Ergebnisse des Technik-Audits 2014/2015 der Virtuellen Hochschule Bayern

Transkript

1 Ergebnisse des Technik-Audits 2014/2015 der Virtuellen Hochschule Bayern Teil 1 Empfehlungen der Expertengruppe - Abschlussbericht Teil 2 Diskussion der Empfehlungen des Technik-Audits 2014/2015 in der Sitzung des Präsidiums der Virtuellen Hochschule Bayern am Mittwoch,

2 AUDITIERUNG DES TECHNIK-BEREICHS DER VIRTUELLEN HOCHSCHULE BAYERN EMPFEHLUNGEN DER EXPERTENGRUPPE Prof. Dr. (ENS Lyon) Harald Kosch Dr. Ulrich Zukowski Universität Passau PASSAU, FEBRUAR /11

3 1 INHALT 2 Zusammenfassung Auditierungsprozess Qualitätsmanagement (im Technik-Bereich) Allgemeine Anforderungen Personal Personelle Ressourcen Infrastruktur und Arbeitsumgebung IT-Governance Struktur Entscheidungsprozesse IT-Services und IT-Infrastruktur Planung der IT-Services und IT-Infrastruktur Beschaffung IT-Services IT-Infrastruktur und IT-Sicherheit Softwaresystem zur Kurs- und Prüfungsverwaltung Messung, Analyse und IT-Strategie Überwachung und Messung Datensicherheit IT-Strategie IT-Finanzierung Planung und Durchführung Verzeichnis der verwendeten Dokumente /11

4 2 ZUSAMMENFASSUNG In dieser vom Präsidium der Virtuellen Hochschule Bayern (vhb) in Auftrag gegebenen Auditierung des Technik-Bereichs der vhb werden der technische Betrieb der vhb sowie damit zusammenhängende Themen analysiert und beurteilt. Dieses Audit ergänzt die zuvor stattgefundene strategisch ausgerichtete Auditierung der vhb (siehe Auditierung der Virtuellen Hochschule Bayern (vhb) Empfehlungen der Expertengruppe, 10 Mai 2013 (online: Die Ergebnisse der Analyse, zusammen mit den Bewertungen der Gutachter sind in detaillierter Form im Hauptteil dieses Dokuments ausgeführt. In diesem Abschnitt werden die wichtigsten Empfehlungen zur Weiterentwicklung des Technikbereichs der vhb zusammengefasst. Eine Kernempfehlung betrifft die Formalisierung der IT-Governance der vhb. Empfohlen wird konkret der Aufbau einer IT-Governance Struktur mit regelmäßigen tagenden Gremien. Bewährt hat sich hier eine Zweiteilung in ein Entscheidungsgremium mit den wichtigsten IT-Experten ( IT-Steuerkreis ) und ein erweitertes Informations- und Beratungsgremium ( IT-Beirat ) unter Einbeziehung von Vertretern aller Interessensgruppen. Eine erste Aufgabe dieser Gremien wäre die Erarbeitung und Festschreibung einer IT-Strategie, die die bisher in der Praxis schon sehr gut vorhandenen IT-bezogenen Abläufe und Ziele formalisiert niederschreibt. Dadurch sollen die explizite Planung der IT-Infrastruktur und die Steuerung der weiteren Entwicklungen auf diesem Gebiet auf strategischer und operativer Ebene ermöglicht werden. Eine weitere wichtige Voraussetzung für eine verlässliche IT-Planung der vhb bildet nach der Meinung der Gutachter der Abschluss einer formalisierten IT-Service Vereinbarung der vhb mit der Universität Bamberg. Gegenstand dieser Vereinbarung sollte sein, die jetzt schon sehr gut funktionierende Zusammenarbeit zwischen Universität Bamberg und der vhb zu dokumentieren und bisher teilweise offene Fragestellungen zu Themen von Zuständigkeiten über Finanzierung bis hin zu Personalverantwortlichkeiten planungssicher festzuschreiben. Basierend auf dieser Vereinbarung könnte dann auch eine detaillierte Spezifikation der Aufteilung interner und externer IT-Dienste zur Erbringung der vhb-angebote erfolgen. Bei der oben genannten Planung der Entwicklung der IT-Infrastruktur sollte im besonderen Maße die geplante Entwicklung der vhb-angebote berücksichtigt werden. Sollte die Steigerung der Kapazitäten der vhb wie geplant eintreffen, muss auch die IT-Infrastruktur der vhb entsprechend ausgebaut werden. Dieses erfordert eine rechtzeitige strategische Planung durch die neu geschaffene IT-Governance Struktur der vhb. Die im Rahmen dieses Audits erfolgte Analyse des operativen Betriebs hat durchwegs zu sehr guten Ergebnissen geführt. Die Gutachter empfehlen in diesem Zusammenhang die Erstellung eines IT-bezogenen Qualitäts-Management Handbuchs, welches das vorhandene allgemeine QM- 3/11

