IKT- Architektur für das Land Berlin · vom IKT-Staatssekretär festgesetzt und weiterentwickelt, gleichzeitig ist er für die Einführung und die Überwachung von IKT-Standards

Version 1.0.0 Final - Stand: August 2016

IKT- Architektur für das Land Berlin

Version: 1.0.0 Final Stand: 15.08.2016

Version 1.0.0 Final - Stand: August 2016

Inhaltsverzeichnis 1. Einführung ....................................................................................................................... 1

2. Ziele & Lösungen durch die IKT-Architektur .................................................................. 2

3. Ziel-Architektur ................................................................................................................ 3

3.1. Grafische Darstellung ..................................................................................................... 3

3.2. Erläuterung des Gesamtzusammenhangs ..................................................................... 3

3.3. Endgeräte der Verwaltungskunden ................................................................................ 4

3.4. Service.berlin.de ............................................................................................................. 4

3.5. E-Government-Middleware............................................................................................. 4

Teilung in vier Schichten ................................................................................................................. 5

IKT-Basisdienste für E-Government ............................................................................................... 6

Ergänzungskanäle........................................................................................................................... 8

3.6. Berlin PC ......................................................................................................................... 9

3.7. Telefonie/VoIP .............................................................................................................. 10

3.8. Fachverfahren ............................................................................................................... 11

Angebotene Services für den Applikationsbetrieb........................................................................ 11

Architektur- und Designprinzipien ................................................................................................. 12

3.9. IKT-Basisdienste für Infrastruktur ................................................................................. 14

Identity- und Accessmanagement ................................................................................................ 14

Verzeichnisdienste ........................................................................................................................ 14

Mail-Gateway................................................................................................................................. 14

DNS……… .................................................................................................................................... 14

NTP…….. ...................................................................................................................................... 15

3.10. Infrastruktur ................................................................................................................... 15

Cloud: Server, Betriebssysteme, Datenbanken, systemnahe Software ...................................... 15

Netzwerke...................................................................................................................................... 17

3.11. IKT-Sicherheit ............................................................................................................... 20

Grundsätzliches............................................................................................................................. 20

Geltungsbereich ............................................................................................................................ 21

3.12. Lebenszyklen ................................................................................................................ 21

4. Anhänge ........................................................................................................................ 22

4.1. Standardisierungskatalog ............................................................................................. 22

4.2. Abkürzungsverzeichnis ................................................................................................. 23

Version 1.0.0 Final - Stand: August 2016 Seite 1 von 23

1. Einführung

Das vorliegende Dokument beschreibt die anzustrebende Ziel-Architektur der IKT-Landschaft im Land Berlin. Sie hat nicht den Anspruch einer feingranularen Technologie-Planung, sondern stellt im Sinne eines Übersichtsbildes die wesentlichen Bausteine der Architektur sowie ihre arbeitsteiligen Zusammenhänge mit Fokus auf den angestrebten strategischen Nutzen der IKT (Bereitstellung von Online-Diensten, Digitalisierung der internen Verwaltungsarbeit) dar. Ziel ist die Beantwortung grundlegender Fragen, wie etwa

Wie verhalten sich Endgeräte und Fachverfahren zueinander?

Wie wird die benötigte Infrastruktur von Fachverfahren bereitgestellt?

Wo findet Datenverarbeitung und Datenhaltung von Fachverfahren statt?

Wie präsentieren sich Fachverfahren gegenüber dem Bürger?

Welche Basisdienste sind verpflichtend einzusetzen?

Gemäß § 21 Abs.2 Satz 2 Ziff. 3 EGovG Berlin wird die IKT-Architektur des Landes Berlin vom IKT-Staatssekretär festgesetzt und weiterentwickelt, gleichzeitig ist er für die Einführung und die Überwachung von IKT-Standards zuständig.

Erarbeitung, Festsetzung und Durchsetzung der Architektur regelt der Prozess zum IKT-Architekturmanagement. Die vorliegende Ziel-Architektur ist ein Ergebnistyp dieses Prozesses.

Die nachfolgend beschriebene IKT-Architektur gilt in erster Linie für Neu- oder Ersatzbeschaffungen und größere Weiterentwicklungsprojekte. Altsysteme werden im Einzelfall auf ihre Migrierbarkeit geprüft.


2. Ziele & Lösung durch die IKT-Architektur

Die IKT-Architektur des Landes Berlin ist wesentlich durch Lösungsmuster bestimmt, die als Antwort auf angestrebte Ziele dieser Architektur formuliert werden können.

