IT-Architektur

1. Reuse before Reinvent

Bevor Neues entwickelt wird, sollen - sofern sinnvoll - bestehende Services und zentrale Dienste genutzt werden.

• Die Verwendung bestehender Services spart Zeit und Kosten (keine Ressourcen für Neuentwicklung).
• Der Aufwand für Wartung und Support wird reduziert: bestehende Systeme sind bereits getestet und etabliert.
• Durch Vermeidung von Redundanzen wird die IT-Landschaft weniger komplex; die Nachhaltigkeit wird gefördert.

2. Produktneutralität 

Vorgaben und Architekturentscheidungen sind grundsätzlich produktneutral.

• Produktneutralität minimiert die Abhängigkeiten von einem spezifischen Hersteller und trägt so zu einem fairen und offenen Wettbewerb bei.

3. Offene Standards

Offene Standards sind gegenüber proprietären Lösungen zu bevorzugen.

• Die Nutzung offener Standards ermöglicht herstellerunabhängige Interoperabilität und Flexibilität.
• Nutzende sind nicht an einen einzelnen Anbieter gebunden.
• Verschiedene Systeme können einfacher miteinander kombiniert werden.

4. Transparenz und Nachvollziehbarkeit

Architektur-Dokumentation und -entscheide sind transparent, nachvollziehbar und wo sinnvoll zugänglich.

• Transparenz und Nachvollziehbarkeit ermöglichen den Austausch und eine gute Zusammenarbeit.
• Die Governance wird verbessert, Audits erleichtert.

5. Lifecycle-Management

Lifecycle-Management wird für Komponenten jeden Layers umgesetzt.

• Dank Lifecycle-Management werden Informatikmittel/Daten über ihren gesamten Lebenszyklus effizient, sicher und kosteneffektiv genutzt sowie regelmässig gewartet und bei Bedarf ersetzt.
• Dadurch erhöht sich die Betriebssicherheit; Risiken werden minimiert.
• Die IT passt sich so nachhaltig an sich ändernde Geschäftsanforderungen an.

6. Modularität

Komponenten werden modular aufgebaut, d.h. in unabhängige, klar abgegrenzte Module unterteilt. Jedes Modul übernimmt eine spezifische Aufgabe.

• Modulare Komponenten ermöglichen eine einfache Integration, fördern die Wiederverwendbarkeit und vereinfachen Anpassungen, Testing oder auch den Austausch einzelner Komponenten.

1. Integrale Sicherheit:

Sicherheit wird über die gesamte Lebensdauer eines Systems bewertet und umgesetzt. Das System wird als Ganzes betrachtet (nicht nur bestimmte Layers).

Die Sicherheitsaspekte eines Systems werden umfassend und abgestimmt betrachtet bzw. gesteuert. Sicherheitsbereiche werden verknüpft und so koordiniert, dass sie optimal zusammenwirken und sich gegenseitig ergänzen. Damit wird ein höheres Sicherheitsniveau erreicht als durch isolierte Einzelmassnahmen.
 

2. Wirksame Sicherheit:

Das kontinuierliche Managen von Risiken ermöglicht es, sinnvolle, wirksame und standardisierte Sicherheitsmassnahmen umzusetzen.

Wirksame Sicherheit entsteht durch das Zusammenwirken folgender Aspekte:

• geeignete Schutzmassnahmen
• regelmässige Überprüfungen
• eine Kultur, in der alle Beteiligten Verantwortung für die Sicherheit übernehmen.

So werden unvertretbare Risiken zuverlässig abgewehrt oder auf ein akzeptables Mass reduziert.
 

3. Security by Default:

Informatikmittel werden so entwickelt, konfiguriert und betrieben, dass sie dem «Security by Default»-Prinzip Rechnung tragen. Dies gilt auch für Testsysteme.

• Informatikmittel werden mit sicheren Voreinstellungen ausgeliefert und Nutzer so vor gängigen Cyberbedrohungen geschützt.
• Sicherheitslücken durch fehlerhafte Konfigurationen werden minimiert

 

4. Sicherheitsvorgaben einhalten, Ausnahmen kennen:

Die Einhaltung gesetzlicher, regulatorischer und interner Sicherheitsrichtlinien ist verbindlich. Sicherheitsausnahmen sind bewertet, bewilligt und terminiert.