5 Handbuch der vhb um die speziellen IT-bezogenen Aspekte ergänzt. Hierbei sollten insbesondere die sehr guten IT-Sicherheits-Standards der vhb dokumentiert und transparent kommuniziert werden. Im Zusammenhang mit den analysierten konkret betriebenen IT-Systemen der vhb begrüßen die Gutachter ausdrücklich die Einführung der DFN-AAI (Shibboleth) Infrastruktur für eine einheitliche bayernweite Authentisierung und Autorisierung sämtlicher hochschulangehöriger Nutzerinnen und Nutzer für die vhb-dienste. Die Fortführung dieser Entwicklung wird ausdrücklich empfohlen. Die Erfassung von Kundenfeedback zur Ermittlung und Steigerung der Kursqualität und Nutzerzufriedenheit erfolgt mittels eines selbstentwickelten Softwaresystems. In Ergänzung zu den im allgemeinen Audit beschriebenen Maßnahmen empfehlen die Gutachter die Einführung und den flächendeckenden Einsatz eines professionellen Evaluationssystems. Hier bietet sich sie Nutzung des System EvaSys der Firma Electric Paper Evaluationssysteme GmbH an, das bereits bei der Universität Bamberg im Einsatz ist. Im Rahmen der zu schließenden IT-Service- Vereinbarung mit der Universität Bamberg wäre die Vereinbarung einer Mitnutzung dieses Systems denkbar. Zur weiteren Erfassung und Verfolgung des Kundenfeedback wird die Einführung eines professionellen Ticketsystems an der vhb empfohlen. Dadurch würde die kontinuierliche Erfassung und Analyse der Kundenzufriedenheit sowie die Identifizierung aktueller Beschäftigungs-Schwerpunkte der Technik-Abteilung ermöglicht. Die so erlangten Ergebnisse sollten den Gremien der IT-Governance der vhb regelmäßig in Berichtsform vorgelegt werden. Im Bereich des Identitätsmanagements wurde von den Gutachtern eine gewisse Heterogenität der Systeme festgestellt. Diese Lösung erscheint den Gutachtern allerdings den aktuellen Anforderungen angemessen, so dass von der Einführung eines umfassenden Identitäts- Management-Systems abgesehen werden könnte. Dieser Aspekt sollte allerdings je nach Entwicklung der zukünftigen Nutzerzahlen der vhb im Auge behalten werden. Eine wichtige Frage im Bereich der IT-Systeme der vhb betrifft die Wahl der Kursverwaltungssoftware. Die vhb setzt zurzeit das System FlexNow des Instituts für Hochschulsoftware (ihb) der Universität Bamberg ein. In einer Zeit, in der viele Hochschulen ihre Campusmanagementsysteme von Grund auf erneuern, ist dieser Aspekt sorgfältig zu beobachten. Auch wenn zurzeit kein konkreter Anlass zum Wechsel des Systems gesehen wird, empfehlen die Gutachter eine frühzeitige und langfristige Beobachtung der am Markt angebotenen Lösungen, um bei zukünftigen Entwicklungen richtig reagieren zu können. 4/11

6 3 AUDITIERUNGSPROZESS Die Virtuelle Hochschule Bayern (vhb) hat im Jahr 2012/2013 aus eigener Initiative heraus eine Auditierung ihrer Leistungen während der vergangenen Zielvereinbarungsperiode ( ) durch ein externes Expertinnen- und Expertenteam durchführen lassen. Der Schwerpunkt dieses Audits war die strategische Ausrichtung und entsprechende Entwicklungsplanungen des Präsidiums der vhb entlang aktueller Situations- und Trendsondierungen in relevanten Handlungsfeldern zu hinterfragen und in diesen Bereichen Chancen, Grenzen und Alternativen aufzuzeigen (siehe Auditierung der Virtuellen Hochschule Bayern (vhb) Empfehlungen der Expertengruppe, 10 Mai 2013). Die vhb hat ergänzend zu dem strategisch ausgerichteten Audit im Herbst 2013 eine Auditierung ihres Technik-Bereichs in Auftrag gegeben. Die Expertengruppe des Technik-Audits setzt sich aus den folgenden Mitgliedern zusammen: Prof. Dr. (ENS Lyon) Harald Kosch, Lehrstuhlinhaber für Verteilte Informationssysteme, CIO der Universität Passau Dr. Ulrich Zukowski, Leitung des Zentrums für elearning- und Campusmanagement (InteLeC-Zentrum) der Universität Passau Die Expertengruppe hat die vhb-geschäftsstelle am und am in Bamberg besucht. Teilnehmer der Gesprächsrunde waren: Prof. Dr. Guido Wirtz, Vizepräsident für Technologie und Innovation, CIO der Universität Bamberg Dr. Hartmut Plehn, Leitung des Rechenzentrums, Mitglied des Chief Information Office der Universität Bamberg Dr. Paul Rühl, Geschäftsführer der vhb Dr. Rosalinde Kicherer, stellvertretende Geschäftsführerin der vhb (bis ) Torsten Kaiser, Studentenkanzlei, vhb Ingo Müller, vhb-technik, vhb Alexander Hummel, vhb-technik, vhb Das Ziel dieser Untersuchung war, den technischen Betrieb der vhb sowie damit zusammenhängende Themen zu analysieren und beurteilen. Darauf aufbauend sind Handlungsempfehlungen formuliert worden. Das Audit wurde zu folgenden Themenbereichen durchgeführt: Personal (im Technik-Bereich) IT-Governance IT-Services und IT-Infrastruktur Messung, Analyse und IT-Strategie IT-Finanzierung Im Folgenden wird zu jedem Bereich eine kurze Beschreibung des Ist-Stands gegeben, auf deren Grundlage eine Beurteilung und gegebenenfalls eine Handlungsempfehlung ausgesprochen wird. 5/11