Politisch-strategische Ziele Lösung durch die IKT-Architektur

One-Stop-Government (einheitlicher Zugang aus Sicht des Bürgers)

Anbindung von Fachverfahren über das Internet erfolgt ausschließlich über E-Government-Middleware; einheitliches Front-End

Zeitnahe Einführung neuer Verfahren Automatisierte und standardisierte Bereitstellung von Servern und Laufzeitumgebungen; vollumfängliche Unterstützung des Application Lifecycle von der Anforderungsaufnahme über Softwarearchitektur, Softwareentwicklung und Inbetriebnahme

IKT-Sicherheit (§23 EGovG Bln) Standardisierte Sicherheitsbausteine für Infrastrukturen und Plattformen

Stabiler Betrieb (§20 II EGovG Bln) Strikte Standardisierung der verfahrensunabhängigen Infrastruktur; Reduktion von Technologie-Heterogenität

Ausbau Online-Transaktionen Zentrale Bereitstellung und zentraler Betrieb der E-Government-Middleware

Digitalisierung der internen Verwaltungsarbeit

Verortung der eAkte und der digitalen Antragserfassung in der Gesamtarchitektur

Wirtschaftlicher IKT-Betrieb (§24 III EGovG Bln)

Standardisierung, Wiederverwendung von Diensten, Automatisierung

Mehrkanalzugang (§4 EGovG Bln) Mitplanung von Ergänzungskanälen

… …


3. Ziel-Architektur

3.1. Grafische Darstellung

Abb. 1: Ziel-Architektur Land Berlin

3.2. Erläuterung des Gesamt-Zusammenhangs

Die Ziel-Architektur geht von der grundlegenden Einsicht aus, dass alle wesentlichen Technologie-Ebenen der Berliner IKT-Landschaft aufeinander abgestimmt werden müssen und nur in diesem Gesamtzusammenhang auch weiterentwickelt werden dürfen. Beispielsweise müssen Mitarbeiter-Endgeräte kompatibel zu den darauf zu nutzenden Fachverfahren und diese wiederum kompatibel zu einer standardisierten Infrastruktur-Landschaft sein, für welche etwa bestimmte IKT-Sicherheits-Richtlinien gelten. Zugleich sollen sich Fachverfahren einheitlich auf dem Stadtportal service.berlin.de präsentieren und mit anderen E-Government-Diensten (wie etwa dem Service-Konto, ePayment oder der eAkte) interagieren.


Um diese mannigfaltigen technologischen und logischen Abhängigkeiten in ihrer Komplexität kontrollieren zu können und in großem Umfang Synergieeffekte zu heben, muss die Gesamtarchitektur in ihren wesentlichen Teilen so weit wie möglich standardisiert und Freiheitsgrade in der Architektur-Gestaltung reduziert werden. Nur so kann die Architektur in ihrer Gesamtheit den eigentlichen Zweck der IKT (digitale Abwicklung von Geschäftsprozessen in den Verwaltungen durch den Einsatz von Fachverfahren sowie die Bereitstellung von Online-Diensten für Bürger und Unternehmen) optimal unterstützen. Ziel ist es also, die gesamte Rahmen-IKT um ein Fachverfahren herum als „Block“ standardisiert und damit zueinander kompatibel bereitzustellen. Freiheitsgrade bestehen im Wesentlichen nur noch in der Fachlichkeit eines Fachverfahrens.

Das ITDZ Berlin stellt der Berliner Verwaltung diesen hochgradig standardisierten Technologie-Stack (Netze, Server, Betriebssysteme, Datenbanken, Endgeräte, E-Government-Middleware, eAkte) für den Betrieb von Verfahren und Anwendungen mit Endnutzer-Bezug (Verwaltungs-Mitarbeiter, Bürger, Unternehmen) zur Verfügung. Der Betrieb erfolgt zentral im ITDZ Berlin.

3.3. Endgeräte der Verwaltungskunden

Endgeräte der Verwaltungskunden werden nur insofern in der IKT-Architektur beplant, als dass als Systemvoraussetzung der browserbasierte Zugang auf das einheitliche Stadtinformationssystem vorausgesetzt wird.

3.4. Service.berlin.de

Als verbindlich vorgegebener „Kundenzugang“ dient service.berlin.de der Information über Verwaltungsdienstleistungen, der Beratung, der Antragsstellung sowie der Entgegennahme von Bescheiden. Als einheitliche Schnittstelle organisiert service.berlin.de den elektronischen Austausch zwischen der Verwaltung einerseits und Bürgern, Unternehmen, Organisationen und anderen Verwaltungen andererseits.

Dieser Basisdienst organisiert die mobilfähige Darstellung von Präsentationsinhalten über das einheitliche Stadtportal service.berlin.de.

3.5. E-Government-Middleware

Die Schnittstelle der Verwaltung gegenüber Bürgern, Unternehmen und Organisationen zur Abwicklung von Online-Transaktionen wird technisch und organisatorisch einheitlich und für alle Einrichtungen des Landes Berlin verbindlich nutzbar gestaltet. Alle Fachverfahren werden, soweit sie einen Online-Zugang vorsehen, über die zentrale E-Government-Middleware des Landes Berlin an das Internet angeschlossen. Sie müssen sich, sofern sie eine Schnittstelle zum Internet benötigen, über ein standardisiertes Oberflächen-Design sowie einen einheitlichen Zugangskanal (service.berlin.de) auf Grundlage einer einzigen technischen Publikations-Plattform dem Bürger gegenüber präsentieren. Dies bedeutet, dass Fachverfahren nicht mehr über eigene webbasierte Oberflächen im Internet sichtbar sind.


Hierdurch wird die One-Stop-Strategie des Landes Berlin umgesetzt, Mehrfachinvestitionen in Basisfunktionalitäten vermieden und die technische Komplexität der Bürgerschnittstelle kontrollierbar gehalten.

