Suchen

Zentrale Lösung in Essen Migration von öffentlichen IT-Systemen

| Autor / Redakteur: Florian Stocker / Susanne Ehneß

Eine Unternehmensfusion ist sehr oft auch eine Fusion von IT-Systemen. Welche Verbesserungspotenziale der Wechsel auf eine neue, zentrale Lösung birgt, zeigt das Beispiel des Essener Systemhauses. Der kommunale IT-Dienstleister nutzte die Zusammenlegung mit einem anderen IT-Dienstleister im Konzern Stadt Essen, um die bisher genutzten Systeme zur Zwei-Faktor-Authentifizierung in einer neuen zentralen Lösung zu vereinheitlichen.

Firmen zum Thema

Blick auf das Rathaus der Stadt Essen: Die Stadtverwaltung plant in naher Zukunft, alle Mitarbeiter mit externen Zugriffen auszustatten, die mit 2FA von privacyIDEA gesichert sind
Blick auf das Rathaus der Stadt Essen: Die Stadtverwaltung plant in naher Zukunft, alle Mitarbeiter mit externen Zugriffen auszustatten, die mit 2FA von privacyIDEA gesichert sind
(© Elke Brochhagen|Stadtbildstelle Essen)

Das Essener Systemhaus verwaltet mit rund 250 Mitarbeiterinnen und Mitarbeitern die gesamte IT-Infrastruktur der Stadtverwaltung Essen sowie eines Großteils der kommunalen Betriebe. Darunter fallen über 40 Fachbereiche, Institute und Eigenbetriebe der Stadt Essen sowie über 15 städtische Beteiligungsgesellschaften. Allein durch die Vielzahl an angebundenen Dienstleistern und Mitarbeitern ist eine gewisse Offenheit der Systeme essentiell für den Betrieb.

Besonders der Remote-Zugriff aus der Ferne muss reibungslos möglich sein, gleichzeitig aber höchste Sicherheitskriterien erfüllen. Die Sicherung des Zugriffs mittels Zwei-Faktor-Authentifizierung ist darum eine wichtige Systemkomponente. Gerade an dieser Schnittstelle zwischen User und IT-Infrastruktur gilt: Je effizienter das System, desto reibungsloser die Nutzerverwaltung und desto geringer die Kosten.

Fusion als Chance

Im Jahr 2016 fusionierte das Essener Systemhaus mit einem anderen Dienstleister. Im Zuge dieser Fusion kam schließlich die zwangsläufige Frage auf, wie man die parallel eingesetzten Zwei-Faktor-Authentifizierungssysteme (2FA) sinnvoll in einer zentralen Lösung zusammenführt. Beide Unternehmen nutzten zuvor jahrelang das Linux-basierte 2FA-System LinOTP und die Administratoren standen nun vor der Frage: Bei LinOTP bleiben? Oder auf eine neue Lösung setzen?

Da die Fusion den Administratoren die Chance bot, grundsätzlich die eingesetzten IT-Systeme zu evaluieren, wurden auch andere 2FA-Systeme untersucht, die mittlerweile auf dem Markt existieren. Dabei stießen die Betreiber schnell auf die ebenfalls quelloffene Software privacyIDEA.

privacyIDEA wurde 2014 als „Fork“, also einer abgespaltenen Weiterentwicklung von LinOTP mit dem Ziel entwickelt, den vollen Funktionsumfang der 2FA-Lösung zu erhalten, darüber hinaus aber dem User mit einer moderneren Architektur, einem übersichtlicheren User Interface, mehr Transparenz in der Entwicklung, mehr Features und besserem Support einen entscheidenden Mehrwert zu bieten. All diese Faktoren führten in Summe dazu, dass sich das Essener Systemhaus entschieden hat, auf privacyIDEA zu wechseln.

Schnelle Migration

Die Aufgabe bestand für die Projektpartner nun darin, die Daten aus beiden LinOTP-Systemen sinnvoll zusammenzuführen und privacyIDEA als neue Authentifizierungslösung bereitzustellen. Eine entscheidende Rolle spielte hierbei die Zusammenarbeit mit der NetKnights GmbH. Das IT-Security-Unternehmen aus Kassel, das die Software privacyIDEA federführend entwickelt und Beratung und Services rund um privacyIDEA bietet, unterstützte das Essener Systemhaus bei der Implementierung der neuen Software und der Überführung der Daten.

privacyIDEA stellt für die Migration von LinOTP in seinem Github-Repository ein Script bereit, das von jedem genutzt werden kann. Das Tool exportiert die verschlüsselten Daten aus LinOTP und importiert sie in privacyIDEA, wobei es diese bei dem Vorgang auf Wunsch mit einem neuen Key neu verschlüsseln kann.