7 4 QUALITÄTSMANAGEMENT (IM TECHNIK-BEREICH) 4.1 ALLGEMEINE ANFORDERUNGEN Die notwendige IT-Prozesse werden in der IT-Abteilung der vhb selbst und in Zusammenarbeit mit dem allgemeinen Qualitätsmanagement der vhb identifiziert und daraufhin Aufgaben und Prozessabfolgen definiert. Die Anforderungen aller Kunden werden bei der Prozesserstellung nachvollziehbar berücksichtigt und Verbesserungen kontinuierlich in die Prozessabläufe integriert. 4.2 DOKUMENTATION Die Dokumentation der IT-Prozesse und Verfahren erfolgt im vhb-wiki durch den jeweiligen Prozessverantwortlichen. Die Aktualisierung und Verbesserung der Dokumentation erfolgt kontinuierlich, sowohl durch die Prozessverantwortlichen als auch nach Absprache durch andere Mitarbeiter. Durch die Nutzung eines Wikis ist die Änderungs-/Revisionsstand- Verfolgung und Archivierung der Verfahren lückenlos möglich; zudem ist auch die einfache Wiederauffindbarkeit gewährleistet. Die vhb-wiki Dokumentation lag den Gutachtern vor. Die allgemeinen Anforderungen an das QM sind gut formuliert, aber noch nicht strukturiert genug dokumentiert. Die Gutachter empfehlen deswegen den Aufbau eines IT-QM-Handbuchs, welches das allgemeine QM um die IT-Prozesse erweitert. Folgende Bereiche sollten mindestens aufgeführt werden: interne IT-Prozesse, interne und externe IT-Services, Richtlinien der IT- Sicherheit und Datensicherheit. 5 PERSONAL 5.1 PERSONELLE RESSOURCEN Die Abteilung vhb-technik ist mit 3 ½ Stellen besetzt, welche der Uni Bamberg dienstrechtlich unterstellt sind: Ingo Müller (Dipl.-Wirtsch.-Inf.) seit 2005 Alexander Hummel (Dipl.-Inf.) seit 2007 Sascha Brzeski (Industriekaufmann/Technischer Assistent für Informatik) seit 2001 Die Dienstvorgesetzte der Abteilung vhb-technik ist die Kanzlerin der Uni Bamberg Dr. jur. Dagmar Steuer-Flieser. Fachvorgesetzter ist der Leiter des Rechenzentrums der Uni Bamberg Dr. Hartmut Plehn. Die Tätigkeitsbeschreibungen der einzelnen Mitarbeiter werden im Wiki der vhb gepflegt. Einzelne Schulungen im Bereich VM-Ware und Oracle wurden bisher durchgeführt. Die Beschreibung der Aufgabenbereiche ist den technischen und organisatorischen Anforderungen angemessen. Die Schulungen der Mitarbeiter wurden bisher nur punktuell durchgeführt. Die Gutachter empfehlen daher, dass die Mitarbeiter der Abteilung vhb-technik an regelmäßigen Schulungen teilnehmen. Die Gutachter empfehlen weiterhin, diese Schulungen langfristig zu planen, und die Inhalte an aktuelle Entwicklungen in der IT-Landschaft 6/11

