Beauftragung der IT-Firma CSC Deutschland

Antwort für die Fragestunde in der Bremischen Bürgerschaft

Vorlage für die Sitzung des Senats am 25.3.2014

„Beauftragung der IT-Firma CSC Deutschland Services GmbH“

Anfrage für die Fragestunde der Bremischen Bürgerschaft (Land)

A. Problem

Die Fraktion der CDU hat für die Fragestunde der Bürgerschaft (Land) folgende Anfrage an
den Senat gestellt:

Wir fragen den Senat:

  1. Für welche Aufgaben wurde die IT-Firma CSC durch den Senat beauftragt bzw. inwiefern hat sich Bremen an einer Beauftragung der IT-Firma CSC durch ein anderes Land beteiligt?
  2. Auf welche Daten und Programme hatte die IT-Firma CSC Zugang und Zugriff und wie sensibel sind diese?
  3. Wie stellt der Senat sicher, dass durch die IT-Firma CSC keine Datenveränderung und -weitergabe erfolgt?

B. Lösung

Auf die vorgenannte Anfrage wird dem Senat folgende Antwort vorgeschlagen:

Vorbemerkung:

Die Freie Hansestadt Bremen hat bewusst mit den anderen norddeutschen Ländern Dataport als zentralen IT-Dienstleister in der Form einer Anstalt öffentlichen Rechts gegründet. Mit Sachsen-Anhalt ist erst kürzlich das sechste Trägerland beigetreten und unterstreicht den Erfolg dieser Strategie. Die Verarbeitung und das Speichern der Daten der Bürgerinnen und Bürger, die von der Verwaltung für ihre Aufgabenerledigung benötigt werden, erfolgt für die Freie Hansestadt Bremen damit ausschließlich in öffentlicher Verantwortung.

Für einzelne Aufgaben, insbesondere im Bereich des Projektmanagements und der Konzeptentwicklung, ist es auch für die öffentliche Hand unumgänglich, entsprechendes Know-How von privaten Dienstleistern einzukaufen. An die Vergabe solcher Aufträge sind hohe Kriterien geknüpft. Verträge sind öffentlich aufzuschreiben, Qualitäts- und Preiskriterien für die Auswahlentscheidungen müssen benannt werden. Dataport führt diese Vergabeverfahren mit hohem Erfolg durch. Bei der Gestaltung der Verträge werden durchgehend hohe Sicherheitsanforderungen berücksichtigt, wie zum Beispiel Verpflichtungen für Sicherheitsüberprüfungen der eingesetzen Mitarbeiter und Geheimhaltungspflichten.

Auf dieser Basis hat Dataport auch im Auftrag des Landes Bremen 2011 einen Rahmenvertrag über IT-Beratungsleistungen ausgeschrieben. Den Zuschlag gewann ein von CSC geführtes Konsortium an Unternehmen. Dataport und dem Senat sind bisher keine Verstöße gegen die vereinbarten Verträge, insbesondere auch der darin enthaltenen Sicherheitsanforderungen, bekannt.

Der Vertrag läuft zum 30.9.2014 aus und wird von Dataport nicht verlängert werden. Zur Zeit ist geplant, nun auch mit dem neuen Trägerland Sachsen-Anhalt einen neuen Rahmenvertrag auszuschreiben.

Der Senat hat durch seinen Vertreter irn IT-Planungsrat den Bund aufgefordert, Handlungshilfen für die Länder zu erstellen und mit ihnen abzustimmen, wie das Kriterium der Vertrauenswürdigkeit von externen Dienstleistern für öffentliche Einrichtungen besser operationalisiert und praktisch in Vergabeverfahren berücksichtigt werden kann. Der Bund und die anderen Länder haben diesen Vorschlag ausdrücklich begrüßt, weil sie mit ähnlichen Fragestellungen wie Dataport im Fall der Vergabe an CSC konfrontiert sind.

Der Senat sieht sich in seiner Strategie, öffentliche IT durch den öffentlichen Dienstleister Dataport betreiben zu lassen und sich an regionalen IT-Dienstleistern wie der Governikus GmbH & Co KG, die Produkte im sensiblen Bereich Verschlüsselung und Datentransport in Bremen herstellen, bestätigt.

Den in der öffentlichen Debatte um die -Geschäftsbeziehungen der amerikanischen Mutter von CSC Deutschland Solutions GmbH aufgeworfenen Fragen wird damit Rechnung getragen.

