docDVZ.info Ausgabe 02/14 - DVZ Datenverarbeitungszentrum
download 
Report Transcription
DVZ.info Ausgabe 02/14 - DVZ Datenverarbeitungszentrum
DVZ.info G E M E I N S A M V I S I O N E N V E R W I R K L I C H E N. 0 2 | 14 Auf den Weg gebracht Web Experience Management löst LiveLink als Landes-CMS ab Nachgefragt? Aber sicher! Mikrozensus erhält neue Technologien für mehr Datenschutz und Effizienz Kampf für Sicherheit Landesverwaltung ergreift präventive und nachhaltige Maßnahmen gegen IT-Angriffe, IT-Krisen und Notfälle Impressum Herausgeber: Chefredakteur & Anzeigen: Redaktion: Foto-und Bildnachweis: Grafik & Layout: Druck: Ausgabe: Auflage: DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Lübecker Straße 283 19053 Schwerin Andrè Korsch (V. i. S. d. P.) [ak] Katrin Becker (Art Director) [kb] Laura Schubert (Chefin vom Dienst/Textchefin) [ls] Tobias Thobaben [tt] Gudrun Büchner-Uhder (S. 15) www.digitalattackmap.com (S. 12)Stand: 6. Oktober 2014 Fotolia: Andrey Kiselev (Titel); merydolla (S. 3); zzve (S. 2, S. 14); Fiedels (S. 2, S. 16f); Vladimir Melnikov (S. 3; S. 12); rh2010 (S. 3; S. 11); Nejron Photo (S. 4); vege (S. 7); Feenstaub (S. 8); basierend auf theseamuss (S. 11); cut (S. 13); settaphan (S. 13); Sergey Nivens (S. 13); Masson (S. 20f); alswart (S. 24); lassedesignen (S. 26); Sergey Nivens (S. 28) Die Rechte aller weiteren Fotos und Grafiken liegen bei der DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH Digital Design Druck und Medien GmbH November 2014 1.000 Exemplare Die DVZ.info erscheint zweimal im Jahr, die nächste Ausgabe präsentiert sich am 1. Mai 2015. DVZ.info 02I14 EDITORIAL Mit Sicherheit! Liebe Leserinnen, liebe Leser, kaum ein Thema beschäftigt die IT-Branche und die Verwaltungen heutzutage so sehr wie die Datensicherheit. Keine Anwendung und kein Service kann sich ohne Erfüllung höchster Sicherheitsstandards behaupten. Wie aber kann man flächendeckend und einheitlich dafür Sorge tragen, dass mit den Daten unserer Bürger auf höchst sensible Art und Weise verfahren wird? Dass Sicherheitslücken sofort entdeckt und geschlossen werden? Die Landesregierung Mecklenburg-Vorpommerns hat sich mit der „Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern“ intensiv mit den Anforderungen und nötigen Maßnahmen beschäftigt. Wir als IT-Dienstleister der öffentlichen Verwaltungen und somit auch unserer Bürger haben dabei den steten Anspruch alles Notwendige umzusetzen, um die Datensicherheit und das rechtskonforme Arbeiten der Verwaltungen zu gewährleisten und die Kommunikationswege zwischen Bund und Land abzusichern. Die Einrichtung eines Computer-Notfall-Teams namens CERT M-V sowie der Einsatz eines Beauftragten für Informationssicherheit, kurz BeLVIS, durch das Ministerium für Inneres und Sport sind dabei die ersten Schritte. Welche Rolle wir als DVZ bei der Umsetzung spielen und wie die Leitlinie im Detail aussieht, können Sie in unserer Titelreihe nachlesen. Aber auch die übrigen Artikel dieser Ausgabe möchte ich Ihnen empfehlen. So nehmen wir den Mikrozensus in Mecklenburg-Vorpommern unter die Lupe, geben unserem Service-Desk ein Gesicht und starten unsere neue Artikelreihe zum Thema Cloud mit einem umfassenden Überblick und Testberichten. Ihr Hubert Ludwig DVZ.info 02I14 1 Inhalt TITELTHEMA INFORMIEREN 04 INFORMATIONS- 12 BEATA Im Gespräch: Norbert Trilk über die Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von M-V 19 SERVICE-DESK SICHERHEIT 07 BELVIS Beauftragter der Landesverwaltung für Informationssicherheit koordiniert das ressortübergreifende Informationssicherheitsmanagement und kontrolliert die Einhaltung von ressortübergreifenden Regelungen zur Informationssicherhei Welche Perspektiven die Umstellung auf digitalisierte Prozesse der Landesverwaltung bietet Blick hinter die Kulissen: Zentrale Anlaufstelle für alle kundenseitigen und internen Serviceanfragen BEWEGEN 16 MIKROZENSUS Neues Equipment und erhöhte Sicherheit für die wichtigste Repräsentativstatistik der Bevölkerung 20 CONTENT MANAGEMENT So funktioniert das neue CMS und der Umzug der Landes-Portale ins neue System 08 CERT M-V Landesverwaltung bündelt Ressourcen in einem ComputerNotfall-Team 2 DVZ.info 02I14 MITTENDRIN 14 SMART GOVERNMENT DDOS-ANGRIFFE 15 PROJEKT IPV6 RELEASE-TICKER ENTWICKELN 26 CLOUD-DIENSTE Ein Überblick der verschiedenen Dienste und der Anforderungen, die Cloudmodelle grundsätzlich erfüllen müssen 28 INFRASTRUCTURE AS A SERVICE IM TEST Das DVZ hat einen IaaS-Dienst auf Herz und Nieren geprüft DVZ.info 02I14 VERNETZEN 10 MOBILES ARBEITEN Über die stetig wachsende Vielfalt im Arbeitsalltag von Tablet & Co 24 ZENTRALES LOGMANAGEMENT Teil 4 zum Thema Netzsicherheit: Wieso gebündelte Systemmeldungen mehr als nur einen schnellen Überblick bieten 3 T itelthema Im Namen der (IT-)Sicherheit! Umsetzung der „Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern“ hat begonnen 4 DVZ.info 02I14 Wo immer IT-Systeme im Einsatz sind, steigt die Zahl von Angriffen. Sicherheitsbehörden wie das Bundesamt für die Sicherheit der Informationstechnik (BSI) verzeichnen eine zunehmende Professionalisierung der Angriffe und sprechen von einer Bedrohungslage „auf anhaltend hohem Niveau“. Auch Mecklenburg-Vorpommern ist dieser Situation ausgesetzt. Die Landesregierung konzipierte daher eine „Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern“. DVZ.info sprach über deren Umsetzung mit Oberregierungsrat Norbert Trilk aus dem Ministerium für Inneres und Sport. DVZ.info: Herr Trilk, die Einschätzungen von Sicherheitsbehörden lassen vermuten, dass IT-Systeme einer immer größeren Gefährdung ausgesetzt sind. Stimmt das? Norbert Trilk: Wir verzeichnen in der Tat eine steigende Bedrohungslage der IT-Systeme. Angriffe werden immer ausgeklügelter und verfügen über ein hohes Maß an krimineller Energie. Verschiedene Sicherheitsvorfälle, auch in der Landesverwaltung, verdeutlichen das. Natürlich arbeiten wir kontinuierlich an der Gewährleistung der Informationssicherheit. So gibt es seit langem ressortübergreifende Sicherheitsteams und Revisionskommissionen, die beigetragen haben, Angriffe auf zentrale Sicherheitssysteme erfolgreich abzuwehren. Doch das wird künftig nicht mehr ausreichen. IT-Systeme werden ständig komplexer; ihre steigende Verflechtung durch die Nutzung von Verfahren, die über Verwaltungsgrenzen hinweg genutzt werden, führt zu einer sich weiter verschärfenden Gefährdungslage. Der technische Fortschritt erleichtert uns zwar vieles, er birgt jedoch auch Risiken. Wie wollen Sie diesen Risiken begegnen? Die Gewährleistung der Informationssicherheit darf nicht mehr nur als wichtige Aufgabe verstanden werden, sondern erfordert eine Umsetzung als Prozess. Nur so ist es möglich, den Schutz der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität auch bei sich verändernden Gefährdungslagen wirksam sicherzustellen. Die konsequente Anwendung der BSI-Grundschutzstandards und der Einsatz eines zentralen GrundschutzTool-Servers haben sich bereits als effiziente Mittel bei der Umsetzung unserer Sicherheitsrichtlinien bewährt. Diesen kommt auch weiterhin eine grundlegende Bedeutung zu. Darauf aufbauend muss nun jedoch dafür gesorgt werden, DVZ.info 02I14 dass nicht mehr jede Behörde für sich allein Informationssicherheit plant und umsetzt, sondern ein Zusammenwirken aller Beteiligten in einem übergreifenden Informationssicherheitsprozess realisiert wird. Dies ist auch aufgrund der „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ des IT-Planungsrates geboten, die bereits seit Februar 2013 für alle Behörden des Bundes und der Länder gilt. Darin ist unter anderem festgelegt, wie beispielsweise ein Management zur Informationssicherheit aufzubauen ist. Die Umsetzung eines solchen Informationssicherheitsmanagementsystems bedarf einer umfassenden konzeptionellen Vorbereitung und Berücksichtigung landesspezifischer Gegebenheiten. Das Ministerium für Inneres und Sport hat daher ein „Konzept zum Aufbau und Betrieb eines Informationssicherheitsmanagements in der Landesverwaltung von Mecklenburg-Vorpommern“ erarbeitet, welches zusammen mit der „Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern“ im Juni dieses Jahres vom Landeskabinett in Kraft gesetzt wurde. Damit verfügt die Landesregierung nun über eine gemeinsame IT-Sicherheitsstrategie, die es im Weiteren umzusetzen gilt. Was ist geplant, um in Zukunft Informationssicherheit gewährleisten zu können? Zum Aufbau eines Informationssicherheitsmanagements muss zunächst eine ressortübergreifende Informationssicherheitsorganisation aufgebaut werden. Die zentrale Steuerung dieser Organisation wird durch einen Beauftragten der Landesverwaltung für Informationssicherheit erfolgen, der vom IT-Beauftragten der Landesverwaltung bestellt werden soll. Mit dem Informationssicherheitsmanagement wird ein kontinuierlicher 5 Prozess zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Anwendungen und IT-Systemen eingeführt. Dieser beinhaltet alle Verantwortlichkeiten und Aufgaben, mit denen ein angemessenes Sicherheitsniveau erreicht und gehalten wird. Dies betrifft insbesondere Meldepflichten bei Sicherheitsvorfällen, Abläufe zur ressortübergreifenden Behandlung von Sicherheitsvorfällen, die Durchführung von Informationssicherheitsrevisionen, regelmäßige Berichtspflichten und die Durchführung von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit. Worin unterscheidet sich das geplante Vorgehen von bisherigen Aktivitäten? Der Unterschied liegt zum einen im prozessualen Ansatz und zum anderen in der zentralen Bereitstellung von Unterstützungsleistungen für die Landesverwaltung. Wir etablieren ein Kompetenzzentrum für IT-Sicherheitsfragen – das CERT M-V. Dahinter verbirgt sich ein Computer-Notfall-Team, an dessen Spitze der Beauftragte der Landesverwaltung für Informationssicherheit steht. Das CERT M-V stellt zentral Dienstleistungen zur Unterstützung des Informationssicherheitsmanagements zur Verfügung und trägt so zur Entlastung der IT-Sicherheitsbeauftragten der