IT-Versorgungskonzept. des Hochschulrechenzentrums

Transkript

1 IT-Versorgungskonzept des Hochschulrechenzentrums vorgelegt im November 2008

2 Gliederung 1 Einleitung, Begriffe.... Seite 3 2 Schichtenmodell.... Seite Technische Infrastruktur.... Seite Datennetz Seite Dienste-Server... Seite Computerarbeitsplätze.. Seite Betriebsräume Seite Elektro- und Klimaversorgung. Seite Zusammenfassung und Ausblick Seite Basisdienste... Seite World Wide Web (WWW). Seite Seite Fileservice (Datenspeicherung).. Seite Backup (Datensicherung). Seite Software.. Seite HIS-Datenbanken.. Seite Videokonferenz.. Seite Entsorgung. Seite Anrufbeantworter (Message Routing System).. Seite Zusammenfassung und Ausblick... Seite Anwendungsdienste.. Seite HIS-Anwendungen, QIS-Internetmodule... Seite Zeiterfassung, Zutrittskontrolle, Abwesenheitsverwaltung.. Seite Lehrveranstaltungsevaluierung... Seite Raum- und Lehrveranstaltungsplanung. Seite Facility Management. Seite e-learning... Seite Zusammenfassung und Ausblick.... Seite Übergreifende Dienste.. Seite IT-Sicherheit... Seite Identity Management. Seite Zusammenfassung und Ausblick Seite 20 3 IT-Versorgung und Dienstleistungen.. Seite Strukturbezogene IT-Versorgung Seite Dienstleistungen des HRZ im Rahmen der IT-Grundversorgung.. Seite IT-Infrastruktur... Seite Basisdienste... Seite Dienstleistungen des HRZ für die Verwaltungs-IT... Seite Verwaltungsnetz, Hardware und Software Seite Datenbanken und Anwendungen Seite Zusammenarbeit mit Fakultäten und Einrichtungen.... Seite 25 4 Personal.. Seite Personalbedarfsrechnung Seite Personalausstattung. Seite Aufgabengebiet HRZ-Leitung.. Seite Aufgabengebiet Datennetz / Kommunikation Seite Aufgabengebiet Zentrale Server / DV-Organisation Seite Aufgabengebiet Software. Seite Aufgabengebiet Hardware, DV-Technik Seite Aufgabengebiet HIS-Datenbanken. Seite Aufgabengebiet Webmaster Seite Aufgabengebiet Verwaltungsserveradministration... Seite Zusammenfassung und Ausblick Seite 31 5 Investvorhaben Seite 31 Quellen Seite 32 IT-Versorgungskonzept November

3 1 Einleitung, Begriffe Ein IT-Versorgungskonzept ist ein hochschulweiter Plan über die angestrebte Soll-Struktur der IT-Versorgung einer Universität oder Fachhochschule. 1 IT steht dabei für Information Technology (deutsch: Informations- und Kommunikationstechnik). IT-Versorgung soll verstanden werden als die Betreuung der IT-Infrastruktur und der nutzenden Personen und Bereiche. IT-Infrastruktur wiederum steht als Oberbegriff für die gesamte Daten-, Rechen-, Visualisierungs- und Kommunikationstechnik, darauf aufbauende Anwendungen und Dienste sowie die zugrunde liegenden Datenbestände und die Betriebsräume. Was ein solches IT-Versorgungskonzept beinhalten sollte, darüber besteht innerhalb des ZKI (Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e.v.) zunehmend Klarheit und Konsens. 2 Folgerichtig geht vorliegendes Konzept von einer groben Darstellung und Beurteilung der technischen Infrastruktur, der aufbauenden Dienste und der personellen Gegebenheiten aus. Aufgaben - insbesondere für das kommende Jahr werden als Ausblicke daraus abgeleitet. Ein zentraler IT-Dienst ist eine Dienstleistungseinrichtung einer Universität oder einer Fachhochschule, die fakultäts- bzw. fachbereichsübergreifend IT-Infrastrukturen betreut und ergänzende IT-Dienstleistungen anbietet. Synonym dazu wird der Begriff Hochschulrechenzentrum verwendet. 3 In diesem Sinne ist das Hochschulrechenzentrum (HRZ) Lieferant von IT-Dienstleistungen innerhalb der Hochschule; die Nutzer und Struktureinheiten sind die Kunden. Der Aufbau von Kunden-Lieferanten-Beziehungen setzt einen hochschulweiten Überblick über IT-Serviceangebote voraus. 4 Auch dieser Aspekt wurde berücksichtigt. Im Abschnitt wird auf die gegenwärtig erbrachten Dienstleistungen eingegangen. Das IT-Versorgungskonzept ist die Sicht des HRZ auf die IT-Entwicklung und die Dienste an der Hochschule. Es sollte mit der IT-Strategie der Hochschulleitung abgeglichen sein. 2 Schichtenmodell Verschiedentlich wird der Begriff Digitaler Campus verwendet, um eine Schichtenstruktur darzustellen, die aufbauend auf der technischen Infrastruktur Dienstschichten enthält, die sich nach oben immer weiter von der technischen Basis entfernen und immer stärkeren Nutzerbezug bekommen. 1 Moog, Horst; IT-Dienste an Universitäten und Fachhochschulen. Reorganisation und Ressourcenplanung der hochschulweiten IT-Versorgung. Reihe Hochschulplanung, Band 178. HIS GmbH Hannover S von der Heyde, Markus: Rahmenstruktur für ein IT-Versorgungskonzept. Vortrag auf der ZKI-Herbsttagung Paderborn, Ebenda. S 71 4 Ebenda. S. 74 IT-Versorgungskonzept November

4 Die technische Infrastruktur als unterste Schicht umfasst alle technischen Komponenten: Netz, Dienste-Server und Computerarbeitsplätze sowie Grunddienste des Netzes, die für dessen ordnungsgemäßen Betrieb unabdingbar sind. Darauf bauen techniknahe Basisdienste auf. Sie legen einerseits Grundlagen für Anwendungsdienste, sind oft aber selbst durchaus nutzerbezogen. Ein typisches Beispiel ist der Webdienst (WWW), der den Nutzern einerseits das direkte Arbeiten im World Wide Web ermöglicht, andererseits Grundlage weiterer webbasierter online-dienste innerhalb des Netzes ist. Die Grenzen zwischen Basisdiensten und nutzernahen Anwendungsdiensten sind fließend; manche Zuordnung ist mehr willkürlich Die oberste, nutzernächste Schicht ist die der Nutzerportale. Solche gibt es an der FH Erfurt im eigentlichen Sinne noch nicht. Deshalb fehlt hier diese oberste Schicht. Es gibt Dienste, die schichtenübergreifend wirken: Neben dem Management (das hier nicht weiter erwähnt wird), zählen üblicherweise Querschnittsaufgaben wie die IT-Sicherheit und das zentrale Identity-Management dazu. Sie sind Voraussetzungen dafür, dass die unterschiedlichen Dienste weitgehend ungestört und nutzerbezogen funktionieren können. Anwendungsdienste Lehrveranstaltungsevaluierung Raum- und Lehrveranstaltungsplanung Facility Management HIS-Anwendungen, QIS-Internetmodule Zeiterfassung, Zutrittskontrolle, Abwesenheitsverwaltung e-learning Identity Management Basisdienste HIS-Datenbanken World Wide Web Fileservice Backup Software Videokonferenz Technische Infrastruktur Anrufbeantworter Entsorgung Sicherheit Dienste-Server und ext. Speichereinheiten Computerarbeitsplätze stationär und mobil (PC s, Notebooks, Peripherie) Datennetz (Verkabelung, aktive Komponenten, WLAN, WiN-Zugang, Firewall, Adressverwalltung Die Liste der Dienste in den einzelnen Schichten ist erweiterbar darüber hat die zentrale IT- Strategie der Hochschule zu befinden. Im Folgenden wird näher auf die einzelnen Strukturkomponenten und Dienste eingegangen. IT-Versorgungskonzept November