Die E-Government-Middleware wird abnahmepflichtig vom ITDZ Berlin bereitgestellt. Das ITDZ Berlin betreibt alle E-Government-Komponenten, entwickelt sie strategisch und in ihrem Zusammenspiel in enger Abstimmung mit SenInnSport weiter.

Der Telefonkanal 115 und das Druck-Angebot des ITDZ Berlin werden als Ergänzungskanäle des Online-Kanals betrachtet; das ITDZ Berlin richtet diese auf die Online-Strategie hin aus, die den logischen Vorrang hat.

Teilung in vier Schichten

Die Schicht „Kundenzugang“ dient der Information über Verwaltungsdienstleistungen, der Beratung, der Antragsstellung sowie der Entgegennahme von Bescheiden. Als einheitliche Schnittstelle organisiert sie den elektronischen Austausch zwischen der Verwaltung einerseits und Bürgern, Unternehmen, Organisationen und anderen Verwaltungen andererseits.

Die Ergänzungskanäle Telefon, Print und persönliche Vorsprache zählen ebenfalls zur Schicht „Kundenzugang“.

Die Schicht „E-Government-Middleware“ organisiert das Zusammenspiel zwischen den Schichten „Kundenzugang“ und „Fachverfahren“. Fachverfahren werden einerseits an das Service-Konto angebunden. Andererseits werden Antragsstrecken und Rückmeldungswege über den Dienst „Digitales Antragsmanagement“ definiert, verwaltet und zurückgemeldet. Anträge aus der Schicht „Kundenzugang“ werden entgegen genommen und an die Schicht „Fachverfahren“ weitergereicht. Zwischenstände zur Bearbeitung, Nachfragen und Outputs in Form von Bescheiden werden wiederum über die Middleware-Schicht an die Schicht „Kundenzugang“ weitergereicht.

Die Schicht „Fachverfahren“ enthält die fachliche Logik der Datenverarbeitung. Sie nimmt Anträge aus der Schicht „Middleware“ entgegen und meldet Bearbeitungsstände und Ausgänge in Form von Bescheiden an diese zurück.

In der Schicht „eAkte“ werden Eingänge (Post, Dokumente) und Ausgänge (Bescheide) aus der Schicht „ Fachverfahren“ verpflichtend abgelegt. Eine Integration in Fachverfahren kann zur Dokument- und Bescheid-Erstellung sinnvoll sein. Bei einfachen Prozessen kann die eAkte auch eigenständige Fachverfahren ersetzen und wird dann direkt an die Schicht „E-Government-Middleware“ angeschlossen.


Abb. 2: E-Government-Middleware (im Verhältnis zu service.berlin.de, Fachverfahren und eAkte)

IKT-Basisdienste für E-Government

Basisdienst Serviceportal Dieser Basisdienst organisiert die mobilfähige Darstellung von Präsentations-Inhalten über das einheitliche Stadtportal service.berlin.de.

Basisdienst Service-App Native App (wg. Zugriff auf Smartphone-Hardware), aber ohne eigenständigen Content. Stattdessen wird die mobilfähige Version der Seite service.berlin.de angezeigt, um die zu pflegenden Kanäle zu reduzieren.

Nur eine App für alle Verwaltungsdienstleistungen, Gestaltung als responsive HTML-Oberfläche (Web-App) zwecks Kanal-Reduktion.

Basisdienst Service-Konto Das Service-Konto identifiziert Antragssteller auf service.berlin.de gegenüber den Fachverfahren und schaltet die Antragssteller für die Nutzung der Fachverfahren frei.

Basisdienst eID Die eID (neuer Personalausweis) stellt das höchste Authentifizierungsniveau für den Basisdienst Service-Konto zur Verfügung und wird von diesem aus angesteuert.


Basisdienst Digitales Antragsmanagement Diese Komponente verbindet als zentrale E-Government-Middleware den Antragssteller auf service.berlin.de mit den Fachverfahren der Verwaltung, steuert also die Antragsstellung.

Zentrale Funktionen der Komponente „Digitales Antragsmanagement“ sind:

• Definition von Antragstrecken inkl. Einbindung von Prüfroutinen,

• Erstellung und Veröffentlichung von webbasierten Dialogen für die Antragserfassung

• Übergabe der Anträge an die Fachverfahren zur Bearbeitung mit dezentraler Fachlogik

• Antrags-Verfolgung

• Entgegennahme von Rückmeldungen und Bescheiden aus den Fachverfahren

• Papier-Formulare ausdrucken

Keine Abbildung fachlicher Logik. Jedes Fachverfahren muss über diesen Basisdienst in das Internet.

Die Erstellung neuer Antragsstrecken wird vom ITDZ Berlin geleistet werden.

Das ITDZ Berlin entwickelt standardisierte Consulting- und Projektdienstleistungen, um Fachverfahren an das Antragsmanagement anzubinden und den Antragsprozess zu designen und zu implementieren.

Basisdienst Postkorb Digitale Entgegennahme von Nachrichten und Anhängen (z.B. Bescheide). Upload/Ablage von Dokumenten zur mehrmaligen Nutzung in verschiedenen Anträgen.