• Die Einhaltung der Sicherheitsvorgaben sorgt für ein hohes Mass an Sicherheit und Verlässlichkeit im täglichen Arbeiten.
• Ausnahmen werden ermöglicht; dies erlaubt flexibles und angemessenes Handeln in besonderen Situationen.
• So werden Routine und Ausnahmefälle optimal abgedeckt; die Sicherheit ist dauerhaft gewährleistet.

 

5. Least Privilege Ansatz:

Nutzende, Systeme und Prozesse erhalten grundsätzlich nur die notwendigen Rechte, die zur Ausführung ihrer Aufgaben erforderlich sind. Logins für UZH-Dienste, -Anwendungen und -Computer, die über das Internet zugänglich sind, erfordern eine Multifaktor-Authentifizierung (MFA).

• Das Risiko von Datenmissbrauch, unbefugtem Zugriff und der Ausbreitung von Schadsoftware wird deutlich reduziert, da Angreifer/Fehler weniger Möglichkeiten haben, Schaden anzurichten.
• Die Angriffsfläche der Universität Zürich wird so minimiert.

1. Künstliche Intelligenz unterstützt – Führung und Kontrolle bleiben beim Menschen

• Trotz Automatisierung und intelligenter Analysen bleibt der Mensch als Kontrollinstanz unerlässlich.
• Die Synergie zwischen KI und menschlicher Kompetenz wird gefördert.
• Kritische Entscheidungen werden stets durch einen Menschen überprüft.

 

2. Sinnvoller Einsatz künstlicher Intelligenz

• Der durchdachte und gezielte Einsatz künstlicher Intelligenz hat zum Ziel, die Geschäftsprozesse zu optimieren und zu vereinfachen.

1. Human-Centered Design

Systeme werden gemäss den Bedürfnissen und im Kontext mit den Anforderungen der Nutzenden gestaltet. Designentscheidungen basieren auf realen Szenarien der Anwender:innen.

Die konsequente Ausrichtung an die Anforderungen der Nutzenden erhöht

• die Akzeptanz,
• verbessert die Prozessqualität und
• senkt den Schulungsaufwand.

 

2. Barrierefreiheit (Accessibility)

Barrierefreiheit ist ein integraler Bestandteil der Gestaltung und wird frühzeitig berücksichtigt.

• Die Barrierefreiheit stellt sicher, dass digitale Angebote für alle Nutzendengruppen zugänglich sind.
• Dies fördert die Inklusion und entspricht den gesetzlichen Anforderungen.

 

3. Build - Test - Learn

Feedbacksysteme, iterative Tests und kontinuierliche Optimierung sind systematisch im Implementierungsprozess verankert.

• Regelmässige und frühzeitige Rückmeldungen der Nutzenden
• reduzieren Fehlentwicklungen
• erhöhen die Qualität und
• führen zu optimierten Lösungen.

 

4. Sichere künstliche Intelligenz

KI-Systeme erfüllen die Sicherheitsanforderungen der Universität Zürich, sowie die gesetzlichen und ethischen Vorgaben.

• Der Schutz sensibler Daten, die Einhaltung von Datenschutz- und Informationssicherheits-Vorgaben sowie die Sicherstellung von Datensouveränität sind zentrale Prinzipien bei der sicheren Nutzung von künstlicher Intelligenz.
• Der Einsatz von Sicherheitsfiltern verhindert Missbrauch.

 

5. Transparenz und Kennzeichnung

Der Einsatz von künstlicher Intelligenz (KI) in Systemen der Universität Zürich ist für die Nutzenden ersichtlich.

• Nutzende werden klar und verständlich darüber informiert, wenn und wie künstliche Intelligenz eingesetzt wird.
• Transparente Information über den Einsatz und die Funktionsweise der künstlichen Intelligenz fördert das Vertrauen.

1. Always consider Software as a Service (SaaS)

SaaS-Lösungen werden in Erwägung gezogen, wenn sie die funktionalen und nicht-funktionalen Anforderungen sowie die regulatorischen Rahmenbedingungen erfüllen und wirtschaftlich sinnvoll sind.
Der Einsatz von SaaS-Lösungen reduziert den Entwicklungs- Wartungs- und Bereitstellungsaufwand.
 

