KRZN: Kommunale IT – von Mensch zu Mensch

Inhalte durchsuchen

Mobility und BYOD für Behörden (Teil 2/3)

Im heutigen 2. Teil des Aufsatzes für die Zeitschrift IT-Sicherheit 5/2012 geht es um die möglichen Zielgruppen von Tablet-Nutzern und um die Möglichkeiten, die wir in unserem Pilotprojekt aufgezeigt und umgesetzt haben:

Zielgruppen

Neben den „Tekkies“ – also jenem Personenkreis, der sich technischen Neuerungen nach der Devise „Interessieren – Kaufen – Verstehen – Anwenden – Beurteilen – Weiterverwenden oder Entsorgen“ nähert – interessierten sich aber vor allem Führungskräfte der Verwaltungen für den Einsatz der Tablets: Man hatte erkannt, dass dieser Gerätetyp das papierarme Arbeiten besonders in Besprechungen ermöglicht und dass alle relevanten Informationen, die man in einer bestimmten „Berufslage“ (Besprechung, Vor-Ort-Termin, zu Hause, im Urlaub …) benötigt, bereitstehen. (Anmerkung: Die mittlerweile verstärkt zu beobachtende Vermischung der privaten und der beruflichen Sphäre hat dazu geführt, dass dienstliche Aufgaben durchaus auch abends beim Fernsehen oder morgens beim Frühstück mit Hilfe mobiler Smartphones und Tablets durchgeführt werden: Daher ist der Begriff „Berufslage“ auch im privaten Umfeld anwendbar.)

Abb. 2 – Tablet-Nutzer – Zielgruppen

Einmal angestoßen wurde der Bedarf an dieser Geräteklasse aus unserer Anwenderschaft auch für weitere Kreise angemeldet. IT-Administratoren träumten davon, im Urlaub ihre liebgewordenen Systeme aus der Ferne steuern und überwachen zu können, aus Verwaltungssicht taten sich beim Einsatz in der Rats- und Gremiumsarbeit Einsparpotentiale im Bereich der Vorlagenproduktion und -verteilung auf und Außendienstler können ihre Arbeit mit weniger Ballast durchführen. Auf Basis dieser Einsatzszenarien wurde das Pilotprojekt so strukturiert, dass man die Geräte mit entsprechender Funktionalität ausstatten konnte, um die unterschiedlichen Bedarfslagen abdecken zu können. Hierdurch sollten die Vorteile den Hürden und Risiken besser gegenübergestellt werden können: Für die (Sicherheits-) Risiken galt es dann, geeignete Methoden zu entwickeln, um die erkennbaren Lücken zu schließen. Die Vorteile sollten mit entsprechenden Vorgaben und der Einrichtung von notwendigen (Schnittstellen-) Systemen bestmöglich genutzt werden können, wobei auch immer ein Blick auf die (zukünftig nicht stark steigen dürfenden) Betriebskosten zu richten war.

Informations- und Kommunikationsquellen

Die klassische Hauptaufgabe der Smartphone und Tablet Nutzung ist die PIM-Funktionalität (PIM: Personal Information Manager). Hier werden aus dem führenden E-Mail- / Groupware-/Kollaborations-System der Behörde oder Firma die Daten per Mobilfunk- oder WLAN-Verbindung auf dem mobilen Gerät aktuell gehalten. Je nach verwendetem System (die meisten Firmen und Behörden haben entweder IBM Lotus Domino, Microsoft Exchange oder Novell Groupwise im Einsatz) sorgen Synchronisationsserver dafür, dass die Daten zum einen sicher zwischen Mobilgerät und Firmennetzwerk transportiert werden und zum anderen, dass immer die aktuellen E-Mails, Kalendereinträge, Kontaktdaten und Aufgaben verfügbar sind. Die Kommunikation sollte bidirektional sein, so dass auf dem mobilen Gerät auch Eingaben vorgenommen werden können, die dann automatisch auf die behördeninternen Server übertragen werden.

