«BIT in action»: agiles Arbeiten, Sicherheit und MDM

Der Kundenanlass «BIT in action» stand ganz im Zeichen der Digitalisierung. Neben agilem Arbeiten in Projekten und DevOps erhielten die rund 100 BIT-Kundinnen und -Kunden Einblick in die tägliche Arbeit des Computer Security Incident Response Teams oder sie informierten sich über den bevorstehenden Rollout der Version 2 der «Mobile Device Management»-Lösung. 

Am 26. April hat das BIT seine Kundinnen und Kunden zum jährlichen Kundenanlass «BIT in action» in die Aula des Eidgenössischen Personalamts (EPA) eingeladen. Zum Auftakt sprach Markus Hänsli, Leiter Governance, über digitale Arbeitsinstrumente. Die Digitalisierung ist ein Entwicklungs- und Lernprozess, der in verschiedenen Stufen abläuft: «Es kommt noch häufig vor, dass Papierformulare gescannt, und dann als PDF-Dokument weiterverarbeitet und abgelegt werden», sagte Markus Hänsli. Dabei handelt es sich um eine erste Stufe der Digitalisierung – anstatt dass der Papierstapel auf dem Pult wächst, füllt sich einfach die Mailbox. Einen Schritt weiter gehen Prozesse, bei denen die Daten bereits elektronisch erfasst werden, z. B. über ein Webformular. Der Prozess läuft digital, orientiert sich aber immer noch stark an der Logik von Papierprozessen.

«Die nächste Stufe erreichen wir, wenn unsere Prozesse voll integriert sind und auf Daten basieren», so Markus Hänsli. Ein Beispiel: Die Finanzabteilung eines Unternehmens setzt Software ein, die aufgrund der Buchhaltungsdaten die Steuerabrechnung vorbereitet und diese Informationen elektronisch an die Steuerverwaltung übermittelt. Dort werden die Daten – ebenfalls maschinell – geprüft, die Steuerverfügung elektronisch ans Unternehmen übermittelt und die Steuerschuld beglichen.

«Je integrierter Ihre Prozesse sind, desto einfacher können Sie auch mobile Geräte in Ihrem Arbeitsalltag einsetzen», sagte Markus Hänsli. «Statt dass Sie ein ganzes Dokument bearbeiten, werden Ihnen nur noch die Informationen angezeigt, die Sie für Ihren Prozessschritt benötigen. Dazu brauchen Sie keinen PC mit Bildschirm, das Display Ihres Smartphones oder Tablets reicht.» Die Aufgabe des BIT sei es, die Infrastruktur und Technologien zur Verfügung zu stellen, die nötig sind, damit die Bundesverwaltung den Weg zu datenbasierten, voll integrierten Prozessen beschreiten kann.

Vom Scrum-Saulus zum Scrum-Paulus

Gleich im Anschluss stand das agile Vorgehen im Projekt «Zentrale Abfragedienste für das elektronische Patientendossier» des Bundesamts für Gesundheit (BAG) im Zentrum. Das elektronische Patientendossier (EPD) ist eine Plattform, über die Bürgerinnen und Bürger jederzeit auf ihre medizinischen Unterlagen wie Röntgenbilder, Impfausweis, Laborberichte etc. zugreifen können. Aber z. B. auch Ärzte, Pflegepersonal oder Apotheken sollen über die Plattform Zugang zu diesen Unterlagen erhalten (mehr zum EPD: www.e-health-suisse.ch). Thorsten Kühn, wissenschaftlicher Mitarbeiter bei der Sektion eHealth und Krankheitsregister beim BAG, und Daniel Creus, Leiter Entwicklung Microsoft Technologien, zeigten auf, wie sich die Zusammenarbeit zwischen dem Leistungsbezüger und dem BIT im agil geführten Projekt «Zentrale Abfragedienste für das EPD» gestaltet hat.