8 anzupassen. In Anlehnung an die Empfehlung der Hochschulrektorenkonferenz (HRK, Rundschreiben 2414: IT-Sicherheit an Hochschulen und Forschungseinrichtungen) sollte vor allem der Bereich IT-Sicherheit geschult werden. Es erscheint auch angebracht, die Schulungsplanung in die Personalentwicklung mit einzubeziehen. 5.2 INFRASTRUKTUR UND ARBEITSUMGEBUNG Das vhb-technik Team ist in insgesamt drei Räumen untergebracht. Ein Mitarbeiter übt seine Tätigkeit an zwei Tagen in der Woche an einem Telearbeitsplatz aus. Die Büroausstattung folgt den in Bayern üblichen Standards. Deren Beschaffung erfolgt über die verschiedenen Einkaufsabteilungen der Uni Bamberg; Vorschriften der Arbeitsplatzergonomie werden eingehalten. Der Geschäftsstelle stehen durch die Angliederung an die Universität Bamberg auch deren Beauftragte für Sicherheit & Brandschutz sowie der Betriebsarzt zur Verfügung. Innerhalb der vhb Geschäftsstelle sind jederzeit ausreichend Erst- und Brandschutzhelfer verfügbar. Die Infrastruktur wird von den Gutachtern als sehr gut wahrgenommen, sie ist an die Aufgabenbereiche angepasst. Die Arbeitsumgebung ist aufgrund der Angliederung an die Universität Bamberg gut ausgestaltet. 6 IT-GOVERNANCE 6.1 STRUKTUR Das Chief Information Office (CIO) der Universität Bamberg ist auch für die Virtuelle Hochschule Bayern zuständig und ist für die IT-Gesamtplanung der von der vhb mitgenutzten zentralen Ressourcen zuständig. Die Abteilung vhb-technik plant und überwacht die lokal benötigten Ressourcen selbstständig. Der Datenschutzbeauftragte der vhb ist der aktuelle Datenschutzbeauftragte der Universität Bamberg. Zudem wirkt die vhb im IuK-Beirat der Universität Bamberg mit. 6.2 ENTSCHEIDUNGSPROZESSE Die strategischen IT-Entscheidungen an der Universität Bamberg, die von der vhb mitgenutzte Ressourcen betreffen, werden alleine von den Entscheidungsgremien der Universität Bamberg getroffen. Entscheidungen über selbst verwaltete Ressourcen im direkten vhb-kontext erfolgen durch die Gremien der vhb (Präsidium / Programmkommission / Mitgliederversammlung), die vhb-geschäftsführung oder die Abteilung vhb-technik in Abstimmung mit dem Rechenzentrum der Universität Bamberg. Die Gutachter stellen fest, dass ein strategischer Entscheidungsprozess vorhanden ist. Alle relevanten Entscheidungsträger werden an diesem Prozess beteiligt. Die Gutachter stellen aber auch fest, dass die Struktur und die Entscheidungsprozesse im Technikbereich nur informell vorhanden sind. Die Gutachter empfehlen deswegen die Erstellung einer Vereinbarung zur IT-Governance zwischen der vhb und der Universität Bamberg, welche zum einen die Leitung (CIO, CISO, Beauftragte) und zum anderen Entscheidungsprozesse formal regelt. 7/11

9 7 IT-SERVICES UND IT-INFRASTRUKTUR 7.1 PLANUNG DER IT-SERVICES UND IT-INFRASTRUKTUR Die durch die vhb mitgenutzten zentralen Dienste und Infrastruktur der Universität Bamberg werden durch das dortige Rechenzentrum geplant. Selbst betriebene Dienste und Infrastruktur werden durch die Abteilung vhb-technik selbst geplant. Die Dokumentation der meisten IT-Services ist im vhb-wiki zu finden. Für die dokumentierten IT-Services sind Anforderungen definiert, Bewertungskriterien aufgestellt, Alternativen ermittelt und gegebenenfalls getestet. Details zur Auswahl und Beschaffung der dokumentierten IT-Services und der gesamten IT-Infrastruktur sind vorhanden. Die Gutachter erkennen eine nachvollziehbare inhaltliche Planung der IT-Services und IT- Infrastruktur. Zusätzlich zu der vorhandenen Dokumentation des Ist-Zustands empfehlen die Gutachter, dass eigene Planungsdokumente erstellt werden. Dabei sollte auch stärker auf die vorhandene inhaltliche Zusammenarbeit mit der Universität Bamberg Bezug genommen werden. Die Gutachter empfehlen dringend, in der Planung der IT-Infrastruktur die im Audit der vhb von 2013 geplanten Kapazitätsausweitungen der vhb mit einzubeziehen. 7.2 BESCHAFFUNG Die Beschaffung erfolgt soweit möglich über die Beschaffungsabteilungen der Universität Bamberg, wobei insbesondere darauf geachtet wird, Leistungen aus Rahmenverträgen zu beziehen. Spezielle Dienste und Infrastrukturen werden von der Abteilung vhb-technik aus einem eigenen Budget über die Haushaltsabteilung der vhb mittels freihändiger Vergabe beschafft. Vor ihrem Einsatz werden die IT-Betriebsmittel von der vhb-technik auf Vollständigkeit der Lieferung sowie deren Funktion geprüft. Die Bestandsführung und Inventarisierung erfolgt soweit notwendig über die Universität Bamberg. Die Gutachter stellen fest, dass die langfristige Planung der Beschaffungsvorgänge in Absprache mit Universität Bamberg sinnvoll ist. Das Wachstum der vhb sollte bei der Kapazitätsplanung der Virtuellen Server-Farm der Universität angemessen berücksichtigt werden. 7.3 IT-SERVICES Im vhb-wiki ist dokumentiert, welche IT-Services von der Abteilung vhb-technik selbst betrieben werden. Zuständigkeiten und Tätigkeiten sind gut dokumentiert. Zu den internen Diensten gehören die verschiedenen Portale (Kursportal, Informationswebseite, Statistik, Evaluation) und die grundlegenden technischen Dienste (Datenbank, Datenserver, Terminalserver, Verzeichnisdienste, Shibboleth, Netzwerk, Monitoring, Firewall). Der reine Betrieb, inklusive Software-Updates und Dokumentation ohne Weiterentwicklung/Neusysteme wird auf zehn Personentage / Monat geschätzt. Für Fehlerbehebung, allgemeinen Support und Dokumentation werden 30 Personentage / Monat geschätzt. Weitere Dienste werden durch externe Dienstleister erbracht (Telefonanlage, Netzbetrieb, Netzüberwachung, Server-Firewall, VMWare Betrieb und Backup am Rechenzentrum der Universität Bamberg, Maildienste der Maildomain vhb.org durch das Regionale Rechenzentrum Erlangen, Bereitstellung des Zugangs zum Behördennetz durch das Rechenzentrum Süd beim 8/11