Abb. 3: Zugriffsstruktur der DMS-App

Wer vorher in seiner Behörde bzw. in seinem Arbeitsumfeld noch über keine organisierte Dokumentenablage verfügte, wird auch durch den Einsatz von Tablets bei der Informationsrecherche von internen Behördeninformationen nicht alle Vorteile erzielen können. Ein Dokumenten-Management-System (DMS), das nach wohl durchdachten Vorgaben Strukturen zur Ablage aller digital verfügbaren Informationen zur Verfügung stellt, ist zur Recherche für Tablets eine sehr gute Voraussetzung. Die Verknüpfung über sichere Zugriffsmechanismen und (spezielle) Applikationen (Apps) ermöglichen den mobilen Zugriff auf aktuelle (oder in regelmäßigen Abständen automatisiert auf das Gerät übertragene) Datenbestände. Wie die im behördeninternen DMS gespeicherten Informationen auf das Tablet gelangen, hängt vom Anbieter des Systems ab. Das KRZN stellt seinen kommunalen Anwendern und Kunden für das hauseigene DMS-System eine App zur Verfügung, mit der alle im DMS gespeicherten Dokumente (im Volltext, per Filter oder nach den vorgegebenen Strukturen) gesucht, aufgerufen und eingesehen werden können. Je nach der Organisierungstiefe einer Kommune stehen dem Benutzer damit alle für ihn freigegebenen Informationen in jeder Besprechung und an jedem Ort zur Verfügung. Da immer live zugegriffen wird, ist die Voraussetzung hierfür ein WLAN-Zugang (Drahtlosnetzwerk) oder eine ausreichende Mobilfunkverfügbarkeit (vorzugsweise im UMTS-Ausbau). Um nicht in eine Plattformfalle zu laufen, wurde die App als sogenannte HTML5-Anwendung entwickelt: Sie sieht aus wie eine „richtige“ mobile Applikation, läuft aber unverändert und ohne vorherige Installation auf allen gängigen Tablets und Smartphones und – sofern gewünscht – auch auf jedem internetfähigen PC. Ausgestattet mit entsprechenden Verschlüsselungs- und Zugriffsmechanismen sowie einer Trennung von Client, (internen) Anwendungs- und Applikationsservern wurde die implementierte Technik auch von den zuständigen behördlichen Datenschutzbeauftragten als datenschutz- und sicherheitstechnisch unbedenklich eingestuft. Neben einem Einsatz im KRZN selber wurden mittlerweile schon mehrere Kommunen mit der Anwendung ausgestattet.

Abb. 4: Bildschirm der DMS-App

Viele Anwendungen stehen nur als vollständige Clientanwendungen an den Arbeitsplätzen zur Verfügung. Möchte man diese Anwendungen auch auf Smartphones und Tablet-Computern nutzen, so verlässt man meist die von den Anwendungen vorgesehene Betriebssystemarchitektur. Fast alle im KRZN eingesetzten Fachverfahren haben kein Benutzerinterface (UI – User Interface) für das auf einem Tablet eingesetzte Betriebssystem (hier iOS, gleiches gilt aber auch für WindowsPhone oder Android), sondern basieren auf Windows. Darüber hinaus wäre eine direkte Anbindung an ein Fachverfahren grundsätzlich auch aus Sicherheitsgründen sehr bedenklich: Tablets befinden sich standardmäßig in einem offenen Netz, während die Fachanwendungen sicher in behördeninternen Netzen betrieben werden. Jede Öffnung der Netze ermöglicht potentiell einen Angriffsspielraum. Das Pilotumfeld wurde daher um eine Terminal-Server-Variante ergänzt, die mittels verschlüsselten Zugangs über RSA (ein nach den Mathematikern Rivest, Shamir und Adleman benanntes kryptografisches Verfahren) und in unserem Fall einem Citrix Access Gateway alle Anwendungen auf dem Tablet zur Nutzung anbietet, die auch innerhalb einer Behörde terminalserverfähig angeboten werden. Damit steht einem Tablet Benutzer fast das gesamte Spektrum der Anwendungen zur Verfügung, das im behördlichen Umfeld auch an jedem Arbeitsplatz verfügbar ist. Der Vorteil dieser Anbindung liegt darin, dass keine Daten der Anwendungen auf den Tablets gespeichert werden, sondern lediglich Bildschirmein- und ausgaben übertragen werden. Aufgrund der begrenzten Bildschirmgröße, dem Fehlen einer Maus und durch die virtuelle – am Tablet eingeblendete – Tastatur ist die Bedienung der Anwendungen jedoch deutlich mühseliger, reicht aber oft für Recherchearbeiten aus. Hatten wir zunächst erwartet, dass diese Arbeitsweise hauptsächlich bei den IT-affinen Kolleginnen und Kollegen Anklang finden würde, wurden wir schnell eines Besseren belehrt: Gerade Führungskräfte schätzten beispielsweise die Möglichkeit, an jedem Ort und zu jeder Zeit aktuelle Haushaltszahlen aus Finanzinformationssystemen ermitteln zu können.