Basisdienst DE-Mail Der Basisdienst De-Mail ermöglicht eine nachweisbare und vertrauliche elektronische Kommunikation. Der Austausch von De-Mail-Nachrichten gilt als schriftformersetzend. Gemäß des E-Government-Gesetzes Bln § 4 (2) ist jede Behörde verpflichtet, eine De-Mail-Adresse im Sinne des De-Mail-Gesetzes als Eingangskanal zu eröffnen.

Als Eingangskanal kann DE-Mail alternativ zum Posteingang oder zur Antragsstellung nach Authentifizierung über das Service-Konto genutzt werden.

Als Ausgangskanal kann DE-Mail alternativ zum Basisdienst Postkorb genutzt werden, um Nachrichten der Verwaltung zu erhalten.

Basisdienst ePayment Der Basisdienst ePayment wickelt die Bezahlung von Verwaltungsgebühren im Rahmen von Antragsstellungen ab. Er wird vom Basisdienst „Digitales Antragsmanagement“ aufgerufen und meldet an diesen seine Ausgänge zurück.

Basisdienst Zeit- und Terminmanagement Das Zeit- und Terminmanagement dient der Buchung von Terminen für persönliche Vorsprachen. Er kann in Antragsstrecken sowie Fachverfahren integriert werden, um die Vorsprache durch die Vorabübermittlung von Informationen vorzubereiten und damit zu beschleunigen.


Basisdienst Virtuelle Poststelle Die Virtuelle Poststelle ist ein optional nutzbarer Basisdienst für eine sichere, vertrauliche Kommunikation. Sie dient zur Entgegennahme von Anträgen oder Dokumenten aus webbasierten Kunden-Front-Ends.

Basisdienst eAkte/DMS Eingänge (Post, Dokumente) und Ausgänge (Bescheide) von Fachverfahren werden verpflichtend in der eAkte abgelegt. Eine Integration in Fachverfahren kann zur Dokument- und Bescheid-Erstellung sinnvoll sein. Bei einfachen Prozessen kann die eAkte auch eigenständige Fachverfahren ersetzen. Wenn anstatt eines Fachverfahrens eine eAkte zur Vorgangsbearbeitung benutzt wird, so wird die eAkte direkt an die E-Government-Middleware angebunden. Sofern ein Prozess über die Vorgangsbearbeitungsfunktion der eAkte abgebildet werden kann, ist diese Funktion vorrangig gegenüber der Anschaffung eines neuen Fachverfahrens zu nutzen.

Ergänzungskanäle

Ergänzungskanäle dienen der Einspeisung von Anträgen in die E-Government-Infrastruktur sowie der Rückmeldung an den Antragssteller über nicht-digitale Kanäle. Strategisch werden sie auf den elektronischen Kanal hin ausgerichtet. (Ein- und Ausgänge der anderen Kanäle sind von Software abhängig; Effizienzvorteile durch Selbstbedienung und geringe Grenzkosten für Leistungserbringung).

Basisdienst Bürgerterminal Anträge können an fest installierten PC in öffentlichen Einrichtungen gestellt werden. Dort wird die Seite service.berlin.de angezeigt.

Basisdienst Digitales Input-Management Die Digitale Eingangsverwaltung dient dem Scannen von postalisch eingegangenem Schriftgut und der Einspeisung in den elektronischen Geschäftsgang (Übergabe an den Basisdienst „eAkte“).

Basisdienst Druck Der Basisdienst Druck dient dem Versenden von Bescheiden, soweit diese nicht digital zugestellt werden.

Basisdienst Telefonauskunft Der Basisdienst Telefonauskunft dient der Information über (Online-)Verwaltungsleistungen sowie der Hilfestellung bei der Online-Antragsstellung.

Persönliche Vorsprache Bei der Antragsstellung durch persönliche Vorsprache wird der Antrag von der Sachbearbeitung direkt im Fachverfahren bearbeitet. Zu einem späteren Zeitpunkt könnte erwogen werden, die Eingabe auch durch den Sachbearbeiter im Bürger-Front-End vornehmen zu lassen.


3.6. Berlin PC

Der BerlinPC ist ein standardisierter IKT-Arbeitsplatz für die Berliner Verwaltung. Grundsätzlich wird hierbei eine „Desktop as a ServiceLösung (DaaS)- eingesetzt. Diese zentralen Desktop-Komponenten werden automatisiert aufgesetzt und stark standardisiert betrieben. Dezentral wird in der Regel nur die Eingabe- (Tastatur, Maus, …) und Ausgabe- (TFT, Drucker, …) Hardware zur Verfügung gestellt. Für Anwendungen, die ein PC-Betriebssystem voraussetzen (Terminalserver-Inkompatibilität der Anwendung, besondere Anforderung an Peripheriegeräte) wird ein PC bereitgestellt. Auf diesem PC wird die Software in der Regel automatisiert aufgesetzt und standardisiert betrieben. Auch auf diesen Geräten wird der Zugriff auf den zentralen Desktop angestrebt und in diesem die dezentrale Anwendung dargestellt. Das Leistungsspektrum des BerlinPC basiert auf Abstimmungen in der Landesarbeitsgruppe Standardisierter Verwaltungsarbeitsplatz.