2. Trennung der Verantwortlichkeiten (Separation of Concerns)

Die Geschäftslogik ist grundsätzlich von der Präsentations- und Datenzugriffsschicht getrennt.

• Aufgaben und Verantwortlichkeiten werden in separaten Komponenten oder Schichten organisiert. So bleibt die Geschäftslogik von der Präsentations- und Datenzugriffsschicht getrennt.
• Dies erhöht die Übersichtlichkeit und Flexibilität und vereinfacht die Wartung und Entwicklung.

 

3. Versionsverwaltung von Sourcecode

Änderungen am Sourcecode werden durch ein Versionsverwaltungssystem nachvollziehbar dokumentiert und archiviert.

• Der konsequente Einsatz eines Versionsverwaltungssystem ermöglicht
• die lückenlose Nachverfolgung von Änderungen im Sourcecode,
• die Wiederherstellung früherer Versionen,
• eine parallele Entwicklung in Branches sowie
• eine effektive Zusammenarbeit und Qualitätssicherung im Entwicklungs-Team.

 

4. Continuous Integration/Continuous Deployment (CI/CD)

Die Schritte von der Code-Integration über das Unit Testing bis hin zur Bereitstellung in Zielumgebungen sind automatisiert und standardisiert.

• Durch automatisierte Integration und automatisiertes Deployment werden manuelle Eingriffe minimiert.
• Fehlerquellen werden reduziert und die Qualität sowie Geschwindigkeit der Softwarebereitstellung nachhaltig gesteigert.
• Kontinuierliche Automatisierung ermöglicht es, Änderungen zuverlässig, reproduzierbar und in kurzen Zyklen auszuliefern. Dies führt zu höherer Produktivität und Kundenzufriedenheit.

1. Platform First

Plattformlösungen sind Einzellösungen vorzuziehen, wenn wiederkehrende Anforderungen adressiert werden.

Plattformen ermöglichen Synergien, konsistente Umsetzungen und reduzieren Redundanzen über verschiedene Projekte hinweg.
 

2. Zentrale und sichere Identity & Access Services

Identitäts- und Zugriffsverwaltung erfolgt zentral, sicher und skalierbar über alle Systeme hinweg.

Mittels zentraler Zugriffsverwaltung wird eine durchgängige, konsistente Nutzerverwaltung sichergestellt – ein essentieller Aspekt für Sicherheit, Benutzerkomfort und Governance.

1. Interface-Standardisierung

Die Kommunikation zwischen Systemen, insbesondere der Integrations- und Messaging-Layer folgen klar dokumentierten Schnittstellenstandards.

Standardisierte Interfaces gewährleisten eine hohe Integrationsfähigkeit, reduzieren den Projektaufwand und beschleunigen die Anbindung neuer Komponenten.
 

2. Robuste, entkoppelte Systemkommunikation (Decoupled & Resilient Communication)

Systeme kommunizieren lose gekoppelt über fehlertolerante, asynchrone oder entkoppelte Mechanismen (z.B. Eventing oder Messaging).

Dies verbessert die Skalierbarkeit, verringert Abhängigkeiten in Echtzeitprozessen und erhöht die Ausfallsicherheit verteilter Systeme.

1. Daten haben einen Wert (Data as an Asset)

Daten sind ein strategisches Asset. Sie werden aktiv geschützt und gepflegt. Die Verwendung erfolgt zielgerichtet, um den grösstmöglichen universitären Nutzen zu erzielen.

• Daten bilden die Grundlage für fundierte Entscheidungen, Innovationen und universitären Erfolg.
• Daher müssen Daten aktiv geschützt, gepflegt, in hoher Qualität verfügbar gehalten und zielgerichtet genutzt werden, um ihren vollen Nutzen für die Universität zu entfalten.
• Daten unterstehen einem Lifecycle, unnötige Daten generieren Kosten und unnötige Aufwände.

 

2. Daten haben einen Verantwortlichen (Ownership)

Daten haben mindestens einen Daten-Owner.
 

