Virtualisierung verhilft Linux ins Amt

Seit vergangenem Jahr sind die Desktop-PCs von sieben deutschen Botschaften ganz auf Linux umgestellt, unter anderem in Oslo. In Summe sind das rund 500 Rechner - Tendenz steigend. Ende Januar gab der stellvertretende Leiter IT-Strategie im Außenministerium und aktive Debian-Entwickler Torsten Werner dem Linux-Magazin bei einer Veranstaltung des Berliner Newthinking Store Auskunft zum Stand der Dinge.

Vorbereitet durch die sanfte Migration der letzten Jahre mit Dualboot-Rechnern habe es auch kaum Probleme (siehe Kasten: "Psychologische Komponente") bei den Linux-only-Rechnern gegeben, erläuterte Werner (Abbildung 1). Die Migration hat Werner und das Team der Abteilung IT-Strategie seit 2001 beschäftigt, als bereits eine Umstellung der Computer anstand. Werner: "Notwendig wurde der Strategiewechsel, als wir vor der Aufgabe standen, die deutschen Auslandsvertretungen untereinander und mit dem Ministerium im Heimatland möglichst kostengünstig zu vernetzen." Begonnen haben die IT-Strategen damals zunächst mit den Servern. Die einzig sinnvolle Möglichkeit zur Realisierung der finanziellen und sicherheitstechnischen Vorgaben sahen sie in dem freien Betriebssystem Linux [1].

Abbildung 1: Maßgeblich an der Migration beteiligt: Torsten Werner, stellvertretender Leiter IT-Strategie im Auswärtigen Amt und aktiver Debian-Entwickler.

Altlasten auf dem Desktop

Beim nachfolgenden zweigleisigen Systemumbau der Desktops stießen die IT-Mitarbeiter jedoch auf einen kleinen Anteil Anwendungen, die zum Betrieb Windows benötigen. Das sind zum größten Teil Fachanwendungen wie die für das Visum- oder Passverfahren. Auch ein populäres Programmpaket ist für einige Mitarbeiter des Ministeriums nicht ganz verzichtbar: Microsoft Office.

Die Bürosuite aus Redmond kommt noch dort zum Einsatz, wo komplizierte Makros, umfangreiche Tabellenkalkulationen und Access-Datenbanken die Alternative Open Office an ihre Grenzen bringen. Mit dem proprietären Office kommt jedoch ein schwer kalkulierbares Sicherheitsrisiko einher. Wie Werner erläutert, habe Microsoft zwar die Gefahr durch Sicherheitslücken seines Betriebssystems Windows ganz gut im Griff, die Office-Suite weise jedoch oft noch ungefixte Lücken auf.

Sicher durch Virtualisierung

Die Lösung des Problems heißt Virtualisierung. Dabei kamen nur zwei Produkte in Frage, die die IT-Fachleute als ausgereift und anwenderfreundlich ansehen: die kommerzielle Lösung VMware und das größtenteils frei verfügbare Virtualbox [2]. Ganz im Sinne der IT-Strategie des Amtes fiel die Wahl auf das mittlerweile dual-lizenzierte Virtualbox. Es ist der Nachfolger des an Microsoft verkauften Produkts Virtual PC und seit gut einem Jahr fast vollständig quelloffen. Lediglich einige Module sind der kommerziellen Variante vorbehalten.

Mit Virtualbox (Abbildung 2) lassen sich die Sicherheitsprobleme umschiffen und Windows gleichzeitig weiterverwenden. Die Virtualisierung kommt in zwei Versionen zum Einsatz: zum einen als Raw-Disk mit eingeschränktem Netzwerkzugriff und zum anderen als nicht-persistentes Image ganz ohne Netzwerkzugang. Die erste Variante ist persistent, das heißt nicht veränderlich, und damit gefeit vor schadhaften Veränderungen und Manipulationen durch Viren oder Rootkits. Die zweite Variante erlaubt zwar Veränderungen, diese können jedoch durch die Abschottung vom Netzwerk kaum Schaden anrichten. Im schlimmsten Falle ersetzen die Administratoren das beschädigte Image durch ein neues, unverändertes.

Abbildung 2: Diplomatische Einsicht. Das Außenamt verwendet Virtualbox als Virtualisierungslösung für Clients und bietet im Zuge der sanften Migration Windows- und Linux-Systeme an.

Prinzipiell sind alle Systeme gleich konfiguriert. Doch nicht jeder Mitarbeiter darf das virtualisierte Windows nutzen. Die Steuerung der Berechtigungen erfolgt über OpenLDAP. Es steuert auch, in welcher Version die virtuelle Umgebung startet und ob Netzwerkzugriff erlaubt und ob externe Geräte nutzbar sind. Heimarbeitsplätze und Notebooks sind zudem mit SINA, einem gehärteten Linux der Firma Secunet [3], abgesichert, das von einem Krypto-Filesystem aus startet (Abbildung 3).

Abbildung 3: Die SINA-Box in der Hardware-Ausführung hat ein gehärtetes Linux an Bord und sichert den Datenverkehr zwischen Amt und Außenstellen. Bei Heimarbeitern und auf Notebooks kommt SINA als Software-Client zum Zuge.

Dank Virtualisierung kann das Ministerium [4] Mittel einsparen, da sich Lizenzen weiterverwenden lassen. Für die Mitarbeiter wird die Arbeit mit nur noch einem System einfacher. Damit steigt die Akzeptanz des Pinguins, was Werner und seine Kollegen freut. (uba)