Anmerkungen zur EDV-Sanierung des Juridicums

von Christian Marzluf (Ausgabe 05/1, März 2005)

 

Die Eule der Minerva beginnt erst mit der einbrechenden Dämmerung ihren Flug


Hegel, Georg Wilhelm Friedrich: Grundlinien der Philosophie des Rechts, Vorrede (das Wesen der Erneuerung), 1821

Als das Dekanat der Rechtswissenschaftlichen Fakultät im Herbst des vorletzten Jahres an den Zentralen Informatikdienst mit der Bitte herantrat, der Fakultät bei der Behebung der Computerprobleme im Juridicum (Schottenbastei 10-16) und im Institutsgebäude Heßgasse 1 behilflich zu sein, da geschah dies nicht ohne Grund: Eine Vielzahl der PCs war mit Viren, Würmern oder Trojanern befallen; insbesondere als der Wurm Sasser seine Verbreitung nahm, fand das Desaster keine Grenzen, an vielen Instituten fuhren die Computer in wechselnder Folge in Minuten-Abständen herunter. Manche Rechner wurden (ohne Wissen ihrer BenutzerInnen) als Tauschbörsen für beliebige Inhalte missbraucht, sinnvolles Arbeiten war nicht mehr möglich. Die zentrale Dateiablage war an einen Novell-Server gebunden, der längst seinen "natürlichen Lebenszyklus" überschritten hatte, ständig am Kapazitätslimit operierte, ungewartet und ungesichert im Keller stand und bei Neustarts nur mit Mühe wieder den Betrieb aufnahm - was Anlass gab, einen Neustart generell zu vermeiden. Zudem erschwerte die aus den akademischen Erfordernissen resultierende, unstrukturierte Softwarevielfalt auf den PCs eine effiziente Verwendung derselben für interne Kommunikationsabläufe; jedwede Standardisierung wurde durch das historisch gewachsene Flickwerk bei Ausstattung und Betreuung vereitelt.

Diese von den BenutzerInnen zu Recht als unerträglich empfundene Situation bildete den Ausgangspunkt des "Projekts Juridicum". Gefordert war eine nachhaltige Lösung für die EDV-Probleme der Rechtswissenschaftlichen Fakultät. Zwar hätte man gewiss unter Aufbringung großer personeller Ressourcen das Symptom in ein paar Wochen beheben können, indem man mit antiviralem und anderem Werkzeug bewaffnet jeden einzelnen Computer "gesäubert" hätte - nur hätte dann nichts, aber auch gar nichts einen neuerlichen Befall der PCs mit Viren, Würmern und Trojanern verhindern können.

Man entschloss sich daher zu einem umfassenden Redesign der EDV-Systeme der juridischen Fakultät, zur Entwicklung eines Konzepts, das neben der Sanierung der PCs auch eine Nachbetreuung (unter Einbeziehung lokaler EDV-Verantwortlicher und EDV-Betreuer) inkludieren sollte. Die BenutzerInnen mussten von der Last der Betriebssystem-Patches und Antiviren-Updates befreit, die AdministratorInnen mit der Kontrolle der Schwachstellen und Angriffspunkte des implementierten Systems beauftragt werden - eines Systems, das selbstredend niemals perfekt sein kann, aber in sich die Fähigkeit zur automatisierten Anpassung an veränderte Gesichtspunkte tragen muss, um der geforderten Nachhaltigkeit genügen zu können.

Konzeption

Ideenfindungen nehmen in modernen Zeiten selten unter isolierten Bedingungen ihren Gang. Demgemäß wurde zuerst im Zuge von Informationsveranstaltungen versucht, die Bedürfnisse und Wünsche der unmittelbar Betroffenen zu erheben. Der ZID hatte bereits vergleichbare Projekte (z.B. PC-Räume) erfolgreich abgewickelt und konnte die Erfahrungen dieser Arbeitsgruppen synergetisch nutzen; um etwaige blinde Flecken in der Betrachtung aufzuhellen, wurde zudem eine Consulting-Firma beauftragt, an der Erstellung eines tragfähigen Konzepts mitzuarbeiten. Dieses sollte sich auch paradigmatisch - als "Designvorlage" - für eine Instituts-PC-Betreuung eignen und folgende Forderungen erfüllen:

