die fehlenden Sicherheitsvorgaben oder deren Kontrolle ist der eigentliche Skandal.
Eine Art von Korruption ist eben auch, sich schulterzuckend auf eine Firma „in der Seilschaft“ zu verlassen, ohne selbst alle detaillierten Aspekte, und damit auch alle Anforderungen, des Auftrags verstehen zu wollen, was dann eben auch verhindert, dass man neutral die beste Firma wählen kann.
Kann Ihnen da leider nicht zustimmen. In allen öffentlichen Ausschreibungen, welche ich im IT-Sektor in vielen Jahren als Lieferant erlebt hat, stand der Gewinner schon vor der Ausschreibung fest. Zuerst wurde evaluiert und,dann von einem Berater die Ausschreibung auf den gewünschten Sieger zugeschnitten.
Einige Schweizer Spitäler gingen sogar soweit explizit das gewünschte Software-Produkt z. B. SAP auszuschreiben. Bis die Praxis gerichtlich unterbunden wurde, war der Vertrag schon unwiederruflich unterschrieben. Ganz ähnlich lief ja auch die Beschaffung der nutzlosen F35-Kampfjets ab. Mal schnell unterschreiben, damit es keine Abstimmung mehr geben kann.
Wen wundern diese Zustände in den Departmenten, wenn die Mehrheit der staatstragenden Parteien weniger Staat will. Das lassen sich Departamente, resp. deren Ämter nicht zwei Mal sagen. Irgenwie müssen sie ja die Aufträge und Aufgaben erfüllen, trotz X-Steinen, die ihnen in den Weg gelegt werden von Kommissionen, einzelnen Politikern, die direkt intervenieren, als Freund, Freundin vom Amtsvorsteher etc. Die Amtsvorsteher sind vom jeweiligen Bundesrat abhängig, und der hat den Letztentscheid, was wie auf die Entscheidungsebene kommt. FAzit: In einer solchen Struktur sind auch die entsprechenden Politiker namhaft beteiligt, wie die Umsetzung der Geschäfte laufen.
Ich lese da mehrmals "iPhone". Wieso setzt der Bund ein dramatisch überteuertes Produkt ein, dessen Software quasi eine Insel darstellt? Ich denke mal, viele zu dem Preis führenden Features wie die Kameras sind für den Einsatz kaum entscheidend. Und einmal in der iPhone-Insel angekommen grüsst der Vendor Lock-In.
Für mich klingt das nach dem nächsten Beschaffungsskandal, da bei einem Lifecycle Ersatz automatisch wieder ein iPhone her muss.
iPhones bieten halte eine stabile Plattform welche auch lange supported wird.
In Sachen Security sind sie auch nicht schlecht aufgestellt.
Mir wäre es auch lieber es gäbe da von Seiten Android etwas mehr Konkurrenz aber Pixel haben es ja erst seit letztem Jahr(IIRC) geschafft 5 Jahre Software Updates zu garantieren.
Samsung macht es schon länger aber deren Software ist sonst ein Desaster.
Fairphone kann das schon lange, die anderen ziehen jetzt aufgrund der EU-Pläne für Vorschriften zu Updates nur nach. Plain Android (wäre für so einen Fall vermutlich perfekt) oder halt Google Android (ohne Samsungs verbasteltem GUI). Und Support/Updates je nach Treiberverfügbarkeit 8-10 Jahre.
Der Mehrpreis für das Gerät ist durch die lange Verfügbarkeit von Updates und Ersatzteilen, die selber ausgewechselt werden können vermutlich schnell armortisiert.
Auf den Phones muss vermutlich neben der App und einer fast beliebig schlechten Kamera (für QR Scans und ähnlichem) praktisch nichts laufen. Und was nicht läuft, kann auch kein Sicherheitsproblem erzeugen.
Heisst für mich: Jedes Phone, für das ein Plain Android unterstützt, wäre vermutlich ein deutlich günstigerer (im gesamten Lebenszyklus) als ein iPhone. Das hoffentlich hinten dran noch ein MDM (Mobile Device Management) steckt, dass die Geräte überwacht, hoffe ich jetzt einfach mal.
