Das 1993 ins Leben gerufene Projekt Unifa (Unix im Finanzamt - der Name blieb trotz der Entscheidung für eine gemischte Unix-NT-Umgebung 1996) ist mit einem Gesamtvolumen von 150 Millionen Mark das bisher größte Projekt der bayerischen Steuerverwaltung: Es umfaßt alle 110 bayerischen Finanzämter und Außenstellen mit 160 Datenstationsrechnern, 9000 Terminals und rund 4000 Druckern. Über dieses System laufen bis zu 150 Millionen Transaktionen/Bearbeitungen pro Jahr. Das bislang genutzte Integrierte Automatisierte Besteuerungsverfahren (IABV) besteht aus einem Grundinformationsdienst zur Erfassung der Steuerpflichtigen und der Stammdatenverwaltung, dem Erhebungsverfahren, dem Verfahren für das Berechnen und Festsetzen der Steuer sowie einem Reportsystem.

Diese Host-Anwendungen sollten mitsamt der zentralen Datenhaltung beibehalten, gleichzeitig eine moderne, dreistufige Client-Server-Architektur mit intelligenten Endgeräten, grafischer Oberfläche und Standardsoftware implementiert werden.

Strategische Partner im Unifa-Projekt sind SNI (Beratung, Konzeption der Software-Entwicklung), Oracle (Datenbank), ISA (Dialog-Manager) und Norcom (Middleware, Directory Service, Security, System-Management). Für den Einsatz einer Middleware als Plattform zwischen Altanwendungen und neuem Client-Server-System entschieden sich die Oberfinanzdirektionen München und Nürnberg, weil so die Kapselung der BS2000-Hosts und die einfache Migration auf eine dezentrale Unix- beziehungsweise Windows-NT-Architektur sichergestellt werden konnte. Hier lieferte die Münchner Norcom Informationstechnologie und Unternehmensberatung GmbH eine Technologie für die Kapselung, Migration und Administration der dezentralen Architektur, die sich bereits in Banken, also in großen, verteilten Umgebungen mit ähnlich hohen Sicherheitsanforderungen, bewährt hatte.

Von der Middleware "Distributed Application Platform" (DAP) profitiert die DV der OFDen in mehrfacher Weise: Da DAP die Unterschiede über "neutrale" Schnittstellen ausgleicht, ist einerseits Investitionsschutz gewährleistet.

Andererseits erfordert der Wechsel von einer Technologie zur anderen oder das Austauschen von Anwendungen keine speziellen Systemkenntnisse mehr.

Zudem vereinfacht der Direc- tory Service der Plattform die gesamte Administration der IT-Infrastruktur. Denn dieser Direc- tory Service SIB (Service Information Base) enthält zwei Sichten auf die benötigten Daten, die jeweils als Baumstruktur angeordnet sind - eine fachliche und eine DV-technische. Dabei beschreibt der fachliche Baum die Organisationsstrukturen in den Ämtern. In ihm sind die Abhängigkeiten aller Objekte (beispielsweise Abteilungen, Mitarbeiter und deren Aufgaben) aus organisatorischer Sicht festgelegt. Die DV-technische Struktur enthält Informationen über die Netztopologie mit Rechnern, Peripherie, Anwendungen und Diensten. Möchte nun ein Anwender einen Dienst aufrufen, adressiert er diesen über symbolische Namen, das heißt, ohne Kenntnis der "hart" codierten Adresse. Die gesamte Organisation wird mit Rollen versehen, die als Objekte über die verschiedenen Ämter und Abteilungen bis hin zu den einzelnen Mitarbeitern vererbt werden können.

Diese Rollen entsprechen der Geschäftsstellenorganisation in den Finanzämtern. Hier hat die bayerische Steuerverwaltung bisher einen sogenannten Geschäftsverteilungsplan erstellt, der die Grundlage für die Berechtigungsvergabe an die Mitarbeiter bildet. Darin ist beispielsweise definiert, wer für welche Steuernummern zuständig ist und wer welche Rechte bekommt. Die Informationen zu Geschäftsstellenorganisation und Geschäftsverteilungsplan liegen im Verfahren "Acustig" (Automatisierte Computerunterstützung in der Geschäftsstelle), einer Organisationsdatenbank, die nur von einem kleinen Personenkreis (Geschäftsstelle und Amtsvorsteher) genutzt werden darf.