Abb. 5: Citrix Access Gateway Infrastrutur (schematisch)

Besonders beliebt im mobilen Zeitalter ist der sogenannte „Cloud-Speicherplatz“. Systeme wie Dropbox, Google Drive oder Microsoft Skydrive eignen sich dazu, wichtige Dokumente stets auf jedem Gerät aktuell vorhalten zu können oder Informationen dort abzulegen. Aus rechtlicher Sicht dürfte das zumindest bedenklich sein: Oftmals verliert der Ersteller durch die zu Grunde liegenden Geschäftsbedingungen der Anbieter der Cloud-Services die Rechte an den Daten und kann auch nicht sicherstellen, dass diese den Anforderungen entsprechend vor dem Zugriff Dritter geschützt werden. Diese Systeme sind daher – insbesondere wenn sie ohne einen dediziert ausgehandelten Vertrag mit dem Anbieter geschlossen werden – grundsätzlich abzulehnen. Trotzdem sollte den Benutzern im Zuge des Pilotprojektes eine adäquate Funktionalität angeboten werden: Das KRZN hat daher mehrere „Dropbox-ähnliche“ Systeme evaluiert und sich mittlerweile für eine Umgebung entschieden, die die beliebte Cloud-Speicher-Funktion den Behördenmitarbeitern und ggf. weiteren Personen zur Verfügung stellt. Die Entscheidung zur Erweiterung des Projektrahmens wurde im Laufe des Projektes in der – wie sich herausstellte irrigen – Annahme getroffen, dass die Implementation eines solchen Dienstes wenig Aufwand bedeuten würde. Es gab bereits einige Systeme auf dem Markt, die die Anforderungen – nach Papierlage -erfüllten. Bei näherer Evaluation wurde aber schnell klar, dass alle funktionalen und datenschutzrelevanten Mindestanforderungen nur von sehr wenigen Systemen erfüllt werden konnten. Hier sind zu nennen: Verschlüsselung der Kommunikationswege, verschlüsselte Datenspeicherung im Rechenzentrum, Trennung von Applikationsserver (der meist in der demilitarisierten Zone steht) und den Anwendungsservern (die im internen Netz stehen sollten), einfache Bedienung und Administration. Im KRZN kommt derzeit ein Teil des Systems Alfresco zum Testeinsatz. Die Systemarchitektur ist gegenüber den ersten Überlegungen mit sechs Servern komplexer als geplant, scheint aber zur Erfüllung aller Anforderungen notwendig. Eine abschließende Beurteilung aus Anwender-, Administrations- und Datenschutzsicht steht noch aus, wir sind jedoch nach längerer Evaluationszeit guter Dinge, unsere „Behörden-Dropbox“ für weitere Verwaltungen anbieten und sicher betreiben zu können.

Abb. 6: Systeme der Behörden-Dropbox (schematisch)