Wow, dieser Teaser mit der Ritterrüstung und der selbstzerstörerischen 🇨🇭Flagge ist Giga gäch gelungen und ich freue mich schon vor dem Lesen auf den Inhalt.
Der Film "Pixels" lässt grüssen. War jedenfalls meine sofortige Assoziation dazu. Und passt herrlich.
Genauso: Nur schon der Trailer - obwohl gut gemacht - kann Übelkeit verursachen 😕 https://youtu.be/XAHprLW48no?si=V9wm7dbseN05-gxK
Und dann wundert man sich wieder, wieso das Vertrauen in den Staat und die Behörden flöten geht...
Zum Glück wissen wir nicht alles, was bei Privaten abgeht, sonst hätten wir zu gar niemandem mehr Vertrauen. 😏
Die (Cyber-)Welt ist zu komplex, als dass sie mit ausgrenzenden Top-down Organisationen „bewältigt“ werden könnte. Open source und grenzüberschreitendes Teilen von Erkenntnissen bottom up hätten da eher eine Chance.
Eine Frage hier, in die Zeit fällt ja auch die Entwicklung von OpenJustitia (Weiss wer wo man den SourceCode findet?) Die waren ja eine rühmliche Ausnahme. Aber auch von etlichen durchaus heftigen Angriffen begleitet. Hat da Xplain eigentlich auch offeriert?
Ich denke, eben dank der Software gibt es nun dieses neue Embag Gesetz ab 2024.
Als ob heute der Besitz des SourceCodes alleine weiter hilft ..... das war einmal ... ca. 30J her!
Sourcecode ist schon mal besser als gar nix. Aber genauso wie vor 30 Jahren das Makefile und die zum Linken notwendigen Libraries dazugehörten, braucht es heute auch die entsprechenden Build- und Deployment-Skripte und eine angemessene Dokumentation. Als Auftraggeber haben es Bund und Kantone in der Hand, dies alles im Pflichtenheft einzufordern.
Den am Schluss erwähnten Brief zu diskutieren gäbe Material für einen weiteren Artikel.
Wenn ich etwas Werbung machen darf :-)
Danke! Diesen Artikel habe ich gesucht :)
Solche Mauscheleien sind nicht neu. In meiner langjährigen Zeit an der ETHZ habe ich einige Müsterchen davon erlebt, hauptsächlich vom Amt für Bundesbauten und von der EDMZ. Angefangen hat es in den 60er Jahren, als ein Flachmaler aus der Innerschweiz in wochenlanger Arbeit mit dem Pinsel Parkfelder um das alte Physikinstitut herum malte, zu einer Zeit als die Stadt Zürich schon längst dafür spezielle Spritzmaschinen einsetzte. Dann etliches beim Bau der ETH Hönggerberg. Z.B. für die Betonierung des Tragtischs des Hörsaalgebäudes wurde „billiger“ Armierungsstahl eingekauft und verbaut, der unterhalb einer bestimmten Temperatur spröd wird Als Folge musste der Tragtisch im Winter dauernd beheizt werden um die Sicherheit der Konstruktion zu gewährleisten. Die Gefahr wurde erst entschärft, als viele Jahre später die überdimensionierten Streben für die „Erdbebensicherheit“ eingebaut wurden. u.s.w., u.s.w.
Und welche persönlichen Verbindungen zwischen den Verwaltungen und der Firma haben dies alles ermöglicht? Futter für einen weiteren Artikel.
Grüezi Herr E. Ich hab da alles gesucht online, den Staatskalender (2008-2018) heruntergeladen, Teledata.ch und LinkedIn angeschaut. Ich sehe auf den ersten (oberflächlichen) Blick keine personellen Verflechtungen, aber wenn Sie mehr wissen gerne an: adrienne.fichter@republik.ch
Ein ausgezeichneter Beitrag zum wichtigen und ungelösten Problem der Datensicherheit. Die Frage ist: Wie weiter? Im Fazit erwähnt Adrienne Fichter den Brief des Nationalen Zentrums für Datensicherheit, in welchem die "Hausaufgaben" der IT-Dienstleister aufgelistet sind. Dazu zählen die Pflicht der Multifaktor-Authentisierung, das Verbot zur Nutzung unverschlüsselter Passwörter und zur Speicherung nicht anonymisierter Produktivdaten des Bundes, die Implementierung des Löschverfahrens von Testdaten, ein Incident Response Prozess sowie die "Forcierung" von remote arbeitenden Personen auf eine VPN-Verbindung. In einem Kommentar zu diesem Brief wird geäussert, diese Maximalforderungen seien völlig unrealistisch. Ist das der Fall? Ich wäre interessiert zu lesen, wie Adrienne Fichter sowie andere Expertinnen und Experten diese Forderungen beurteilen.