Ressorts bei. Welcher Zeitplan ist vorgesehen? Wir befinden uns gegenwärtig in der Detailplanung für die einzelnen CERT-Dienste und sind dabei, die ersten einer praktischen Erprobung zu unterziehen. Die Pilotphase für das gesamte Projekt beginnt 2015 und dauert bis Ende 2016 an. Der Wirkbetrieb setzt ab 2017 ein. Inwieweit bezieht das Ministerium für Inneres und Sport zusätzliche Partner ein? Wir setzen auf eine enge Zusammenarbeit mit den Ressorts der Landesregierung. Schließlich geht es um das gemeinsame Sicherheitsinteresse aller Behörden. Sobald alle Ressorts ihre jeweiligen IT-Sicherheitsbeauftragten offiziell benannt haben, wird eine Kommission für Informationssicherheit der Landesverwaltung gegründet. Diese Kommission wird insbesondere für die Erarbeitung und Fortschreibung von IT-Sicherheitsstandards und Regelungen zur Informationssicherheit, die Entwicklung und Überwachung von Kennzahlen zur Bewertung der Informationssicherheit und die Kontrolle der Umsetzung von ITSicherheitsmaßnahmen bei übergreifenden Verfahren und zentralen Infrastrukturkomponenten verantwortlich sein. In der Kommission werden die IT-Sicherheitsbeauftragten der Staatskanzlei und der Ressorts ständig vertreten sein. Darüber hinaus werden bei den Entscheidungen der Kommission auch der Städte- und Gemeindetag M-V und der Landkreistag M-V 6 „Die Kopfstelle des CERT M-V ist sinnvollerweise in der DVZ M-V GmbH angesiedelt. Dort, wo die zentralen Sicherheitskomponenten sich befinden. “ beteiligt. An den Sitzungen der Kommission können ferner der Landesbeauftragte für den Datenschutz M-V, der Landesrechnungshof M-V und die Landtagsverwaltung M-V teilnehmen und somit an Entscheidungsfindungen mitwirken. Beim CERT M-V werden darüber hinaus auch externe Dienstleister einbezogen, die über großes Know-how im Bereich Informationssicherheit verfügen. Es gibt nicht viele Dienstleister, die dafür in Frage kommen. Auch die länderübergreifende Zusammenarbeit wird als wichtiger Ansatz gesehen. Auf der Grundlage von Länderkooperationen sind zum Beispiel in den Bereichen Prävention und Forensik Rahmenverträge denkbar, auf die mehrere Länder zurückgreifen können. Welche Rolle kommt dabei der DVZ M-V GmbH zu? Wir haben in den einzelnen Häusern nicht die Ressourcen, um alle Aufgaben selbst wahrzunehmen. Deshalb ist es erforderlich, mit externen Unternehmen zusammenzuarbeiten. Und da ist unser Landesdienstleister die erste Wahl. Wir arbeiten eng mit der DVZ M-V GmbH zusammen, gerade bei zentralen Verfahren. Es bietet sich an, die Kopfstelle für das CERT M-V dort anzusiedeln, wo die zentrale Sicherheitstechnik und das Know-how gebündelt sind. Wir kooperieren im Bereich Informationssicherheit seit langem mit der DVZ M-V GmbH und können auf die guten Erfahrungen, die wir in den vergangenen Jahren gemacht haben, aufsetzen. Diese Zusammenarbeit ist gewachsen und von Vertrauen geprägt. Jetzt wollen wir das Miteinander auf eine neue Stufe stellen. Welche Kosten stehen hinter den enormen Bemühungen um Informationssicherheit? Im Etat unseres Ministeriums sind für das Vorhaben im Jahr 2015 insgesamt 300.000 EUR und ab 2016 insgesamt 400.000 EUR veranschlagt. Somit ist die Finanzierung der Aufbauphase zunächst gesichert. Es wird sich zeigen, ob diese Ansätze für den CERT-Betrieb auch künftig ausreichen oder zusätzliche Haushaltsmittel und mehr Personalaufwand nötig sind. Wir wissen, dass andere Bundesländer deutlich größere Potenziale einsetzen. Viel Erfolg für das Vorhaben und herzlichen Dank für das Gespräch. ABarbara Arndt DVZ.info 02I14 T itelthema Ein Mann, eine Mission Der Beauftragte der Landesverwaltung für Informationssicherheit nimmt in Kürze seine Tätigkeit auf Das zentrale Informationssicherheitsmanagement der Landesverwaltung Mecklenburg-Vorpommerns bekommt mit der Kommission für Informationssicherheit und der Bildung des CERTs eine völlig neue Qualität. Und ein neues Gesicht: Mit dem Beauftragten der Landesverwaltung für Informationssicherheit (BeLVIS) wird erstmals ein Verantwortlicher für das ressortübergreifende Informationssicherheitsmanagement zentral durch den IT-Beauftragten der Landesverwaltung bestellt. Er ist Informatiker mit einschlägigen Erfahrungen in der Informationssicherheit. Er soll so schnell wie möglich für eine Koordinierung des ressortübergreifenden Informationssicherheitsmanagements im Lande sorgen. Er – das ist der BeLVIS, der Beauftragte der Landesverwaltung für Informationssicherheit. „Wir haben die neue Stelle öffentlich ausgeschrieben, Bewerbungsgespräche geführt und inzwischen einen externen Bewerber ausgewählt. Aus unserer Sicht DVZ.info 02I14 „Alles, was bereits jetzt auch ohne den BeLVIS vorbereitet werden kann, wird getan. Am Terminplan zum Aufbau des CERTs wird festgehalten. “ „Alles, was bereits jetzt - auch ohne den BeLVIS - vorbereitet werden kann, wird getan. Am Terminplan zum Aufbau des CERTs wird festgehalten. Wir wollen bereits in diesem Jahr die ersten der insgesamt elf CERT-Dienste pilotieren und die restlichen konzipieren.“ Es geht jetzt erst einmal darum, das im Konzept zum „Aufbau und Betrieb eines Informationssicherheitsmanagements in der Landesverwaltung von MecklenburgVorpommern“ beschriebene Vorgehen zu untersetzen und die Umsetzung zu initiieren. „Hierfür muss zunächst die ressortübergreifende Informationssicherheitsorganisation aufgebaut und im Ergebnis ein Zusammenwirken von Behörden und CERT in einem gemeinsamen Informationssicherheitsprozess realisiert werden. Eine tragende Rolle kommt hierbei dem Beauftragten der Landesverwaltung für Informationssicherheit zu. Er übernimmt nicht nur die koordinierenden Aufgaben im Informationssicherheitsprozess, sondern wird auch die Einhaltung von ressortübergreifenden Regelungen und Beschlüssen zur Informationssicherheit kontrollieren. Zugleich wird er die zu etablierende Kommission für Informationssicherheit der Landesverwaltung leiten und dem IT-Beauftragten der Landesverwaltung fortan regelmäßig über die IT-Sicherheitslage im Land berichten,“ erläutert Norbert Trilk. A Barbara Arndt ist die Personalentscheidung gefallen“, bestätigt Norbert Trilk vom Ministerium für Inneres und Sport. 7 T itelthema Potenziellen Angreifern eine Nasenlänge voraus Computer-Notfall-Team steht künftig der Landesverwaltung bei Prävention und Behandlung von IT-Sicherheitsvorfällen zur Seite Per Onlinebanking wird abends schnell der Interneteinkauf bezahlt. Für die Hotelreservierung gehen die Kreditkartendaten per E-Mail auf die Reise. Kopien persönlicher Dokumente sind in einer Cloud hinterlegt. IT ist toll. Kaum jemand aber bedenkt die Gefahren, die in der virtuellen Welt lauern. Die Landesverwaltung Mecklenburg-Vorpommerns hält dagegen und setzt verstärkt auf IT-Sicherheit. Sie bündelt Ressourcen in einem Computer-Notfall-Team. Spätestens ab 2017 soll das CERT M-V voll einsatzfähig sein. CERT – diese Abkürzung steht für Computer Emergency Response Team. Dahinter verbirgt sich ein Kompetenzzentrum für IT-Sicherheitsfragen, quasi ein Computer-Notfall-Team. Dessen Aufgabe besteht darin, bei IT-Angriffen, IT-Krisen und in Notfällen schnell, effizient und umfassend zu handeln beziehungsweise geeignete Vorsorgemaßnahmen gegen solche Ereignisse zu treffen, erklärt Oberregierungsrat Norbert Trilk aus dem Ministerium für Inneres und Sport. Diese „schnelle Eingreiftruppe“ ist dabei nicht auf sich gestellt: Ein Beauftragter der Landesverwaltung für Informationssicherheit (BeLVIS) leitet das Team, welches für die 8 Planung und Umsetzung von präventiven, reaktiven und nachhaltigen Maßnahmen im Rahmen des Informationssicherheitsmanagements des Landes agiert. Zu den konkreten Aufgaben des CERTs M-V gehört künftig unter anderem die Entwicklung und strukturierte Verteilung von vorbeugenden Handlungsempfehlungen zur Vermeidung von Sicherheitsvorfällen. Für diese und viele andere Aufgaben benötigt das CERT zentrale Ansprechpartner zur Informationssicherheit in den Ressorts. Bisher, so Oberregierungsrat Norbert Trilk, gab es diese nicht. Zwar hatte in der Regel bereits jede Behörde einen IT-Sicherheitsbeauftragen, aber es gab keine vertikale Steuerung innerhalb der Ressorts. DVZ.info 02I14 „Diese soll nun eingeführt werden, indem jedes Ministerium einen IT-Sicherheitsbeauftragten des Ressorts benennen soll. Erst mit diesen zentralen Ansprechpartnern ist ein rationelles Arbeiten innerhalb des ressortübergreifenden Informationssicherheitsprozesses möglich. Diese IT-Sicherheitsbeauftragten sind ebenfalls für die Einhaltung von ressortübergreifenden und ressortinternen Regelungen und Beschlüssen zur Informationssicherheit innerhalb ihres Geschäftsbereichs zuständig. In diesem Zusammenhang prüfen Sie regelmäßig, ob es für einzelne Verfahren notwendige Sicherheitskonzepte gibt und inwieweit deren Umsetzung erfolgt ist und die Schulungs- und Sensibilisierungsmaßnahmen wie gefordert durchgeführt wurden. Hierüber müssen sie dem CERT fortan vierteljährlich Bericht erstatten. Anhand der damit zur Verfügung stehenden Informationen über den Stand der Informationssicherheit wollen wir Steuerungsmöglichkeiten erkennen und geeignete Entscheidungen zur Verbesserung des Sicherheitsstatus herbeiführen.