5 2.1 Technische Infrastruktur Datennetz Der Anschluss an das deutsche Wissenschaftsnetz X-WiN befindet sich seit Jahren im Hauptanschlussraum 5.U.17 auf dem Campus. Die Bandbreite der Zugangsleitung beträgt 600 MBit/s. Der Anschluss ist durchschnittlich zu mehr als 40 Prozent ausgelastet wobei innerhalb eines Semesters durchaus monatliche Auslastungen von mehr als 60 Prozent erreicht werden können; in Semesterpausen deutllich weniger. Der Anstieg der Auslastung ist moderat, so dass davon ausgegangen werden kann, dass der WiN-Anschluss noch einige Zeit ausreichen wird. Der DFN-Verein als Träger des deutschen Wissenschaftsnetzes hat für 2009 die Schaltung redundanter WiN-Zugänge angekündigt. Für unser Datennetz heißt das, dass der Standort Leipziger Straße einen weiteren, redundanten Wissenschaftsnetzanschluss erhalten wird. Die baulichen Arbeiten dazu sind bereits in vollem Gange; die logische Aufschaltung ist Ende 2008 zu erwarten. Die Standorte der FH Erfurt sind untereinander durch Glasfaserleitungen verbunden (Dark Fibre Monomode). Die Fasern sind bei den Stadtwerken Erfurt angemietet und vertraglich bis 2017 gebunden. X-WiN (vorbereitet) Leipziger straße X-WiN Campus Altonaer Straße Steinplatz Schlüterstraße Zwischen den Hauptstandorten (Campus, Leipziger Straße und Schlüterstraße) besteht eine Dreieckverbindung, so dass bei Ausfall einer Leitung der Standort weiter erreichbar bleibt. Der Hauptanschluss-Router im Raum 5.U.17 wurde 2007 durch Zukauf eines Cisco- Systemmoduls wieder fit gemacht, um seine Aufgabe weiterhin erfüllen zu können. Ein weiterer, baugleicher Router ist 2008 entsprechend aufgerüstet worden, um die redundante WiN-Anbindung in der Leipziger Straße bedienen zu können. IT-Versorgungskonzept November

6 Ratsam ist die entsprechende Aufrüstung eines dritten, vorhandenen, baugleichen Cisco- Routers als Investvorhaben 2009, um bei Ausfall eines der beiden aktiven Router Ersatz bereitstellen zu können. Zur Absicherung des Hochschulnetzes ist direkt nach dem WiN-Anschluss eine Hauptfirewall geschaltet, die als Paketfilter den Netzübergang überwacht. Diese Hauptfirewall ist 2008 beschafft worden und auf aktuellem technischem Stand. Das Netz der Hochschulverwaltung ist gegenüber dem allgemeinen Hochschulnetz durch eine zusätzliche Verwaltungsfirewall (beschafft 2004) abgeschottet und wird im HRZ-Sprachgebrauch als internes Verwaltungsnetz bezeichnet. Diese Verwaltungsfirewall sollte 2009 erneuert werden. Da der zweite WiN-Anschluss in der Leipziger Straße aktiv insbesondere für die Versorgung der dort angeschlossenen Studentenwohnheime betrieben werden soll, ist ein separater Filterschutz dort unumgänglich. Als Investvorhaben für 2009 wird (wahrscheinlich als kleine Investition ) eine Firewall oder eine entsprechende Filterbox angeschafft werden müssen. Die FH Erfurt führt zentral die Internet-Domains Mit der Umrüstung auf Gigabit-Ethernet zwischen den Standorten ergab sich die Notwendigkeit, die dortigen TK-Anlagen mit der Amtskopfanlage am Campus über das Datennetz zu koppeln. Da keine separaten Leitungen mehr für Telefonie zwischen den Standorten zur Verfügung stehen, werden die Sprach-Datenströme über DATUS-Multiplexer in die Computerdatenströme ein- bzw. am Ziel aus ihnen wieder ausgekoppelt. Um die Takt-Synchronisation dieses Multiplexer-Verbunds über alle Standorte hinweg gewährleisten zu können, musste jeweils ein ISDN-Basisanschluss eingerichtet werden, der dann gleichzeitig als Notreserve dient. Herzstück des Backbone-Netzes ist ein Core-Switch-Verbund - im Kern bestehend aus zwei Hochleistungs-Switches Nortel Passport 8010 (beschafft 2004 und 2005). Diese Core-Switches befinden sich in den Räumen 5.U.17 sowie 7.E.02. und sind seit 2008 über eine 10-Gigabit- Ethernet-Trunkleitung verbunden. Diese 10GB-Leitung wurde vor der Investitionsplanung kurzzeitig mit Firmenunterstützung getestet, erweist sich aber leider im Dauerbetrieb zunehmend als Problem. Datenfehler häufen sich und führen irgendwann zu Stockungen im Datenverkehr zwischen den beiden Core-Switches und damit am zentralen Netzknoten der FHE. Das kann zwei Ursachen haben: Zum einen die genutzte Multimode-Glasfaser-Verbindung (empfohlen wird Monomode-Technik); zum anderen die technische Ausführungsqualität der Glasfaserkabelverbindung selbst. Wir erwägen sehr ernsthaft das Nachziehen eines neuen Glasfaserkabels zwischen dem Hauptanschlussraum 5.U.17 und dem Serverraum des HRZ. Um diesen Netz- Kern reihen sich Gebäude-Switches, die in den vergangenen Jahren systematisch unter Einbeziehung der Fachbereiche erneuert werden konnten. Insbesondere 2007/2008 sind in einer zweigeteilten Groß-Beschaffung die Edge-Switches für die Übergänge in Gebäude und Fachbereiche grundhaft erneuert worden, so dass von einem insgesamt zeitgemäßen und leistungsfähigen Backbone-Netz ausgegangen werden kann. Angesichts ständig steigender Verkehre und einer Dienste-Zentralisierung wird es in absehbarer Zeit erforderlich werden, die Standortverbindungen auf 10 Gigabit Durchsatz aufzurüsten. Insgesamt sind im Hochschul-Datennetz mehr als 200 aktive Netzkomponenten im Einsatz. Zum Netzbetrieb gehören die Verwaltung der Adressbereiche (IP-Adressen), der Namens- Service (Domain Name Service, DNS) betrieben auf mehreren technisch und räumlich voneinander unabhängigen Servern - und die Zuweisung dynamischer Nutzeradressen (DHCP- Service) wiederum auf eigens dafür eingerichteten Servern. IT-Versorgungskonzept November