10 Bayerischen Landesamt für Statistik und Datenverarbeitung). Diese Dienste werden zwar extern bereitgestellt, aber für Fehlersuche/-meldung und Tests fallen auch hierfür an der vhb Aufwände an. In den IT-Service-Beschreibungen sind die für den Betrieb notwendigen Informationen zu den einzelnen Diensten aufgeführt. Zu einzelnen Tätigkeiten gibt es Arbeitsanweisungen wie z.b. Installationspläne, Update-Anleitungen, Bedienungsanleitungen, Prozessabläufe. Neue Dienste werden erst nach einer intensiven Testphase in Betrieb genommen. Die Aktualisierungen werden soweit möglich auf einem Testsystem implementiert und erst nach erfolgreicher Testphase auf dem Livesystem ausgerollt. Die Software-Dienste werden regelmäßig auf dem aktuellen Softwarestand gehalten und Fehlerbereinigung betrieben. Diese Aktualisierung von Systemen wird dokumentiert. Zu den Diensten gehörende Hardware verfügt über laufende Serviceverträge und wird in den entsprechenden Erneuerungszyklen durch aktuelle Hardware ersetzt. Bei mitgenutzten Ressourcen des Rechenzentrums der Universität Bamberg werden die Anforderungen der vhb in den Förderanträgen der Universität Bamberg ausgewiesen. Die Daten der Dienste werden regelmäßig nach festen Plänen sowohl lokal als auch räumlich getrennt gesichert. Langzeitbackups werden in einem feuerfesten Safe aufbewahrt. Die Gutachter stellen fest, dass die Beschreibung des aktuellen Betriebs den üblichen Standards entspricht. Die Gutachter empfehlen, dass die Aufteilung zwischen interner und externer Diensterbringung in einer IT-Service-Vereinbarung mit der Universität Bamberg spezifiziert wird. Weiterhin empfehlen die Gutachter zur Verbesserung der Service-Qualität die Einführung eines Ticket-Systems zur Formalisierung der Auftragsannahme und Abwicklung. Bezüglich der Schaffung eines Angebots für mobile Endgeräte weisen die Gutachter auf die Empfehlungen der Experten des vhb-audits von 2013 hin und bekräftigen diese. 7.4 IT-INFRASTRUKTUR UND IT-SICHERHEIT Die IT-Infrastruktur der vhb ist in den Dokumenten vhb-serversysteme und vhb-technik- Ausstattung, die den Gutachtern vorlagen, sehr gut dokumentiert. Weitere IT-Infrastuktur wird durch das Rechenzentrum der Universität Bamberg bereitgestellt (Netzinfrastruktur, VM-Ware Cluster, Housing der vhb-server). Die IT-Infrastruktur ist für die aktuellen Aufgaben der vhb angemessen. In Bezug auf die Empfehlungen der Auditierung der vhb von 2013 und der genannten Ausbaupläne muss auch eine Planung für den Ausbau der IT-Infrastruktur und des Betriebs erfolgen. 9/11