Neben diesen vorstehend beschriebenen vier Bereichen benötigen Mitarbeiter auch Standardanwendungen, um das Gerät „im täglichen Leben“ nutzbringend einsetzen zu können. Die Auswahl sollte aber nicht in die Hände der Benutzer gegeben werden: Bei einer sechsstelligen Zahl verfügbarer Apps ist die (zentrale) Unterstützungsmöglichkeit des IT-Dienstleisters kaum noch möglich. Daher haben wir alles, was im Büro- und Besprechungsumfeld an nutzbringenden Anwendungen vorhanden sein sollte, kategorisiert und Einsatzempfehlungen ausgesprochen. Hiermit wird sichergestellt, dass zentral verfügbare Systeme (wie zum Beispiel die erwähnte Behörden-Dropbox) in Verbindung mit den Büroapplikationen auf dem Tablet so wie vorgesehen funktionieren. Im Fehlerfall lässt sich ein Problem innerhalb eines standardisierten Umfelds deutlich besser analysieren und beheben. Empfehlungen für den Bereich der Standard-Office-Produkte (Textverarbeitung, Tabellenkalkulation, Präsentation), ein geeignetes Notizenprogramm und für Programme zur Anzeige bzw. zum örtlichen Sammeln verschiedener Dateitypen (PDF, Fotos, ggf. Filme) gehören zur Standardausstattung. Mobile Mitarbeiter benötigen je nach Tätigkeit weitere Apps (Bahn, Navigation, Flug). Personen, die sich auch im Social-Media-Bereich engagieren (wie Pressesprecher oder Nachrichtenlieferanten), werden wiederum entsprechende Apps benötigen. Im Rahmen der Untersuchung konnten nicht alle verfügbaren Programme intensiv getestet werden, daher ist auch nicht auszuschließen, dass es für einzelne Aufgabenfelder bessere Anwendungen gibt, als die derzeit empfohlenen. Vorrangiges Ziel unserer Empfehlung war es, eine in sich schlüssige Zusammenstellung sinnvoller Programme zu erarbeiten, einfach zu bedienende Systeme vorzuschlagen und eine Interoperabilität der Anwendungen sicherzustellen. Einen Einblick in die KRZN- Empfehlungen ermöglicht nachfolgende Themenübersicht:

• Büro (Office):
  Apple’s Pages, Numbers, Keynote,
  Notability, Goodreader
  Notes F1 ToDo
• Nachrichten / SocialMedia:
  facebook, Seiten (facebook-Seitepflege für Firmen- und Behörden-Administratoren), google+, twitter,
  Flipboard
• Unterwegs:
  DB-Navigator, Lufthansa (o.ä.)
  Navigon (bei T-Mobile-Vertrag), Skobbler
• Sonstiges:
  Safe (Passwortspeicher)
  Alfresco, Webdav-Navigator (im KRZN-Umfeld)
  Citrix Receiver (im KRZN Terminal-Server Umfeld)

(Eine vollständige Liste kann über den vollständigen Tablet-Pilotbericht, der auf den Webseiten des eGovernment-Teams erhältlich ist, eingesehen werden)

Weitere selbsterstellte Anwendungen und Implementationen sind ebenfalls im Laufe des Pilotbetriebs entstanden: Wie die App zum Zugriff auf das hauseigene DMS werden diese als HTML5-Anwendungen oder als Browser-Anwendung so erstellt, dass sie nicht speziell auf die iPad-Architektur angewiesen sind. Neben einfachen Implementationen, die den Zugriff auf Organisationsdatenbanken mit Telefon-, Kontakt- und Mailintegration erlauben, gibt es auch eine spezielle Implementierung des KRZN-Ratsinformationssystems: Hiermit wird den Rats- und Gremienmitgliedern einer Gemeinde, einer Stadt oder eines Kreises ermöglicht, sich mit einfachen, tablet-tauglichen Bedienungselementen schnell auf Sitzungen vorzubereiten oder eine Recherche in den Angeboten zu starten. Die Übertragungsmöglichkeiten der Unterlagen auf das iPad wurden organisatorisch beschrieben, eine individuelle Anpassung kann vor Ort bedarfsgerecht durchgeführt werden.

Die bisher erstellten Anwendungen machen das Potential und die Richtung genereller Anwendungsentwicklung deutlich: Die Bedienung und Visualisierung entfernt sich noch weiter von komplexen und monolithischen Anwendungen als bisher und wird in leicht erlern- und nutzbare Funktionsbausteine eingeteilt. Tablets und Smartphones verstärken diesen Trend und sorgen dadurch vermutlich auch für eine Änderung der Anwendungsarchitektur für die klassischen IT-Arbeitsplätze.

Autor: Ernst Mayer
Kategorien: Allgemein, eGovernment, Mobil, Smartphone, Tablet - Tags: BYOD, eGovernment, iPad, iPhone, Mobil, Tablet — 14.11.2012 um 8.00 Uhr