7 Primäre Core- Switch 10 GB-Eth. Sekundäre Core- Switch Gigabit-Ethernet Gebäude- und Bereichsswitches (Edge-Switches) Am Campus wurde 2006/2007 ein Funknetz nach Standard a/b/g parallel zum Festnetz aufgebaut. Mit Ausbau des Neubaus Hörsaal- und Laborgebäude wird es gegenwärtig erweitert. Im Endausbau sind am Campus mehr als 70 Access Points im Einsatz und decken die Liegenschaft weitgehend lückenlos ab. Mittlerweile nimmt die FH Erfurt auch am DFN-Roaming teil, d.h. ein Gastnutzer einer ebenfalls teilnehmenden Institution kann sich in das WLAN der Gasteinrichtung einwählen, ohne dort selbst als Nutzer eingetragen sein zu müssen. Die Authentifizierung wird über den RADIUS-Dienst seiner Heimat -Einrichtung vorgenommen. Wir beobachten seit Inbetriebnahme des WLAN im Frühjahr 2007 eine stetige Zunahme an Nutzern. Mehr als 20 Teilnehmer arbeiten tagsüber gleichzeitig im WLAN; in Spitzenzeiten ein Mehrfaches davon Dienste-Server Auf die Server wird im Einzelnen in den Abschnitten 2.2 bis 2.4 eingegangen, so dass hier nur ein Überblick gegeben wird. Gezählt werden lediglich Server, die im und vom HRZ betreut werden: Versorgungsbereich Anzahl produktiver Server im HRZ IT-Grundversorgung hochschulweit 17 Verwaltungs-IT 15 aus/für Struktureinheiten 9 Insgesamt 41 Hinzu kommen noch Test- und Entwicklungsserver sowie externe Speichereinheiten (Storage Arrays). Für 2009 wird das HRZ als Investvorhaben ein Servercluster mit gut ausgerüstetem Storage- Array beantragen, das mittels VMware virtuelle Test-, Entwicklungs- und Produktionsserver für unterschiedliche Anwendungen und Plattformen bereitstellen kann, um im Sinne der Green-IT in den kommenden Jahren die eine oder andere Serveranwendung, die bisher ein eigenes System beansprucht, virtuell darauf umsetzen zu können. Dadurch kann der extensiven Erhöhung der Servermenge sowie dem dadurch verursachten Mehrverbrauch an Elektroenergie und Kühlung entgegen gewirkt werden. Der hochschulweite Verzeichnisdienst (siehe 2.4.2) läuft über einen Verbund eines Master- Servers im HRZ mit Replika-Serverinstanzen in den verschiedenen Standorten und Bereichen. Der Master-Server wurde 2008 erneuert; ab 2009 müssen sukzessive Replika-Server erneuert werden. IT-Versorgungskonzept November

8 2.1.3 Computerarbeitsplätze Das HRZ betreut folgende Computerarbeitsplätze (sowohl ortsfest als auch mobil): Struktureinheit Computerarbeitsplätze Präsidialdamt 23 Kanzlerbereich 5 Dezernat 1 15 Dezernat 2 20 Dezernat 3 12 Dezernat 4 15 Zentralwerkstatt 10 Career Service 3 Zentrum für Weiterbildung 5 Gruppe der Ruheständler 3 Fremde werden Freunde 2 Zentrallabor Chemie 10 Kooperationszentrum 6 Insgesamt Betriebsräume Zentrale Betriebsräume für die IT-Versorgung sind: der Hauptanschlussraum 5.U.17, der zentrale Serverraum im HRZ-Bereich 7.E.02 sowie der Netz- und Backupraum 7.U.21. Der Raum 5.U.17 ist über zwei Klimasplitgeräte gekühlt. Diese Art der Klimatisierung ist weder besonders zuverlässig noch besonders wirtschaftlich; die Geräte sind mehrere Jahre alt. Der Raum ist recht voll. Weitere Netzschränke können nicht mehr aufgestellt werden. Erweiterungsmaßnahmen für das Telefonnetz finden noch eine Weile genügend Platz; allerdings ist vom Aufstellen weiterer 19 -Schränke dringend abzuraten. Der Serverraum 7.E.02 enthält 10 aufgereihte 19 -Schränke und bietet hinsichtlich der Klimatisierung und Elektroversorgung Reserven (nächster Abschnitt). Die Aufstellung weiterer 19 -Schränke sollte vermieden werden; die vorhandenen Gefäße bieten noch ausreichend Platz für weitere Technik zumal ausgediente Geräte ausgebaut werden. Der Raum 7.U.21 böte noch Platz für einen weiteren 19 -Schrank. Bedarf dafür ist momentan nicht erkennbar. In den Häusern des Campus und in den übrigen Standorten sind zahlreiche weitere Räume als Netz- und/oder Serverräume eingerichtet. Die örtlichen Gegebenheiten sind sehr unterschiedlich; die Mehrzahl dieser Räume bietet keine oder nur geringe Möglichkeiten, zusätzliche Geräteschränke und aktive Komponenten aufzunehmen. Am Campus gestatten lediglich die Räume 9.U.07 sowie noch Platz für weitere 19 - Schränke und damit für Erweiterungen der bestehenden Ausstattung; bedingt auch der Raum 1.U.09. IT-Versorgungskonzept November

9 2.1.5 Elektro- und Klimaversorgung Ausgehend von einer Studie 5 zum Elektroenergie-Versorgungssystem für das Hochschulrechenzentrum wurde 2006/2007 die Elektro-Einspeisung für die zentrale IT umgebaut. Die IT-Unterverteilung ist nun direkt an die Niederspannungshauptverteilung des Campus angeschlossen und zu einer zentralen USV-Anlage (USV: Unterbrechungsfreie Stromversorgung) geführt. Diese Online-USV-Anlage puffert den Hauptanschlussraum 5.U.17 (Netzanschluss, Hochschul-Netzknoten, TK-Amtskopf), den zentralen Serverraum 7.E.02, den Netz- und Backupraum 7.U.21 und den HRZ-Arbeitsräume gegen Kurzzeit-Stromausfälle. Die gegenwärtige Auslastung der Zentral-USV liegt bei 23 Prozent damit sind ausreichend Reserven für Erweiterungen gegeben. Im Zuge der Fertigstellung des Neubaus Hörsaal- und Laborgebäude soll das dort eingebaute Dieselaggregat als Netzersatzanlage künftig die Langzeitpufferung der genannten Bereiche einschließlich deren Klimaversorgung gewährleisten. Über die Baumaßnahme Haus 8/9 wurde ein neuer Kältesatz für die Klimaversorgung des Serverraums 7.E.02 und des Zentral-USV-Raumes im Keller des Hauses 7 errichtet und in Betrieb genommen. Die Leistung hat sich gegenüber der bisherigen Kältetechnik im Haus 7 fast verdoppelt, so dass wieder Reserven für künftige Erweiterungen bestehen. Durch den Austausch der alten Umluft-Deckengeräte im Serverraum gegen leistungsfähigere Technik wurde dafür gesorgt, dass die gelieferte Kälte mit höherer Leistung und Effizienz im Raum verfügbar ist. Die alte Kälteanlage im Haus 7 versorgt weiterhin Betriebsräume dort und im Haus 1. Sollte die neue Kältetechnik längerfristig ausfallen, besteht die Möglichkeit, wieder umzustellen und damit einen Notbetrieb aufrecht zu erhalten. In der Summe all dieser Maßnahmen kann eingeschätzt werden, dass der zentrale IT-Betrieb hinsichtlich seiner Elektro- und Klimaversorgung für die Anforderungen der kommenden Jahre gut gerüstet ist und ausreichende Reserven bietet Zusammenfassung und Ausblick Die technische Infrastruktur befindet sich auf solidem Niveau. Ausfälle sind letztlich nicht vermeidbar, halten sich aber in Grenzen. In den nächsten Jahren sollte bei der Servertechnik neben notwendigen Neu- und Ersatzbeschaffungen das Augenmerk auch auf Virtualisierung gelegt werden, um die extensive Erweiterung in Grenzen halten und Energie sparen zu können. Innerhalb des Netzes muss jährlich darauf geachtet werden, verschlissene Technik zu ersetzen. Wünschenswert wäre eine Ausweitung des WLAN auf die übrigen Standorte. Die Klimaversorgung des Hauptanschlussraumes 5.U.17 sollte erneuert werden. 5 Dörflinger + Partner: Studie zum Elektroenergie-Versorgungssystem für das Hochschulrechenzentrum der Fachhochschule Erfurt. Textfassung vom IT-Versorgungskonzept November