“ Maßnahmenkatalog für Verbesserung des Sicherheitsbewusstseins Direktes operatives Handeln des CERTs setzt bei Sicherheitsvorfällen ein, die ressortübergreifende Auswirkungen haben. Ob Angriffe oder großflächiger Virenbefall – aufgrund des hohen, akuten Bedrohungspotenzials übernimmt das CERT in diesen Fällen in eigener Zuständigkeit unmittelbar die Vorfallbearbeitung und ist befugt, alle zur Schadensbegrenzung bzw. –behebung erforderlichen Maßnahmen umzusetzen. Selbstverständlich erfolgt dies in Abstimmung mit der jeweils betroffenen Behörde. Bei Sicherheitsvorfällen mit ausschließlich ressortinternen Auswirkungen kann sich die jeweils betroffene Behörde vom CERT beraten lassen, welche Maßnahmen zur Schadensbegrenzung und -behebung im speziellen Fall infrage kommen. Es existieren aber verschiedene Arten von Sicherheitsvorfällen – längst nicht jede davon ist meldepflichtig. Anhand von speziellen Formularen kann der jeweilige Status präzise erfasst und die entsprechende Information zielgerichtet weitergeleitet werden. „Ein weiterer, aus meiner Sicht wichtiger Aspekt ist die Sensibilisierung des Sicherheitsbewusstseins. Hierzu erwarten wir vom CERT einen modularen Maßnahmenkatalog, welcher sowohl den Sicherheitsanforderungen gerecht wird als auch von den Mitarbeiterinnen und Mitarbeitern der Landesverwaltung angenommen wird“, führt Norbert Trilk aus. Eine beratende Funktion übernimmt das CERT gegenüber der Kommission für Informationssicherheit. Ein enger Austausch wird mit anderen CERTs angestrebt. Die Aufgabenliste ist lang und wird schrittweise abgearbeitet. Die dringendsten Aufgaben haben selbstverständlich die höchste Priorität. „Unmittelbar mit Arbeitsaufnahme des BeLVIS wird die ressortübergreifende Informationssicherheitsorganisation aufgebaut und die Arbeit der Kommission für DVZ.info 02I14 Informationssicherheit aufgenommen. Die Detailplanungen zum Aufbau des CERTs und die Spezifikation der CERT-Dienste befinden sich derzeit bereits in der Bearbeitung.“ Anfang nächsten Jahres wird die CERT-Kopfstelle ihren Betrieb aufnehmen. Um eine länderübergreifende Zusammenarbeit zu ermöglichen, soll das CERT M-V dann auch in den VerwaltungsCERT-Verbund eingegliedert werden, so Oberregierungsdirektor Norbert Trilk. Kurze Wege für unverzügliche und kompetente Handlungsfähigkeit Das CERT ist, wie seine deutsche Bezeichnung ComputerNotfall-Team ausdrückt, ein maßgeblich operativ tätiges Gremium. Eine so genannte Kopfstelle bildet den Kern und agiert von zentraler Stelle aus für die gesamte Landesverwaltung. Bei der Bearbeitung von Sicherheitsvorfällen können bei Bedarf externe Experten hinzugezogen werden. Diese Kopfstelle wird sinnvollerweise in der DVZ M-V GmbH angesiedelt. Dort, wo sich die zentralen Sicherheitskomponenten befinden und das Störungs- und Notfallmanagement des IT-Landesdienstleisters seinen Sitz hat. Kurze Wege ermöglichen also im Krisenszenario eine unverzügliche und kompetente Handlungsfähigkeit. Das CERT an sich ist jedoch umfassender als die geplanten drei Experten der Kopfstelle. Sicherheitsfachleute aus verschiedenen Verwaltungsbereichen bringen ihre spezifischen Kenntnisse und ihr Know-how ein. Dies, so beschreibt Norbert Trilk die angedachte Vorgehensweise, erfolge anlassbezogen und ist zunächst auf Spezialisten des Finanzministeriums, des LKA und des Geheimschutzbeauftragten des Landes begrenzt. Auch das Sicherheitsteam der DVZ M-V GmbH kann punktuell in die Tätigkeit des CERTs einbezogen werden. „Wir verstehen diese Anstrengungen als eine Aufgabe mit strategischer Bedeutung. Es geht darum, die Daten der Bürgerinnen und Bürger zu schützen und das Vertrauen in die Informationsverarbeitung zu wahren. Im Vordergrund steht eine frühzeitige Erkennung und Abwehr von Angriffen und die Verbesserung der Widerstandsfähigkeit gegen solche Angriffe. Auch wenn das Computer-Notfall-Team in erster Linie der Landesverwaltung zur Verfügung stehen soll, können ebenfalls die kommunalen Behörden davon profitieren. Sie sollen unter anderem in einen aufzubauenden Warnund Informationsdienst mit einbezogen werden, mit dem das Computer-Notfall-Team die Behörden über mögliche Angriffe, Warnmeldungen zu neu festgestellten Sicherheitslücken sowie neue Angriffswerkzeuge und Entwicklungen informieren wird. Auf Basis solcher Bekanntgaben können die Behörden ihre Systeme und Netzwerke vor akuten Gefährdungen schützen, bevor diese ausgenutzt werden“, so Norbert Trilk. A Barbara Arndt 9 V ernetzen Unterwegs und doch am Platz Mobiles Arbeiten in der Landesverwaltung Mecklenburg-Vorpommerns Mobiles Arbeiten am Laptop gehört für einen Großteil der Landesverwaltung MecklenburgVorpommerns längst zum festen Bestandteil des Arbeitsalltages. Ein Mobile Device Management ermöglicht nun, dass auch per Tablet PC und Smartphone von unterwegs bequem E-Mails abgerufen, Termine organisiert und Kontakte gepflegt werden können, wann immer sich eine Gelegenheit im Außeneinsatz bietet. Mit der Einführung eines Systems zur Verwaltung mobiler Endgeräte (Mobile Device Management – MDM) im Herbst 2012 wurden zunächst Grundanforderungen wie Internetnutzung und die sichere Bereitstellung des Postfachs und von Dokumenten erfüllt. Zudem wurden neben der Umsetzung sicherheitstechnischer Maßnahmen Regelwerke verabschiedet, die den Umgang der Benutzer mit den mobilen Geräten festlegen. Das Bereitstellen von Sitzungsunterlagen auf Tablets 10 vereinfacht Arbeitsabläufe und vermeidet unnötiges Drucken. Der Landtag Mecklenburg-Vorpommerns stellt bereits seit der Landtagswahl 2011 Landtagsdrucksachen digital auf Tablets zur Verfügung. Unter Verwendung von Software zum sicheren Dokumentenaustausch (TeamDrive, DVZ.info berichtete darüber in Ausgabe 01/14) können aktuell in der Landesverwaltung Dokumente zeitnah aus Zuarbeiten am Dienstsitz direkt auf mobilen Geräten bereitgestellt und kommentierte oder bearbeitete Versionen auf dem gleichen Wege wieder zurück zum Arbeitsplatz synchronisiert werden. Kompatibel und sicher Aktuell wurden Nutzungsmöglichkeiten der mobilen Geräte dahingehend erweitert, von unterwegs Zugang zu Daten und Verfahren in den Behörden zu erhalten. Ausgenommen bleiben nach wie vor Anwendungen und Verfahren mit hohem Schutzbedarf. Die Lösung setzt auf bereits bestehende Dienste auf und erfordert lediglich zusätzliche Software-Komponenten DVZ.info 02I14 Terminal-Server Sitzung AMobil und dennoch flexibel: Auch von Unterwegs ist uneingeschränktes Arbeiten möglich. auf den mobilen Geräten. So ist eine Anbindung der mobilen Endgeräte sowohl an das MDM-System Office-Suite zur Bearbeitung als auch an die VPN-Infrastruktur der LandesverFachvon Dokumenten waltung Mecklenburg-Vorpommerns nötig. Für verfahren mobile Geräte werden dazu geeignete VPNProfile bereitgestellt und installiert. Außerdem DOMEA-WinDesk; bedarf es der Bereitstellung der betreffenden Zeiterfassung; Dokumentenressortspezifische Anwendungen und Fachverfahren auf TerFachverfahren bereitstellung minal-Server-Infrastrukturen im internen Dateifreigaben im Hausnetz gemäß den Behördennetzwerk und mit ZugriffsmöglichBenutzerrechten; keiten über Citrix Access Gateway, WebinterSharePoint- und WebDav-Freigaben face und XenApp. gemäß den Benutzerrechten PostfachIn den meisten Fällen steht die Umgebung synchronisierung bereits für andere Geräteklassen und AnwenOutlook, speziell Internetangebote; zum Zugriff auf dungsbereiche zur Mitnutzung mobiler Geräte browsergestützte freigegebene Postfächer, Informationssysteme öffentliche Ordner etc. bereit. Für den Zugriff wird die Citrix-Receiver-App im Internet (z. B. LOTSE) benötigt, die aus den App-Stores kostenfrei herunterInformationsdienste geladen und installiert werden kann. Der Zugriff selbst kann dann über eine stabile, leistungsgerechte Mobilfunkverbindung und eine darauf aufsetzende VPN-Verbindung vom mobilen Endgerät zum internen Netzwerk erfolgen. Der Mix aus Technik, Software, Sicherheitsmaßnahmen, dem Mobile Device Management und Support des DVZ machen das mobile Arbeiten somit für die Landesregierung Mecklenburg-Vorpommerns immens sicher und flexibel. Dokumentenbearbeitung Freischaltung von Ressourcen MOBILITY A Sebastian Hoppenhöft ADie technische Infrastruktur ermöglicht ein sicheres Arbeiten am mobilen Verwaltungsschreibtisch DVZ.info 02I14 11 I nformieren Mehrwerte ansteuern Umstellung auf digitalisierte Prozesse im Landesbesoldungsamt M-V und was durch das Projekt BEATA perspektivisch möglich ist Bereits in der DVZ.info vom November 2012 berichteten wir über das Projekt BEATA (Bezügedaten elektronisch anweisen, transportieren und aufbewahren) im Titelthema. Neben der Einführung einer elektronischen Zahlfallakte werden hier zwei Portal-Lösungen aufgebaut, die eine behördenübergreifende Zusammenarbeit sowie eine direkte elektronische Kommunikation mit dem Landesbediensteten ermöglichen. Wie ist der aktuelle Stand des Projekts? Wie lässt sich BEATA auf andere Bereiche übertragen? Nach Einführung des Bestandsaktenscannens im Frühjahr 2013 wird seit April dieses Jahres auch die tägliche Eingangspost digitalisiert und die Dokumente in das 12 Dokumentenmanagement- und Vorgangsbearbeitungssystem (DMS/VBS) überführt, sodass sie dem Sachbearbeiter im Landesbesoldungsamt M-V (LBesA) nun viel schneller als zuvor in der Papierwelt zur Verfügung stehen. Damit wählt BEATA eine stufenweise Einführungsstrategie. Die rechtssichere Ablage der digital signierten Dokumente übernimmt dabei der vertrauenswürdige Langzeitspeicher nach der BSI-Richtlinie TR-ESOR, welcher für den Nutzer transparent an das DMS/VBS gekoppelt ist. Im September 2014 wurde die letzte Etappe der E-Akte bewältigt. Sämtliche Ausgaben der Bezüge-, Entgelt- und Beihilfeberechungsverfahren werden seitdem elektronisch ausgegeben und ebenfalls direkt in das DMS/VBS importiert. Von jetzt an erfolgt die Sachbearbeitung im LBesA vollelektronisch. Doch die Modernisierung geht weit über das Landesbesoldungsamt hinaus. Auch die Zusammenarbeit mit den etwa 130 personalführenden Dienststellen des Landes und den Bezüge- bzw. Entgeltempfängern soll zukünftig elektronisch erfolgen. Dies wird via Webportal-Lösungen realisiert, in welche elektronische Formulare integriert sind. Diese sind am Bildschirm auszufüllen und per Mausklick an den zuständigen Sachbearbeiter im LBesA zu versenden. Für den Bezüge- bzw. Entgeltempfänger besteht außerdem die Möglichkeit, sich die Abrechnungsblätter aus dem Internet elektronisch abzurufen. Der gesamte Prozess zählt Die Einführung von DMS- und VBSLösungen für die Umstellung auf elektronische Prozesse in Behörden ist nicht unbedingt ein neues Thema. Nicht selten gehen Geschäftsprozesse über die Behörde hinaus und betreffen Dritte oder DVZ.info 02I14 ZIEL ERREICHT Gudrun Büchner-Uhder, Direktorin des LBesA M-V: Der Umgang mit der elektronischen Zahlfallakte gehört jetzt seit April 2014 für die Mitarbeiter des LBesA zur täglichen Arbeit. Anfängliche Bedenken, wie: „Finde ich meine Dokumente auch wieder?