«Ein gängiges Klischee über agiles Vorgehen nach Scrum ist, dass es keine Vorgaben gibt», sagte Daniel Creus. «Das ist nicht so: Scrum macht sehr viele Vorgaben und definiert die verschiedenen Rollen und Prozessschritte sehr genau.» Eine zentrale Rolle im Projekt nimmt der Product Owner ein. Er ist der Repräsentant des Kunden und definiert, welche Aufgaben aus dem Arbeitsvorrat (Product Backlog) er im nächsten, dreiwöchigen Sprint bearbeitet haben möchte. Eine anspruchsvolle Rolle, die Thorsten Kühn in diesem Projekt zum ersten Mal wahrgenommen hat. «Am Anfang waren die zahlreichen Meetings mit neuen Leuten, in einem neuen Umfeld, spannend und motivierend», sagte Thorsten Kühn. «Doch die vielen Aufgaben des Product Owners zusätzlich zum Daily Business zu stemmen, ist nicht ganz einfach. Da habe ich mich manchmal gefragt, ob es nicht besser gewesen wäre, das Projekt nach dem Wasserfallmodell abzuwickeln. Je länger ich die Rolle des Product Owners inne hatte, desto mehr sah ich die Vorteile, die Scrum für den Auftraggeber mit sich bringt.» Der ständige Austausch bindet den Kunden mehr ins Projekt ein und Unklarheiten oder Missverständnisse können rasch ausgeräumt werden. Zudem wächst das Verständnis der Entwickler für die fachlichen Anforderungen, während der Product Owner ein besseres Verständnis für technologiebedingte Einschränkungen entwickelt. Diese Vorteile, so Thorsten Kühn, haben ihn vom agilen Vorgehen überzeugt, und dazu geführt, dass er sich vom Scrum-Saulus, zum Scrum-Paulus gewandelt habe.

Start mit DevOps geglückt

Carsten Plum, Leiter Program Alignment & Coaching gab einen Einblick in die ersten Erfahrungen des BIT mit DevOps. Bei der Entwicklung der Fachanwendung E-Begleitdokument für die Eidgenössische Zollverwaltung (EZV) hat das BIT das erste Mal auf dieses Vorgehen gesetzt (vgl. «Eisbrecher» Nr. 69). DevOps – ein Kunstwort aus den Begriffen Development und Operation beschreibt das Zusammenrücken der Bereiche Softwareentwicklung und Anwendungsbetrieb. «Das ist natürlich längst nicht alles», so Carsten Plum. «DevOps hat viel mit Zusammenarbeitskultur, aber auch mit Technologie und Prozessen zu tun.» Das Bild des Flusses beschreibt die Idee von DevOps gut. Das Ziel ist, den Kunden kontinuierlich neue Features zu liefern, statt die Anwendung über einen längeren Zeitraum zu entwickeln und dann das Endprodukt an den Betrieb zu übergeben. Diese Idee ist auch bei Scrum zentral, DevOps geht aber über die Phase der Softwareentwicklung hinaus. Das DevOps-Team umfasst die Fachseite, die Entwickler und den Betrieb. Dieses bleibt auch auf den produktiven Systemen für ihre Anwendung verantwortlich, ganz nach dem Motto «You build it, you run it». In der Praxis heisst das, dass Betriebsspezialisten bereits in der Entwicklungsphase involviert sind und Softwareentwickler auch bei Störungen auf den Produktivsystemen weiter in der Verantwortung bleiben. Aber auch die Technologie und Prozessoptimierungen sind zentral: Die Anwendung E-Begleitdokument ist auf einer eigens erweiterten Cloud-Plattform entwickelt worden und wird auf dieser auch weiterhin betrieben. Die Plattform erlaubt ein hohes Mass an Automatisierung beim Testing und Deployment – ein zentrales Element, um den Kunden rasch und kontinuierlich neue Features bereitzustellen.