10 2.2 Basisdienste World Wide Web (WWW) Die Gerätetechnik (Webserver-Cluster, externe Speichereinheit) wurde 2007 angeschafft und eingerichtet. Die technische Ausstattung entspricht aktuellen Anforderungen und wird noch einige Jahre ausreichen. Im Rahmen eines zweijährigen Projektes verknüpft mit einer Erneuerung des Corporate Design der Hochschule wurde der Webauftritt grundlegend neu gestaltet und in ein Web Content Management System (WCMS) auf Open Source Basis (Typo3) überführt. Die Projektarbeiten am Webauftritt sind inzwischen weitgehend abgeschlossen, so dass er in den Regelbetrieb und damit in die Betreuung des Webmasters übergehen konnte Der -Dienst ist technisch und organisatorisch erneuerungsbedürftig. Die beiden eingesetzten Server Mailserver für Studierenden-Mailboxen sowie Mailserver für Mitarbeiter- Mailboxen stammen einschließlich der externen Speichereinheit aus den Jahren 2000 und 2003 und sind den modernen Anforderungen nicht mehr gewachsen. Seit 2003 ist eine aus SAGS-Mitteln finanzierte Sicherheits-Appliance zur Spam- und Virenerkennung im Einsatz wurde Technik für ein komplett neu zu gestaltendes und zu organisierendes Mailsystem angeschafft. Die Arbeiten zur Grundinstallation dringend erforderlicher Komponenten (Gateway, LDAP-Service, Mailserver) sind im Gange. Bis das neue Mailsystem vollständig installiert und damit auch voll wirksam werden kann, wird noch eine Weile vergehen. Eine leistungsfähigere Architektur, das Umlagern tausender Mailboxen auf die neue Technik und der Übergang auf durchgängig einheitliche Mailadressen werden noch eine große Herausforderung an das HRZ darstellen und ohne Inanspruchnahme sachkundiger Hilfe von außen kaum zu bewerkstelligen sein Fileservice (Datenspeicherung) Dieser Dienst wird an der FH Erfurt dezentral betrieben Die Fakultäten, zentrale Einrichtungen wie auch Hochschulleitung und Verwaltung haben eigene Fileserver im Einsatz. Einige Server sind im HRZ untergebracht (Sprachenzentrum, Bibliothek). Mehrere werden auch durch das HRZ betreut (Fileserver des Zentrallabors Chemie, des Studiengangs Konservierung und Restaurierung, des Kooperationszentrums, der Verwaltung und Hochschulleitung). Hochschulweit und zentral über das HRZ wird bereits seit längerem ein webbasierter Zugriffsdienst auf lokale, dezentrale Nutzerverzeichnisse (NetStorage) angeboten. Ein hochschulweit einheitlicher und zentraler Fileservice, der Homedirectories für alle Studierenden und Bediensteten bereit stellt, würde einige Vorteile bieten: zentral gesteuertes Anlegen der Nutzerdirectories, Arbeitserleichterung in den Struktureinheiten, Entlastung der lokalen Betriebsräume, vereinfachte Datensicherung durch direktes Einbinden in die Backup- Umgebung (siehe nächsten Abschnitt), schneller Zugriff von jedem Ort innerhalb der Hochschule sowie weltweit über den NetStorage-Dienst. Dafür müssen allerdings einige wichtige technische Voraussetzungen klar sein bzw. geschaffen werden: Insbesondere ein skriptgesteuertes Eintragen und Zuordnen aller Nutzer im zentralen Verzeichnisdienst (siehe 2.4.2), eine weitgehend automatisierte Einrichtung der Nutzer- Homedirectories sowie die Möglichkeit der dezentralen Nutzerpflege und Verzeichnisquotierung sind wichtige Voraussetzungen dafür, dass die Fakultäten zentrale Homedirectories als vorteilhaft ansehen können. IT-Versorgungskonzept November

11 2.2.4 Backup (Datensicherung) Backup wird zentral durch das HRZ angeboten. In die Datensicherung sind Datenbestände auf zentralen Servern sowie Verwaltungsdaten einbezogen; darüber hinaus werden über das Netz auch Daten aus Bereichs-Fileservern auch standortübergreifend gesichert. Die dabei entstehenden Datenströme und Datenmengen beanspruchen immer größere Sicherungs-Zeitfenster. Abhilfe bieten moderne, zweistufige, Backupverfahren wie beispielsweise das Zwischenschalten einer Festplatten-Sicherungsebene (Backup to Disk to Tape, B2D2T). Die erforderliche Technik wird bis Ende 2008 über eine zentrale Landesausschreibung - koordiniert am URZ der TU Ilmenau beschafft. Die Einrichtung und Inbetriebnahme des Systems ist für 2009 vorgesehen. Der zentrale Backupdienst findet nicht durchgängig an der Hochschule Anwendung; einige Fakultäten führen eigene, interne Datensicherungen durch. Sicherungen von Daten aus lokalen Arbeitsplatzcomputern können nicht durchgeführt werden Software Die Etablierung als hochschulweiter Basisdienst ist begründet in der Notwendigkeit einer einheitlichen, durchgängigen Software-Lizenzverwaltung und Nachweisführung. Pro Jahr werden zwischen 100 und 150 Software-Einzelbeschaffungen über das HRZ abgewickelt von der Markterkundung über die Bestellung, Lieferung, Verteilung bis hin zur Registrierung. Hinzu kommen mehr als 30 Software-Landesverträge, die über die SAGS (Ständige Arbeitsgruppe Software beim TKM) gepflegt werden und auf die Hochschule herunterzubrechen und meist in Form von Sammelbestellungen umzusetzen sind. Zusätzlich bestehen mehrere Campusabkommen, die ebenfalls im HRZ abgewickelt werden HIS-Datenbanken Alle HIS-Verwaltungsverfahren bauen auf insgesamt vier Datenbanken auf: HIS SOSPOS-Datenbank: HIS FSV-Datenbank: HIS SVA-Datenbank:: HIS COB-Datenbank : Bewerber-, Studierenden- und Prüfungsdaten Haushalts-, Beschaffungs- und Inventardaten Stellen- und Personaldaten Daten für Kosten- und Leistungsrechnung, Controlling Die Zuordnung der Verwaltungsverfahren sowie zukünftige Entwicklungen sind in Abschnitt detaillierter dargestellt. Traditionell und früheren HIS-Empfehlungen folgend wird an unserer Hochschule das IBM- Datenbanksystem Informix als Plattform für die HIS-Datenbanken auf einem eigens dafür vor Jahren (2005) angeschafften IBM-Server mit externer Speichereinheit eingesetzt. HIS empfahl in den letzten Jahren, auf das Open Source / Freeware Datenbanksystem PostgreSQL umzusteigen. Dafür ist 2007 ein geeigneter Server gekauft worden, der momentan eine Testinstanz von PostgreSQL beherbergt. Inzwischen hört man von HIS momentan noch mehr zwischen den Zeilen wieder den Rat, doch bei Informix zu bleiben. Vermutlich liegt das auch an einer geänderten Produktstrategie beim Hersteller IBM. Fakt ist, dass bei uns mit Informix langjährige Erfahrungen vorliegen. Fakt ist auch, dass Informix ein kommerzielles System ist, dessen Lizenzen Geld kosten. Allerdings ist es auch ein sehr gut am Markt etabliertes System, und wir sollten an dieser Stelle jegliche Experimente im Sinne eines sicheren, ruhigen Betriebs vermeiden. Deshalb werden wir die Entscheidung, künftig mit PostgreSQL zu arbeiten, vertagen, und eher in Richtung einer IT-Versorgungskonzept November