  • Zentrale Verteilung und Installation von Betriebssystemen, Security-Patches, Virenscanner-Updates und so genannter Standardsoftware durch den ZID;
  • Implementierung eines Netzwerk-Sicherheitskonzepts (VLANs, Instituts-Firewalls, Datentankstellen für ungewartete Notebooks etc.), um den Security-Problemen der Vergangenheit entgegentreten zu können;
  • Ablage der Dateien auf zentralen Fileservern (Samba) in selbst verwalteten Verzeichnissen, die entweder nur für den jeweiligen Benutzer persönlich zugänglich sind oder von Instituten bzw. Arbeitsgruppen gemeinsam genutzt werden können;
  • lokale Administrierbarkeit der PCs durch die EDV-Verantwortlichen der Institute und die EDV-Beauftragten der Fakultät, da im universitären Alltag zusätzlich zur Basis-Konfiguration oft verschiedenste Programme installiert und deinstalliert werden müssen, was im Zeitrahmen einer zentral organisierten Wartung nicht möglich ist.

Die dafür erforderliche Rechteteilung Benutzer - Lokaler Administrator - ZID-Administrator ist am Computer weitaus komplizierter zu realisieren als ein System, das sich gegen unerlaubte Eingriffe durch BenutzerInnen vollständig abschirmt, da eine solche Strukturierung neben zentral verwaltbaren Standardlösungen auch weitreichende lokale Individualisierungen ermöglichen muss - beispielsweise den von WissenschaftlerInnen häufig geäußerten Wunsch, die Ablage ihrer Daten selbst zu bestimmen (womit ihnen freilich die oftmals unterschätzte Aufgabe bleibt, auch für deren Sicherung selbst zu sorgen).

Die Ausarbeitung eines solchen Konzepts bedurfte selbstredend vieler Vorbereitungen, Diskussionen und Testläufe. Zudem mussten geeignete Mechanismen gefunden werden, um die bestehenden Systeme - die aufgrund des massiven Virenbefalls sämtlich neu zu installieren waren - möglichst effizient in die neue Infrastruktur zu überführen. Im Rahmen einer detaillierten Erhebung der vorhandenen Hard- und Software, die dazu diente, den bisherigen Funktionsumfang der PCs auch nach der Umstellung garantieren zu können, wurden jene Geräte identifiziert und aufgerüstet, die den neu definierten Mindeststandards nicht entsprachen - beispielsweise wurden Computer, die über keine PXE-Fähigkeit (Preboot Execution Environment) verfügten, mit einer entsprechenden Netzwerkkarte ausgestattet, um eine Fernwartung bzw. -installation zu ermöglichen.

Realisierung

Die Ingredienzien des neuen Systems und die einzelnen Arbeitsschritte der Umstellung seien hier kurz skizziert:

