Das Bistum Aachen hat seine IT-Infrastruktur auf ein neues Fundament gestellt: Die Anbindung der Außenstellen an das zentrale IT-System basiert auf einem neuen Sicherheitskonzept.

Das Bistum Aachen hat seine IT-Infrastruktur auf ein neues Fundament gestellt: Die Anbindung der Außenstellen an das zentrale IT-System basiert auf einem neuen Sicherheitskonzept.

Bis zum Jahr 2003 unterhielten die Einrichtungen des Bistums Aachen mehr oder weniger eigenständige IT-Lösungen. Die IT-Landschaften waren entsprechend heterogen und verfügten über eine Vielzahl unterschiedlicher Applikationen. Diese IT-Strukturen entsprachen nicht mehr den Standards für moderne Kommunikationsstrukturen und Netzwerksicherheit. Zudem waren die Anforderungen an die IT-Dienste des Bistums gestiegen, denn auch im kirchlichen Bereich sind die Geschäftsprozesse zunehmend von einer reibungslos funktionierenden IT abhängig. Da gleichzeitig auch das IT-Budget reduziert wurde, war eine vereinfachte Netzwerkstruktur erforderlich. Darüber hinaus musste die Anbindung aller Arbeitsplätze sowie die Messaging-Plattform einheitlich sein. Konzeptionell ist die Einbindung bis in die Gemeinden vorgesehen.

Um diesen Anforderungen gerecht zu werden, wurde die IT-Infrastruktur des Bistums Aachen umgestaltet. Es galt, die Außenstellen an die Zentrale anzubinden und ihnen den Zugriff auf definierte Dienste, Applikationen und Fachanwendungen im Netzwerk einzurichten. Im Laufe des letzten Jahres setzte das Generalvikariat ein Projekt auf, um die gewachsenen IT-Strukturen des Bistums zu erneuern und das Netzwerk auf eine sichere Grundlage zu stellen. Udo Kielmann, Leiter System- und Netzwerktechnik im Bistum Aachen, beschreibt die Vorgehensweise: "In der ersten Projektphase haben wir das interne Bistums-LAN umstrukturiert und eine Citrix-Farm eingeführt. Jetzt arbeitet das Projektteam verstärkt an den Themen Netz- und Systemüberwachung, IT-Security und Einbindung der regionalen Außenstellen. Insbesondere im Bereich der Sicherheit war es für uns wichtig, ein 'sauberes' Konzept auszuarbeiten. Generell ist die Konzeptphase von besonderer Bedeutung. Dieser Projektabschnitt sollte nicht vernachlässigt werden, denn hieraus leiten sich die folgenden Schritte ab. Bei der Feinkonzeption und Umsetzung hat uns die Materna GmbH als langjähriger Partner beraten und unterstützt."

Bei der Umstrukturierung des Bistum-Netzes wurden vier Sicherheitszonen (DMZen) eingerichtet, die sich aus mehreren Subnetzen und virtuellen LANs zusammensetzen. In den DMZen werden unterschiedliche Daten mit verschiedenen Sicherheitsstufen für die Benutzergruppen zur Verfügung gestellt. Die dezentralen Standorte sind an die zentralen Dienste mit Hilfe einer Terminal-Server Farm auf Basis von Citrix MetaFrame XPe angebunden. Alle externe Standorte und einzelne Clients können so bei Bedarf über ein Provider Netz (Diözesen Netz) angebunden werden. Dabei stehen die Daten und Applikationen je nach Bedarf und Zugriffsrechten über den direkten Zugriff des Mail-Clients oder über den Terminal-Server zur Verfügung.

