![[Aufmachergrafik - Montage: heller, corporate design]](04-1-025-0.jpg)
Projektbericht: Kommunale Telearbeit in Rheinland-PfalzProjektbericht: Kommunale Telearbeit in Rheinland-PfalzVeränderungen in den Arbeitsgewohnheiten unserer Gesellschaft erfordern zunehmend Lösungen für Tele- oder Heimarbeiter. Telearbeit mag dabei als Oberbegriff für verschiedene Kommunikationsformen externer Mitarbeiter mit einer Verwaltung oder Unternehmenszentrale dienen. Auch die Gesellschaft für Kommunikation und Wissenstransfer mbH (![[externer Link]](../../../../images/link.gif)
www.KommWis.de) stand unlängst als Betreiber des geschlossenen Kommunalnetzes Rheinland-Pfalz (KNRP) vor der Aufgabe, gesicherte Wege für solche Arbeitsprozesse aufzusetzen.
Die Bedarfsanalyse hat dazu neben dem klassischen Telearbeiter auch die "gelegentlichen Nutzer" des Kommunalnetzes erfasst: Dazu zählen Administratoren, Techniker oder auch Benutzer des staatlichen Informationssystems, die nur hin und wieder auf Systeme oder Datenbanken zugreifen wollen. Hinzu kam noch die Anforderung, gesicherte Rahmenbedingungen für Fernwartungszugänge zu schaffen. Denn immer mehr Unternehmen, die in den Kommunen Soft- und Hardwarekomponenten warten und unterstützen, setzen auf die Online-Betreuung der Vorort-Systeme. Ohne konkrete Lösungen für diese Beteiligten, ergäbe sich langfristig ein hohes Risiko für die Sicherheit des Netzes, da Probleme durch unkontrollierte Einwahlsysteme nicht auszuschließen sind.
Zusammenfassend unterschieden sich damit nach einer ersten Bestandsbewertung folgende Nutzergruppen:
Bei der Suche nach einem Lösungsweg wurden die Telearbeiter zudem auch durch die Brille des Signaturgesetzes und des neugefassten Verwaltungsverfahrensgesetzes betrachtet: Will ein Mitarbeiter einer Kommune einen schriftlichen Verwaltungsakt erlassen, muss dieser mit einer qualifizierten elektronischen Signatur versehen sein. Dementsprechend hat KommWiss eine technische Konzeption entworfen, die sowohl für den gesicherten Netzzugang als auch für eine zukünftige elektronische Bescheid-Erteilung geeignet ist.
Das Design des Virtual Private Network (VPN) für die rheinland-pfälzischen Kommunen sieht in den 236 Standorten jeweils einen WAN-Anschluss mit zwei logischen virtuellen Netzanschlüssen vor (vgl. Abb. 1):
![[Illustration]](04-1-025-1.jpg)
Abbildung 1: Schema der Anbindung einer Kommune an das KNRP-Netz
Telearbeiter benötigen in erster Linie Zugriff auf die Verwaltungssysteme. Um die Vorteile des VPN-E nutzen zu können (Priorisierung, Verschlüsselung usw.), wird daher vorrangig ein Zugang zu diesem logischen Teilnetz zum Tragen kommen. Ausnahmsweise ist es aber auch vorstellbar, dass ein Telearbeiter unmittelbar Kommunikationsbeziehungen zum VPN-I braucht: Dies wäre zum Beispiel der vorgesehene Weg, um E-Mails direkt von den Servern des Landesbetriebs Daten- und Information ( www.LDI.rlp.de) abzuholen. Für KommWis ergab sich damit das Erfordernis, individuell reagieren zu müssen, was in zwei Lösungsansätzen mündete.
![[Illustration]](04-1-025-2.jpg)
Abbildung 2: Schema der zentralen Telearbeitslösung
Anknüpfungspunkt ans Internet ist der zentrale LDI-Standort Mainz, der die VPNs über eine Standleitung (feste IP-Adresse) mit dem Internet verbindet. Als Telearbeits-Gateway kommen BB-5000-Appliances ( www.BB-5000.info) der Firma ecos zum Einsatz, die zudem – speziell in Kombination mit einer Kobil-Smartcard ( www.kobil.de) – zur zertifikatbasierten Authentifizierung als Zertifizierungsserver dienen und mit einem VPN-Modul ausgestattet sind.
Basis der BB-5000-Familie ist ein sicherheitsoptimiertes Linuxsystem. Die Geräte ermöglichen – auch in der Standardversion – eine zentrale, standortübergreifende Administration. Die Firewall arbeitet sowohl mit dynamischen Paketfiltern (Stateful-Inspection) als auch mit Application-Level-Proxies für HTTP, FTP und SMTP (inkl. der Möglichkeit zum Virencheck). Das HTTP-Proxy ermöglicht zudem für eingehende Verbindungen einen authentifizierten Zugriff auf Webseiten, ohne den Webserver im Internet oder in einer speziellen Schutzzone (DMZ) platzieren zu müssen; die Authentifizierung des Benutzers erfolgt dabei bereits in der Firewall. Das Gerät kann auch eine automatische Synchronisation der Benutzer mit Windows-NT-Domänen oder Windows 2000 Active Directory Services (ADS) vornehmen.
Die integrierte Network Address Translation (NAT) versteckt die internen Netzwerkadressen hinter der Firewall-IP, kann aber Anforderungen für einzelne Dienste auch gezielt an bestimmte Rechner weiterleiten. Alle Firewalleinstellungen lassen sich sowohl statisch als auch dynamisch, separat für jeden Benutzer konfigurieren. Um die Firewall auf dem aktuellen Stand zu halten, steht ein automatischer Download-Service zur Verfügung. Die Administration erfolgt per Web-Frontend und für Hochverfügbarkeitsanforderungen kann in einer Variante eine zweite, parallel angeordnete BB-5000 automatisch einspringen, ohne die Verbindung zu unterbrechen.
Das BB-5000-VPN-Modul unterstützt die Standards IPsec und PPTP und benötigt keine festen IP-Adressen, kann also auch VPNs über kostengünstige DSL-Internetzugänge realisieren. Zur Nutzerauthentifizierung nutzt das System wahlweise token- oder chipkartenbasierte Einmalkennwörter oder – wie bei der rheinland-pfälzischen Telearbeitslösung – X.509-Zertifikate. Das System kann solche Zertifikate selbst auszustellen (fungiert also als Certificate Authority) oder anderweitig erstellte Zertifikate lediglich verwalten. Die Anbindung an eine Public-Key-Infrastruktur (PKI) kann per Lightweight Directory Access Protocol (LDAP) erfolgen und die BB-5000 unterstützt auch Zertifikate, die auf Smartcards generiert und gespeichert werden.
Auch am Internet-Übergangspunkt im Mainzer LDI übernimmt ein BB-5000-VPN-Server die Benutzer-Authentifizierung. Anschließend wird der Teilnehmer in das VPN-E geroutet, und zwar auf das ihm zugewiesene Home-Gateway, genauer gesagt den Ausgang des VPN-E-Verschlüsselungssystems (Linecrypter) am kommunalen Standort.
Der Telearbeiter erhält zur Anmeldung einen Smartcard-Reader und eine Chipkarte mit einem fortgeschrittenen oder qualifizierten Zertifikat gemäß Signaturgesetz; fortgeschrittene Zertifikate kann ein Administrator der KommWis mit dem VPN-Server selbst erstellen. Die Smartcard, genauer gesagt der Einsatz des darin gekapselten geheimen Schlüssels, ist natürlich über eine PIN geschützt, die bei der VPN-Anmeldung am Chipkarten-Terminal über dessen eigene Tastatur eingegeben wird. Nach der Überprüfung des Zertifikats wird ein IPsec-Tunnel zum VPN-Server aufgebaut. Dieser stellt dann über den hardware-verschlüsselten Weg im VPN-E einen Tunnel zum kommunalen Standort des Benutzers her und routet die Pakete zwischen den beiden getunnelten Verbindungen (vgl. Abb. 2). Ein Transport der Daten im Klartext findet somit nur auf dem VPN-Server statt, der auch gegenüber dem VPN-E durch eine Firewallfunktion geschützt wird.
![[Illustration]](04-1-025-3.jpg)
Abbildung 3: Schema der dezentralen Telearbeitslösung
Die Systemlogik des zentralen Netzzugangs ist auch auf den direkten Zugang zu einer Kommune portierbar (vgl. Abb. 3). Bereits zu Beginn des Projekts wurde das Ziel verfolgt, die sicheren Zugangsmechanismen auch Körperschaften bereitzustellen, die selbst einen größeren Bedarf haben. Ein eigenes System dürfte allerdings erst dann wirtschaftlich sein, wenn man mehr als 15 Telearbeiter anschließen möchte; hierbei spielt auch die Bandbreite der Internet-Standleitung der Kommune eine wichtige Rolle.
Bei diesem Anforderungsprofil kommt ebenfalls die BB-5000-Appliance landesweit bei den Kommunen und Nutzern des KNRP-Netzes zum Einsatz. Entweder als reine Firewall-Lösung für einen breitbandigen Internet-Zugang (ADSL, SDSL) oder als VPN-/PKI-Server für die Telearbeit, jeweils in Kombination mit einer Chipkarte. Damit die Sicherheit des KNRP-netzes jederzeit gewährleistet ist, gibt es für die BB-5000 eine kundenspezifische Grundkonfiguration der Firewall. Diese dezentrale Gesamtlösung wurde ebenfalls dem Landesbeauftragten für den Datenschutz vorgestellt.
Mit dem Antrag auf Erteilung einer Benutzerkennung und Erstellung eines Zertifikats verpflichtet sich ein Telearbeiter im rheinland-pfälzischen Kommunalnetz, dafür Sorge zu tragen, dass der zu nutzende Client mindestens mit denselben Zugriffssicherungen ausgestattet ist wie ein LAN-PC der Kommune. Denn der Client ist – inklusive eventueller "ungebetener Gäste" wie Viren und Würmern – einerseits Bestandteil des internen Netzes, gleichzeitig ist aber der VPN-Tunnelendpunkt (Client) auch vom Internet aus erreichbar und angreifbar. Hier waren vor allem die Vorgaben des Landesbeauftragten für den Datenschutz in Rheinland-Pfalz (www.datenschutz.rlp.de) zur Anschaltung eines Telearbeits-Standorts an das Internet zu beachten.
Insofern ist der Einsatz eines Virenscanners und einer Personal Firewall auf dem Client unverzichtbar. Bereits in der Planungsphase wurde der Landesbeauftragte für den Datenschutz in die Gespräche eingebunden. Dabei wurden insbesondere die Anforderungen an einen so genannten gehärteten Client definiert. In diesem Zusammenhang hat die Firma net on (www.net-on.de) als Systempartner das Konzept net connect entwickelt, um diese Anforderungen umfassend abzudecken:
Je nach Anforderungen an den Telearbeitsplatz gibt es entweder vollwertige Telearbeitsplätze entsprechend dem Funktionsumfang eines kommunalen LAN-PC oder Telearbeitsplätze, die lediglich die Nutzung einzelner Client-Server-Anwendungen ermöglichen. Kann auf die Installation lokaler Anwendungen verzichtet werden, ergibt sich durch Einsatz eines so genannten Thin Clients ein Höchstmaß an Sicherheit und Wartungsfreundlichkeit.
Eine "normale" heimische Windows-PC-Installation ist jedoch auch für die Anforderung eines größeren Funktionsumfangs nicht akzeptabel, da hierbei in der Regel weder für einen Administrator noch für die Behörden offenkundig bleiben kann, was der Telearbeiter mit seinem Arbeitsplatz tatsächlich macht. Aufgrund der folgenden Faktoren würde ein solcher Telearbeitsplatz circa den vier- bis zehnfachen Aufwand bezüglich Wartung und Administration erfordern und zudem eine unklare Sicherheitslage erwirken:
Selbst hohe funktionale Anforderungen lassen sich demgegenüber jedoch einfach und effektiv mit einer Terminalserver-Lösung erfüllen: Hier bietet Citrix mit seinem speziellen, bandbreiten-optimierenden ICA-Protokoll die besten Voraussetzungen. Im Idealfall umfasst der Telearbeitsplatz lediglich einen Citrix-Client, der zentral wartbar und administrierbar ist. Der Heimarbeiter kann darüber auf alle Anwendungen und Daten zugreifen, die ihm die zentrale Administration zur Verfügung stellt, ohne dass lokal Applikationen ablaufen oder Daten gespeichert werden müssten. Die Bereitstellung neuer Anwendungen erfolgt per Mausklick durch den Administrator und somit zeitnah und ohne großen logistischen Aufwand. Die Performance am Telearbeitsplatz ist bei einer ISDN-Leitung fast mit einem LAN-Arbeitsplatz gleichzusetzen, bei einer DSL-Anbindung ist kein Unterschied feststellbar.
Unter der Härtung des Telearbeits-Clients versteht net on das Entfernen von Sicherheitslücken, die betriebssystembedingt auf einem Standardarbeitsplatz vorhanden sind. Dabei orientiert sich das Unternehmen an den Richtlinien der US-amerikanischen National Security Agency (www.NSA.gov). Darüber hinaus wird die Oberfläche des Arbeitsplatzes so eingeschränkt, dass nur noch die freigegebenen Aktionen möglich sind (z. B. Herstellen der Internet-Verbindung, Start des Citrix-Clients). Ein Zugriff auf die Systemsteuerung, das Ausführen oder Installieren von Programmen über die Kommandozeile oder aus dem Windows-Explorer oder Ähnliches sind dann nicht mehr möglich.
Die Absicherung gegen Angriffe aus dem Internet erfolgt durch die Installation einer Personal Firewall (Kaspersky Antihacker) auf dem Telearbeits-Client. Zudem wird ein Virenschutzprogramm (Kaspersky Antivirus) installiert, wenn aufgrund der Konfiguration ein Speichern von Dateien auf dem Telearbeits-Client erlaubt wird oder wenn ein E-Mail-Programm installiert ist. Bei einer reinen Citrix Terminalserver-Lösung oder dem Einsatz eines Thin Clients ist ein lokaler Virenschutz jedoch entbehrlich.
Zusammenfassend kann man sagen, dass mit den genannten Maßnahmen eine optimale Sicherheit bei der Einrichtung von Telearbeitsplätzen gewährleistet wird, um dem steigenden Bedarf nach dieser modernen Arbeitsform gerecht zu werden. Der flächendeckenden Einführung von Telearbeit im kommunalen und öffentlichen Bereich in Rheinland-Pfalz steht somit nichts mehr im Wege.
Herbert Benz ist Geschäftsführer der KommWis – Gesellschaft für Kommunikation und Wissenstransfer mbH, Mainz ( www.kommwis.de). Wolfgang Heck ist geschäftsführender Gesellschafter der ecos GmbH, Dienheim b. Mainz ( www.ecos.de). Oliver Büring ist Geschäftsführer der net on, Mainz ( www.net-on.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#1, Seite 25
| 