12 Weiterführung von Informix denken. Auf jeden Fall brauchen wir bedingt schon durch die HISonline-Anwendungen neue Informix-Lizenzen. Egal welcher Datenbankplattform künftig der Vorzug gegeben wird bei der zentralen Bedeutung dieser HIS-Datenbasis werden wir um die Beschaffung eines zweiten Datenbankservers, der in Verbund mit einem schon vorhandenen System ein hochverfügbares Cluster bilden soll nicht herumkommen Videokonferenz Die Hochschule verfügt über ein aus Landesmitteln zentral beschafftes Videokonferenzsystem, das im Konferenzraum 7.E.08 im HRZ-Bereich installiert ist und bei Bedarf genutzt werden kann Entsorgung Die Entsorgung von Hardware, Software und Verbrauchsmaterialien ist ein vom Umfang nicht zu unterschätzender Dienst. Die Hardwareentsorgung wird bislang noch über das HRZ abgewickelt; die Struktureinheiten melden zu entsorgende Komponenten dort an. Nach einer Umfrage innerhalb der Hochschule mit dem Ziel, gebrauchte Technik an anderer Stelle weiterzuverwenden, wird Alttechnik nach dem Löschen von Festplatten zur Entsorgung abgeführt. Nicht mehr benötigte Datenträger werden im HRZ gesammelt. Auszusondernde Verbrauchsmaterialien und Datenträger werden D1 zugeführt. Zukünftig kann eine zentrale Entsorgung über das HRZ nicht mehr aufrecht erhalten werden. Eine einheitliche Regelung in Form einer Entsorgungs-Richtlinie der Hochschule muss erarbeitet und in Kraft gesetzt werden. Auf deren Basis kann künftig dezentrale Entsorgung durch die Struktureinheiten funktionieren Anrufbeantworter (Message Routing System) Dieser Dienst wird für alle Diensttelefone der Hochschule angeboten. Basis ist ein MRS-Server, den das HRZ betreibt. Die MRS-Software gestattet das Einrichten und Betreiben virtueller Anrufbeantworter, Versenden von Faxen und Weiteres. Die Bedienung der Anrufbeantworter kann wahlweise über ein Clientprogramm auf dem örtlichen PC, über Webbrowser oder auch direkt am Telefon-Endgerät erfolgen. Der MRS-Dienst arbeitet nicht sehr zuverlässig. Die genaue Ursache dafür, weshalb der Dienst in unregelmäßigen Abständen ausfällt, konnte bisher weder durch uns noch durch die Telekom oder deren Vertragspartner ergründet werden. Fakt ist, dass das MRS-System nicht auf aktuellem Stand ist weder software- noch hardwareseitig. Es gehört dringend erneuert Zusammenfassung und Ausblick Die Basisdienste werden mit Ausnahme des - und MRS-Service auf technisch solidem Niveau betrieben. Die Umstellung des -Dienstes wird in Etappen vollzogen und bis weit in 2009 hinein reichen. Für die IT-Entsorgung besteht Regulierungsbedarf. IT-Versorgungskonzept November

13 2.3 Anwendungsdienste HIS-Anwendungen, QIS-Internetmodule Von Anfang an setzt die Hochschulverwaltung auf IT-gestützte Verwaltungsverfahren, die durch die HIS GmbH zur Verfügung gestellt werden. Diese Verfahren haben sich im Lauf der Jahre mehrfach vollkommen gewandelt. Derzeit aktuell liegen allen HIS-Verfahren vier Datenbanken zugrunde (siehe 2.1.6). Auf diesen Datenbanken bauen die HIS-Verfahren in Form programmierter Datenbankanwendungen auf. Die HIS-Anwendungen sind mittlerweile durchgängig als Client-Server-Programme mit grafischer Bedieneroberfläche (GX) konzipiert. Momentan steht eine ganze Suite solcher Clients jeweils spezifisch hergestellt für ein abgrenzbares Aufgabengebiet zur Verfügung. Die folgende Übersicht zeigt etwas vereinfacht die grundsätzlichen Zuordnungen der in unserer Verwaltung eingesetzten Verfahren:. Beschaffung (HIS-BES) Zulassung (HIS-ZUL) Studierendenverwaltung (HIS-SOS) Prüfungsverwaltung (HIS-POS) Mittelbewirt schaftung (HIS-MBS) Inventarisierung (HIS-INV) Gebäudeund Flächenmanagement (HIS-BAU) Stellen- und Personalverwaltung (HIS-SVA) Reise- kosten- Abrechnung (HIS-RKA) Kostenund Leistungsrechnung, Controlling (HIS-COB) HIS SOSPOS- Datenbank HIS FSV- Datenbank HIS SVA- Datenbank HIS COB- Datenbank Auf Grundlage dieser GX-Anwendungen hat HIS in den letzten Jahren webbasierte Internetmodule (QIS-Anwendungen) entwickelt: QIS-ZUL (Bewerbung, Einschreibung) QIS-SOS (Adressänderung, Bescheinigungsdruck, Rückmeldung, Bezahlung) QIS-POS (Notenspiegel, Bescheinigungsdruck, Prüfungsanmeldung, Notenverbuchung) QIS-FSV3T (Budget- und Kontenübersicht, dezentrale Bestellung, Inventarübersicht) IT-Versorgungskonzept November