“ oder „Habe ich noch den Überblick?“, konnten schnell ausgeräumt werden. Auf anderen Gebieten, u. a. die Auswirkungen der Ausweitung der Bildschirmarbeit, müssen noch Anpassungen erfolgen. Unterm Strich bleibt, BEATA wird positiv aufgenommen und erfüllt sein Ziel, d. h. die Arbeit trotz knapper werdender Personalressourcen zu erleichtern. den Bürger. Diese Erkenntnis brachte im BEATA-Projekt eine Ist-Aufnahme der Arbeitsabläufe im Landesbesoldungsamt, und zwar bevor mit der Lösungssuche begonnen wurde. Die Integration des Fachverfahrens, also die vollständig elektronische Abwicklung der behördenübergreifenden Arbeitsabläufe, wurde so von Beginn des Projekts an in die Planung einbezogen und ermöglichte eine gesamtheitliche Betrachtung bei der Lösungssuche. Komponentenbasiert und übertragbar Sämtliche im BEATA-Projekt verwendeten Komponenten sind durch einen so genannten Servicebus miteinander verbunden. Dieser stellt die Schnittstellen für die einzelnen Komponenten bereit und verhindert so eine feste Kopplung DVZ.info 02I14 der einzelnen Lösungen. Dadurch wird eine leichtere Austauschbarkeit ermöglicht, denn nicht alle Lösungen haben die gleiche Lebensdauer. Des Weiteren wird der Servicebus als zentraler Protokollierungsdienst verwendet, worin sämtliche Übergabeaktivitäten geloggt werden – eine starke Hilfe bei der Fehlersuche. BEATA kann somit als eine Art Bausteinsystem verstanden werden, welches auch auf andere Bereiche übertragbar ist. Beispielsweise kann eine WebportalLösung mit elektronischen Formularen, die an ein DMS angebunden ist, die Abbildung von Antragsprozessen inklusive der Dokumentenablage in der Behörde realisieren. Die Pflege der Formulare kann die Behörde sogar selbst übernehmen, wenn ein Formular-Management-System (FMS) verwendet wird. Für die Portal-Lösungen sind verschiedene Authentifizierungsmechanismen einsetzbar, von einfacher Benutzer-Kennwort-Authentifizierung über PIN/TAN-Verfahren bis hin zur E-ID-Authentifizierung. Auch beim BEATA-Digitalisierungsprozess ist eine Übertragbarkeit gegeben. In BEATA wurde eine Lösung für das ersetzende Scannen nach der BSI-Richtlinie TR-RESISCAN implementiert, welche für die Digitalisierung von Dokumenten bis hin zu hohem Schutzbedarf verwendet werden kann. Die Kombination von ScanLösung, DMS sowie einem beweiswerterhaltenden Langzeitspeicher nach der BSI-TR-ESOR-Richtlinie sind eine starke Lösung für die rechtssichere Digitalisierung und anschließender Vernichtung von Papierdokumenten. Die Modernisierung der Verwaltung ist bereits in mehreren Gesetzen geregelt: auf Bundesebene durch das E-GovernmentGesetz (EGovG) und auf Landesebene wurde hierfür das Verfahrensverwaltungsgesetz (VwVfG M-V) angepasst. Somit ist auch eine gesetzliche Grundlage geschaffen, um die Verwaltung schneller, effizienter und transparenter zu gestalten. Jetzt scannen und in der Titelreihe „BEATA (v)ersetzt Aktenberge“ aus der DVZ.info 02/12 nachlesen. www.dvz-mv.de/dvzinfo ZIELFÜHREND „Die Lösung BEATA zeigt einmal mehr, dass mittels bestehender Module etwas Nachhaltiges und Behördenübergreifendes entstehen kann. Ein gutes Beispiel einer komplexen Lösung mit nachnutzbaren Bausteinen, die einen spürbaren Nutzen für die Verwaltung erzeugt.“ Als Account Manager steht Daniel Remmert Interessenten gerne beratend zur Seite und begleitet sie bei der Erarbeitung und Umsetzung von maßgeschneiderten Lösungen. d.remmert@dvz-mv.de A Christian Staack 13 MITTENDRIN Government GEMEINSAM EINFACH MACHEN. Wir gestalten Zukunft in Mecklenburg-Vorpommern. Innovation ist unser Antrieb. Über die IT hinaus sind wir Berater und Wegbereiter. Wir sind ein stabiler Partner. Unsere Erfolgsmodelle brauchen keine Grenzen. Verbesserung ist Teil unseres Selbstverständnisses. Gemeinsam verwirklichen wir eine zukunftsfähige Verwaltung. VERANTWORTUNGSVOLL KOOPERATIV ZUVERLASSIG INNOVATIV KOMPETENT Mit dem Programm DVZ 3.0 wurde ein grundlegender strategischer Wandel des Hauses beschlossen und mit den organisatorischen Änderungen bereits Anfang des Jahres begonnen. Was nun nach einer abteilungsübergreifenden Serie von Workshops entstanden ist, sind Vision, Mission und Werte eines neuen Unternehmensleitbildes für das DVZ. Im September unterschrieben Geschäftsführer und Abteilungsleiter symbolisch diesen ersten Meilenstein mit den schlagkräftigsten Auszügen zur Vision „SMART GOVERNMENT gemeinsam einfach machen.“ und den sieben Mission-Statements, die den Weg der neuen Unternehmenskultur weisen sollen. Welche Inhalte genau unser neues Leitbild ausmachen und was zur weiteren Umsetzung geplant ist, erfahren Sie in der nächsten DVZ.info. Als Die Weltkarte der DDoS-Angriffe Digitale Attacken live abgebildet „Digital Attack Map“ ist eine Live-Visualisierung von DDoS-Angriffen auf der ganzen Welt und ein Gemeinschatfsprojekt von Google Ideas und Arbor Networks. Das Tool bildet den anonymen Angriffsverkehr ab, zudem können die Nutzer innerhalb des Tools in der Zeit vor und zurück scrollen und die Angriffe nach verschiedenen Kategorien sortieren. Per Mouseover über die entsprechenden Strahlen 14 DVZ.info 02I14 TICKER: NEUE APPLIKATIONEN, FEATURES UND RELEASES… Ein Meer von IP-Adressen Apri l 2014 Man nehme an, alle weltweit verfügbaren IPv4Adressen entsprächen sieben Flaschen Wasser, dann entspräche die Menge an IPv6-Adressen (Internet Protocol Version 6) der gesamten Wassermenge unserer Weltmeere! In Anbetracht dessen, dass die sieben Flaschen so gut wie verbraucht sind, wird es für die Einführung von IPv6 höchste Zeit. Im DVZ läuft das Projekt dazu auf Hochtouren. In der nächsten Ausgabe der DVZ.info werden wir dies beleuchten und folgende Fragen beantworten: Wie sieht der Zeitplan zur Umstellung auf den Dual-Stack-Betrieb aus und was wird da eigentlich gemacht? Wer vergibt eigentlich die neuen IPAdressen? Welche Rolle spielt dabei die Landesverwaltung M-V und das DVZ? Und: Was bedeutet IPv6 für Entwickler und die bestehenden Applikationen? A ls +++ WINDOWS 7: Die letzten 4 Arbeitsplätze der Landeszentralkasse und des Finanzministeriums wurden auf das Windows 7 Release des IT-GS migriert. In diesem Release ist auch Office 2010 enthalten. Damit ist der mit dem Kunden vereinbarte Plan der Systemablösung vor dem 8. April 2014 eingehalten und das geforderte Sicherheitsniveau der Landespiloten hergestellt. Im Rahmen dieser Maßnahme wurden parallel auch die Serversysteme unter Windows 2003 auf den Stand von Windows 2008 R2 angehoben. Mai 2014 +++ GAIA-MVPROFESSIONAL: GAIA-MVprofessional wurde in einer neuen Version 3.4 im GeoPortal.MV erstmalig veröffentlicht und wartet mit neuen Funktionen und mehr Stabilität in der Browserwelt auf. Neben der weiteren Unterstützung von GeoWebDiensten, sind zahlreiche Zeichenfunktionen, wie Marker und Pfeile dazugekommen. Mehr unter www.gaia-mv.de/gaia/ Juni 2014 +++ IP-TELEFONIE: die Migration der zentralen IP-Telefonieserver der Landesverwaltung M-V (Cisco Unified Communication Manager) wurde erfolgreich abgeschlossen. Im Rahmen der Migration wurden auf ca. 17.200 Endgeräten und 200 Routern neue Firmware/Software ausgerollt und die zentralen IP-TelefonieServer auf die Version 9.1. angehoben. An den Dritt-Systemen der IP-Telefonie wurden ebenfalls Anpassungen (Administrationstool RAP.ID, Managementsysteme) bzw. komplette Migrationen (PC-Vermittlungssystem) vorgenommen. Jul i 2014 +++ ADOBE: Die vom CERT-Bund gemeldeten Schwachstellen in den Adobe Produkten (Flash Player, Air, Reader und Acrobat) wurden erfolgreich unter Nutzung des Advanced Patchmanagements auf allen Systemen in der BK und in den Ministerien geschlossen. +++ FORMULAR MANAGEMENT SYSTEM: Mehrere Einrichtungen des Landes nutzen die Basiskomponente FMS (Formular Management System) intensiv für Online-Umfragen zwischen Angriffsstart und -ziel fahrend, erhält man noch weitere Daten über die Angriffe. Zu der Karte geht es auf www.digitalattackmap.com. DoS (Denial of Service) bezeichnet die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte. In der Regel spricht man von DoS als die Folge einer Überlastung von InfrastrukturSystemen. Wird die Überlastung von einer größeren Anzahl anderer Systeme verursacht, so wird von einer Verteilten Dienstblockade oder englisch Distributed Denial of Service (DDoS) gesprochen. A ls DVZ.info 02I14 August 2014 +++ FOODLE: Das Terminvereinbarungstool Foodle ist im Dienstleistungsportal Mecklenburg-Vorpommerns öffentlich verfügbar: http://termin.mv-regierung.de/ +++ E-PAYMENT BASISKOMPONENTE M-V: Die E-Payment Basiskomponente M-V wird nun auch durch die Zweckverbände Rheinland-Pfalz und eGoMV genutzt. Zwei weitere Interessenten kommen aus dem kommunalen Projekt „REGIS“ und dem Saarland. September 2014 +++ CMS WEB EXPERIENCE MANAGER: Das Produktivsystem des neuen Landes-CMS „Web Experience Management“ befindet sich im Aufbau. Migrationen sind ab 2015 für alle Landesbehörden möglich. +++ GAIA-MV LIGHT: Zur Messe INTERGEO (7. - 9. Oktober) wurde die neue Version von Smart Web Map Clients für Mecklenburg-Vorpommern veröffentlicht. Neu an GAIA-MV light sind weitere Funktionen zur Gestaltung der Karte und ein Werkzeugkasten zur Konfiguration und Einbettung auf der eigenen Webseite. Die Anwendung ist frei verfügbar unter www.geoportal-mv.de. 15 B ewegen Unter die Lupe genommen Neue Ausstattung und Technologien für die Mikrozensus-Interviewer in M-V Der Mikrozensus ist DIE amtliche Repräsentativstatistik über die Bevölkerung und den Arbeitsmarkt. 