Im Rahmen des Unifa-Projekts wird auf die im Geschäftsverteilungsplan gespeicherten Informationen über den neuen Directory Service SIB zugegriffen. Das erlaubt den OFDen ein schnelles Einrichten und Ändern von Berechtigungsprofilen und sichert so auch das einfache Freischalten der neuen Unifa-Anwendungen. Sobald die LANs gelegt, die neue Hardware installiert und die Mitarbeiter geschult sind, lassen sich die Arbeitsplätze schnell und zentral gesteuert auf Unifa umstellen.

Auch die Security-Lösung von Norcom ist in der bayerischen Steuerverwaltung installiert: zum einen Single Login, das heißt eine einheitliche und damit sichere Authentifizierung mit nur einem Paßwort, zum anderen eine sichere Autorisierung, also die zentrale Überprüfung und Vergabe der Zugriffsrechte auf Ressourcen.

Was den Verlauf des Unifa-Projekts anbelangt, so sind inzwischen alle Grundanwendungen sowie die Schnittstellen für die Einbindung der Standardtextverarbeitung fertig; Daten können automatisch vom Rechenzentrum übernommen werden, und die Sachbearbeiter haben - abhängig von ihrem Paßwort und den damit verbundenen Rechten - individualisierte Rechner mit den Verweisen zu den Steuernummern und Personen, für die sie zuständig sind.

Seit einem Jahr laufen Tests mit Sachbearbeitern, die in Benutzer mit und ohne PC-Erfahrungen klassifiziert sind. Im November 1997 fand der dritte Feldtest statt. Bis Februar 1998 wird das Basissystem mit einzelnen Grundfunktionen bereits in 40 Finanzämtern eingesetzt sein. Gleichfalls zu Jahresbeginn startet außerdem die Pilotierung des Gesamtsystems in den Finanzämtern Bamberg und Ebersberg.

Bei dem 1995 gestarteten Projekt "Laptops für Betriebsprüfer" (Bp-Laptop) ging es darum, den Betriebsprüfern auf mobilen Rechnern die für sie wichtigen Daten und Informationssysteme zur Verfügung zu stellen: beispielsweise Abschreibungstabellen, Lohnsteuerlexikon, Steuerfalldaten sowie Gesetzestexte und spezielle Informationen für Banken- oder Gaststättenprüfer. Solche Informationen liegen entweder in Nachschlagewerken vor, oder sie sind in der Unix-Server-Anwendung "Abacus" (Automatisierte Berichterstellung mit Arbeitsplatz-Computerunterstützung) zentral abgelegt.

Zugriff auf die Daten der zu prüfenden Unternehmen hatten die Betriebsprüfer bisher nur an ihrem Arbeitsplatz im Finanzamt. Vor Ort mußten sie zum Teil eine Fülle von Unterlagen und Nachschlagewerken mit sich herumtragen und die Ergebnisse der Prüfung nachträglich in das System eingeben. Jetzt sollten die Betriebsprüfer diese Funktionalität für die Prüfung nicht nur im Amt, sondern auch außerhalb auf dem Laptop zur Verfügung haben. Die Lösungen waren für das Bp-Laptop-Projekt aus mehreren Gründen interessant: Zum einen lassen sich die tragbaren Rechner der Betriebsprüfer mit Hilfe der Middleware, dem Directory Service und dem Security Service einfach individualisieren. Denn die Personalisierung der Laptops trägt ebenso wie die Rechnerausstattung (ohne Disketten oder CD-ROM-Laufwerk) und die Verschlüsselung der Festplatte zum Schutz der sensiblen Daten bei.

Dies ist eine der Besonderheiten des Laptop-Projekts: Bei Unifa kann sich jeder Benutzer mit seinem Paßwort an jedem PC einloggen und erhält dann automatisch die dazugehörigen Berechtigungen. Beim Bp-Laptop ist im Ressourcenbaum der SIB mit dem Computernamen ein bestimmter Benutzer als Attribut abgelegt, es gibt also eine Eins-zu-eins-Verknüpfung (Personalisierung) zwischen Organisationsbaum (Benutzername) und Ressourcenbaum (Computername). Der Vorteil: Kein Betriebsprüfer kann das Notebook eines anderen Prüfers benutzen und dessen Daten verändern oder zerstören. Außerdem ist so sichergestellt, daß jeder immer die für ihn relevanten Daten vorfindet.