14 Aus diesem Portfolio konnten bisher erfolgreich die online-bewerbung (QIS-ZUL) und der online- Notenspiegel (QIS-POS) realisiert werden. An der Einführung des Internetmoduls QIS-FSV3T wird zur Zeit gearbeitet. Jedes Internetmodul wird auf einem eigenen Webapplikationsserver zur Verfügung gestellt. Jedes QIS-Verfahren beansprucht entsprechend der HIS-Empfehlungen wiederum einen eigenen Applikationsserver und einen Webserver. Diesem Wachstum der Serverausstattung kann nur durch Server-Virtualisierung (siehe 2.1.2) begegnet werden Die Server für die o.g. QIS-Verfahren wurden in den Jahren 2007 und 2008 und sind in Betrieb genommen. Eine der nächsten Aufgaben wird sein, in der Verwaltung die kameralistische Buchhaltung basierend auf HIS-MBS abzulösen durch doppelte Buchführung. Dazu muss nach umfangreichen Vorarbeiten der HIS-Modul FIBU eingeführt werden. Gleichzeitig wird eine Anbindung an das im Freistaat Thüringen gebräuchliche HAMASYS- Haushaltsverfahren zu schaffen sein. Eine große Herausforderung in den kommenden Jahren wird die Komplettumstellung der modularen HIS-Verfahren auf ein völlig neu entwickeltes, einheitliches, durchgängig webbasiertes System darstellen. HIS entwickelt momentan mit diversen Partnern unter dem Namen HISinOne dieses völlig neue integrierte Verwaltungssystem: (nach Hübner 6 ): HISinOne Ressourcen- Management HISinOne EduStore Identitäten + Basisdaten HISinOne Campus- Management HISinOne basiert auf einem integrierten, aus den bisherigen Datenbanken SOSPOS, FSV, COB und SVA zusammengeführten Datenbestand, der bis 2010/2011 zu einem Data-Warehouse EduStore als Business Intelligence System ausgebaut werden soll. Der künftige Bestandteil Ressourcen-Management (2010/2011) soll die gesamte Finanz- und Personal- und Liegenschaftsverwaltung abdecken. Der Bestandteil Campus-Management (2008/2009) wird den Student Life-Cycle einschließlich eines Alumni-Managements komplett verwaltend abbilden können. An weiteren neuen Funktionen sollen angeboten werden: Identity Management (Digitale Identitäten aller Studierenden und Bediensteten) Projektmanagement E-Learning-Integration (Referenzsystem: Moodle) Der Umstieg auf dieses neue System wird aus dem laufenden Betrieb heraus und ohne zusätzliche Ressourcen nicht zu bewerkstelligen sein. Eine konkrete und vom Anwender nachvollziehbare Migrationsstrategie von HIS muss noch abgewartet werden. 6 Hübner, Uwe: Neue Software- und Serviceangebote von HIS. Vortrag auf der ZKI-Herbsttagung Paderborn, IT-Versorgungskonzept November

15 HIS fordert mittlerweise konsequent eine technische Dreiteilung der Aufgaben (von großen Systemanbietern wie SAP schon seit längerem propagiert). Das hat u.a. zur Folge, dass pro Aufgabe drei Serverinstanzen bereitstehen müssen. Entwicklungssystem Testsystem Produktivsystem Zeiterfassung, Zutrittskontrolle, Abwesenheitsverwaltung 2004 wurde an der FH Erfurt das digitale Arbeitszeiterfassungssystem ZEUS der Firma ISGUS eingeführt. Herzstück sind zwei Server (ZEUS-Controller und ZEUS-Webserver), die im HRZ betrieben und administriert werden. Das System funktioniert über Transponder, die an Buchungsterminals jeweils Kommt/Geht-Buchungen auslösen. Ins ZEUS integriert ist inzwischen eine einfache Urlaubsverwaltung. Eine Schnittstelle zur Abwesenheitsverwaltung des HIS-SVA existiert bisher nicht. Zwei Bereiche nutzen ein weiteres ZEUS-Produkt zur Zutrittskontrolle: Der Studiengang Konservierung und Restaurierung sowie das HRZ. Für diesen Zweck ist auf dem WebZEUS- Server zusätzlich die Software ZEUS ACCESS installiert. Über einen separaten Server im HRZ wird das DOM-System betrieben, das dezentrale und autonome elektronische Türschließungen in einer Datenbank verwaltet und die Datenbasis für mobile Programmiergeräte bereitstellt Lehrveranstaltungsevaluierung Aus zentralen Landesmitteln wurde vor einigen Jahren die Evaluierungssoftware Evasys einschließlich Formularerzeugstool als Einzelplatzversion angeschafft erfolgte eine Umstellung auf Client-Server-Betrieb; dadurch wird u.a. auch das Backup der Evaluierungsdaten möglich. Der Evasys-Server wird im HRZ betrieben und administriert Raum- und Lehrveranstaltungsplanung Die Hochschule hat vor etlichen Jahren dafür das System S-Plus erworben, das eine hochschulweite Raum- und Lehrveranstaltungsplanung ermöglicht und über Webschnittstelle den Lehrenden und Studierenden Belegungs- und Veranstaltungspläne zur Verfügung stellt. Diese Anwendung wird leider immer noch nicht durchgängig genutzt. IT-Versorgungskonzept November

16 Einige Fachrichtungen haben zum Zweck der Lehrveranstaltungsanmeldung eigene Programme erstellt bzw. adaptiert, die für andere Bereiche nicht so ohne weiteres nachnutzbar sind. Hier stellt sich die Frage, weshalb sich S-Plus immer noch nicht hochschulweit durchsetzen konnte, und ob es besser geeignete Produkte am Markt gibt, die mehr Akzeptanz erwarten lassen. Diesen Fragen soll sich eine unlängst gegründete Arbeitsgruppe widmen, der neben Mitarbeitern des HRZ auch Vertreter von Fakultäten und der Verwaltung angehören. Die Servertechnik betreut durch das HRZ sollte in den kommenden Jahren erneuert werden Facility Management Dieser Aufgabenbereich der Bau- und Liegenschaftsverwaltung wird technisch durch das FaMe- System abgedeckt; überschneidet sich allerdings inhaltlich teilweise mit dem HIS-Modul BAU. Der FaMe-Server (beschafft 2005) steht im HRZ, wird aber durch den Studiengang Gebäudeund Energietechnik, der auf FaMe ausbildet, weitgehend betrieben und administriert. Im HIS-BAU sind Flächen- und Raumdaten aller Liegenschaften erfasst e-learning Die Hochschule hat sich dazu bekannt, das e-learning-system Metacoon als Plattform bereit zu stellen. Die SAGS finanziert seit Jahren einen landesweiten Wartungsvertrag dafür. Die Nutzung an der FH Erfurt ist bisher wenig verbreitet und beschränkt sich auf zwei Bereiche. Dafür ist kein eigener Server notwendig. Die Lehr- und Lernräume werden auf dem Metacoon- Server in Weimar mitbetrieben. Herr Hellmuth vom Sprachenzentrum ist als Administrator der FH Erfurt dort eingerichtet und tätig Zusammenfassung und Ausblick Verwaltungs-IT wird künftig nicht mehr losgelöst von den übrigen IT-Verfahren der Hochschule zu betrachten sein. Die Zeichen der Zeit stehen auf integriertem Campus-Management, in dem Personal und Ressourcen verwaltende Verfahren mit einer Lernmanagement-Umgebung zusammen arbeiten - einschließlich der Schaffung der dafür erforderlichen organisatorischen Voraussetzungen und Abläufe. In diesem Sinne muss der Verzahnung verschiedener IT- Verfahren künftig größeres Augenmerk geschenkt werden. Die zentrale Stellung eines künftigen Campus- und Ressourcenmanagements macht viele Geschäftsprozesse der Hochschule in steigendem Maß abhängig vom Funktionieren der IT- Versorgung. Hier muss eine Strategie für die Zukunft auf jeden Fall ansetzen. Im Einzelnen bedeutet das zunächst Anschaffung weiterer Server zur Vorbereitung des Umstiegs auf HISinOne begleitet von Server-Virtualisierung. Absicherung (Härten) bereits in Produktion befindlicher Systeme ist dringend erforderlich. Ohne derartige Maßnahmen ist ein Vorantreiben weiterer QIS-Verfahren nicht zu empfehlen. Die Lehrveranstaltungsanmeldung als Teil eines künftig möglichst einheitlichen, hochschulweiten Lernmanagementsystems gehört auf den Prüfstand. IT-Versorgungskonzept November