11 Anforderungen an die IT-Sicherheit werden beachtet. Die Gutachter empfehlen allerdings regelmäßigere Schulungen des Personals in diesem Bereich. Die Einrichtung der Funktion eines Beauftragten für IT-Sicherheit wird empfohlen. Das aktuelle Identitäts-Management ist aufgeteilt auf verschiedene Nutzergruppen (Beschäftigte, Kursanbieter, Studierende) und setzt keine einheitliche Standardlösung ein. Es birgt dadurch potenzielle Schwachstellen. Die Gutachter empfehlen, dass dieser Themenbereich in künftigen Entwicklungsplanungen einbezogen wird. Die Gutachter begrüßen die Bestrebungen zur durchgehenden Nutzung der DFN-AAI Infrastruktur (Shibboleth) und empfehlen die konsequente Fortführung. Auch für den erforderlichen Umfang der physikalischen IT-Infrastruktur sollte mit der Universität Bamberg eine längerfristige Vereinbarung getroffen werden, um die Kapazitätsplanung auch in der Universität Bamberg zu ermöglichen. 7.5 SOFTWARESYSTEM ZUR KURS- UND PRÜFUNGSVERWALTUNG Die vhb verwendet zur Kurs- und Prüfungsverwaltung eine speziell für die vhb angepasste Version des Systems FlexNow des Wissenschaftlichen Instituts für Hochschulsoftware der Universität Bamberg (ihb). Durch die speziellen Gegebenheiten (virtuelle Lehre) und die speziell für die Zwecke der vhb vorgenommenen Anpassungen gibt es auf dem Markt kaum passende Konkurrenzprodukte. Die Gutachter erkennen in der beschrieben Situation eine starke Abhängigkeit des zentralen Betriebs von einem konkreten Anbieter. Die Gutachter empfehlen, das System FlexNow zunächst weiterhin einzusetzen. Durch strategische Gespräche zwischen der vhb und dem ihb über die Weiterentwicklung von FlexNow sollte jedoch versucht werden, eine sicherere Basis für den weiteren Betrieb zu schaffen. Unabhängig hiervon wird empfohlen, so bald wie möglich eine Marktstudie über die Erweiterungsmöglichkeiten verfügbarer Softwareprodukte zu Kurs- und Prüfungsverwaltung auf die Spezifika der vhb durchzuführen. 8 MESSUNG, ANALYSE UND IT-STRATEGIE 8.1 ÜBERWACHUNG UND MESSUNG Konkrete Kennzahlen zur Effizienzüberprüfung sind bisher nicht aufgestellt worden. Eine Zugriffsstatistik auf den Web-Server ist aktuell nur rotierend für die letzten 30 Tage verfügbar. Eine kontinuierliche Analyse der Kundenzufriedenheit findet im IT-Bereich der vhb nicht statt. Konkrete Meldungen von Nutzern via , Telefon, Feedbackformular und der semesterweise stattfindenden Studierenden-Evaluation werden aber regelmäßig in Verbesserungsmaßnahmen umgesetzt und im vhb-wiki dokumentiert. Zudem wurden mehrere Usability-Studie zur Optimierung der Webseiten durchgeführt. Durch die Ergebnisse haben bereits erste sehr gute Umsetzungen im Portal stattgefunden. Weitere für FlexNow relevante Änderungen werden fortlaufend beim ihb in Auftrag gegeben und die Umsetzung über das dortige Ticketsystem durch die vhb-technik überwacht. 10/11

12 Die Evaluation der Kurse durch die Kursnutzer erfolgt auf der Basis einer Eigenentwicklung und erfordert zur Durchführung einen manuellen Export der Kursdaten aus FlexNow. Die Gutachter empfehlen eine Systematisierung bei der Erfassung des Kundenfeedbacks (IT- Systeme und IT-Dienstleistungen), z.b. mit Hilfe eines Ticket-Systems. Weiterhin wird eine kontinuierliche Analyse der Kundenzufriedenheit im IT-Bereich und die Vorlage und Diskussion der Ergebnisse in der Gremien der IT-Governance empfohlen. Komplementär zur den Empfehlungen aus dem vhb-audit von 2013 zum Einsatz einer integrativen Kursevaluation empfehlen die Gutachter dieses Technik-Audits den Einsatz einer professionellen Evaluationssoftware. Zu prüfen wäre die Mitnutzung der vorhandenen Lizenz des Systems EvaSys von ElectricPaper der Universität Bamberg. Hier sollte insbesondere auf eine Datenschnittstelle zu FlexNow geachtet werden. 8.2 DATENSICHERHEIT Neben der IT-Infrastruktur-Sicherheit auf Netzwerkebene und Sicherstellung des begrenzten physischen Zugriffs auf IT-Systeme sind auch weitere Maßnahmen im Bereich Datensicherheit umgesetzt. Die Grundziele: Vertraulichkeit, Integrität und Verfügbarkeit werden durch geeignete Maßnahmen sichergestellt. Ein mehrstufiges Backup-Konzept mit regelmäßigen Rücksicherungstests wird umgesetzt. Die in der Benutzungsordnung der vhb festgelegten Speicher-/Löschfristen für die Nutzerdaten werden eingehalten. Es erfolgt eine regelmäßige datenschutzgerechte Entsorgung von Papierakten und Datenträgern. Die Datensicherheit ist aus Sicht der Gutachter durch die beschriebenen Maßnahmen gewährleistet. Es wird empfohlen, eine detailliertere Dokumentation und öffentliche Kommunikation der Datensicherheit und eine konsequente Anpassung der Datensicherheit an aktuelle Entwicklungen zu betreiben. 8.3 IT-STRATEGIE Grundlage der Strategie ist die dauerhafte Bereitstellung der benötigten IT-Dienste für die Geschäftsstelle und die externen Nutzer. Bei den Planungen für zukünftige Projekte wird dabei insbesondere auf Standardlösungen gesetzt. Für ein Continuity-Management werden geeignete Maßnahmen durchgeführt (Supportverträge für kritische Hard- und Softwareprodukte, redundante Hardware, dauerhafte Überwachung mit automatische Benachrichtigung, Katastrophenfall-Dokumentation). Die Gutachter erkennen, dass konkrete IT-Projekte benannt werden, aber bisher ist keine schriftliche IT-Strategie niedergelegt, welche die IT-Projekte bewertet und operationalisiert. Wir empfehlen, die informell größtenteils vorliegenden strategischen Planungen (siehe auch vorherige Anmerkungen, insbesondere die Anmerkungen in Hinblick auf die zu treffenden Vereinbarungen mit der Universität Bamberg) in einer einheitlichen IT-Strategie zusammenzufassen und in der neu zu schaffenden IT-Governance zu beschließen. 11/11