Je nach Spezialisierung des Prüfers (etwa auf Banken, Gaststätten oder Großbetriebe) benötigt er eine bestimmte Funktionalität, bestimmte Anwendungen und erhält bestimmte Rechte. Da alle diese Informationen im Directory Service als Objekte abgelegt und Verweise auf die dazugehörigen DV-technischen Ressourcen und Dienste enthalten sein können, lassen sich die Laptops bei Bedarf leicht individuell anpassen.

Zum anderen entschloß sich die zuständige OFD Nürnberg, für die Laptops auch Teile des Security-Modells einzusetzen. Zur Zeit werden die im Directory Service gespeicherten Informationen mit der fachlichen und DV-technischen Struktur für das Bp-Laptop-Projekt manuell aufgebaut und noch nicht mit Informationen aus der Acustig-Datenbank (Geschäftsverteilungsplan) versorgt. Die Grundstruktur ist jedoch die gleiche. Deshalb ist die vollständige Integration von Acustig in den Directory Service für 1998 bereits avisiert. Zum heutigen Zeitpunkt nutzt das Laptop-Projekt SIB für die Zugangsprüfung. Dabei sind die Paßwörter in SIB hinterlegt, und auch Fehlversuche werden registriert.

Steuergeheimnis und Datenschutz

Im Unifa-Projekt läuft die Prüfung der jeweiligen Zugriffsberechtigungen über den Security Service. Für Bp-Laptop wird aus organisatorischen Gründen zunächst eine Generalzuständigkeit aus SIB abgeleitet, da die Zuständigkeit der Prüfer im einzelnen jeweils immer nur temporär eingerichtet wird. Die Zuordnung der Fälle, auf die ein Betriebsprüfer zugreifen darf, erfolgt über die Fallverwaltung, eine Eigenprogrammierung der OFD für das alte Abacus-Verfahren.

Schließlich lieferte Norcom auch die Schnittstellen für die Laptops, über die die Betriebsprüfer "offline" erstellte Dokumente beim Anschluß ans Netz benutzerbezogen auf dem Server speichern.

Das Projekt verlief zügig und im wesentlichen wie geplant: Die erste Pilotierung - mit Schulungen für rund 40 Prüfer - fand im April 1997 im Finanzamt Nürnberg-Nord, die zweite Phase Ende September im Finanzamt Augsburg-Stadt statt. Ende November und Ende Dezember wurden insgesamt wieder zirka 110 Prüfer der Finanzämter Erlangen beziehungsweise Rosenheim mit den Laptops vertraut gemacht. Wie schnell die rund 1900 Betriebsprüfer in Bayern alle mit Laptops ins Feld gehen können, hängt von der LAN-Verkabelung in den Ämtern ab.

Unifa- und Bp-Laptop sind zwei verschiedene Projekte mit ähnlichen Anforderungen in puncto Zugangs- und Zugriffsschutz, Steuergeheimnis und Datenschutz: Trotz Dezentralisierung des Systems und dem Auslagern von Daten auf mobile Rechner mußte höchste Sicherheit gewährleistet sein. Der Anbieter hat für die Berechtigungsprüfung einen entscheidenden Beitrag geleistet.

Angeklickt

Die Sachbearbeiter in der bayerischen Steuerverwaltung wünschten sich ein benutzer- und kundenfreundlicheres DV-System mit Standardsoftware, grafischer Oberfläche und Fenstertechnik. Die Betriebsprüfer verlangten nach Laptops mit allen notwendigen Informationen für die Arbeit vor Ort. Den DV-Abteilungen der Oberfinanzdirektionen (OFDen) in München und Nürnberg ist es gelungen, mit Hilfe eines intelligenten Middleware- und Security-Konzepts die wenig flexiblen Altsysteme in moderne Client-Server-Strukturen mit PCs und Laptops zu überführen: kein triviales Projekt, wenn man an die riesigen Datenmengen und die hohen Sicherheitsanforderungen denkt.

*Gabriele Billmann ist Projektleiterin Unifa im Referat für Automatisierte Datenverarbeitung der Bayrischen Steuerverwaltung der OFD Nürnberg. Paul König ist Projektleiter Unifa im Automationsreferat der Bayrischen Steuerverwaltung der OFD München.