17 2.4 Übergreifende Dienste IT-Sicherheit IT-Sicherheit durchdringt alle Aufgabenbereiche eines HRZ und zieht sich folgerichtig als Grundforderung durch alle Schichten unseres Modells (Abschnitt 2). Unter dem Begriff IT-Sicherheit werden mehrere Aufgabenbereiche zusammengeführt: Ausfallsicherheit der technischen Systeme und Verfahren, Physikalischer Schutz (Betriebsumgebungen), Netz- und Kommunikationsabsicherung, Datensicherheit (Informationen und Datenträger), Steigerung der Verlässlichkeit der beteiligten Personen. Die Bedrohungslage eskaliert seit Jahren. Umfang, fachliche Qualität der Angriffe und damit auch die Auswirkungen von Angriffen nehmen zu. Parallel dazu bieten immer komplexere IT-Systeme weitere, bisher unerkannte Sicherheitslücken. Die Gesetzgebung fordert deshalb die Einbindung der IT-Sicherheit in Leitungsprozesse. Hochschulen sind ein ideales Ziel von Angriffen, denn sie verfügen über eine hohe Bandbreite und in der Regel wenig gesicherte Systeme. 7 Zu diesem Schluss kommt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und fordert in mehreren Eckpunkten: Die Verantwortung für IT-Sicherheit muss an jeder Hochschule eindeutig geregelt werden. Die Gesamtverantwortung trägt die Hochschulleitung. In den einzelnen Organisationseinheiten sind die jeweiligen Leiter für die IT-Sicherheit ihrer Systeme verantwortlich. 8 Die Leitung unserer Hochschule hat die Verantwortung an das HRZ übertragen. Eine IT- Sicherheitsrichtlinie der Hochschule existiert bislang nicht. Zuständigkeiten und Verbindlichkeiten von Maßnahmen sind somit nicht geregelt. Für jede IT-Sicherheitsstrategie ist es essentiell erforderlich, dass die Hochschule die Sicherheitsanforderungen ihrer Geschäftsprozesse identifiziert. 9 Zu allen IT-basierten Geschäftsprozessen zumindest aber für geschäftskritische Prozesse müssten Risikoanalysen und Schutzbedarfsfeststellungen durchgeführt werden. Solch eine umfangreiche Arbeit kann nur ein eigenständiges Aufgabengebiet IT-Sicherheit leisten. Ein erfolgreiches IT-Sicherheitsmanagement und die konsequente Umsetzung von IT- Sicherheitsmaßnahmen kann nur von qualifizierten Experten mit großer Erfahrung sichergestellt werden. Auch aus Kostengründen ist die Bündelung von Kompetenzen und Ressourcen dringend notwendig. 10 Das BSI empfiehlt, die Kompetenz der Hochschulrechenzentren unbedingt zu nutzen. Dem wird an unserer Hochschule im Prinzip entsprochen. 7 Autorenkollektiv: IT-Sicherheit an Hochschulen. Erarbeitet durch den ZKI-Arbeitskreis IT-Sicherheit ; Stand vom Positionspapier des BSI zur Förderung der IT-Sicherheit an Hochschulen. Bundesamt für Sicherheit in der Informationstechnik. Bonn, , S. 5 9 Ebenda. S Ebenda. S. 6 IT-Versorgungskonzept November

18 Es reicht aber lt. BSI nicht aus, das Wissen allein im HRZ zu belassen. Jede Organisationseinheit, die IT-Systeme betreibt, sollte so schnell wie möglich ihre Mitarbeiter weiterbilden und konsequent IT-Sicherheit in ihre Geschäftsprozesse integrieren. 11 Die Fakultäten kümmern sich durchaus um IT-Sicherheit, tun dies aber teilweise unabgestimmt und nicht auf Basis einer einheitlichen Richtlinie. Das von den Hochschulrechenzentren betreute Netz muss ein hohes IT- Sicherheitsniveau gewährleisten. 12 Das versuchen wir seit Jahren. Unser Netz ist solide, aber nicht wirklich gut und effektiv abgesichert. Eine Hauptfirewall vor dem Hochschulnetz, Bereichsfirewalls vor Subnetzen sowie demilitarisierte Zonen (DMZ) sind heutzutage Mindestforderungen; weitere technische Maßnahmen wie Virtual Private Networks, Intrusion Detection, Intrusion Prevention sind nicht leistbar. Die Beziehung zwischen Dienstleistungsanbieter (z.b. HRZ) und den Nutzern (Verwaltung, Institute, Mitarbeiter, Studenten) muss klar geregelt werden. 13 Solche Regelungen existieren nur rudimentär im Zusammenhang mit Einzelrichtlinien (WWW, E- Mail). Künftige Vereinbarungen mit Struktureinheiten sollten diesen Aspekt beachten. Insgesamt lässt sich feststellen, dass überall dort, wo entsprechende Maßnahmen im Sinne eines Grundschutzes unbedingt erforderlich sind, versucht wird, diese auch entsprechend einund durchzuführen. Ein dringend notwendiger Aufgabenbereich IT-Sicherheit ist als solcher im HRZ nicht besetzt; Sicherheitsaspekte werden deshalb von den Betreuern der übrigen Aufgabenbereiche soweit möglich einbezogen und punktuell mit bearbeitet. Leider ist so eine präventive Herangehensweise an IT-Sicherheitsaufgaben nicht zu leiten; wir werden uns auch weiterhin weitgehend darauf beschränken müssen, auf Vorfälle zu reagieren. Eine einheitliche IT-Sicherheitsrichtlinie der Hochschule als durchgängiges Maßnahmen- und Handlungspapier wäre dringend erforderlich Identity Management IT-Versorgung ist immer nutzerbezogen. Nahezu jede Anwendung verwaltet ihre eigenen Nutzer. Typo3-Nutzer mit ihren Rollen und Rechten im Rahmen des Webauftritts werden innerhalb des Webauftritts angelegt und verwaltet; alle -Nutzer müssen im Mailsystem mit ihren Grunddaten angelegt und dort gepflegt werden, Fileservice-Nutzer müssen im zuständigen Fileserver eingerichtet werden, die Bediensteten sind im ZEUS-Zeiterfassungssystem eingerichtet und werden dort gepflegt, ebenso für die Zutrittssteuerung und diverse weitere Anwendungen. Die Folge sind Mehrfacheinträge: Jeder Nutzer taucht in diversen Nutzerverzeichnissen mit seiner digitalen Identität auf. Dabei sind ihm je nach Anwendung und Aufgabenbereich verschiedene Rollen zugewiesen (Nutzer, Administratoren, Studierende, Bedienstete, Gäste, Alumni usw.). Jeder neue Nutzer muss demzufolge vielfach eingetragen, verwaltet und bei Ausscheiden auch zeitnah wieder gelöscht werden. 11 Ebenda. S Ebenda. S Ebenda. S. 7 IT-Versorgungskonzept November