Abb. 3: Zentrale und dezentrale Bereitstellung des BerlinPC

Die Leistungen gliedern sich in Basisleistungen, die mit jedem BerlinPC bereitgestellt werden und optionale Leistungen, die zu einem festgelegten Preis hinzu bestellt werden können. Der zu erwartende Leistungsumfang soll damit genau abgrenzbar und nachvollziehbar dargestellt werden. Grundsätzlich umfasst der BerlinPC in der Basisausstattung drei Bestandteile:

1. Bereitstellung und Betrieb von Hardware, wie Computer, Tastatur, Maus und Monitor in verschiedenen Ausprägungen. Diese werden geliefert, aufgebaut, ggf. umgezogen, im Rahmen von technischen Erneuerungen ausgewechselt und bei Vertragsende abgebaut sowie umweltgerecht entsorgt.

2. Ein Softwarepaket, welches auf den Computern installiert und gepflegt wird (Betriebssystem, Office, Browser, Mediaplayer, Virenschutz). Das umfasst auch die nötigen Lizenzen und das Lizenzmanagement.


3. Dienste, wie die Bereitstellung und den Betrieb eines Active Directorys, ein Postfach,

Netzlaufwerke, Speicherplatz und Datensicherung sowie das Endgerätemanagement, Druckdienste und eine Softwareverteilung.

Mit dem BerlinPC wird funktionsübergreifende Standard-Software bereitgestellt. Das beinhaltet die initiale Bereitstellung der Software auf der Hardware des BerlinPC, sowie die lizenzrechtliche Absicherung. Die angegebenen Versionen verstehen sich als Mindeststandards. Es können modernere Versionen installiert werden, sofern der Standardisierungskatalog dies zulässt.

Die mit dem BerlinPC bereitgestellten Basis-Anwendungen unterliegen dem Lizenzmanagement, welches den sachgerechten und effizienten Umgang mit lizenzpflichtiger Software sichert. Alle Anwendungen und Anwendungsversionen durchlaufen den Integrationsprozess zur Erstellung von neuen Softwarepaketen. Dieser beinhaltet die technische Bereitstellung für den Anwendertest in einer definierten Umgebung und eine verbindliche Freigabe, sowie den anschließenden flächendeckenden „Rollout“ auf alle Arbeitsplätze.

Die Bereitstellung der Standardsoftware erfolgt über eine zentrale Softwareverteilung.

Die Softwareverteilung folgt einem Prozess, der durch die jeweils vom ITDZ Berlin genutzte Softwareverteilinfrastruktur unterstützt wird. Mit der Softwareverteilung wird eine automatisierte Bereitstellung der Software sichergestellt.

Die Softwareverteilinfrastruktur ist mandantenfähig und bildet somit Umgebungen für teilnehmende Behörden ab.

Für die vom ITDZ Berlin bereitgestellten Dienste gibt es umgesetzte und fortgeschriebene Sicherheitskonzepte. Diese basieren auf den Standards des BSI und den das Land Berlin gültigen Richtlinien zur IKT-Sicherheit. Das umfasst beispielsweise zentrale Terminalservices, Mailsysteme, Fileservices, Endgerätebetrieb, aber auch Tools wie die Softwareverteilung.

Leistungsspektrum und die Leistungsgrenzen des BerlinPC werden durch landesweite Gremien abgestimmt, definiert und angepasst.. Die Konkretisierung der Leistungen wird daher nicht in diesem Dokument beschrieben. Sie finden sich in der jeweils aktuellen Version auf der Intranetpräsenz der Senatsverwaltung für Inneres und Sport.

Mitgeltende Konzepte:

http://www.verwalt-berlin.de/seninn/itk/standards/berlinpc.php

27.06.2016

3.7. Telefonie/VoIP

Die Telefonie wird über Voice over IP (VoIP) realisiert. So entfällt der Betrieb zweier unterschiedlicher Netze am Standort. Die VoIP-Dienste des ITDZ Berlin sind in den TK-Rahmenbedingungen detailliert beschrieben. Es umfasst die Bereitstellung und den Betrieb der IP-Endgeräte, Anpassungs- und Veränderungsleistungen und optionale Zusatzleistungen. Diese werden in Abstimmung mit dem Land aktualisiert und finden sich auf der Intranetseite des ITDZ Berlin.

http://www.verwalt-


Mitgeltende Konzepte:

„Rahmenbedingungen für die Bereitstellung von Dienstleistungen im Bereich der Telekommunikation

1.0.0.: http://www.itdz.verwalt-berlin.de/dokumente/bd_tk-rahmenbedingungen-hardware.pdf

21.11.2013

3.8. Fachverfahren

Fachverfahren sind verpflichtet, übergreifende Architektur- und Technologievorgaben zu beachten. Die fachliche Hoheit über die Fachverfahren verbleibt bei den Verwaltungen.

Sie nutzen Basisdienste (E-Government-Middleware und IKT-Basisdienste). Oberflächen sollen browserbasiert gestaltet sein.

Die Architektur- und Technologie-Standards sind verpflichtend in die Ausschreibungsunterlagen mit aufzunehmen. Alle Verfahren werden auf der zentralen ITDZ Berlin-Infrastruktur betrieben.