55 ehrenamtliche Interviewer sind dafür ganzjährig in Mecklenburg-Vorpommern unterwegs, um rund 17.000 Personen in ungefähr 8.000 Privathaushalten zu Themen wie Familienzusammenhang, Erwerbstätigkeit sowie zu wechselnden Zusatzthemen wie Wohnsituation und Gesundheit zu befragen. Datensicherheit, benutzerfreundliche Technologien für Interviewer und Auswerter sowie moderne Übertragungswege sind dafür essentiell. Zum Jahreswechsel wurden daher mit neuen Laptops, einem neuen Einwahlverfahren sowie einer Servermigration wichtige Schritte nach vorn unternommen. Deutschlandweit wird jährlich etwa ein Prozent der Bevölkerung für den Mikrozensus interviewt. Damit ist er die größte jährliche Haushaltsbefragung in Deutschland und Europa. Um sowohl die Sicherheit der Daten und ihrer Übertragung sowie die möglichst schnelle Verfügbarkeit für die Auswertung zu sichern, arbeiten das Statistische Amt und das Landesamt für innere Verwaltung (LAiV) intensiv und länderübergreifend mit dem DVZ und dem Statistischen Amt für Hamburg und Schleswig-Holstein zusammen. Bedingt durch die seit 2005 bestehende Verpflichtung zur Lieferung aktueller 16 Monatsdaten für das europäische Arbeitsmarkt-Monitoring des Europäischen Statistischen Amtes EUROSTAT wird der Mikrozensus als kontinuierliche unterjährige Erhebung durchgeführt, bei der sich die Befragungen über alle Kalenderwochen des Jahres verteilen. Dazu werden Adressen mithilfe eines mathematisch-statistischen Zufallsverfahrens für die Mikrozensus-Befragung ausgewählt. Bewohner dieser Adressen sind gemäß Mikrozensusgesetz zur Auskunft verpflichtet. Das Befragungsprogramm – rund 180 Fragen – bietet durch die Vielfalt der Merkmalskombinationen auf Personen-, Haushalts- und Familienebene ein immens großes Potenzial an statistischen Informationen. Der Mikrozensus ist damit eine unverzichtbare Informationsquelle für Parlament, Regierung, Verwaltung, Wissenschaft und Öffentlichkeit in Bund und Ländern. Laptop-unterstützte Befragung vor Ort Zur Durchführung des Mikrozensus setzt das Statistische Amt Mecklenburg-Vorpommern ganzjährig 55 ehrenamtlich bestellte Interviewer ein, welche die Durchführung der Befragung als sogenanntes „computer assisted personal interviewing“ (CAPI) DVZ.info 02I14 in den Privathaushalten nach Terminabsprache anbieten. Die CAPI-Befragung durch die Interviewer sichert deutlich höherwertige Befragungsergebnisse als schriftliche oder telefonische Verfahren. Die technische Interviewerbetreuung im unterjährigen Mikrozensus wird länderübergreifend realisiert. Dies ist Ergebnis einer zunächst rein fachorganisatorisch begonnenen Zusammenarbeit mit dem Statistischen Amt für Hamburg und Schleswig-Holstein in Vorbereitung des Wechsels von der ehemals Papier- zur weitgehend elektronischen Erhebung des Mikrozensus (seit 2005). Beide Statistikämter nutzen die Betreuungsleistungen des DVZ im Rahmen eines Servicevertrages zum Teil gleichartig (Server-Nutzung) und zum Teil unterschiedlich (z. B. Geräteaustausch bei Inter viewerwechsel). Das in sehr enger Zusammenarbeit aller IT- und Fachverantwortlichen entwickelte technische Betreuungskonzept unterstützt und sichert die Interviewerregimes beider Nutzungsämter: die Arbeit mit Quartalsinterviewern in Hamburg und Schleswig-Holstein und die mit Jahresinterviewern in Mecklenburg-Vorpommern. Bei der ersten Ausstattung der Interviewer mit Laptops im Jahr 2005 erwies sich die vorhandene Infrastruktur als Einschränkung. In Mecklenburg-Vorpommern standen leistungsfähige Datenverbindungen nicht flächendeckend zu Verfügung. Es musste daher auf direkte analoge Modemverbindungen inklusive der zugehörigen Komponenten zurückgegriffen werden. So entstand eine spezielle und aufwendige technische Lösung, welche jedoch über neun Jahre erfolgreich verwendet werden konnte. Neue Ziele, hohe Anforderungen Die inzwischen deutlich verbesserte Infrastruktur auch im ländlichen Bereich ermöglichte es, 2013 zwei neue Zielstellungen in Angriff zu nehmen: die Umstellung auf moderne Kommunikationsmedien (wahlweise Funknetz per UMTS oder Festnetz per DSL und WLAN) und die Vereinfachung der technischen Lösung beim IT-Dienstleister. Auf Grund des Zeitregimes des Mikrozensus musste die Umstellung für alle Geräte (Hamburg, Schleswig-Holstein sowie Mecklenburg-Vorpommern) einheitlich zum Jahreswechsel 2013/14 erfolgen. Ein aufwendiger Parallelbetrieb der alten und neuen Lösung konnte so vermieden werden und auch der laufende Betrieb blieb unbeeinträchtigt. Dazu waren etwa 140 baugleiche Geräte zu beschaffen, einzurichten und an die Interviewer auszuliefern. Passwortgeschützte Laptops Verschlüsselte Festplatten der Laptops Regelmäßig aktualisierte Antiviren-Software Firewall mit dedizierter IP-Adressen- und Port-Freigabe Keine Fernadministration Erfolgreich absolvierter Penetrationstest des IDEV durch das ULD SH (2013) Sichere Datenübertragung: Laptop – IDEV mittels https DVZ – StatA M-V über CN LAVINE DVZ – StatA Nord über DOI Durchgehende Abschottung der Server untereinander und nach außen „Als Interviewer lege ich besonderen Wert auf einen stabilen technischen Betrieb während der Interviews. Es wäre schon sehr unangenehm, den auskunftspflichtigen Bürgerinnen und Bürgern ihre kostbare Zeit durch ein Befragungssystem zu stehlen, das ein langsames Antwortzeit-Verhalten zeigt oder sogar regelmäßig abstürzt. Mein aktuelles Laptop stellt gegenüber seinen Vorgängern aufgrund längerer Akkulaufzeiten eine wesentliche Verbesserung dar. Ein weiterer Pluspunkt ist das veränderte Verfahren zur Datenübertragung. Heute kann ich von jedem beliebigen Ort mit UMTS-Empfang den Datentransport realisieren. Henning Prigge ist für den Mikrozensus das ganze Jahr über als Interviewer in Mecklenburg-Vorpommern unterwegs “ DVZ.info 02I14 17 1957 ff. jährliche Durchführung des Mikrozensus im früheren Bundesgebiet auf Papierfragebögen (eine Woche im Frühjahr) 1968 kontinuierliche Befragung durch Verteilung der Stichproben auf das Kalenderjahr (EG-Verordnung); Ausnahme: D befragt bis 2004 wie zuvor 1991 Mikrozensus auch in den neuen Bundesländern (M-V: 8.000 Privathaushalte) 2000-04 Vorbereitung der kontinuierlichen Erhebung in M-V durch Statistisches Amt und DVZ (Teilkoop. mit HH/S-H) Im Hintergrund war die technische Lösung im DVZ vorzubereiten. Dazu wurde der Mikrozensus in das bestehende Online-Meldeverfahren IDEV (Internet-Datenerhebung im Statistischen Verbund) integriert. So konnte die Anzahl der Server von vier auf zwei verringert werden, was zu einer erheblichen Einsparung der regelmäßig anfallenden Kosten führte. Neu an der Gesamtlösung ist die Nutzung des „offenen“ Internets zur Übertragung der Daten des Mikrozensus an Stelle der bisherigen geschlossenen und technisch abgeschotteten Nutzergruppe. Die Sicherheitsmaßnahmen für die Laptops wie Festplattenverschlüsselung, Eingabe-/Ausgabe-Schnittstellen-Sperrung und Beschränkung des Nutzers mussten daher ergänzt werden durch eine verschlüsselte Datenübertragung, Verbindungsbeschränkungen im Internet und eine erweiterte Härtung der Geräte. Der Betrieb der Gesamtlösung und die Installation der Laptops erfolgen durch das DVZ. Technische Infrastruktur gewährleistet Datenschutz Die Struktur der neuen Lösung wurde durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern als datenschutzgerecht bewertet. Die Gesamtheit aller Maßnahmen wurde im Detail in das Sicherheitskonzept eingearbeitet. Die Maßnahmen zur Härtung der Laptops wurden vom DVZ in einem gesonderten Papier dokumentiert und vom ULD Schleswig-Holstein positiv eingeschätzt. Die technische Infrastruktur für den Mikrozensus besteht aus dem Server für die arbeitstägliche Anlieferung der Erhebungsdaten, die Bereitstellung der elektronischen Arbeitspakete und Softwareupdates für die Interviewer, einer Infrastruktur für die Datenfernübertragung und den Laptops. Für die Installation und Wartung der Interviewer-Laptops wurde durch das DVZ eine gesonderte Softwareverteilungsumgebung etabliert. A Frauke Kusenack & Andreas Waldenspuhl 2005 erste kontinuierliche Erhebung; vollständiger Technologiewechsel: Laptops für die Interviewer (analoges Modem) und separater Server-Betrieb Frauke Kusenack vom LAiV ist seit 2000 unter anderem für die Vorbereitung, Durchführung und Aufbereitung des Mikrozensus in Mecklenburg-Vorpommern verantwortlich. Andreas Waldenspuhl ist seit 2006 IT-Leiter des LAiV und als solcher auch für die technische Umsetzung des Mikrozensus und des OnlineErhebungsverfahrens IDEV zuständig. ff. Servicevertrag zwischen Statistischem Amt M-V und DVZ beinhaltet jährliche Wartung als auch kontinuierliche technische Betreuung 2013/14 Gerätewechsel; flexibles Einwahlverfahren; Integration des Mikrozensus in bestehendes OnlineMeldeverfahren IDEV 18 DVZ.info 02I14 I nformieren Was tun wenn’s brennt? Wenn es wirklich brennt, bringt sich natürlich jeder in Sicherheit und ruft die Feuerwehr. Bei Fragen und Problemen rund um die IT am Arbeitsplatz jedoch ist man beim Service-Desk der DVZ M-V GmbH bestens beraten. Darauf verlassen sich täglich Hunderte Mitarbeiter aus den Kommunen, der Landesregierung und dem DVZ selbst. Drehte sich anfangs noch alles fast ausschließlich um die IP-Telefonie und deren Einführung, werden heute durch den Service-Desk Anfragen zu nahezu allen Dienstleistungen des DVZ bearbeitet. Als zentrale Anlaufstelle für Serviceanfragen erreichen den 2007 gegründeten Service-Desk täglich durchschnittlich 150 Anrufe und 200 E-Mails zu über einhundert verschiedenen Verfahren und Anwendungen. Diese werden kategorisiert, als Ticket dokumentiert und je nach Anfrage klassifiziert. Mit der Nummer dieses Tickets haben Kunden immer die Möglichkeit, den Bearbeitungsstand ihrer Anfrage oder ihres Auftrages zu verfolgen. Damit kann eine größtmögliche Transparenz bei der Bearbeitung von Anfragen bzw. Umsetzung der Aufträge erreicht werden. Um die hohe Anzahl an Anfragen schnell und effektiv bearbeiten zu können, sind die Mitarbeiter des siebenköpfigen Teams entsprechend ihres Services speziell ausgebildet. „Wir sind in der Lage einen Großteil der Anfragen ohne lange Wartezeit direkt für den Kunden zu bearbeiten. Dafür haben wir je nach zugrunde liegendem Geschäftsprozess, straffe interne und vertragliche Vorgaben“, erklärt Andreas Herrmann, Sachgebietsleiter des Service-Desk. Darüber hinaus steht dem Team ein starker Supportbereich im Haus zur Verfügung, der die dorthin weitergeleiteten Anfragen und Aufträge