19 Das funktioniert mit dezentralen Nutzerverzeichnissen nicht wirklich! Abgesehen von mangelnder Qualität der eingetragenen Nutzerdaten an sich sind die Daten weder konsistent noch aktuell. Abhilfe kann hier ein zentrales Identitätsmanagement-System (Identity Managament, IdM) schaffen. Die Hauptbestandteile eines solchen durchgängigen IdM sind: Identifikation (Verwaltung der digitalen Identitäten) Authentifizierung (Nutzererkennung) Autorisierung (Zugriffsberechtigung) Verwaltet werden die digitalen Identitäten üblicherweise in einer einheitlichen, konsistenten, ausfallsicheren, zugriffsgeschützten Datenbank aller Nutzerdaten: dem Metadirectory. In ihm sind alle Nutzer mit ihren Personendaten (Name, Adresse, Bereich etc.), Kommunikationsdaten (Mailadresse, Telefonnummern usw.) Sicherheitsinformationen (Benutzerkennung, Zertifikate) sowie Rollen eingetragen. Diese Informationen werden aus dafür geeigneten Quellsystemen eingespeist das sind in unserem Fall die HIS-SOSPOS-Datenbank für Studierenden-Daten, die HIS-SVA-Datenbank für Daten der Bediensteten und vielleicht noch das Bibliothekssystem PICA für alle Bibliotheksnutzer. Studierenden- und Bediensteten-Daten werden im Zuge der Einführung von HISinOne (vgl. Abschnitt 2.3.1) dann aus der dort vereinheitlichten Datenbasis zu beziehen sein. Ein zentrales Metadirectory existiert bislang an der FH Erfurt nicht. Innerhalb Thüringens haben mehrere Universitäten (Ilmenau, Jena, Weimar) bereits vor Jahren die gemeinsame Entwicklung eines einheitlichen Thüringer Metadirectory mit erhebichem Aufwand vorangetrieben und verfügen mittlerweile über ein produktives System. Eine Nachnutzung wäre mit Vorarbeiten und Anpassungen an unsere örtlichen Gegebenheiten verbunden eine Arbeit, die eindeutig Projektcharakter hat und so nebenbei nicht geleistet werden kann. So bleibt uns nur, auf die Einführung von HISinOne und das dort integrierte, auf HIS- Anwendungen bezogene Metadirectory zu warten. Zur Authentifizierung dient üblicherweise ein zentraler Verzeichnisdienst (Directory Service). Einen solchen hat das HRZ in den vergangenen Jahren mit dem edirectory von Novell auf- und ausgebaut. Dieser Directory Service erhält normalerweise die Identitäten vom Metadirectory; da wir ein solches noch nicht haben, müssen alle neuen Nutzer mit ihren Rollen mehr oder weniger von Hand eingepflegt werden und die zugehörigen Berechtigungen und Ressourcen gesetzt werden. Der edirectory-verzeichnisdienst wird von einem Master-Server im HRZ aus in einem bereichsund standortübergreifenden Verbund von Replika-Servern hochschulweit betrieben (siehe 2.1.2). Autorisierung bedeutet Berechtigungserteilung bzw. Anmeldung an Anwendungen, Dienste und Ressourcen, für die Nutzer berechtigt sind. Die RADIUS-Anmeldung ist erforderlich für bestimmte Netzdienste WLAN) und wird über entsprechende Server im HRZ zur Verfügung gestellt. LDAP ist ein Zugriffsdienst, der in engem Zusammenhang mit dem Verzeichnisdienst die Anmeldung an verschiedenen Netzdiensten ermöglicht ( u.a.). Im HRZ wird deshalb an einer kleinen LDAP-Lösung im Zusammenhang mit der Einführung des neuen Mailsystems gearbeitet, die dafür erforderliche Grunddaten aus den HIS- Datenbanken importieren kann. Ein weiterer, konsequenter Schritt könnte die Einführung eines zentralen Autorisierungsdienstes (Provisioning) und Ankopplung möglichst vieler Verfahren und Dienste daran. Dadurch wäre die weitgehend dezentrale Berechtigung und Anmeldung zu zentralisieren, und ein echtes Single- IT-Versorgungskonzept November

20 Sign-On (einmalige Anmeldung, Nutzung aller zur Verfügung stehender Ressourcen ohne wiederholte Anmeldung) könnte durchgesetzt werden. Das ist für uns noch pure Zukunftsmusik. Die Vorteile eines zentralen, einheitlichen Identity Managements liegen auf der Hand: Ein einziges Nutzerverzeichnis wird geführt. Der Einrichtungsaufwand ist beträchtlich; im Regelbetrieb wird dafür jedoch Arbeit gespart. Die Nutzerdaten, Berechtigungen und Ressourceneinträge sind von erheblich besserer Qualität - konsistent, auf stets aktuellem Stand und ohne Doppelungen. Ein funktionierendes Identity Management ist sehr stark abhängig von den örtlichen Strukturen, Anwendungssystemen, Abläufen und Vorgaben und nicht von der Stange erhältlich. Als Schwerpunktaufgabe müsste daran eigentlich mit Hochdruck gearbeitet werden das Tagesgeschäft lässt solches leider momentan nicht zu. Der DFN-Verein bietet über das Wissenschaftsnetz mittlerweile den Dienst DFN-AAI an. Wer an diesem Dienst, der eine standortübergreifende Authentifizierung und Dienste-Anmeldung ermöglicht, muss selbst ein funktionierendes Identity-Management mit einem Metadirectory im Einsatz haben Zusammenfassung und Ausblick Die übergreifenden Aufgabengebiete IT-Sicherheit und Identity-Management sind an unserer Hochschule nicht auf dem erforderlichen Niveau ausgebaut. Künftig neu einzuführende Dienste und Anwendungen können damit weder in eine rundum funktionierende Sicherheitsumgebung integriert werden, noch wird es möglich sein, ihnen zeitnah die erforderlichen Nutzerdaten umfassend und in guter Qualität zur Verfügung zu stellen. Die Folgen sind permanente Angreifbarkeit und Verwundbarkeit sowie Mehrarbeit durch Führen weiterer, anwendungsbezogener Nutzerbestände mit ihren Rollen und Berechtigungen. 3 IT-Versorgung und Dienstleistungen 3.1 Strukturbezogene IT-Versorgung An der Hochschule lassen sich strukturell mehrere Versorgungsebenen unterteilen: Dezentrale Einzelnutzer IT-Betreuung Struktureinheiten (Fakultäten, Einrichtungen, Institute, Verwaltung) Zentrale Hochschule insgesamt (Grundversorgung) IT-Versorgungskonzept November