Um allerdings verschiedene Instanzen in privacyIDEA zusammenzuführen, war es nötig, dieses Script so weiterzuentwickeln, dass ein Migrationsschritt mehrmals mit verschiedenen Instanzen durchgeführt werden konnte. Diese Entwicklung stellte die Hauptaufgabe für beide Projektpartner dar, die in kleinen Iterationsschritten in nicht mehr als zwei Tagen gelöst werden konnte.

In mehreren Testdurchläufen konnte die Migration probeweise durchgeführt und so ein verlustfreier und reibungsloser Wechsel sichergestellt werden. Die eigentliche Datenmigration dauerte dann weniger als zehn Minuten und umfasste knapp 1.500 Benutzerkonten.

„Der Migrationsprozess war ein Paradebeispiel dafür, wie gute Kommunikation aller internen und externen Beteiligten ein Projekt gelingen lässt. Die Zusammenarbeit zwischen Systemmanagement und operativer Security stellte die Weichen für die Migration, während die Unterstützung der Firma NetKnights eine reibungslose Durchführung garantierte: Von der Installation bis zur Überführung in den produktiven Betrieb“, betont Thomas Rauprich, Systemadministrator im Bereich Server- und Speichermanagement beim Essener Systemhaus.

Zentrale Lösung

Die Einführung von privacyIDEA führte dazu, dass das Essener Systemhaus langfristig die Struktur der eingesetzten Zugangstoken deutlich vereinheitlichen konnte. Nachdem bis Ende dieses Jahres auch die letzten RSA-Systeme durch privacyIDEA ersetzt werden, wird innerhalb der gesamten Infrastruktur langfristig nur noch ein zentrales System genutzt werden.

Auch die Benutzeroberfläche und die hohe Flexibilität in den Einstellungen haben sich in der täglichen Arbeit bewährt. Die Nutzerverwaltung und die Richtlinieneinstellungen erlauben individuellere Anpassungen als noch zuvor über LinOTP. Zu nennen ist hier vor allem das Event-Handler-Framework, das es möglich macht, Aktionen wie das Versenden von Benachrichtigungsmails an beliebige Ereignisse zu binden.

So ist es zum Beispiel möglich, User nach Ausrollen eines Tokens automatisiert zu informieren, was dem Administrator die Arbeit deutlich erleichtert. Ebenso sind die Audit-Logs besser auf die Bedürfnisse des Essener Systemhauses abgestimmt: privacyIDEA ermöglicht granulare Einstellungsmöglichkeiten, mit denen festgelegt werden kann, wie lange Einträge über unterschiedliche Arten von Ereignissen aufgehoben werden sollen. Dadurch, dass das Essener Systemhaus derzeit auf die Community-Lösung von privacyIDEA setzt, sind die laufenden Kosten für das Authentifizierungssystem sehr gering.

Das Essener Systemhaus verwaltet die gesamte IT-Infrastruktur der Stadtverwaltung Essen sowie eines Großteils der kommunalen Betriebe
Das Essener Systemhaus verwaltet die gesamte IT-Infrastruktur der Stadtverwaltung Essen sowie eines Großteils der kommunalen Betriebe
(© Peter Prengel|Stadtbildstelle Essen)

Intensivere Nutzung in der Zukunft

Für die Zukunft plant das Essener Systemhaus, privacyIDEA noch intensiver zu nutzen. Einerseits ist angedacht, auch die zum Austausch und zur gemeinsamen Bearbeitung von Dateien eingesetzte Nextcloud mittels 2FA zu sichern. Ferner sollen künftig auch Accounts für sogenannte Light User, die nur eingeschränkten Zugriff auf die IT-Systeme der Stadt Essen haben, angeboten werden.

Damit wären langfristig alle städtischen Mitarbeiter mit einem externen Zugriff ausgestattet, was auch an die Authentifizierungslösung hohe Anforderungen stellt. Schließlich würden die Nutzerzahlen damit von derzeit 1.500 auf 13.000 – 15.000, also rund das Zehnfache steigen. Im Rahmen dieser Erweiterung spielt das Event-Handler-Framework ebenfalls eine wichtige Rolle. Denn seine Flexibilität ermöglicht es, viele Prozesse in privacyIDEA zu automatisieren, um so Fehler zu vermeiden und Zeit zu sparen. Weiterhin sollen Microsoft SharePoint und der Web Access für Microsoft Outlook mit der 2FA-Lösung gesichert werden.

(ID:46746575)