mit hoher Qualität bearbeitet. Der Service-Desk informiert proaktiv bei Störungen sowie bei geplanten Wartungsarbeiten oder zentralen Wartungstagen. Er überwacht das operative Incident-Management in Zusammenarbeit mit dem Leitstand (z. B. Leitungsunterbrechungen) und ist somit jederzeit in der Lage, aktuell Auskunft zu erteilen. Da er sich inzwischen als kompetenter Ansprechpartner rund um die IT etabliert hat, wird der Service-Desk immer häufiger in Anspruch genommen. Ein Grund dafür ist auch die Vielfalt an Kontaktmöglichkeiten, welche die Erreichbarkeit für den Kunden so bequem und einfach wie möglich machen. Wann immer die IT also Probleme bereitet oder Fragen aufwirft, ist es beruhigend einen kompetenten Ansprechpartner an seiner Seite zu wissen - den Service-Desk der DVZ M-V GmbH. A Anke Meyer, Sebastian Knobloch Service-Desk 2008 2009 2010 2011 2012 2013 1655 ATendenz DVZ.info 7831 12676 16045 30313 steigend: Entwicklung des E-Mail-Aufkommens seit 2008 02I14 37003 TELEFON: 0385 4800-565 FAX: 0385 480098-565 E-MAIL: servicedesk@dvz - mv.de KURZWAHL AUS IP-TELEFONIE: *11 KUNDENPORTAL: http://itsm.cn - mv.de 19 B ewegen Wer neue Wege gehen will, muss alte Pfade verlassen Wechsel des Content Management Systems birgt Potential auf allen Ebenen der Basisfunktionalitäten in Hinblick auf die bevorstehende Migration. Für das Kalenderjahr 2015 sind Ressourcen im Fachbereich für die sukzessive Überführung der zahlreichen Portale eingeplant. Weil mehrere Migrationsteams bestehen, können parallel unterschiedliche Portale umziehen. Dabei steht das DVZ seinen Kunden nicht nur in technischen Belangen als Partner zur Seite. Auch bei der Neukonzeption und dem Redesign vorhandener Portale ist es als Servicepartner unterstützend tätig. Umzug nach Maß Seit 2005 kommt im Auftrag des Ministeriums für Inneres und Sport das Content Management System (CMS) Livelink WCM Server der Firma Open Text im DVZ zum Einsatz. Jedoch – es ist keine neue Erkenntnis - hat Computertechnologie heutzutage eine relativ geringe Halbwertszeit. Daher hat sich der Hersteller des nunmehr 20 Jahre alten Produktes entschieden, den Support zum Ende des Jahres 2015 auslaufen zu lassen. Ab diesem Zeitpunkt gibt es keine weitere Unterstützung. Das DVZ hat diesen Umstand zum Anlass genommen und sich frühzeitig neu orientiert. Bereits im August 2014 wurden die LizenzVerträge für das alternativ angebotene Produkt Web Experience Management (WEM) unterschrieben. Um das Potential dieser Änderungen bestmöglich ausschöpfen zu können, wird sich auf allen Ebenen auf den anstehenden Wechsel vorbereitet. Durch Schulungen und einer Testinstallation wurde WEM bereits seit Mitte 2013 auf Herz und Nieren geprüft und entsprechendes Know-how erworben, bevor die zukünftige Zusammenarbeit beschlossen und WEM als Nachfolgeprodukt bestätigt wurde. Seit September 2014 erfolgt nun der stufenweise Aufbau des Produktivsystems sowie die Entwicklung 20 Inwieweit die bestehen bleibenden Seiten automatisch, mit Hilfe von Migrationsskripten oder komplett manuell ins neue System überführt werden, entscheidet sich von Fall zu Fall anhand der individuellen Voraussetzungen immer neu. Die effektive Umsetzung des Umzugs steht hier im Vordergrund. Eine der ersten Seiten, die auf das neue CMS umsattelt, wird das Portal der Landesregierung sein. Bereits im Juni 2014 erfolgte die Vergabe der Konzepterarbeitung für die Modernisierung des Regierungsportals. Die ersten Umsetzungsschritte sind, nachdem die Freigabe des Konzeptes durch die Staatskanzlei gerade erfolgt ist, noch für das IV. Quartal 2014 geplant. Änderungen an der technischen Basis Im Zuge des CMS-Austausches erfolgt auch ein Wechsel im Aufbau des Produktivsystems. Bisher gab es einen Server, auf dem sowohl die Redakteure arbeiteten als auch die InternetNutzer zugriffen. Künftig bleibt dieser Server den Redakteuren vorbehalten. Der Einsatz von 1-n weiteren sogenannten Delivery-Servern verteilt die Last der Zugriffe und macht das System skalierbar. Hier werden die Inhalte liegen, die tatsächlich an die Browser ausgeliefert werden. Mit dem neu beschrittenen Weg eröffnen sich den Redakteuren in Zukunft auch effizientere Werkzeuge und Arbeitsweisen. Die wichtigsten Neuerungen werden auf den folgenden Seiten vorgestellt. AThomas Rehbein & kb DVZ.info 02I14 00 Anforderungen Mobil und responsiv sollen die Webseiten der nächsten Generation sein. Zudem wird die individuelle Kundenansprache und die Suchmaschinenoptimierung (SEO) ebenso gefordert, wie digitales Marketing, Mehrkanalfähigkeit (Multichannel) und über allem die umfassende Nutzererfahrung (Global User Experience). Dass Usability mehr als einen schmucken Rahmen darstellt, sondern grundlegend dem Zugang und der Erfassung der dargebotenen Inhalte dient, ist kein neues Wissen. Jedoch sind all die genannten Inhalte auch ohne Content Management Systeme realisierbar. Worin begründet sich daher überhaupt der Einsatz eines CMS? Die Kernaufgabe eines solchen Systems liegt im gemeinschaftlichen Erstellen, Bearbeiten und Organisieren von Inhalten (Content). Über eine grafische Benutzeroberfläche erarbeiten Redakteure oft ohne Programmier- und HTMLKenntnisse Inhalte. Über ein Berechtigungskonzept wird gesteuert, wer in welchem Bereich Änderungen vornehmen darf. Diese können entsprechend nachvollzogen werden und je nach Workflow direkt freigegeben oder einem Genehmigungsprozess unterzogen werden. Normalerweise wählen Redakteure bei der Inhaltserstellung einen Inhaltstyp, geben den Ordner an, in dem dieser gespeichert werden soll und fügen eventuell noch weitere Eigenschaften hinzu. Mit einer Quick-Action werden diese Informationen nur einmal angegeben und dann jedes Mal wiederverwendet, wenn er Inhaltselemente dieses Inhaltstyps anlegt. Häufige, mehrstufige Aktionen können so zu einer Aktion zusammengefasst und mit nur einem Klick ausgeführt werden. Diese unkomplizierten Arten der redaktionellen Pflege werden durch die Entwickler individuell eingerichtet. Das Ziel soll sein, den Redakteuren die Pflege der für sie relevanten Inhalte möglichst einfach zu machen und auf ihre Bedürfnisse zuzuschneiden. 01 Quick Actions Die Importmöglichkeiten für Bilder sind sehr vielfältig. Losgelöst vom Inhalt können Bilder in der Ablagestruktur eingestellt werden. Mit WEM ist es allerdings auch möglich, Bilder direkt am Einsatzort zu platzieren. Da bei der Gestaltung von Internetseiten neben dem Text auch das Bild an enormer Bedeutung gewinnt, erhält der gesteigerte Einsatz auch im CMS mehr Raum. Der Upload in Form von Massenimporten ist selbstverständlich. 03 Struktur und Inhalt separiert Ein weiterer Schwerpunkt liegt in der Strukturierung von Seiteninhalten und den dazugehörigen Daten. Im bisherigen CMS gibt es eine einzelne, rein hierarchische Ablagestruktur sowohl für Seiten als auch Daten. In WEM wird beides getrennt: Über die sogenannten Channels (Kanäle) werden ausschließlich die Seiten verwaltet, die dazugehörigen Daten wie z. B. Ämter und Behörden, Ansprechpartner, Infoboxen, Bilder o. ä. in separaten Ablageordnern. Vorteil: Daten werden an einem zentralen Ablagepfad hinterlegt und nicht mit der Seitenstruktur vermischt. Das erleichtert das Auffinden sowie die Wiederverwendbarkeit der Daten. Denn so sind z. B. Behörden in einem einzigen Ablageordner gespeichert. Sie finden aber auf verschiedenen Seiten eines, vor allem aber auch auf verschiedenen Seiten mehrerer Portale ihre Verwendung. Redakteure geraten nicht in Versuchung, Daten mit der Seitenstruktur zu vermischen und später ggf. eine Neuorganisation der Daten vornehmen zu müssen oder gar Inhalte doppelt abzulegen. 02 Bildimport DVZ.info 02I14 21 04 Java Applets Durch die Verwendung von Java Applets ist die Installation und Einrichtung einer JavaLaufzeitumgebung auf dem Computer der Redakteure bisher zwingend notwendig gewesen, um alle Vorteile bei der Bearbeitung von Seiteninhalten auszuschöpfen. WEM bietet Bearbeitungsmöglichkeiten, die ohne Java und mit weniger technischen Hürden auskommen. So wird Problemen bei der Nutzung von Java während des Bearbeitungsprozesses vorgebeugt. Außerdem wird der Administrations- und Unterstützungsaufwand auf Kunden- und Betreiberseite und damit die Störanfälligkeit bei diesem kritischen Prozess verringert. Mit WEM können Inhalte in mehreren Sprachen verwaltet werden. Diese Funktion unterstützt zwei Arten von mehrsprachigen Objekten: mehrsprachige Inhaltselemente und mehrsprachige Seiten und Kanäle. Auf individueller Basis wird konfiguriert, inwieweit die Elemente Eigenschaften erben oder davon ausgeschlossen sind. 07 Meine Seite 05 Mehrsprachig Oft werden Redakteure in ihrer Arbeit gebremst, weil sie mehr Optionen und Werkzeuge zur Verfügung haben, als sie eigentlich benötigen. Dadurch verlieren sie leichter den Überblick. Intuitive Arbeit ist nur schwer möglich. Durch ein komplexes Rechtemodell kann künftig die Bedienerfreundlichkeit (auch Usability genannt) dank zielorientierter Sichten erhöht werden. Es wird nicht allen Anwendern ein Standard aufgedrückt, sondern für die einzelnen Instanzen können Sichten mit differenzierten Formaten, Templates, Themes und Layouts hinterlegt werden. Zusätzlich sind die Icons in der Übersicht individuell anpassbar. Der personalisierte Arbeitsbereich „Meine Seite“ ist wie eine Homepage aufgebaut. Hier sind Verknüpfungen mit den vor Kurzem verwendeten Inhalten und mit gespeicherten Suchvorgängen sowie häufig genutzten Aufgaben abgelegt. Er umfasst sowohl einen Navigationsbereich als auch einen Ansichtsbereich. Neueste Inhalte, sämtliche Elemente innerhalb eines ausgewählten Zeitrahmens (heute, gestern, in den letzten 7/30/90/365 Tagen geändert oder hochgeladen) sind im Navigationsbereich zu finden. Ferner kann die Sicht auf ausschließlich vom eingeloggten Redakteur geänderte oder hochgeladene Inhalte eingegrenzt werden. Wenn Ergebnisse - angezeigt in einer Listenansicht - ausgewählt werden, können wiederum häufig genutzte Aktionen zum Einsatz kommen. 