  • Noch bevor ein ZID-Mitarbeiter irgendeine Änderung vornimmt, werden die Partitionen des PCs auf eine zweite Festplatte gesichert, um einem etwaigen (wenn auch unwahrscheinlichen) Datenverlust vorzubeugen. Das dabei erzeugte Image wird in einem so genannten "Tresor" auf einem Fileserver abgelegt und stichprobenartig auf Funktionstüchtigkeit kontrolliert.
  • Wenn dieser Vorgang erfolgreich abgeschlossen ist, beginnt die Sicherung persönlicher und essentieller Daten, die auf das Homeverzeichnis des jeweiligen Benutzers am Fileserver FS1.UNIVIE.AC.AT übertragen werden - ein Speicherort im übrigen, auf den auch von zu Hause aus zugegriffen werden kann (siehe Artikel Fileservices: Willkommen in der Daten-Bank).
  • Hernach bootet der Computer via PXE, erhält von einem DHCP-Server eine IP-Adresse zugewiesen und lädt von einem TFTP-Server ein BootImage, das die Festplatte des PCs entsprechend der individuell definierten Vorgaben partitioniert und formatiert, die Dateien für die Betriebssystem-Installation von einem zentralen Depotserver auf die Festplatte kopiert und das Betriebssystem - ohne manuelle Interaktion - gemäß der am Depotserver erstellten Konfigurationsdatei installiert.
  • Nun wird ein Windows Agent implementiert, ein kleines Programm, das in Hinkunft den Depotserver in regelmäßigen Abständen befragen wird, ob für diesen PC neue Software verfügbar ist. Stehen Installationsaufträge an, so wird dies über ein interaktives Fenster angezeigt und der Benutzer gebeten, sich abzumelden. Er kann nun in aller Ruhe seine Programme schließen; nach Bestätigung der Anfrage wird er automatisch ab- und ein vom System verwalteter Benutzer angemeldet. Nachdem die Software erfolgreich installiert ist, wird dieser abgemeldet und der Computer, falls notwendig, neu gestartet. Nun kann sich der Benutzer wieder anmelden und die neuen Programme verwenden - oder aber sicher sein, dass der PC die neuesten Betriebssystem-Updates geladen hat. Der ZID-Administrator kann über eine zentrale Konsole den einzelnen Rechnern bestimmte Softwarepakete zuweisen und den lokalen Windows Agent zur Installation derselben veranlassen. Ein anderer Agent (der bereits über diesen Mechanismus eingerichtet wurde) zeichnet die Änderungen in Software- und Hardware-Inventar auf, damit der PC nach Behebung eines Systemfehlers - z.B. nach Austausch einer defekten Festplatte - neu beschickt werden kann.
  • Auf jedem Rechner werden darüber hinaus die Antivirensoftware McAfee VirusScan1) und ein zugehöriges Hilfsprogramm installiert, das in regelmäßigen Abständen die Versionsnummer der installierten Virendefinitionsdatei sowie einen etwaigen Virenbefall an eine zentrale Datenbank (ePolicy Orchestra Server) meldet. Sollte einmal - aus welchem Grund auch immer - das Update des lokalen Virenscanners fehlschlagen, kann man über die Datenbank ermitteln, welche PCs veranlasst werden müssen, die aktuellen Virendefinitionen nachzuladen.
  • Zum Abschluss der Umstellung werden mit Hilfe eines eigens entwickelten, webbasierten Administrations-Werkzeugs ("Organon", siehe weiter unten) auf dem PC die Benutzer und Drucker angelegt und die benutzerspezifischen Einstellungen wiederhergestellt. Über das Organon erhält der Benutzer auch eine erste Einführung in das neue System.

Ende Juni 2004 wurde begonnen, dieses Konzept im Juridicum und in der Heßgasse 1 nach strikt vorgegebenen Zeitplänen zu realisieren: Die gesamte Umstellung musste - bei Minimierung der Ausfallszeiten für die einzelnen Abteilungen - während der Sommerferien abgewickelt werden. Der finale Standardisierungsgrad wurde anfangs auf etwa 60% geschätzt; tatsächlich beteiligten sich aber 100% der BenutzerInnen am Projekt, sodass bis Ende September über 250 Computer neu installiert wurden. Dies konnte nur durch die sorgfältige Projekt-Vorbereitung und die hohe Motivation der Mitarbeiter zeitgerecht verwirklicht werden, wobei die offensichtliche Wertschätzung des professionellen Auftretens und der Arbeit des Projektteams durch die BenutzerInnen entscheidend zur Erhaltung dieser Motivation über den langen, intensiven Zeitabschnitt beitrug.

Wartung

Ein als Paradigma angedachtes Konzept nimmt also Abschied von Insellösungen, die nur unter hohen Kosten und zumeist nur über kurze Zeiträume erhaltbar sind. Es findet die Balance zwischen den Besonderheiten der wissenschaftlichen Anforderungen (die es von entsprechenden Vorgaben und Lösungsansätzen im Studenten- und Verwaltungsbereich unterscheiden) und den notwendigen Standardisierungen von essentiellen Softwarekomponenten, Administrationsstrukturen und Sicherheitsmaßnahmen. Die neu geschaffene Infrastruktur lässt sich jedoch nur durch das Zusammenwirken der drei Rechte-Ebenen über lange Zeit stabil halten; eine dauerhafte Mitarbeit der einzelnen Institute ist dabei unerlässlich.