Einblick in die Cyberabwehr

Im Anschluss hatten die Teilnehmenden die Möglichkeit, zwischen zwei parallel stattfindenden Sessions zu unterschiedlichen Themen zu wählen. In einer dieser Sessions tauchten die Besucher in die geheimnisvolle Welt der Cyberabwehr ein. Das Computer Security Incident Response Team (CSIRT) des BIT zeigte, wie Kriminelle Word-Dokumente für Phishing-Attacken nutzen. Ziel der Angreifer sind meistens Logindaten und Kreditkarteninformationen – ein infizierter Rechner kann aber auch als Einstiegspunkt in ein Netzwerk wie das Bundesnetz genutzt werden. In einer Demonstration zeigte ein Security-Analyst was passiert, wenn ein Empfänger eines Phishing-Mails auf den Link in der Nachricht klickt. Ein präpariertes Word-Dokument mit Makros öffnet sich. Wenn der Benutzer das Makro aktiviert, wird eine Datei – auch Dropper genannt – auf die Festplatte geschrieben. Virenscanner erkennen die heruntergeladene Malware im Word-Dokument zu diesem Zeitpunkt meist noch nicht. Der Dropper wiederum lädt weiteren Code herunter. Das BIT hat gegen solche Angriffe zum Glück zusätzliche Instrumente zum Schutz des Bundesnetzes zur Verfügung und kann solche Attacken abwehren. Dass diese Instrumente notwendig sind, zeigt die Tatsache, dass rund zehn Prozent der Empfänger den Link in der Phishing-Mail der beispielhaft gezeigten Phishing-Kampagne fälschlicherweise anklickten. In einer zweiten Live-Demo erlebten die Teilnehmenden, wie einfach sich ein fremder Rechner anhand des Zero Day Exploits Eternal­Blue unter Kontrolle bringen lässt. Zero Day Exploits nutzen Schwachstellen aus, die noch nicht bekannt sind. Wie gefährlich solche Zero Day Exploits sind, zeigte der Angriff auf die Reederei Maersk im letzten Jahr. Das Unternehmen musste zehn Tage auf seine IT-Systeme verzichten und erlitt einen Schaden von rund 300 Millionen Dollar. Besonders eindrücklich für die Teilnehmenden war, mit wie wenig Aufwand ein CSIRT-Mitarbeiter ein ungeschütztes System mit EternalBlue übernehmen konnte – der Vorgang dauerte nur wenige Minuten. Die dazu notwendigen Tools sind im Internet frei erhältlich.

Um sich gegen solche Angriffe zu schützen, ist es essentiell, dass Sicherheitsupdates auf restlos allen Systemen der Bundesverwaltung installiert werden. Ein ungepatchtes System kann schon ausreichen, um riesigen Schaden anzurichten. Ebenso wichtig ist, veraltete Systeme rechtzeitig zu ersetzen, damit aktuelle Sicherheitspatches überhaupt installiert werden können.

MDM Version 2: AppStore und Self-Service

Parallel dazu zeigte Nico Massi, Leiter Bestell­abwicklung, was Mobile Device Management (MDM) in der Version 2 mit sich bringt. Bereits heute haben die Benutzer auf ihren Mobiltelefonen die MDM-Apps installiert. Sie ermöglichen, geschäftliche Daten wie Mails, Kalender und Kontakte in einer sicheren Umgebung (Sandbox) auf dem Smartphone zu nutzen – ohne auf beliebte Apps für den privaten Gebrauch zu verzichten. «Mit der Version 2 bietet MDM neu einen AppStore Bund», sagte Nico Massi. Dieser bildet die Grundlage, um berufliche Apps bereitzustellen. Im AppStore wird es drei App-Kategorien geben. Neben den Basis-Apps, die heute schon verfügbar sind, sollen weitere standardisierte Apps hinzukommen, die jedoch kostenpflichtig sind. Zusätzlich besteht die Möglichkeit, dass Ämter ihre Fachanwendungen in den AppStore Bund bringen. Wenn die Migration auf MDM V2 nach den Sommerferien beginnt, müssen sich die Benutzer neu registrieren. Dazu steht ihnen ein Self-Service-Portal zur Verfügung, in dem sie selbstständig ihren individuellen Migrationszeitpunkt wählen können und beim Registrierungsprozess unterstützt werden. Die Funktionen des Self-Service-Portals hat IT-Systemingenieur Daniel Steiner den Teilnehmern in einer Live-Demo vorgestellt.

Die Präsentationen und eine Bildergalerie finden Sie auf: intranet.bit.admin.ch/bitinaction


Autor: Daniel Wunderli
Fotos: Fabienne Berli

Abonnieren Sie den «Eisbrecher» kostenlos

Erhalten Sie alle drei Monate Neuigkeiten zu IT-Themen in der Bundesverwaltung und aktuellen Projekten des BIT.

https://www.bit.admin.ch/content/bit/de/home/dokumentation/kundenzeitschrift-eisbrecher/eisbrecher-archiv/kundenzeitschrift-eisbrecher-ausgabe-70/bit-in-action.html