13 Diskussion der Empfehlungen des Technik-Audits 2014/2015 in der Sitzung des Präsidiums der Virtuellen Hochschule Bayern am Mittwoch, Teilnehmer: Prof. Dr. Harald Kosch (CIO Uni Passau, Technik-Auditor), Dr. Ulrich Zukowski (Uni Passau, Technik-Auditor), Prof. Dr. Dr. habil. Godehard Ruppert (vhb-präsident), Prof. Dr. Robert Grebner (vhb-vizepräsident), Prof. Dr. Karl-Dieter Grüske (vhb- Vizepräsident), MR Ralph Berg (STMBW), Prof. Dr. Guido Wirtz (CIO und VP Uni Bamberg), Alexander Hummel (vhb-technik) Inhalt Vorbemerkungen Qualitätsmanagement Personal Strategische Entscheidungsprozesse - Governance-Struktur IT-Sicherheit IT-Services und IT-Infrastruktur Authentisierungs- und Autorisierungs-Infrastruktur Kurs- und Servicequalität: Studentische Evaluation und Ticket-System Identitätsmanagement (IDM) Kursverwaltungssystem FlexNow Fazit Dank... 4

14 Technik-Audit 2014/2015 Diskussion der Empfehlungen in der Sitzung des vhb-präsidiums am Vorbemerkungen Das Präsidium der vhb hat ergänzend zum strategischen Audit von 2012/2013 eine Auditierung des Technik-Bereichs in Auftrag gegeben. Durchgeführt wurde das Audit von Prof. Dr. Kosch (CIO der Universität Passau und Inhaber des Lehrstuhls für Verteilte Informationssysteme) und Dr. Zukowski (Leiter des Zentrums für E-Learning und Campusmanagement der Universität Passau). Von der Universität Bamberg unterstützten CIO Prof. Dr. Wirtz und der Leiter des Rechenzentrums, Dr. Plehn, die Auditoren. Prof. Kosch und Dr. Zukowski stellen die wesentlichen Ergebnisse und Empfehlungen des Technik-Audits vor und diskutieren diese mit dem vhb-präsidium. 1. Qualitätsmanagement Das Qualitätsmanagement ist insgesamt sehr gut umgesetzt, die IT-Prozesse sollen aber stärker formalisiert werden. 2. Personal Die Mitarbeiter der vhb-technik leisten exzellente Arbeit. Dennoch empfehlen die Gutachter, dass die Technik-Mitarbeiter regelmäßig an Schulungen teilnehmen, vor allem zur IT- Sicherheit. Das Verhältnis zur Universität Bamberg sollte schriftlich in einer Verwaltungsvereinbarung fixiert werden, insbesondere die Rolle des RZ bzw. der RZ-Leitung und die Rolle des Datenschutzbeauftragten der Universität Bamberg. Damit soll für die Zusammenarbeit Planungssicherheit geschaffen werden. Die Kanzlerin der Universität Bamberg ist Dienstvorgesetzte, der Leiter des Rechenzentrums erfüllt Aufgaben eines Fachvorgesetzen, der vhb- Geschäftsführer ist disziplinarischer Vorgesetzter. 3. Strategische Entscheidungsprozesse - Governance-Struktur Die strategischen Entscheidungsprozesse sind gut eingespielt. Entscheidungsgremien sollten aber stärker formalisiert werden. Die Auditoren empfehlen im Bericht die Einrichtung von zwei Gremien: Ein Steuerkreis soll Entscheidungen des Präsidiums vorbereiten. Ein Beirat soll alle Anwendergruppen berücksichtigen, um deren Anforderungen zu erfassen: Anbieter, Studierende, Verantwortliche für Datenschutz und für Finanzfragen. Dem Präsidium erscheint diese Gremienstruktur überdimensioniert, auch aus der Erfahrung mit der Technik-Kommission in den ersten Jahren der vhb. Gute Erfahrungen hatte die vhb mit Professor Hampel als externen Berater. Alternativen zur vorgeschlagenen Governance- Struktur werden diskutiert: ein beratendes Gremium und das Hinzuziehen von Gutachtern bei Bedarf Ausweitung der Steuerungsleistung der Universität Bamberg ein Ansprechpartner für IT im Präsidium und 2-3 Experten aus den Hochschulen (= Steuerkreis) CIO der vhb: entweder CIO der Universität Bamberg oder Sprecher der CIO-Runde der bayerischen Hochschulen/Universitäten Die Geschäftsstelle soll zur nächsten Präsidiumssitzung einen Vorschlag für eine Governance-Struktur vorlegen, mit der die vhb-technik optimal unterstützt werden kann. 2 / 4

