Um die Verwaltung so bürgerfreundlich wie möglich zu machen, bietet das Amt der Kärntner Landesregierung (AKL) über das Internet umfassende Informationen sowie zahlreiche Möglichkeiten komplette Verwaltungsprozesse elektronisch abzuwickeln. Die bis zu 25000 Zugriffe pro Stunde auf Webseiten - bestehend aus insgesamt 90 Portalanwendungen und 200 Internetpräsenzen - stellen die IT-Abteilung der Landesregierung vor die Herausforderung vorgeschriebene Standards in Bezug auf Sicherheit und Verfügbarkeit zu gewährleisten.

Die Erfüllung dieser Standards wird im Rahmen jährlicher Audits überprüft und als dabei Handlungsbedarf  festgestellt wurde, entschloss man sich in der IT-Abteilung die erforderlichen Schritte sofort zu setzen. Zu diesem Zeitpunkt gab es zwar eine Firewall-Lösung, die Systeme dahinter wurden allerdings direkt angesprochen, wodurch sichtbar war in welcher Umgebung die Systeme betrieben wurden. Ein weiteres Problem verursachte der Umstand, dass jeder Benutzer direkt auf die Webserver zugegriffen hatte, weshalb die Auslastung der Server dementsprechend hoch war.

„Es galt, möglichst viel der Struktur der Webapplikation vor potentiellen Angreifern zu verstecken. Wenn jeder User der über einen Browser auf unsere Webapplikationen zugreift, ungefiltert jegliche Art von Informationen erhalten kann, so birgt das Sicherheitsrisiken und liefert Angriffspunkte“, erklärt IT-Leiter Rudolf Köller die Strategie. “Wir wollten eine Lösung finden, mit der man den direkten Zugriff auf die Webserver minimiert und einen Single Point of Entry schaffen. Außerdem sollten unsere Server so entlastet werden, dass sie Informationen schneller als bisher an die Benutzer unserer Webseiten ausliefern“, ergänzt Josef Jaritsch aus der Gruppe Systemtechnik und zuständig für den Webserverbetrieb.

Für eine Beurteilung der Situation und zur Präsentation von Lösungsvorschlägen wurde als externer Partner X-tech eingeladen. „Die IT-Struktur war über die Jahre gewachsen und bei der Entwicklung wurde einiges hausintern, verschiedenes aber auch von externen Dienstleistern programmiert. Deshalb war die IT-Struktur nicht aus einem Guss und es gab einen Wildwuchs an Webapplikationen“, beschreibt Roland Geldner, IT Infrastructure Architect bei X-tech, die vorgefundenen Konstellation. Aufgrund der Prüfung konnten folgende Anforderungen festgestellt werden:

• Schnellere Auslieferung der Webseiten
• Hochverfügbarkeit für jegliche Zugriffe auf die Webressourcen
• Absicherung der Webressourcen gegen Datenverluste und gegen Schaden der durch unbefugte Zugriffe entstehen könnte
• Umsetzung eines zentralen Loggings

Die ausführliche Analyse ergab, dass sich diese Anforderungen am besten mit dem Citrix NetScalers abdecken lassen, für dessen Einsatz sich die IT-Abteilung des AKL nach einer Evaluierung entschied. Nach Erteilung des Auftrags an X-tech konnte unter der Verantwortung von Josef Jaritsch als Projektleiter des AKL und Roland Geldner als Projektleiter X-tech mit der Umsetzung begonnen werden. Nach der netzwerktechnischen Implementierung, dem Abbilden der Webseiten und Funktionen über den NetScaler, sowie deren Absicherung konnte die Lösung in Betrieb gehen.

Durch den Einsatz des NetScalers wurde es möglich die Systeme effizient zu schützen, weil damit nicht nur wie bei der ursprünglichen Firewall-Lösung festgelegt wird auf welche Seiten Besucher zugreifen können, sondern auch welche Daten mit dem Webserver ausgetauscht werden dürfen. Mit diesem Strategiewechsel zum Whitelisting konnte die vollständige Kontrolle über den Datentransfer in beide Richtungen gesichert werden. Auch der Mangel an Performance der Webservices ließ sich mit der Lösung beheben, denn die verschiedenen Funktionen und Systeme wurden durch den NetScaler als einzige Instanz ersetzt. Außerdem wird schon am NetScaler als zentralen Zugriffspunkt entschieden was an Daten überhaupt transferiert werden darf (Schutz vor Datenverlust). Die Vorgabe des zentralen Logging wurde mit dem Zugriffslog, bei dem über die IP-Adresse festgehalten wird wer auf was zugegriffen hat, erfüllt.

Mittlerweile laufen 95 % der Webservices über den NetScaler und die positiven Reaktionen der Beteiligten bestätigen den Erfolg des Projektes: „Wir können damit die Vorgaben der EDV-Leitung im Bereich Qualitäts- und Sicherheitsmanagement erfüllen. Verbesserungen gibt es auch im Bereich der Applikationsprogrammierung, denn wir bekommen oft vorgefertige Applikationen zur Implementierung, aber wir haben nicht die Möglichkeit diese auf Sicherheitsrisiken zu überprüfen. Durch den NetScaler können wir dieses Risiko minimieren“, beurteilt Projektleiter Josef Jaritsch den erreichten Status. Weiterer positiver Effekt: Es gibt eine gewisse Flexibilität für die Webserver, weil mit relativ wenig Aufwand Applikationen zwischen den Servern verlagert werden können und der Benutzer davon nichts merkt, da es keine Downtime gibt.

Auch IT-Chef Rudolf Köller zeigt sich mit dem Projektverlauf zufrieden und überlegt die weitere Vorgangsweise: „Wir wissen, dass wir mit diesem Projekt am richtigen Weg sind und wir möchten mit Nachdruck das Regelwerk auch im Applikationsbereich durchziehen.“

• Case Study AKL (Typ: PDF, Größe: 1,6 MB)