Für Fachverfahren stellt das ITDZ Berlin eine Infrastruktur bereit, in der Testumgebungen aufgebaut werden, mit denen die Integration mit anderen Diensten und Infrastrukturen getestet wird, bevor sie in der Produktivumgebung bereitgestellt werden.

Verfahren müssen sich gegenüber dem Bürger über die einheitliche E-Government-Middleware präsentieren, die das Antragsmanagement über das Kunden-Front-End Berlin.de organisiert. Die benötigten Schnittstellen werden von der E-Government-Middleware vorgegeben.

Outputs/Bescheide von Fachverfahren sind ausschließlich im Basisdienst „eAkte“ vorzuhalten.

Fachverfahren sind dazu verpflichtet die landesweiten Versionswechsel und Patchzyklen von Technologien gemäß. Standardisierungskatalog vertraglich über den Lieferanten abzusichern und mit zu implementieren/nachzupflegen.

Es werden künftig nur noch automatisierte und im Ausnahmefall teilautomatisierte Installationen von Fachverfahren erlaubt.

Die Ebenen Infrastruktur/IKT-Sicherheit/Endgeräte/E-Government-Middleware geben den technologischen Rahmen für die Fachverfahren verbindlich vor. Fachverfahren werden somit vom Anforderungsträger zum Anforderungsempfänger.

Das ITDZ Berlin unterstützt die Kunden bei der Verfahrenseinführung und Anforderungsaufnahme.

Angebotene Services für den Applikationsbetrieb

Das ITDZ Berlin bietet Services für:

• Applikationsentwicklung und –integration. Diese Services stehen externen und internen Softwareentwicklern zur Verfügung, die im Auftrag der Berliner Verwaltung

http://www.itdz.verwalt-


Fachsoftware und –dienste entwickeln. Diese Services unterstützen die Entwicklung,

• den Test und die Abnahme der Fachsoftware und stellen bereits in der Phase der Softwareentwicklung die Einhaltung der Standards sicher.

• Applikationsbetrieb. Für den Betrieb von Applikationen (Fachverfahrensbetrieb, Verfahrensbetrieb) werden diese Services abnahmepflichtig angeboten. Der Betrieb basiert auf den im Standardisierungskatalog aufgeführten Technologien. Die Einhaltung der vereinbarten Servicelevels wird durch den Verfahrensbetrieb des ITDZ Berlin gewährleistet.

• Datenbankbetrieb. Der Datenbankbetrieb (Administration und Betrieb) erfolgt im ITDZ Berlin. Je nach Größe und Komplexität der Fachverfahren werden unterschiedliche Ausprägungen von Datenbanken angeboten.

Verfahren, die im ITDZ Berlin betrieben werden, müssen zunächst in einer Entwicklungsumgebung auf Standardkonformität geprüft und gegebenenfalls in die Gesamtarchitektur des Landes Berlin technisch integriert werden.

Architektur- und Designprinzipien

Architekturprinzipien

Die Architektur von modernen Applikationen, die für den Betrieb auf Cloud-Infrastrukturen optimiert sind, basiert auf vier Hauptprinzipien:

• Responsivität • Resilienz • Elastizität • Nachrichtenorientierung

Die Prinzipien orientieren sich an der Definition von „Reaktiven Systemen“1.

Designprinzipien

• Atomizität

• Zustandslosigkeit

• Idempotenz

• Parallelität

1 http://www.reactivemanifesto.org/de

http://www.reactivemanifesto.org/de


Schnittstellen In diesem Abschnitt werden die Anforderungen an Fachverfahren und Dienste bzgl. von Schnittstellen zu Basisdiensten, Diensten und anderen Fachverfahren beschrieben. Dabei wird zwischen der technischen Ausprägung der Schnittstellen (Formate, Protokolle, Infrastrukturen), der Nutzung und der Bereitstellung von Schnittstellen unterschieden.

Nutzung von Schnittstellen Entsprechend den Prinzipien einer serviceorientierten Architektur ist vor der Implementierung oder einer wesentlichen Änderung eines Fachverfahrens oder eines Dienstes zu prüfen, ob die gleiche Funktionalität bereits als Service mit einer nutzbaren Schnittstelle vorhanden ist. In diesem Falle ist der Servicenutzung gegenüber einer eigenen Implementierung der Vorzug zu geben, sofern dies insbesondere unter den Aspekten der Wirtschaftlichkeit und der IKT-Sicherheit sinnvoll ist.

Angebot von Schnittstellen Entsprechend den Prinzipien einer serviceorientierten Architektur ist vor der Implementierung oder einer wesentlicher Änderung eines Fachverfahrens oder eines Dienstes zu prüfen, ob die zu implementierende Funktionalität als Service für andere Fachverfahren oder Dienste bereitgestellt werden kann. Dabei sind insbesondere auch für die mandanten- und verwaltungsübergreifende Nutzung notwendige Aspekte der Wirtschaftlichkeit und der IKT-Sicherheit zu berücksichtigen. Die Implementierung einer Funktionalität als Service ist immer zu bevorzugen, auch wenn beispielsweise dieser Service in einem ersten Schritt nur innerhalb des Fachverfahrens oder der Fachdomäne genutzt werden kann. Eine Erweiterung zur Nutzung außerhalb des Fachverfahrens oder der Fachdomäne ist entsprechend zu planen.