06 Usability 22 DVZ.info 02I14 08 Inline Editing Ein wesentlicher Bestandteil ist die fließende Integration von Bearbeitungsmöglichkeiten in der Vorschau-Ansicht mit dem sogenannten Inline Editing. Im Bearbeitungsmodus können Aufgaben direkt im Browserfenster erfolgen. Nicht nur Texte und deren Attribute sind änderbar. Ebenso können Bildattribute bearbeitet, Dateien ins System geladen, Medienelemente und Verknüpfungen zu weiteren Inhaltselementen direkt eingefügt und Textstile angewandt werden. Dabei markieren unterschiedlich hervorgehobene Rahmen den Bearbeitungsstatus der einzelnen Elemente. Ausgewählte Bereiche können für diese Bearbeitungsform gesperrt werden und die Redakteure somit direkt auf der Seite Änderungen durchführen, speichern und so ohne Umweg Einfluss auf den Seiteninhalt nehmen, ohne zusätzliche Bearbeitungsmasken aufrufen zu müssen. Webseiten ohne Personalisierung bieten allen Besuchern die gleichen Inhalte an. Was grundsätzlich nach Gleichberechtigung klingt, steht in der Praxis entgegen dem Kundenziel. Denn ein Besucher, der auf eine Webseite kommt, hat einen bestimmten Informationsbedarf. Diesen möglichst schnell und vor allem erfolgreich zu bedienen, ggf. sogar Mehrwerte zu bieten, ist eine Chance der Personalisierung. Mittels Segmentierung und Targeting, kann der Informationsfluss verbessert werden, indem das CMS personalisierte Inhalte ausliefert. Der Content ist auf die Bedürfnisse des einzelnen Besuchers ausgerichtet. 09 Personalisierung Grundlage der umfangreichen Ausgabevielfalt ist das medienneutrale Vorhalten der Daten. Einmal strukturierte und fehlerfreie Inhalte können ohne großen Aufwand verwaltet und aktualisiert werden. Deren Verwendung in weiteren Medien und Kanälen benötigt nur noch einen Bruchteil der damit verbundenen Ressourcen. Neben der Ausgabe auf verschiedenen Endgeräten, ist über einen Wandler auch die automatisierte Ausgabe des Inhaltes in PDF-Form anstelle des HTML-Gerüstes möglich. 11 Mobil & Responsive WEM arbeitet mit einem nativen dynamischen Ausgabemodell. Dazu gehört die sytemseitige Unterstützung der Programmierer für die Formatbereitstellung der unterschiedlichen Ausgabekanäle (Multi Channel Publishing). Beim sogenannten responsiven Webdesign erfolgt die grafische Gestaltung und Ausrichtung der Inhalte anhand der Eigenschaften des zu bedienenden Endgerätes. Funktion, Design ud Inhalt folgen der Bildschirmauflösung des angewandten Desktops, Smartphones oder Tablets. In der sogenannten „Presentation View“ kann der Redakteur die Regeln bearbeiten, die definieren welche Inhalte nach welchen Kriterien in welcher Form und Reihenfolge angezeigt werden. Ähnlich dem Inline Editing erfolgen die Änderungen bedienerfreundlich in der Browser ansicht. Diese Sicht ist sowohl für die Seite als auch für das Design verfügbar. 10 Medienneutrale Daten DVZ.info 02I14 23 V ernetzen Blackbox für IT-Systeme Zentrales Logmanagement behält IT-Systeme effizienter im Auge Bis der moderne Buchdruck im 15. Jahrhundert erfunden wurde, konnten Schriftstücke nur handschriftlich erstellt und vervielfältigt werden. Heutzutage sind nicht nur Menschen, sondern auch technische Systeme wie Smartphones oder Server in der Lage, Informationen in Textform zu erzeugen. Diese teilen sie anhand von Logmeldungen mit, welche uns Auskünfte über Aktivitäten und Probleme geben. Das funktioniert bei der Blackbox im Flugzeug ebenso wie beim zentralen Logmanagement im DVZ. Die Logmeldungen von IT-Systemen sind eine kontinuierliche Protokollierung, welche die Aktivitäten des jeweiligen Systems aufzeichnen. Der grundlegende Aufbau der meisten Logmeldungen besteht aus einem Zeitstempel gefolgt von den zugehörigen Ereignissen. Hierdurch lassen sich diese zeitlich einordnen, sowohl auf dem lokalen System selber, als auch im Gesamtüberblick, wenn man die Logmeldungen von mehreren Systemen im Zusammenhang betrachten muss. Die Syntax der protokollierten Ereignisse ist herstellerabhängig und unterliegt allgemein keiner Norm. Einige Systeme qualifizieren ihre Meldungen bereits in verschiedene Zustände, wie 24 critical, information oder debug. Die Menge an produzierten Logmeldungen kann dann anhand dieser Severity Level eingeschränkt oder erhöht werden. Je nach Konfiguration sind diese Systeme somit gesprächiger oder schweigsamer. Warum eine zentrale Lösung? Der Flugschreiber in einem Flugzeug ist so konzipiert, dass er hohen Aufprallgeschwindigkeiten, hohen Temperaturen und hohem Wasserdruck standhalten kann. Seine Daten können genutzt werden, um nach einem Ausfall oder gar Absturz die Ursache dafür zu ermitteln. Die gespeicherten Logmeldungen auf technischen IT-Komponenten sind in der Regel jedoch nicht auf Vorfälle dieser Art vorbereitet. In einigen Fällen sind sie nach einem Problem nicht mehr vorhanden; sei es durch einen Ausfall von Hardware oder einem Hacker, der die Spuren seiner Taten verwischen möchte. Die zentrale Logmanagement-Lösung des DVZ ist die Bodenstation, welche die Meldungen an einem sicheren Ort abspeichert. Egal was mit den originalen Daten passiert, hier liegen Kopien aller Informationen, um die Ereignisse nachvollziehen zu können. DVZ.info 02I14 20.000 25.000 30.000 15.000 Wie kommen wir an die Logmeldung? Für wen ist die Lösung konzipiert? Je unterschiedlicher die Meldungen der einzelnen Systeme ausfallen, desto unterschiedlicher sind auch die Methoden, welche wir für die Übertragung zum zentralen Logmanagement-System benötigen. Wir unterscheiden grundsätzlich drei Grundarten von Logs. Ein Gerätetyp legt seine Logmeldungen in Dateien ab, welche über diverse Protokolle (z. B. SFTP, HTTPS, etc.) zyklisch abgeholt werden. Bei Mehrfachabholungen der selben Datei müssen natürlich die bekannten und neuen Meldungen auf der Logmanagement-Lösung unterschieden und korreliert werden. Dies ist notwendig um das mehrfache Vorkommen einer Meldung zu verhindern. Andere Systeme senden die Logmeldungen live zur zentralen Logmanagement-Lösung. Hier kommt das SyslogProtokoll zum Einsatz, welches anhand vom Netzwerkprotokoll UDP jede Logmeldung sofort abschickt. Schließlich gibt es dann noch Systeme, welche über proprietäre Schnittstellen ihre Logmeldungen zur Verfügung stellen (z. B. WMI für Windowssysteme). Hierbei werden speziell abgestimmte Konnektoren benötigt, um an die Daten zu kommen. Diese müssen für jeden speziellen Gerätetyp separat programmiert und konfiguriert werden. Momentan verarbeitet und speichert Logmanagement-Lösung so zu den Hauptarbeitszeiten über 300 Messages pro Sekunde. Die Lösung ist grundsätzlich für zwei Interessengruppen ausgelegt. Zum einen das Sicherheitsmanagement, welches seinen Hauptfokus auf sicherheitsrelevante Alarme und Auswertungen hat. Aber auch Administratoren sollen in der effizienteren Gestaltung des täglichen Betriebes Unterstützung erfahren. Hierbei gibt es teils unterschiedliche, teils überschneidende Anforderungen. Das Sicherheitsmanagement bekommt zum Beispiel Alarme bei einer bestimmten Anzahl fehlgeschlagener Anmeldungen innerhalb einer definierten Zeitspanne auf einem System. Die Administratoren hingegen können zum Beispiel die Logmeldungen von mehreren beteiligten Firewalls, Routern und Switchen einer gewünschten Verbindung gleichzeitig nach einer IP-Adresse durchsuchen. Hierdurch können Rückschlüsse gezogen werden, welches der beteiligten Geräte möglicherweise eine Fehlkonfiguration aufweist und die gewünschte Verbindung blockiert. Dies sind jedoch nur zwei der unzähligen Möglichkeiten, welche sich durch das zentrale Logmanagement bieten. Perspektivisch ist das DVZ bestrebt, dieses System auch Kunden anzubieten. Dadurch kann der Nutzer seine Systeme effizienter im Auge behalten und von bereits gesammeltem Know-how profitieren. ASiegfried Behring 35.000 10.000 5.000 0 40.000 GByte 45.000 21.245 Verteilung des SPAM-Aufkommens * Abwesenheitsnotizen, Zustellbenachrichtigungen ** Newsletter, Werbung u. ä. <1% Virusbelastet u.a. 1% Systemgeneriert* 3% MassenE-Mails** 12% Erwünscht 83% SPAM Durchschn. monatl. Aufkommen an SPAM 4,000 5,000 3,000 6,000 2,000 1,000 7,000 8,000 Mio. SPAM 9,000 0 7,024 Events im Systemmanagement *Anteil bei einem Gesamtaufkommen von 365 Mio. Events 0,06%* mittel 0,09%* kritisch 0,04%* ZIELFÜHREND gering „Das zentrale Logmanagement bietet uns die Möglichkeit, die Logmeldungen unserer Systeme in ihrer Gesamtheit zu analysieren und dadurch Rückschlüsse auf deren Zustand zu ziehen. Sie ist ein wichtiger Bestandteil unserer zentralen Monitoringlösung und für einen sicheren Betrieb des Rechenzentrums unverzichtbar.