Zu Frage 1:

Die Firma CSC hat einen E-Government-Rahmenvertrag mit der Firma Dataport abgeschlossen. Aus diesem Rahmenvertrag haben die Senatorin für Finanzen und bremenports für zwei IT-Projekte Unterstützungsleistungen der IT-Firma CSC beauftragt. Die Senatorin für Finanzen beauftragte Beratung und das Erstellen einer Anforderungsdefiniton für die technische Umsetzung der EU-Dienstleistungsrichtlinie. Die Hafen-Managementgesellschaft bremenports GmbH & Co. KG hat im Namen und für Rechnung des Sondervermögens Hafen mit CSC in drei Teilprojekten zusammen­gearbeitet. Dabei geht es darum, das SAP-Vertriebsmodul SO in das bestehende SAP-System zu implementieren. Die Aufträge werden seit Juli 2012 kontinuierlich abgearbeitet. Die Arbeiten stehen kurz vor dem Abschluss.

Die Landeshauptkasse setzt seit dem 1.10.1999 ein Softwareprodukt „Elektronischer Schalter“ für die Kommunikation mit der Deutschen Bundesbank ein. Diese Software wurde von IBM entwickelt, die das Produkt zum 1.1.2002 an die CSC Ploenzke AG verkaufte. Heute ist die CSC Deutschland Solutions GmbH für das Produkt zuständig. Seit 2008 wird der Support durch die Firma Crede Experte IT Solutions GmbH geleistet.

Zu Frage 2:

Bei der Neukonzeption der IT-Unterstützung der EU-DLR ist ein System betroffen, das bereits jetzt im Internet verfügbar ist, das IT-System Bürgerservice, und das um verschiedene Funktionalitäten erweitert werden soll. Die Umsetzung erfolgt durch andere Dienstleister, u.a. die bremen.online GmbH, im Auftrag qer FHB. Ein Zugriff auf sensible Daten oder Programm und auch ein Zugriff auf produktiv eingesetzte Programme oder Plattformen mit öffentlich zugänglichen Daten bestanden zu keinem Zeitpunkt.

Beim Projekt zum SAP-Modul hatte das Unternehmen CSC Zugriff auf das Entwicklungs­system, das Testsystem und das Produktivsystem der drei Buchungskreise von bremenports. Dabei handelt es sich zum Teil um Stammdaten von bremenports-Kunden wie Bankverbindungen und Umsatzzahlen. Personalbezogene Daten sind nicht betroffen.

Das Finanzressort legt ein eng ausgelegtes Berechtigungskonzept für externe SAP-Berater zugrunde. Die Bedingungen, die in diesem Konzept fixiert wurden, sind von bremenports eingehalten worden.

Das Programm Elektronischer Schalter ist eine Bankensoftware, die Überweisungsdaten an die Deutsche Bundesbank verschlüsselt übermittelt.

Zu Frage 3:

Bei den technischen Systemen für die Umsetzung der EU-Dienstleistungsrichtlinie ist ein Zugriff auf Daten abhängig von der Federführung und Verantwortlichkeit nur durch einen bestimmten und abgegrenzten Kreis von berechtigten verwaltungsinternen Mitarbeiterinnen und Mitarbeitern möglich. CSC hat weder Zugriff auf sensible Daten noch auf produktiv eingesetzte Programme oder Plattformen.

Mitarbeiter der Firma CSC werden überdies sicherheitsüberprüft. Der aktuell im Projekt EU-Dienstleistungsrichtlinie eingesetzte Mitarbeiter besitzt zum Beispiel eine erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen (Ü3).

Externe Berater dürfen nur vor Ort – im Fall des SAP-Moduls im Hause bremenports – am SAP-System arbeiten. Alle Einstellungen, Veränderungen und Programmanpassungen werden vom System nachvollziehbar dokumentiert. Gleichzeitig muss der externe Berater seine Arbeiten im Rahmen des Projektes schriftlich dokumentieren, die sogenannte „technische Dokumentation“, und der Senatorin für Finanzen zur Verfügung stellen.

Das Programm Elektronischer Schalter ist von der Deutschen Bundesbank zur Kommunikation mit ihr freigegeben. Sicherheitsschlüssel werden von der Bundesbank generiert und der Landeshauptkasse vertraulich übermittelt.

1 comment for “Beauftragung der IT-Firma CSC Deutschland

Comments are closed.