Enterprise Mobility Mobile Endgeräte für die Verwaltung des Landes Berlin

Redakteur: Susanne Ehneß

Mobile Devices werden in deutschen Amtsstuben mehr und mehr zum Standard. Auch in der Berliner Verwaltung: Dort hat man sich für den Einsatz von Telefonen und Tablets auch auf iOS- und Android-Basis entschieden.

Anbieter zum Thema

Das Gebäude des ITDZ in Berlin
Das Gebäude des ITDZ in Berlin
(Bild: ITDZ)

Schärfste Sicherheitsvorkehrungen prägen die Informations- und Kommunikationsinfrastruktur (IKT) der Landesverwaltung in Berlin. Schließlich müssen zum Teil hochsensible Daten – beispielsweise die des Senats, aber auch Personendaten der Berliner Bürger – vor unbefugtem Zugriff geschützt werden.

Die mobile Kommunikation bildet da keine Ausnahme. Bislang sorgten die für den Business-Einsatz konzipierten Blackberrys als Dienstgeräte für die erforderliche Sicherheit. Nun war es Zeit, auch moderne Geräte auf Basis von iOS (iPhone, iPad) und Android einzuführen.

Die Verwaltung hatte mit dem IT-Dienstleistungszentrum (ITDZ) Berlin und dem Systemhaus Cema zwei Partner an der Seite, die sich den hohen Sicherheits- und Compliance-Anforderungen stellten.

Für das ITDZ Berlin, das als Full-Service-Provider die entsprechende ITK-Infrastruktur und Services für die rund 40.000 Nutzer im Öffentlichen Dienst Berlins bereitstellt, war klar: „Nur mit einer speziellen Softwarelösung lassen sich dienstliche Daten auf unterschiedlichen Mobilgeräten absichern, damit die Endanwender mit dem Dienstgerät ihrer Wahl arbeiten können“, erklärt Tobias Krampe, Produktmanager „IT-Sicherheit und Datennetze“ beim ITDZ Berlin.

Eine Frage der Sicherheit

Nach einer Analyse aktueller Mobile-Device-Management-Lösungen entschied sich die Landesverwaltung für „Dynamic Mobile Exchange“ (DME) des dänischen Herstellers Excitor. Diese Software habe als einzige die strengen Sicherheitsvorgaben des Landes Berlin sowie das Anforderungsprofil des ITDZ erfüllt.

Hierbei werden die geschäftlichen Daten auf der Betriebssystem-Ebene des Endgeräts von anderen Daten strikt isoliert. Hierzu richtet DME auf jedem Device eine spezielle verschlüsselte Unternehmenspartition ein. Aufgerufene geschäftliche Einträge wie Mails oder Intranet-Daten werden in diesem verschlüsselten und passwortgeschützten Business-Container dargestellt und sind getrennt von den lokalen anderen Daten des Nutzers. Im Notfall lässt sich der Business-Container über die zentrale Managementplattform vom Endgerät löschen. Bei Falscheingabe der Zugangsdaten geschieht dies automatisch.

Eine weiterer Pluspunkt der Lösung: Sämtliche Daten bleiben „inhouse”, denn die verschlüsselte und authentifizierte Kommunikation mit den Endgeräten läuft komplett über das Rechenzentrum des öffentlichen Unternehmens.

Wie es weiterging, lesen Sie auf der nächsten Seite!

Erfahrener Partner

Geschäftliche Einträge wie eMails oder Intranet-Daten werden in einem verschlüsselten und passwortgeschützten Business-Container dargestellt und von lokalen anderen Daten getrennt
Geschäftliche Einträge wie eMails oder Intranet-Daten werden in einem verschlüsselten und passwortgeschützten Business-Container dargestellt und von lokalen anderen Daten getrennt
(Bild: Cema)
Als DME-Experte unterstützte das Systemhaus Cema das ITDZ bei der Implementierung. „Davon konnten wir im Projekt deutlich profitieren“, betont Krampe. Nach zwei Monaten waren die Kommunikationsinfrastruktur angepasst und die Verwaltungsorganisation eingebunden. Das DME-Server Gateway, das für den Datentransfer zu den Endgeräten verantwortlich ist, wurde auf einer virtuellen Maschine im Netzwerk des ITDZ Berlin installiert. Die Daten erhält es von Konnektoren, die sich innerhalb des Sicherheitsnetzes des ITDZ Berlin mit dem zentralen Microsoft Exchange Server und Active Directory synchronisieren.

Eine besondere Herausforderung beim Aufbau der DME-Hochsicherheitsarchitektur war die Anbindung der rund 50 Verwaltungseinheiten mit teilweise eigener Mailserver-Struktur und ohne Anschluss an das Active Directory der Berliner Landesverwaltung. In der Standardkonfiguration bräuchte jede Domain einen eigenen Konnektor.

Nach den Vorgaben der Cema entwickelte Excitor daher eine spezielles Add-on, mit dem sich mehrere Domains ohne spezielle Konnektoren unter einer Hauptdomain integrieren lassen.

Produktivbetrieb mit Extras

Im Herbst 2012 fand die Übergabe an das Produktivsystem statt. Aktuell nutzen zehn Verwaltungen mit rund 250 Usern die Lösung, die Zahl soll sukzessive auf 1.000 Anwender steigen. Bislang ist der Zugriff auf Kalender und eMails möglich. Über die DME-AppBox, die mittlerweile installiert ist, lassen sich auch Intranet-Dienste und webbasierte Anwendungen mobil nutzen. Die Software beschert der Berliner Verwaltung laut ITDZ und Cema zahlreiche Vorteile:

  • Strikte Trennung zwischen geschäftlichen und anderen Daten,
  • Erfüllung der datenschutzrechtlichen und Sicherheitsvorgaben des Landes Berlin,
  • einfache Skalierbarkeit auf tausende Anwender,
  • schlanke Integration von 50 Dienststellen durch Multidomain-Umgebung,
  • effiziente dezentrale Verwaltung von Usern und Geräten durch mandantenfähige Plattform,
  • erhöhte Nutzerzufriedenheit durch freie Wahl des mobilen Dienstgeräts.

Nächstes Projekt

Das nächste Projekt steht bereits in den Startlöchern: DME soll mandantenfähig gemacht werden. Damit erhalten die angeschlossenen Dienststellen die Möglichkeit, selbstständig User zu löschen oder Geräte zu sperren. Bereits jetzt haben sie über das lokale Active Directory volle Kontrolle darüber, welcher Mitarbeiter DME nutzen darf und welche Rechte er erhält. Dazu weisen sie über den Verzeichnisdienst einzelnen Usern oder ganzen Gruppen bestimmte Policies zu, ob etwa eMail-Anhänge geöffnet werden dürfen.

„Innerhalb kurzer Zeit haben wir einen hochsicheren und zukunftsweisenden Dienst für die gesamte Berliner Landesverwaltung auf die Beine gestellt, der sowohl für die einzelnen Einrichtungen als auch für die Endanwender attraktiv ist“, resümiert Krampe.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:42767466)