“ Durchschn. Anzahl von Logmeldungen 400 200 846 0 0 100 327 pro Sekunde 200 DVZ.info 02I14 600 Mio. pro Monat 800 1.000 500 400 300 25 Service-Center zentrale und dezentrale Netze - Berichtszeitraum: 03-09/2014 Durchschn. ein-/ausgehender Internetverkehr E ntwickeln Cirrus, Stratus, Cumulus? Nein: SAAS, IAAS, PAAS! Themenreihe Cloud: Einführung in die verschiedenen Cloud-Dienste Das große Thema „Cloud“ ist in Bewegung, fast täglich kommen neue Dienste hinzu, andere fusionieren oder werden eingestellt. Die DVZ.info gibt einen Überblick zur derzeitigen Situation in Deutschland und widmet sich auch künftig verschiedenen Schwerpunkten dieses Themenkomplexes. Nachdem in der letzten Ausgabe ausführlich über das Richtlinienpapier „Cloudservices der Datenzentralen“ berichtet wurde, sind diesmal die verschiedenen Services aus der Wolke an der Reihe. Seit dem Erscheinen der Mai-Ausgabe und der inhaltlichen Vorstellung des Gemeinschafts-Papiers des „Arbeitskreises der Leiter Datenzentralen“ (ALD) ist einiges passiert. So stellten im Juli dieses Jahres Thomas Lenz, Staatssekretär im Innenministerium M-V, sowie seine Amtskollegin aus Rheinland/Pfalz, Heike Raab, das Entwurfsdokument im IT-Planungsrat (IT-PLR) vor. Bis zur nächsten Sitzung wird durch die ALD ein Erfahrungsbericht erarbeitet, der wiederum noch in diesem Jahr fest auf der Tagesordnung der anstetehenden IT-PLR-Tagung 26 verankert ist. Es kommt also immer mehr Bewegung in die Thematik einer Nutzung von Clouddiensten in der Verwaltung. Zudem vermarktet auch die im europäischen Umfeld agierende Euritas (European Association of Public IT Service Providers) diese Richtlinie mit Empfehlung länderübergreifend. Grund genug, um einen Blick darauf zu werfen, was sich hinter den verschienenen Cloud-Diensten verbirgt. Dabei spielt nicht nur der Integrationsgrad eine Rolle, sondern auch Faktoren wie Messbarkeit und Skalierbarkeit der Services. DVZ.info 02I14 Viele reden von der Cloud - fast jeder hat eine. Der genaue Blick verrät jedoch oftmals, dass nicht immer und überall das drin steckt, was drauf steht. Nimmt man es genau, betreiben wir als Landesdienstleister M-V schon seit mehr als fünf Jahren mit der IP-Telefonie erfolgreich einen Cloud-Service, der alle oben genannten Kriterien erfüllt. Diese Erfahrungen nutzen wir, um uns künftig verstärkt den SaaS-Diensten zu widmen. Aktuell laufen viele Gespräche mit namhaften Cloudanbietern. Als Autor und Initiator der Cloudrichtlinie ist es unser Ziel, für die Verwaltung in M-V, aber auch bundes- und europaweit maßgeschneiderte Cloud-Dienste bereit zu stellen. Gerne erarbeiten wir mit Interessenten gemeinsam maßgeschneiderte Einsatzmöglichkeiten. Applikation Applikation Applikation Applikation Runtime Runtime Runtime Runtime Middleware Middleware Middleware Middleware Betriebssystem Betriebssystem Betriebssystem Betriebssystem Virtualisierung Virtualisierung Virtualisierung Virtualisierung Server Server Server Server Speicher Speicher Speicher Speicher Netzwerk Netzwerk Netzwerk Netzwerk Entwickeln Entwickeln SaaS SaaS BPaaS BPaaS Prozess Prozess Einführung geplant für DVZ-Kunden Prozess Prozess Hosten Hosten AUSBLICK PaaS PaaS Prozess Prozess AGemessen Noch nicht so geläufig, aber vom Wesen her der nächste Evolutionsschritt der Cloud-Services, ist „Business-Process as a Service“ (BPaaS) - in erster Linie interessant für die Verwaltung. Bei diesem Modell werden Geschäftsprozesse in der Cloud abgelegt und können vom Anwender ausgeführt werden. Allgemein bleibt festzustellen: Jeder Cloud-Dienst hat seine Berechtigung und sein Einsatzszenario, das einzig und allein durch die Nutzer bestimmt wird. Je mehr die Nutzer bereit sind Kontrolle abzugeben und Standardisierungen zu akzeptieren, desto einfacher werden die Dienste in ihrer Bedienbarkeit. Allerdings sinkt mit der Komplexität auch die Flexibilität bei steigender Abhängigkeit von den Cloud-Anbietern. Att & ak Einführung geplant für DVZ-Kunden Ergänzung der eigenen DVZ-Infrastruktur Ergänzung der eigenen DVZ-Infrastruktur IaaS IaaS BPaaS - Public Government Cloud der nächsten Generation Applikation Applikation Runtime Runtime Middleware Middleware Betriebssystem Betriebssystem Virtualisierung Virtualisierung Server Server Speicher Speicher Netzwerk Netzwerk Konsumieren Konsumieren Prozess Prozess Evaluierung durch DVZ M-V GmbH Für die eindeutige Zuordnung entsprechender Dienste müssen Cloudmodelle aus DVZ-Sicht grundsätzlich folgende Kriterien erfüllen: Diensteerbringung auf Anforderung (Selbstbedienung) Netzwerkbasierter Zugang, Schnelle, bedarfsgerechte Skalierbarkeit, Gemeinsame Nutzung sowie Messbare Dienstqualität. Erst wenn alle fünf Merkmale zutreffen, kann von einem Cloud-Service die Rede sein. Innerhalb dieser Kategoriesierung wird dann hinsichtlich der Integrationstiefe weiter differenziert. Beim Anmieten externer Hardware (Server, Speicher, Rechenleistung) mit dem Ziel, die eigenen Systeme und die Software performanter zu machen, handelt es sich um „Infrastructure as a Service“ (IaaS). Teilweise wird IaaS auch mit einem Betriebssystem bereitgestellt. Mietet man zusätzlich zur Hardware auch Middleware und Runtime, stellt der Anbieter den Dienst als „Platform as a Service“ (PaaS). Nutzer können hier beispielsweise eigene Anwendungssoftware betreiben und müssen sich nicht mehr um die Konfiguration der Plattform kümmern. Die nächste Integrationsstufe stellt eine PaaS-Umgebung mit entsprechendem Softwareangebot dar. Der als „Software as a Service“ (SaaS) betitelte Dienst gibt die Verantwortung für die Anwendung an den Cloud-Anbieter. Nutzer müssen für dieses Modell lediglich die applikationsrelevanten Daten zur Verfügung stellen. Die Ergebnisse verschiedener Testszenarien eines IaaS-Dienstes in der „public cloud“ finden Sie auf der nächsten Seite. Evaluierung durch DVZ M-V GmbH IaaS, PaaS, SaaS: wo sind die Unterschiede? Applikation Applikation Runtime Runtime Middleware Middleware Betriebssystem Betriebssystem Virtualisierung Virtualisierung Server Server Speicher Speicher Netzwerk Netzwerk Integrieren Integrieren am Grad der Integrationstiefe ergeben sich für die Cloud Services verschiedene Kategorien gemäß Cloud Computing Reference Architecture DVZ.info 02I14 27 E ntwickeln IaaS: Auf Herz und Nieren untersucht Im Praxistest - eine „Infrastructure as a Service“ (IaaS) in der Public Cloud Nicht nur die Cloud Services selbst entwickeln sich rasant, auch für die öffentlichen Verwaltung bergen die Dienste jetzt und zukünftig ein enormes Potenzial. Grund genug, einen Praxistest durchzuführen und einen Service auf die technische Leistungsfähigkeit zu überprüfen. Diesmal: Infrastructure as a Service. Als Beispiel für den Test des DVZ diente eine Webseite, die auf einen öffentlichen IaaS-Server abgelegt wurde. Der Dienst wurde so konfiguriert, dass im Normalzustand nur ein Server lief. Je nach Auslastung der Hardware sollte die Infrastruktur proaktiv und eigenständig skalieren und innerhalb von fünf Minuten je einen Server bis auf maximal sechs Server zuschalten. Die Konfiguration erfolgt dabei nach CPU-Auslastung. Das bedeutet, dass die Server ab einer bestimmten Lasterhöhung (hier zwischen 20 und 30 Prozent) „aufrüsten“, um die gewünschte Performance dauerhaft aufrecht zu halten. 28 Testszenario 1: Viele Zugriffe in kurzer Zeit Der erste Test sollte einen extrem hohe Anzahl an Zugriffen in kurzer Zeit simulieren um zu sehen, inwieweit der CloudService seine Ressourcen für einen unterbrechungsfreien Dienst skaliert. Die Webseite wurde über ein Lasttest-Tool von den DVZ-eigenen Servern aufgerufen. Der erste Test lief über drei Tage, innerhalb dieser wurde pro Tag ein Lastzyklus von sechs Stunden gefahren, der kontinuierlich 139 Zugriffe pro Sekunde (das entspricht ca. 0,5 Millionen Zugriffe pro Stunde) generierte. DVZ.info 02I14 Zugriffe pro Intervall in Tausend Anzahl der Server Zugriffe in Tausend/ Minute Anzahl der Server 600 6 12 6 500 5 10 5 400 4 8 4 300 3 6 3 200 2 4 2 100 1 2 1 0 0 ATest 1: Hohe Zugriffszahlen innerhalb eines kurzen Zeitraumes waren kein Problem für den Dienst Diese Nutzlast entspricht beispielsweise einem Katastrophenportal im Ernstfall (z. B. Hochwasser) oder von Petitionsseiten die meist in kurzer Zeit einen hohen, konzentrierten Besucherstrom aufweisen. Wie man der Grafik entnehmen kann, skalierte der IaaSDienst in kurzer Zeit auf fünf Server. Dadurch blieb die Webseite auch bei hohen Zugriffszahlen weiterhin erreichbar. Nachdem sich die Zugriffe auf hohem Niveau stabilisiert hatten, konnte ein Server abgeschaltet und die Webseite mit nur noch vier Servern bereitgestellt werden. Trotzdem war sie in der Lage, 500.000 Zugriffe pro Stunde zu gewährleisten. Nach einem Stop der Zugriffe skalierte der Dienst in kurzer Zeit wieder auf einen Server. Der Test zeigt somit, dass der Dienst die Webseite trotz höherer Zugriffszahlen in kurzer Zeit kontinuierlich darstellen und die Skalierung problemlos regeln konnte. Testszenario 2: Schwankende Zugriffszahlen über längeren Zeitraum Auch eine kontinuierliche Laständerung, das heißt mit schwankenden Zugriffszahlen über einen längeren Zeitraum, ließ die Skalierbarkeit des Dienstes einwandfrei nachweisen. Dazu wurde eine fast identische Konfiguration wie bei dem ersten Test durchgeführt, mit dem einzigen Unterschied, dass bis zu zwei Server gleichzeitig zugeschaltet werden konnten bis das eingestellte Maximum von sechs Servern erreicht war. Der Test lief über einen Zeitraum von fünf Tagen und bestand aus zehn Lastzyklen von je einer Stunde pro Tag. Während jedes Lastzyklus wurde alle zehn Minuten die Anzahl der Zugriffe pro Sekunde (1, 10, 50, 100, 200, 0) geändert. Auch hier reagierte der Dienst so, dass bei steigenden Zugriffszahlen die Kapazitäten zu- und nach Rückgang wieder abgeschaltet wurden. Während dessen erfolgte eine kontinuierliche Darstellung der Webseite. DVZ.info 02I14 ATest 2: Auch bei schwankenden Zugriffen über einen längeren Zeitraum bestätigte die Skalierbarkeit des Dienstes Die Skalierung der Ressourcen ist insbesondere dahingehend wichtig, dass die IaaS-Dienste zum einen nach Datenvolumen, aber auch nach eingesetzter Hardware abgerechnet werden. Da dies im Praxistest wie gezeigt problemlos funktioniert, fallen tatsächlich nur die Kosten für die abgerufene Leistung an. Grundstein für die Verwaltung gelegt Aus technischer Sicht spricht daher nichts gegen den Einsatz von Cloud-Technologie, die Technik ist ausgereift und wird sowohl im privaten, als auch im kommerziellen Umfeld bereits erfolgreich eingesetzt. Für die öffentliche Verwaltung bestehen, zumindest für Dienste, die über Informations-Webseiten hinausgehen, nach wie vor Hindernisse in der Anwendung. Die zukünftige Gesetzgebung kann aber dazu beitragen, dass Cloudlösungen auch für die Verwaltung realisierbar werden. Welche rechtlichen Rahmenbedingungen derzeit bestehen und womit in Zukunft zu rechnen sein kann, wird in der nächsten Ausgabe der DVZ.info näher beleuchtet. Att T E S T - V E R A N T WO R T L I C H E R „Wir haben den Cloud-Dienst IaaS erfolgreich getestet und somit die durchgängige Erreichbarkeit öffentlicher Internetseiten verifizieren können. Es war ohne Probleme möglich, mit Hilfe der IaaS-Lösung die Ressourcen bei Lastspitzen sicherzustellen und so für einen störungsfreien Betrieb der Internetseite zu sorgen.“ Hartmut Ruhkieck hat mit seinem Sachgebiet Kommunikationslösungen die IaaS-Tests im DVZ zusammen mit anderen Bereichen durchgeführt. 29 www.dvz-mv.de/dvzinfo