15 Technik-Audit 2014/2015 Diskussion der Empfehlungen in der Sitzung des vhb-präsidiums am IT-Sicherheit Die IT-Sicherheitsstandards sind sehr gut. Diese Leistung soll jedoch ebenfalls ausführlicher dokumentiert werden, und sie sollte auf der Website der vhb veröffentlicht werden. 5. IT-Services und IT-Infrastruktur Für die aktuellen Aufgaben ist die Infrastruktur angemessen. Wenn ein Ausbau der vhb erfolgen wird, so wie es im Bericht zum strategischen Audit empfohlen wurde, muss der erhöhte Finanzbedarf auch im IT-Bereich angemessen berücksichtigt werden. Mengenkomplexität der IT-Struktur: Innerhalb der Geschäftsstelle betreut die vhb-technik etwa 20 PC-Arbeitsplätze, zudem sechs Notebooks sowie diverse mobile Endgeräte; auf virtuellen Servern werden etwa zehn unterschiedliche Services betrieben (Webserver, Kursprogramm, Evalsystem, etc.); die Hauptdatenbank, der Dateiserver sowie der Monitorserver liegen als Baremetal-System vor. Aufgeteilt sind die Systeme auf die beiden Standorte Rechenzentrum der Universität Bamberg und Geschäftsstelle der vhb. Die vhb nutzt über die Universität Bamberg diverse Ressourcen: DFNInternet (mit u. a. DFN- AAI, DFN-PKI), VMWare Server-Cluster, Bezug von Software-Lizenzen. Die Service-Vereinbarungen sollen stärker formalisiert werden. Ferner unterhält die vhb auch eigene Verträge, u.a. zum Betrieb eines IDP mit dem DFN. Prof. Kosch weist darauf hin, dass Lizenzen aktuell von vielen Softwareunternehmen überprüft werden, wie z.b. Microsoft. Die Universität Bamberg versucht soweit wie möglich bei Pauschalen zu bleiben, um Einzelnachweise zu vermeiden, und dies mit klaren Vereinbarungen zu dokumentieren. Dr. Plehn ist im RZ für Lizenzen verantwortlich. Von Nachweisen wegen Verwendung urheberrechtlich geschützter Werke nach 52a UrhG in vhb-kursen bzw. in den Learning Management Systemen (LMS) ist die vhb-geschäftsstelle aktuell nicht betroffen, weil sie kein LMS betreibt, sondern die einzelnen Trägerhochschulen die Kurse auf den LMS vor Ort hosten. 6. Authentisierungs- und Autorisierungs-Infrastruktur Mit dem Vorantreiben der DFN-AAI Shibboleth wurde die vhb zum Impulsgeber für viele Hochschulen. Das Projekt zur Anbindung aller vhb-trägerhochschulen bewerten die Auditoren als sehr positiv. Sie empfehlen unbedingt den weiteren Ausbau dieser wichtigen Infrastruktur. Prof. Wirtz ergänzt, dass in der CIO-Runde der Hochschulen ein zustimmender Konsens besteht. Voraussichtlich verfügen bis zum Projektende im August 2015 alle 30 Trägerhochschulen über die entsprechende Infrastruktur in Form eines eigenen Identity Providers für ihre Studierenden. Die vhb nutzt diese in einem ersten Schritt für die semesterweise notwendige Authentifizierung und baut die Nutzung weiter aus. 7. Kurs- und Servicequalität: Studentische Evaluation und Ticket-System Für die studentische Evaluation verwendet die vhb ein eigenes Produkt. Die Auditoren empfehlen zu prüfen, ob die Umstellung auf EvaSys als professionelles Evaluations-Tool sinnvoll ist. Für Kundenanfragen wird die Implementierung eines Ticket-Systems empfohlen. Lt. Dr. Zukowski ist OTRS sehr komplex und schlägt deshalb OS-Ticket vor, mit dem er an der Universität Passau sehr gute Erfahrungen macht. 3 / 4