Um den EDV-BetreuerInnen ihre Aufgabe zu erleichtern, wurde ein webbasiertes Systemverwaltungs-Werkzeug ("Organon") entwickelt, mit dessen Hilfe eine Reihe von administrativen Arbeiten via Browser erledigt werden kann, ohne die PCs einzeln aufsuchen zu müssen. Das Organon hat einen transparenten, optisch ähnlichen Aufbau für die einzelnen Zugriffsebenen (ZID-Administrator, EDV-Beauftragter der Fakultät, EDV-Verantwortlicher des Instituts), der sich nur durch die verfügbaren Befehlssätze unterscheidet. Diese erlauben dem ZID-Administrator die komplette Installation eines neuen Rechners, dem EDV-Beauftragten der Fakultät die Verwaltung der ihm zugewiesenen Instituts-PCs und dem EDV-Verantwortlichen schließlich Tätigkeiten wie das Hinzufügen oder Löschen von Druckern, das kurzzeitige Ändern der Benutzerrechte für administrative Arbeiten, die Kontrolle von Virenbefällen und einen Überblick über die installierte Software und Hardware (Inventar). Der Zugriff auf Benutzerdaten ist von keiner Rechte-Ebene aus möglich; auch bei Virenbefall wird nur der Name des Virus, nicht aber der Name der infizierten Datei angezeigt.

Hinter dem Organon steht eine Datenbank, in der die installierte Software, die Druckeranschlüsse, Drucker und die lokal angelegten Benutzer der einzelnen PCs verzeichnet sind. Mit Hilfe dieser Informationen kann im Schadensfall oder bei Austausch eines Rechners jede beliebige Konfiguration problemlos (re)generiert werden. Angesichts der notwendigen lokalen Administrierbarkeit und des hohen Individualisierungsgrads der Computer stellt dies hier die sicherste Methode der Systemwiederherstellung dar: Im Falle eines Rechnertausches müssen lediglich die neue MAC-Adresse und die vom Händler ausgewiesenen Hardware-Spezifikationen angegeben werden - erstere ist aus Gründen der Netzwerksicherheit in die IP-Datenbank des ZID einzutragen, zweitere werden benötigt, um die erforderlichen Treiber in den Depotserver einzubinden. Rund zwei Stunden später ist der neue PC mit derselben Software wie sein Vorgänger ausgestattet und voll einsatzfähig.

Ausblick

Ein solches Projekt kann selbstverständlich nur anhand seiner Integration über längere Zeiträume fundiert beurteilt werden. Die ersten PCs wurden jedoch bereits vor mehr als acht Monaten installiert und operieren seither stabil und ohne Vorkommnisse, was - insbesondere in Zusammenhang mit dem äußerst wohlwollenden Feedback der BenutzerInnen - Anlass zu einer positiven Bewertung geben darf. Erfolg misst sich aber auch am Interesse, das diesem "Projekt Juridicum" bereits im Laufe seines Vollzugs zuteil wurde und wird: Es gibt einige Institute anderer Fakultäten, die dem Beispiel folgen wollen. Freilich bedarf dies einiger Klärung vorab, da der ZID die Personalressourcen zur lokalen PC-Betreuung nicht aufbringen kann und daher auf einen personellen Beitrag von Seiten der interessierten Institute angewiesen ist.

Es gehört auch zum Wesen eines Projekts, dass es versucht zu verbessern, was zum Wohle der BenutzerInnen wie auch der BetreuerInnen zu optimieren ist. Diese Verbesserungen - und das war von Anfang an Teil der Konzeption - können mit den bereits installierten Werkzeugen vollzogen werden. Beispielsweise soll durch eine zentrale Authentisierung auf Samba-Basis ermöglicht werden, dass sich die BenutzerInnen (analog zu den PC-Räumen) an jedem beliebigen Computer des Systems anmelden und diesen im Rahmen der lokal installierten Software mit ihrem jeweiligem Benutzerprofil verwenden können. Zudem werden derzeit intensive Überlegungen angestellt, wie man, um die Lizenzkosten zu senken, Teile der Infrastruktur durch Open Source-Software ersetzen könnte - ohne dabei "Räder" neu zu erfinden, bestehende Synergien ungenutzt zu lassen und Systeme von äußeren Entwicklungen zu entkoppeln. Die Kunst liegt hier darin, die administrativen Werkzeuge so zu verfeinern und auszubauen, dass eine maximale Flexibilität der Gesamtstruktur für künftige Anforderungen gegeben ist. Ein solches System muss sowohl innerlich als auch äußerlich skalieren, d.h. das am PC implementierte System muss ohne Eingriff durch eine Person Änderungen seiner selbst vollziehen können, und die Anzahl der betreuten Systeme muss in einem gesamtuniversitären Maßstab wachsen können.

Wir arbeiten derzeit sehr intensiv daran, die genannten Verbesserungen zu realisieren; sobald diese Entwicklung abgeschlossen ist, werden wir im Comment davon berichten.