Formate und Protokollen von Schnittstellen Für den Austausch von Daten zwischen Fachverfahren und Diensten sowie für die Nutzung und das Angebot von Schnittstellen sind die Datenformate entsprechend des XÖV-Rahmenwerkes (http://www.xoev.de/) zu bevorzugen.

Protokolle für Schnittstellen sind an den in diesem Dokument beschriebenen Architektur-und Designprinzipien auszurichten. Darüber hinaus sind allgemeine Prinzipien zu beachten:

• Allgemein anerkannte und auf offenen Standards basierende Schnittstellentechnologie (z.B. OSCI, JMS, REST, SOAP)

• Angemessene Verschlüsselung auf Transport- und Nachrichtenebene

• Asynchronität der Nachrichtenübermittlung

• Möglichkeit der Inhaltsinspektion auf dem Transportweg, sofern die Vertraulichkeit der Daten dies zulässt und/oder die Fachlichkeit dies erfordert (z.B. für das Routing)

• Möglichkeiten der Protokollierung, Absenderbenachrichtigung und Transaktionssicherheit sind der Fachlichkeit angemessen zu berücksichtigen

Infrastrukturen für Schnittstellen Für den Austausch von dateibasierten Daten ist der Service „kommgate“ zu nutzen. Dieser Service wird vom ITDZ bereitgestellt und betrieben.

http://www.xoev.de/) zu bevorzugen.


3.9. IKT-Basisdienste für Infrastruktur

Identity- und Accessmanagement Aufbauend auf dem für den BerlinPC genutzten Verzeichnisdienst sind Rollen und Nutzer für alle weiteren Anwendungen und Verfahren, die von Beschäftigten der Berliner Verwaltung genutzt werden und für die eine Authentisierung erforderlich ist, über die zentrale Komponente Identity- und Accessmanagement zu verwalten.

Die jeweiligen Verfahren bringen keine eigenen Identity- und Accessmanagement Lösungen mit, sondern müssen ihre Identität in die vom ITDZ Berlin bereitgestellte Lösung integrieren.

Verzeichnisdienste Als zentraler Verzeichnisdienst wird im Land Berlin das „Active Directory“ (AD) mit der Root Domain ad.verwalt-berlin.de genutzt. In dieser bestehenden Organisationsstruktur (Forest) wird die Nutzung einer Domain für alle Benutzer und Gruppen verbindlich angestrebt. Organisationsgrenzen werden über Organisationsverzeichnisse mit möglicher eigener Administrationsstruktur abgebildet. Die Verantwortung für das Benutzermanagement kann über ein Web-Frontend an die jeweilige Organisation delegiert werden. Ausschließlich aus diesen Benutzerangaben werden weitere zentrale Services wie zum Beispiel das globale Adressbuch versorgt.

Mail-Gateway Das ITDZ Berlin betreibt ein zentrales skalierbares Mail Gateway im Grenznetz in Übergang zwischen Landesnetz und Internet. Für den BerlinPC wird der Exchange Verbund genutzt. In der Verbindung Mail Gateway, Exchange und Outlook Client gibt es aufeinander abgestimmte Sicherheitssysteme zum Schutz vor Viren, Spam und anderer Malware.

Die Verschlüsselung der E-Mail Kommunikation erfolgt mit Microsoft Exchange zwischen Outlook Exchange Server und zwischen Exchange Servern. Die Grundlage für die Verschlüsselung der E-Mails bildet die Public Key Infrastructure (PKI) des Landes Berlin.

DNS Alle Komponenten, die über das Berliner Landesnetz kommunizieren, verwenden dafür IPv4-Adressen aus dem Netzbereich 10.0.0.0/9 und IPv6-Adressen aus dem landeseigenen Präfix 2a02:1022::/32.

Das DNS arbeitet nach dem Split-Brain-Ansatz, einem inneren DNS im BeLa und einem äußeren DNS in Richtung Internet.

Innerhalb des Landes Berlins wird für die Kommunikation ausschließlich der Namensraum *.verwalt-berlin.de. verwendet.

Das ITDZ Berlin betreibt die Nameserver für diese Bereiche. Die Nutzung von Adressen bedarf der Registrierung bei ITDZ Berlin.


NTP Das ITDZ Berlin stellt für die Zeitsynchronisation Systeme bereit. Der Zugang wird für dezentrale Zeitserver geöffnet, die dann wiederum die Clients in Ihrem Verantwortungsbereich mit einem Zeitnormal versorgen.

3.10. Infrastruktur

Cloud: Server, Betriebssysteme, Datenbanken, systemnahe Software Das ITDZ Berlin stellt den Berliner Verwaltungen einen technologisch abgestimmten „Stack“ aus IaaS/PaaS und korrespondierenden Basisdiensten zur Verfügung. Die gesamte Infrastruktur, auf welchen die Fachverfahren technisch aufsetzen, wird somit standardisiert, automatisiert und virtualisiert durch die Private Cloud des Landes Berlin (betrieben im ITDZ Berlin) bereit gestellt. Die von einem Fachverfahren benötigte Systemumgebung wird somit automatisiert und zeitnah bereitgestellt.