Nehme an, Sie beziehen sich auf diesen Brief des BBL?
Ich sehe in den dort formulierten Sicherheitsanforderungen nicht viel "maximales" sondern eher sehr viel "grundsätzliches" welches man in 2023 von einer Software-Schmiede schlicht erwarten kann wenn sie sicherheitsrelevante Software entwickelt. Etwas salopp gesagt müssen die Sicherheitsanforderungen an Entwicklungsumgebung und -prozess mindestens so hoch sein wie ans fertige System, sonst handelt man sich mit einer schlecht gesicherten Entwicklungsumgebung eine nur schwer zu beherrschende Schwachstelle ein. Als Anbieter hätte ich zu zwei oder drei der Punkte allenfalls Verständnisfragen (braucht es MFA wirklich auf allen internen System, welche Passwörter liegen überhaupt in Klartext vor, was ist mit dem Internetzugang der Entwickler gemeint etc.), aber insgesamt liegt das Problem bei diesem Brief vor allem daran, dass er überhaupt nötig war.
Insofern lese ich auch den von Ihnen erwähnten Kommentar eines Lesers auf Inside-IT primär als Indikator dafür, dass solche Dinge nicht nur bei Xplain im Argen lagen, und die Branche als ganzes noch Handlungsbedarf hat. Um als Beispiel nur das im Kommentar kritisierte zentrale Logging zu nehmen: Wenn ein Unternehmen sicherheitsrelevante Vorfälle im System nicht konsequent loggt und regelmässig auswertet (bzw. am besten automatisch überwacht), hat es schlicht keine Chance, nur schon zu erkennen dass es überhaupt von Hackern angegriffen wird.
Der BBL-Brief erweckt den Eindruck, dass unter Zeitdruck Input von vielen unterschiedlichen Quellen in ein Dokument integriert wurde. Ein Grossteil der Punkte sollte unstrittig sein, auch wenn etliche bei der konkreten Umsetzung Fragen aufwerfen.
Ein Kriterienkatalog wie dieser sagt maximal aus, ob die verwendeten Systeme sicher sind. Ob die Entwickler sichere Software entwickeln (können), kann damit nicht geprüft werden. Dazu muss man in einen Dialog treten, bei dem dann auch das gegenseitige Bewusstsein über die Notwendigkeit einer gelebten Sicherheitskultur aufgebaut werden kann.
«Vergaben, welche sich beispielsweise auf den Ausnahmeartikel zur Aufrechterhaltung der inneren und äusseren Sicherheit sowie der öffentlichen Ordnung beziehen, müssen nicht auf Simap.ch veröffentlicht werden.» Ich meckere: sie finden sich im Darknet.
resp. der Schlüssel ist „frei verfügbare Software“ (Matthias Stürmer)
weil diese Frage "Doch geniesst Xplain überhaupt noch das Vertrauen der Bundesverwaltung?“ muss mit NEIN beantwortet werden, resp. es soll eine andre Frage gefunden werden.
Ein Angebot: Wie nennen wir die schweizeigene Forschergruppe, die mittels Software unter Open-Source-Lizenzen bestehende it ertüchtigt und neue Module der Gemeinschaft bereitstellt? - Der Bund soll sich also rechtlich betrachtet diese Xplain einverleiben, er laibt das bundeseigne Label.
Ja ich habe diese dann auch im Darknet gefunden;-)
Sehr geehrte Frau Fiechter
Herzlichen Dank für diese riesige Arbeit.
Aus meiner Sicht kratzen Sie erst an der Oberfläche.
