Das IT-Risikomanagement ist eine Disziplin, die – so zeigen Studien des Marktforschungsinstituts Steria Mummert Consulting – in vielen deutschen Kommunen bislang sträflich vernachlässigt wird. Wie moderne IT-Strukturen in öffentlichen Verwaltungen umfassend und professionell geschützt werden können, demonstriert das Landratsamt Miltenberg.

Unterstützt von der Unternehmensberatung CSE wurde ein Reporting-System für Zugriffsberechtigungen implementiert, welches das Datensicherheitskonzept des Amtes optimal ergänzt.

Die Herausforderungen, denen sich öffentliche Verwaltungen in Deutschland gegenübersehen, sind vielfältig. Neben Finanzierungsproblemen und Amtsmissbrauch zählen nach den Ergebnissen der von Steria Mummert Consulting in Zusammenarbeit mit dem F.A.Z.-Institut erstellten Studie „Branchenkompass 2008 Public Services“ die Abwehr von IT-Angriffen zu den dringendsten Aufgaben. Risiken systematisch identifizieren, steuern und überwachen sind die Kriterien, die ein vorausschauendes Risikomanagement auszeichnen – eine Einschätzung, der 70 % der im Rahmen der Untersuchung Befragten zustimmen. In der Praxis hat allerdings nur jede siebte öffentliche Verwaltung solche Überwachungsprozesse tatsächlich implementiert.

Vom Amt zum Serviceprovider

Während drei Viertel der Kommunal- und Landesverwaltungen einzelne Aufgaben – darunter häufig auch die IT – auslagern, um ihre Finanzen zu entlasten und gleichzeitig örtliche Unternehmen zu fördern, stellt sich das Landratsamt Miltenberg den EDV-technischen Herausforderungen. Als sogenanntes LandkreisService-Center ist die IT-Abteilung des Landratsamts nicht nur für die EDV-technische Betreuung von ca. 380 amtsinternen Mitarbeitern verantwortlich. Zu ihren Aufgaben zählt darüber hinaus die Übernahme zentraler IT-Dienste für die nicht weniger als 32 zum Landkreis zählenden Gemeinden.

„Im Jahre 2005 haben wir damit begonnen, unser Rechenzentrum mit dem Anspruch auf Hochverfügbarkeit komplett neu zu strukturieren“, berichtet Michael Mechler – eine Vorsorgemaßnahme, die sich bereits zwei Jahre später, Ende 2007, anlässlich eines massiven Systemausfalls ausgezahlt hat. Beim Umzug einer Domain-Controller-Infrastruktur kam es zu technischen Problemen, mit der Folge, dass die komplette Berechtigungsstruktur im Active Directory verloren ging. „Aufgrund unseres umfassenden Disaster-Recovery-Konzepts ist es uns zwar gelungen, alle betroffenen Datenbestände zeitnah zu rekonstruieren. Der Vorfall hat aber auch aufgezeigt, dass unser Sicherheitskonzept hier Verbesserungspotenzial aufweist“, so Mechler. Zwar konnten die Berechtigungen mithilfe der vorhandenen Backups rekonstruiert werden, verbindliche schriftliche Reports, aus denen eindeutig hervorgeht, welcher Mitarbeiter auf welche Datenbestände zugreifen darf, existierten jedoch nicht.

Mit der Suche nach einer Lösung, die ein exaktes Reporting auf Filesystem-Ebene durchführt, beauftragte Mechler die CSE Unternehmensberatung. Nach Angaben von Timo Drach, Systemberater bei CSE, wird die beschriebene Thematik häufig unterschätzt. „Moderne IT-Strukturen werden nicht zuletzt durch zunehmende Virtualisierung immer komplexer. Systemadministratoren haben es schwer – insbesondere wenn, wie im Fall des Landratsamts Miltenberg, tief verschachtelte Filesystem-Strukturen vorliegen –, den Überblick über Datenquellen und Zugriffsberechtigungen zu behalten“, erläutert er. Während Firmen große Anstrengungen unternehmen, externe Sicherheitsbedrohungen zu beseitigen, werden nach Drachs Worten interne Sicherheitsbedrohungen, nicht selten hervorgerufen durch unklar definierte Zugriffsrechte, oft übersehen. Nach eingehender Analyse der IT-Struktur empfahl er den Einsatz der von Brocade entwickelten File Area Network Software „MyView“.

Alles im Blick

MyView ermöglicht Administratoren über eine einheitliche Konsole einen zentralen Blick auf Benutzerzugänge und die Berechtigungszuweisung dezentraler Dateien. Sicherheits-Checks ermöglichen eine exakte, rationalisierte Strukturprüfung und Berichterstattung, wer die Benutzer sind und auf welche Datenressourcen sie Zugriff haben. Der umfassende Blick auf Benutzerzugriffe und Authentifikation ermöglicht Unternehmen die Einhaltung von Gesetzes‑, Branchen- und Sicherheitsvorschriften. Reporting-Möglichkeiten beinhalten bei Bedarf beispielsweise eine personalisierte Ansicht je Benutzer und Abteilung, basierend auf individuellen Sicherheitsberechtigungen und organisiert nach Abteilung bzw. Standort.

Nach eingehender praktischer Prüfung der Funktionalität durch Michael Mechler und sein Team im Brocade-Democenter erfolgte die Einführung. „Die zweitägige Implementierung hat den RZ-Betrieb in keiner Weise beeinflusst. Wir haben unter VMware einen eigenen MyView-Server definiert und die Software, bei der es sich hauptsächlich um eine Datenbankanwendung zur Verwaltung der einzelnen Reports handelt, installiert“, beschreibt Timo Drach die Vorgehensweise. Nach der Konfiguration, bei der die Applikation an die Besonderheiten der vorliegenden Infrastruktur angepasst wurde, erfolgte die Einweisung der Administratoren.

Nach Angaben von Michael Mechler deckt MyView die Sicherheitsanforderungen sowohl im Tagesbetrieb als auch für den Fall eines Systemabsturzes ab und erweitert das Disaster-Recovery-Konzept des Landratsamts Miltenberg um einen wesentlichen Aspekt. „Im Rahmen von kontinuierlichen Sicherheits-Checks können wir sowohl die Berechtigungen einzelner Benutzer überprüfen als auch umgekehrt feststellen, welche Benutzer auf Unterordner in beliebigen File-Systemen zugegriffen haben. Sollte es zu einem katastrophalen Systemzusammenbruch kommen, sind wir jetzt in der Lage, anhand von ausgedruckten und sicher verwahrten Reports aktuelle Berechtigungsstrukturen per Hand zu rekonstruieren.“

CSE Unternehmensberatung-EDV GmbH, Mainz
www.cse-ub.de