Abbildung 1: Auf den Servern des Auswärtigen Amts der Bundesrepublik Deutschland läuft seit Jahren Linux. Seit September können auch die Desktop-Benutzer Linux booten, müssen es aber nicht.

Weil der Komplettaustausch aller Arbeits-PCs im Berliner Außenministerium gerade anstand, hat ein zehnköpfiges Kernteam gleich eine angepasste Debian-Distribution entwickelt. Das Ausrollen der 2500 Rechner dauerte nur vier Wochen.

Abbildung 1: Auf den Servern des Auswärtigen Amts der Bundesrepublik Deutschland läuft seit Jahren Linux. Seit September können auch die Desktop-Benutzer Linux booten, müssen es aber nicht.

Der Stolz der 210 IT-ler des Außenamts [1] über die kostensparende Vernetzung aller 226 deutschen Botschaften mit sicherer Open-Source-Software im Jahr 2003 ist fast verflogen [2]. Nun gibt es neuen Grund für Euphorie: Ein Kernteam von etwa zehn Linux-Enthusiasten hat in Berlin einen Debian-Client entwickelt und von Mitte August bis Mitte September eingeführt, der auf breite Zustimmung seiner Anwender stößt.

Der Weg zur Plattformunabhängigkeit geht auf einen Ministeriumsbeschluss vom Januar 2002 zurück. Er war Folge einer Virenattacke, die die Windows-lastige Technik drei Tage lahm legte. Gleichwohl wollte ein Systemwechsel bei knappen Finanzen gut bedacht sein: Das Außenamt mit über 10000 Mitarbeitern hält nur 0,8 Prozent am Bundeshaushalt, das Budget seiner IT beträgt inklusive aller Personal- und Kommunikationskosten 45 Millionen Euro im Jahr. Zum Vergleich: Die Vereinten Nationen geben für 9500 Mitarbeiter 235 Millionen US-Dollar für IT aus.

Dual-Boot

Die 2500 jetzt mit Hilfe ihres Dienstleisters T-Systems ausgewechselten PCs stammen noch aus dem Jahr 1999. Der gern geäußerte Pauschalverdacht von Steuerverschwendung will hier nicht recht aufkommen. Die neuen Geräte booten, ähnlich wie bei dem Client in Wien, per Grub wahlweise Windows XP oder ein Debian 3.1.

Funktional macht es für den Benutzer fast keinen Unterschied, denn auf beiden Plattformen sind die gleichen Programme verfügbar: Firefox zum Surfen und Bedienen der Groupware X-manage [3], Thunderbird für IMAP/SMTP-Mail, WebDAV und Samba zum Filetransfer, Open Office und eine Handvoll Fachanwendungen.

Bei Letzteren ist Berlin gegenüber der Münchner Stadtverwaltung mit ihrem Zoo an Spezialanwendungen im Vorteil. Die Ministerialen hatten 2002 begonnen alle Anwendungen auf Plattformunabhängigkeit oder Web umzustellen. Sie haben deshalb nur noch wenige plattformabhängige Anwendungen, darunter ein Warenwirtschaftssystem und das Programm zur politischen Berichterstattung, im Einsatz. Die verteilen sich als Terminalanwendungen per Citrix oder NX, wobei Letzteres mit weniger Bandbreitenbedarf beim IT-Referat beliebter ist.

Einziges Sorgenkind bleibt das von Bund Online zentral vorgegebene Contentmanagement-System: Es verlangt einen Internet Explorer und nötigt die Linux-Anwender zum Windows-Boot oder zur Arbeit mit dem Windows-Terminalserver. Bislang starten rund 350 PC-Anwender morgens Linux – Tendenz steigend. Die Gründe sind verschieden: Einige finden Linux und KDE einfach sympathischer (Abbildung 2), andere hatten unter Windows technische Probleme wie die Leiterin der Fortbildung (Abbildung 3).

Abbildung 2: Alfred Grannas, Leiter des Arbeitsstabs Strategie und Steuerung: “Ich bin mit Linux sehr zufrieden und weiß gar nicht mehr, wie das vorher war.”

Abbildung 3: Anka Feldhusen, Leiterin der Fortbildung nutzt Linux am Arbeitsplatz, weil ihr Drucker unter Windows ständig Schwierigkeiten machte.

Zukunftsfest: 64 Bit

In allen neuen PCs – Hersteller ist Fujitsu-Siemens – sind wie bei allen Ministeriums-Servern – 64-Bit-CPUs von AMD verbaut. Auch der eingesetzte Debian-Kernel ist für 64 Bit kompiliert, der Userspace für 32 Bit. Beim Design der Distribution stand die Linux-Distribution des BSI [4] Pate. Sowohl Windows XP als auch Linux spielte Siemens schon bei der Produktion auf die Rechner. Das Netzwerk- und sonstige Setup geschah beim Ausrollen im Amt. Bei Linux dauerte das zwei bis drei Minuten pro Rechner, bei Windows 15 bis 20 Minuten, da mehrere Reboots nötig waren.