Aufgrund der hohen Sicherheitsanforderungen an die Kommunikation innerhalb der verschiedenen Organisationseinheiten des Bistums wurde der Einsatz der Terminal-Server-Technologie akut. Der externe Zugriff auf sensible Daten, wie Planungsdaten und interne Schreiben, ist dabei ausschließlich über den zentral betriebenen Terminal-Server oder Mail-Client möglich. Somit kann die gesamte Kommunikation von zentraler Stelle verwaltet und kontrolliert werden. Eine CheckPoint-Firewall auf einem Red Hat Linux-Server schützen das Bistumsnetz vor Angriffen und unberechtigten Zugriffen.

Bei der Umsetzung des Sicherheitskonzepts baute das Generalvikariat auf die Beratungsleistungen von Materna. Die Dortmunder IT-Spezialisten entwickelten Feinkonzepte auf Basis des IT-Security-Grundkonzepts, implementierten das System und unterstützten das Bistum bei der Inbetriebnahme. Darüber hinaus sorgte Materna für die organisatorische Umsetzung der Datensicherheit.

Im Zuge der Umstrukturierungen wurde auch ein standortübergreifendes Verzeichnis eingerichtet, das auf Microsoft Active Directory basiert. Die zentrale Verwaltung der Benutzerkonten erfolgt über die Software-Management-Lösung DX-Union von Materna. DX-Union fungiert im Netzwerk des Bistums Aachen als zentrale Administrationsumgebung im Sinne eines Single-Point-of-Administration. DX-Union versorgt das Active Directory mit den benötigten Inhalten. Damit verwaltet DX-Union zentral sämtliche Benutzer sowie alle Ressourcen im Netzwerk wie zum Beispiel PCs, Drucker, Profile und Software. So wird eine sichere Standortverwaltung auch dezentralen Anwendern zugänglich. Der Verzeichnisdienst des Windows 2000-Netzwerkes ermöglicht den Benutzern über eine einzige zentrale Anmeldung den Zugriff auf alle Ressourcen. Administratoren profitieren von der zentral organisierten Verwaltung, die sich transparent von der Netzwerktopologie und den eingesetzten Netzwerkprotokollen darstellt. DX-Union betreut im Bistum Aachen rund 400 PC-Arbeitsplätze sowie 140 weitere in den bereits angeschlossenen Dienststellen. Insgesamt kommen in den nächsten Monaten 350 weitere PC-Arbeitsplätze in den Außenstellen hinzu. Mittelfristig werden auch die Kirchengemeindeverbände integriert, so dass es bis Ende 2005 rund 1.000 zu verwaltende PCs sein werden.

Zentraler Bestandteil für eine sichere und leicht bedienbare Kommunikationsinfrastruktur im Bistum ist eine einheitliche Messaging-Plattform. Die Entscheidung fiel auf den Lotus Domino Server, da dieser auch in anderen Bistümern verbreitet ist und bereits verschiedene Applikationen, wie das Adress-System, darauf basieren. Die IBM Messaging-Plattform gewährleistet eine schnelle Verteilung von Informationen und die Zusammenführung aller Mail-Benutzer in einem System. Um die Installation der Mail-Clienten möglichst effizient vorzunehmen, ist vorgesehen, die Außenstellen über den Citrix Terminal-Server anzubinden.

Die Umstrukturierungsmaßnahmen und DX-Union als ein zentraler Bestandteil halfen der IT-Abteilung bei der Erfüllung der geänderten IT-Anforderungen. "Ohne die Veränderungen und den Einsatz von zusätzlichen Software-Komponenten, wie Netz- und System-Management mit der Software-Lösung BMC Patrol und Citrix Terminal-Servern, wäre die kleine Mannschaft des Bistums kaum in der Lage, die hohen Anforderungen der Zentralisierung und Konsolidierung der IT zu meistern. Weiter tragen die Beratungs- und Unterstützungsleistungen von Materna und anderen Dienstleistern dazu bei, diesen Prozess zu unterstützen", zieht Udo Kielmann sein Resümee.

Autor: Karlo Schulze Dieckhoff, Leiter Organisation / EDV des Generalvikariats des Bistums Aachen.