3. Daten als gemeinsames Gut

Daten werden als gemeinsames Gut betrachtet. Dies fördert die Datenzugänglichkeit und Zusammenarbeit. Daten werden möglichst zentralisiert über standardisierte Schnittstellen bereitgestellt. Berechtigte Nutzende können einfach und sicher darauf zugreifen.

• Der Zugriff auf Daten muss so einfach wie möglich und so sicher wie notwendig sein.
• Die zentralisierte Bereitstellung von Daten erhöht die Konsistenz des Datenbestandes, vermeidet widersprüchliche Informationen und erleichtert das Auffinden.

 

4. Datenqualität sicherstellen

Die Qualität unserer Daten wird durch klare Verantwortlichkeiten und definierte Massnahmen gesichert.

Eine definierte Datenqualität gewährleistet, dass die Daten in der benötigten Korrektheit, Vollständigkeit, Konsistenz und Aktualität vorhanden sind.

1. Automatisierter und standardisierter Betrieb

Betriebsprozesse sind weitgehend automatisiert, standardisiert und werden regelmässig überwacht.

Ein automatisierter Betrieb steigert die Effizienz, reduziert manuelle Fehler und erhöht die Verfügbarkeit sowie die Reaktionsgeschwindigkeit im Störungsfall.
 

2. Observability by Design

Systeme und Services verfügen über umfassendes, nachvollziehbares Logging und technisches Monitoring

Umfassendes Logging/Monitoring ermöglicht

• Fehler effizient zu diagnostizieren,
• die Performance jederzeit zu analysieren und
• Audits zu bestehen.

 

3. Resilienz durch Backup & Recovery

Backup- und Recovery-Strategien sind dokumentiert, getestet und auf aktuelle Risiken abgestimmtA

Backup- und Recovery-Strategien mit den entsprechenden Massnahmen schützen vor Datenverlust.
 

4. Klare Zuständigkeiten im Support

Supportprozesse basieren auf klaren Zuständigkeiten und transparenten Eskalationswegen.

Klar definierte Zuständigkeiten sichern die Servicequalität und reduzieren Ausfallzeiten.

1. Consider Infrastructure as Code ( IaaS)

Software definiert die nötige Infrastruktur; diese wird automatisiert und standardisiert bereitgestellt.

Software-definierte Infrastrukturen sparen Ressourcen.
 

2. Skalierbarkeit und Resilienz

Skalierbarkeit, Resilienz, hohe Verfügbarkeit und Redundanz werden von Anfang an berücksichtigt.

Die frühzeitige Berücksichtigung von Skalierbarkeit, hoher Verfügbarkeit und Redundanz stellt eine hohe Systemstabilität und verlässliche Betriebsbereitschaft auch bei Lastspitzen sicher
 

3. Standardisierte Betriebsbasis durch Container-Technologie

Container-Technologien werden als strategische Basis für moderne Anwendungen bevorzugt.
Container ermöglichen portable, isolierte Anwendungen und verbessern die Ressourcennutzung deutlich.

1. Technologieauswahl

Die Auswahl von Technologien erfolgt anhand klarer Kriterien: Diese berücksichtigen strategische Ziele, fachliche Anforderungen und technische Qualitätsmerkmale.
Technologieentscheidungen werden transparent dokumentiert.

• Technologieentscheidungen werden transparent und nachvollziehbar getroffen; dies vermeidet Fehlentscheidungen und schafft Konsens.
• Die Auswahl erfolgt nicht nur nach (kurzfristigen) Projektbedürfnissen, sondern orientiert sich am Optimum für die Universität.
• So wird sichergestellt, dass die Technologieauswahl nicht willkürlich erfolgt, sondern auf einer fundierten, strategisch abgestimmten Basis. Damit werden die nachhaltige Entwicklung der IT-Landschaft unterstützt und Risiken minimiert

 

2. Standardisierung und Interoperabilität

Bei der Auswahl und Nutzung von Technologien werden offene Standards bevorzugt.

• Die Nutzung offener Standards ermöglicht einen herstellerunabhängigen Austausch von Daten und Diensten.
• Integrationsaufwände werden reduziert, Innovation gefördert.
• Es werden Abhängigkeiten zu einzelnen Anbietern vermieden (Vendor Lock-in).