Die Softwarepflege der Windows-Installationen erfolgt mit Asdis [5], das funktioniert gut, ist aber nicht billig. Zum Update anstehende Linux-Pakete bereiten die Linux-Spezialisten mit einem Subversion-System vor. Die zum Ausliefern geschnürten DEBs gelangen automatisch auf alle Clients. Bei Paketen, die eine spezifische Konfiguration erfordern, schaut das Postinst-Skript selbstständig ins zentrale LDAP-Verzeichnis und fährt ein entsprechendes Setup.

Für die Notebooks und Heimarbeitsplätze – meist auch dies Notebooks – gelten besondere Sicherheitsanforderungen. Solche Geräte kommen leichter abhanden oder sind schwerer dem Zugriff von Fremden zu entziehen als die PCs, die in streng bewachten Ministeriumsgebäuden stehen. Ähnlich heikel sind die Rechner in den Vertretungen, die über kein eigenes Gebäude verfügen.

Das IT-Strategie-Team entschied, alle diese Rechner mit SINA, einem gehärteten Linux 2.4 der Firma Secunet [6] auszurüsten, das von einem Krypto-Filesystem startet. Es sorgt für einen IPsec-gekapselten Zugang zur Infrastruktur des Amts. Auf SINA startet ein Vmware, das wiederum das gleiche Debian wie bei den normalen PCs bootet. Mitarbeiter, die mit ihrem Rechner auch mal direkt im offenen Internet surfen wollen, finden per Grub auf ihrem Computer parallel ein gut eingerichtetes Kubuntu vor.

Dahinter: Alles per LDAP

Der laufende Administrationsaufwand im Haus des scheidenden Joschka Fischer ist wegen der vielen Außenstellen enorm. Hinzu kommt, dass das Botschaftspersonal alle drei, vier Jahre rotiert. Die Drehscheibe jeder Authentifizierung und aller Konfigurationen bilden OpenLDAP-Verzeichnisse (Abbildung 1). Der zentrale Baum wächst in Deutschland, die ausländischen LDAP-Teilbäume replizieren sich vom Masterserver aus zu ihren jeweiligen Orten. Die Administration der Verzeichnisse folgt einem Rollenkonzept und erfolgt, je nach Sinnhaftigkeit und Rechtslage, lokal oder zentral über extra Webmin-Module [7].

Anders als zu Windows-Zeiten kamen alle Admins auf Anhieb mit der Webmin-Technik klar, keiner brauchte eine Schulung. Mehr noch: Die Offenheit des ganzen Systems motivierte die IT-Mitarbeiter zu eigenen Projekten. So arbeitete sich einer neu in Java ein und programmierte eine Workflow-Anwendung zum Buchen des Berlin-Shuttle-Dienstes. Tenor: Ich kann kreativ etwas tun, statt nur dumpf MS-Exchange-Konten anzulegen! Für den IT-Strategie-Leiter des Amts, Dr. Rolf Theodor Schuster, kommt genau dies Argument – gesteigerte Motivation und Kreativität dank Open Source – im öffentlichen Bewusstsein bisher zu kurz.

Support per OTRS

Eine Installation dieser Größe und die ungewöhnliche Struktur erfordern einen professionellen, Software-gestützten Benutzersupport. Bis Mitte 2003 arbeitete die Behörde mit dem proprietären Ticketsystem Magic. Das erwies sich jedoch als ziemlich teuer und (nicht nur) wegen der fehlenden Mailschnittstelle als unflexibel.

Mit Einsatz des Open-Source-Produkts OTRS [8] verkehrte sich die Situation in jeder Hinsicht ins Gegenteil. Die Leiterin IT-Service (Abbildung 4) dazu: “Wir haben von einer dreifach kommerziellen Plattform umgestellt auf das Open Ticket Request System mit Debian und PostgreSQL. Ich denke, wir haben dabei nicht nur Kosten gespart. Open Source bringt uns Flexibilität und relative Unabhängigkeit von proprietären Produktzyklen. Bei der Systembetreuung greifen wir meist auf eigenes Personal zurück.” Mittlerweile arbeiten auch die Mitarbeiter im Bürgerservice mit dem gleichen System. An den Bürgerservice kann sich jeder wenden, der Fragen zur Sicherheitslage in bestimmten Gebieten, zu Studienmöglichkeiten oder Ähnlichem hat.

Vorbildlich

Die Migration des Auswärtigen Amts liefert ein weiteres Indiz dafür, dass in Mitteleuropa die öffentliche Hand Vorreiterin in Sachen Desktop-Linux ist. Im konkreten Fall eignen sich Tempo, aufgewandte Kosten und Ergebnis sicherlich als Vorlage für andere Ministerien und Ämter bei Bund und Ländern.

Abbildung 4: Susanne Kühnel, Leiterin IT-Service, analysiert: “Open Source bringt uns Flexibilität und relative Unabhängigkeit von Produktzyklen.”