Noch spannender finde ich zu untersuchen was beim BfE, der ElCom, Swissgrid betreffend denm grössten Risiko der Schweiz "Eine lang andauernde Stromangellage" passiert. Gemäss Bundesamt für Bevolkerungschutz ist eine lang andauernde Strommangellage schon seit 2015, das grösste Risiko der Schweiz.
Seit dem Ukraine Krieg wird die Strommangellage missbraucht für eine Stromproduktionsturbo und Partikularinteressen einiger weniger.
Dabei bleibt die Versorgungssicherheit weiterhin auf der Strecke.
Mit Notrecht werden 1000 mal zu teure Grossnotkraftwerke (Birr) gebaut und Stromspeicherreserven angelegt zum finanziellen Nutzen der Überlandwerke und zu Lasten der Stromkonsumenten.
Die Photovoltaik auf nicht überbauten Flächen wird subventioniert, obwohl diese ohne saisonale Speicher keinen Beitrag leisten kann zur Stromversorgungssicherheit der Schweiz.
Themen wie Stromentschwendung (der Stromverbrauch in der Schweiz sinkt seit 2010 ohne spezielle Fördeerung) sind kein Thema auch in der Republik.
Die Möglichkeit gezielt und gegen Bezahlung Stromverbraucher auszuschalten wird nicht in betracht gezogen.
Besthende dezenentrale Notstromanlagen mit "BAFU-Diesel" zu betreiben und diese für die klimaneutrale sicher Stromversorgung zu nutzen, wird nur stiefmütterlich angegangen.
Das Klimalabor scheint es nicht zu interessieren, dass wir letzten Dezember unser Stromversorgung nur mittels import von Strom aus Deutschland sicher stellen konnte, der Notabene mit Gaskraftwerken und Kohlekraftwerken sicher gestellt wurde.
Es wird höchste Zeit, dass im Zusammnhang mit dem grösste Risiko der Schweiz jemand wie Sie sorgfältig recherchiert und neue und andere Lösungsmöglichkeiten präsentiert.
Vielen Dank fuer die gruendliche Recherche. Dazu ist zu sagen ...
bei einem Singlesource Anbieter passen die Module zumindest zusammen.
so gerne man offene Systeme haette, kommt das Problem der Schnittstellen. Wer kann die definieren ? Die Kunden sollten's koennen, haben aber die Leute nicht. Allenfalls jemand auf niederer Hierarchiestufe, der nicht zu lange bleibt.. Man kann und sollte den Implementor, XPlain, verpfichten die Schnittstellen zu dokumentieren. Der Vollstaendigkeit willen.
solche Schnittstellen sind einem Wandel unterworfen, nach ein paar Jahren sind die urspruenglichen Dokumente nichts mehr wert. Als Drittanbieter waere man auf aktuelle Dokumente angewiesen, welche dann ueblicherweise nicht ausgehaendigt werden, und Nachfragen bleiben dann ergebnislos.
Wuerden nun Module an Drittanbieter ausgeschrieben sollten die Schnittstellen Spezifikationen einsehbar sein, sonst kann sich der Leistungserbringer auf erhebliche zusaetzliche Schwierigkeiten berufen, und eine Zusatzrechnung in irgendwelcher Hoehe stellen zusammen mit einer beliebigen Verzoegerung. Sollten Schnittstellen von sensitiven Bundesdiensten oeffentlich einsehbar sein ? Eher nicht, denn damit wuerde die Funktion der Organisation offengelegt. Als Projekt ausschreibende Firma, resp als Bund, wuerde ich ein NDA (Geheimhalteerklaerung) verlangen.
Auch ein Single-Source-Anbieter muss sich Gedanken über die Schnittstellen machen. Ja, es ist häufig einfacher, die dann im Projektverlauf anzupassen. Aber auch dort ist es nicht effizient, die Schnittstellen dauernd anzupassen.
Wer eine IT-Lösung anfertigen lässt (auch wenn es die Beschaffung einer Standardlösung ist), braucht auch die Kompetenz, die Ziele konkret zu definieren und die Umsetzung der Lösung fachlich begleiten und überwachen zu können. Alles andere ist nicht zielführend (im wahrsten Sinne des Wortes). Been there, done that.
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz