Weil der Komplettaustausch aller Arbeits-PCs im Berliner Außenministerium gerade anstand, hat ein zehnköpfiges Kernteam gleich eine angepasste Debian-Distribution entwickelt. Das Ausrollen der 2500 Rechner dauerte nur vier Wochen.
Abbildung 1: Auf den Servern des Auswärtigen Amts der Bundesrepublik Deutschland läuft seit Jahren Linux. Seit September können auch die Desktop-Benutzer Linux booten, müssen es aber nicht.
Der Stolz der 210 IT-ler des Außenamts [1] über die kostensparende Vernetzung aller 226 deutschen Botschaften mit sicherer Open-Source-Software im Jahr 2003 ist fast verflogen [2]. Nun gibt es neuen Grund für Euphorie: Ein Kernteam von etwa zehn Linux-Enthusiasten hat in Berlin einen Debian-Client entwickelt und von Mitte August bis Mitte September eingeführt, der auf breite Zustimmung seiner Anwender stößt.
Der Weg zur Plattformunabhängigkeit geht auf einen Ministeriumsbeschluss vom Januar 2002 zurück. Er war Folge einer Virenattacke, die die Windows-lastige Technik drei Tage lahm legte. Gleichwohl wollte ein Systemwechsel bei knappen Finanzen gut bedacht sein: Das Außenamt mit über 10000 Mitarbeitern hält nur 0,8 Prozent am Bundeshaushalt, das Budget seiner IT beträgt inklusive aller Personal- und Kommunikationskosten 45 Millionen Euro im Jahr. Zum Vergleich: Die Vereinten Nationen geben für 9500 Mitarbeiter 235 Millionen US-Dollar für IT aus.
Die 2500 jetzt mit Hilfe ihres Dienstleisters T-Systems ausgewechselten PCs stammen noch aus dem Jahr 1999. Der gern geäußerte Pauschalverdacht von Steuerverschwendung will hier nicht recht aufkommen. Die neuen Geräte booten, ähnlich wie bei dem Client in Wien, per Grub wahlweise Windows XP oder ein Debian 3.1.
Funktional macht es für den Benutzer fast keinen Unterschied, denn auf beiden Plattformen sind die gleichen Programme verfügbar: Firefox zum Surfen und Bedienen der Groupware X-manage [3], Thunderbird für IMAP/SMTP-Mail, WebDAV und Samba zum Filetransfer, Open Office und eine Handvoll Fachanwendungen.
Bei Letzteren ist Berlin gegenüber der Münchner Stadtverwaltung mit ihrem Zoo an Spezialanwendungen im Vorteil. Die Ministerialen hatten 2002 begonnen alle Anwendungen auf Plattformunabhängigkeit oder Web umzustellen. Sie haben deshalb nur noch wenige plattformabhängige Anwendungen, darunter ein Warenwirtschaftssystem und das Programm zur politischen Berichterstattung, im Einsatz. Die verteilen sich als Terminalanwendungen per Citrix oder NX, wobei Letzteres mit weniger Bandbreitenbedarf beim IT-Referat beliebter ist.
Einziges Sorgenkind bleibt das von Bund Online zentral vorgegebene Contentmanagement-System: Es verlangt einen Internet Explorer und nötigt die Linux-Anwender zum Windows-Boot oder zur Arbeit mit dem Windows-Terminalserver. Bislang starten rund 350 PC-Anwender morgens Linux - Tendenz steigend. Die Gründe sind verschieden: Einige finden Linux und KDE einfach sympathischer (Abbildung 2), andere hatten unter Windows technische Probleme wie die Leiterin der Fortbildung (Abbildung 3).
Abbildung 2: Alfred Grannas, Leiter des Arbeitsstabs Strategie und Steuerung: "Ich bin mit Linux sehr zufrieden und weiß gar nicht mehr, wie das vorher war."
Abbildung 3: Anka Feldhusen, Leiterin der Fortbildung nutzt Linux am Arbeitsplatz, weil ihr Drucker unter Windows ständig Schwierigkeiten machte.
In allen neuen PCs - Hersteller ist Fujitsu-Siemens - sind wie bei allen Ministeriums-Servern - 64-Bit-CPUs von AMD verbaut. Auch der eingesetzte Debian-Kernel ist für 64 Bit kompiliert, der Userspace für 32 Bit. Beim Design der Distribution stand die Linux-Distribution des BSI [4] Pate. Sowohl Windows XP als auch Linux spielte Siemens schon bei der Produktion auf die Rechner. Das Netzwerk- und sonstige Setup geschah beim Ausrollen im Amt. Bei Linux dauerte das zwei bis drei Minuten pro Rechner, bei Windows 15 bis 20 Minuten, da mehrere Reboots nötig waren.
Die Softwarepflege der Windows-Installationen erfolgt mit Asdis [5], das funktioniert gut, ist aber nicht billig. Zum Update anstehende Linux-Pakete bereiten die Linux-Spezialisten mit einem Subversion-System vor. Die zum Ausliefern geschnürten DEBs gelangen automatisch auf alle Clients. Bei Paketen, die eine spezifische Konfiguration erfordern, schaut das Postinst-Skript selbstständig ins zentrale LDAP-Verzeichnis und fährt ein entsprechendes Setup.
Für die Notebooks und Heimarbeitsplätze - meist auch dies Notebooks - gelten besondere Sicherheitsanforderungen. Solche Geräte kommen leichter abhanden oder sind schwerer dem Zugriff von Fremden zu entziehen als die PCs, die in streng bewachten Ministeriumsgebäuden stehen. Ähnlich heikel sind die Rechner in den Vertretungen, die über kein eigenes Gebäude verfügen.
Das IT-Strategie-Team entschied, alle diese Rechner mit SINA, einem gehärteten Linux 2.4 der Firma Secunet [6] auszurüsten, das von einem Krypto-Filesystem startet. Es sorgt für einen IPsec-gekapselten Zugang zur Infrastruktur des Amts. Auf SINA startet ein Vmware, das wiederum das gleiche Debian wie bei den normalen PCs bootet. Mitarbeiter, die mit ihrem Rechner auch mal direkt im offenen Internet surfen wollen, finden per Grub auf ihrem Computer parallel ein gut eingerichtetes Kubuntu vor.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