Abb. 4: Ziel-Architektur des Landes Berlin (Schichten – Darstellung)

Alle Rechenzentren der Berliner Verwaltung werden vom ITDZ Berlin betrieben. Server stehen grundsätzlich physikalisch in den Rechenzentren des ITDZ Berlin.


Das ITDZ Berlin ist zentraler System-Integrator des Landes Berlin. Die Leistungen Dritter werden in die Gesamt-Architektur und Gesamt-IKT-Strategie des Landes Berlin integriert.

Cloud-Leistungen von Drittanbietern werden in den Ressourcen-Pool des ITDZ Berlin eingebunden, sofern sie sinnvoll eingesetzt werden können.

Infrastructure as a Service (IaaS) IaaS ist die bedarfsgerechte, automatisierte Bereitstellung von logischen Infrastrukturkomponenten in einer virtualisierten Umgebung und umfasst die Bereitstellung aller erforderlichen Infrastrukturkomponenten wie Server-, Speicher- und Netzkapazitäten. PaaS (Platform as a Service) verwendet die über IaaS bereitgestellten Ressourcen.

Server-Betriebssysteme Im Land Berlin sind zwei Server-Betriebssysteme zugelassen. Hierbei handelt es sich um Windows-Server und RedHat Enterprise Linux. Andere derzeit noch verwendete Server-Betriebssysteme laufen aus.

Das bisher verbreitete Betriebssystem SLES wird nicht mehr unterstützt, weil die Konzentration auf ein Linux Betriebssystem aus Gründen der Wirtschaftlichkeit und Standardisierung geboten ist. Außerdem ist durch die perspektivische Verbreitung des BerlinPC von einem Rückgang der Nutzung von SLES auszugehen.

Das ITDZ Berlin bietet einen Transformationsservice an.

Platform as a Service (PaaS) PaaS umfasst neben erforderlichen Infrastrukturen zusätzlich Laufzeitumgebungen und Datenbanken für den Anwendungsbetrieb, sowie die Unterstützung von Anwendungsentwicklung als Teil des Anwendungszyklus.

Datenbanken Der Datenbankbetrieb (Administration und Betrieb) erfolgt im ITDZ Berlin.

Im Land Berlin sind die folgenden Datenbankprodukte zugelassen: MSSQL, MariaDB, PostgresSQL.

Die aktuelle Lizenz- und Preispolitik der Firma Oracle kollidiert mit der strategischen Entscheidung für eine Virtualisierungslösung als Kernkomponente innerhalb der Cloud-Infrastruktur. Der weitere Einsatz von Oracle-Datenbanken und –Middleware wird daher zeitnah geprüft. Für Neuentwicklungen oder größere Veränderungsvorhaben wird derzeit der Einsatz alternativer Datenbanken vorgegeben.


Netzwerke (LAN,MSN,WAN)

MSN/Grenznetz

Abb. 5: Berliner Landesnetz-Architektur

Auf der eigenen LWL-Infrastruktur betreibt das ITDZ Berlin das BeLa-Multiservicenetzwerk (BeLa-MSN). Das BeLa-MSN ist ein IPv4/IPv6 Dualstack Transportnetz mit normalem Schutzbedarf. Es verbindet die Berliner Verwaltung untereinander und mit den Rechenzentren des ITDZ Berlin. Verschiedene, logisch voneinander getrennte, administrative Domänen und geschlossene Nutzergruppen werden in „Virtuellen Privaten Netzwerken“ (VPN) realisiert. Der allgemeine Datenverkehr des BeLa wird im PN „BeLa Intranet“ und die IP-Telefonie im VPN „BeLa Voice“ transportiert. Verwaltungen können sich auch eigene VPN für geschlossene Nutzergruppen einrichten lassen. Das BeLa-MSN arbeitet ohne eigene Verschlüsselung der Transportwege.

Ein zentrales Grenznetz des BeLa-MSN stellt die Verbindung mit allen externen Netzwerken und Zielen her, wie mit dem NdB-Verbindungsnetz und dem Internet. Der Zugang zu externen Netzwerken ist ausschließlich über das Grenznetz des BeLa-MSN zulässig. Das Grenznetz fungiert als Packetfilter – Applikationsfilter – Packetfilter Sicherheitsgateway (PAP) nach BSI Grundschutz. Es arbeitet streng nach dem Prinzip des Whitelistings: jeder Verkehr wird unterbunden und nur der explizit mit Regeln definierte Verkehr ist zugelassen. Es arbeitet weiterhin als Proxy, über den alle Verbindungen zwischen den externen Netzen


und dem BeLa terminiert und neu aufgebaut werden. Der zugelassene Verkehr wird auf Sicherheitsrisiken untersucht. Es stellt eine DMZ (Demilitarisierte Zone) bereit, in der alle Dienste platziert werden, die aus dem Internet erreichbar sein sollen.

Das Grenznetz stellt somit Zugangspunkt wie auch erste Verteidigungslinie des Berliner Landesnetzes gegenüber externen Netzwerken dar (Perimeter-Sicherheit). Es entbindet die IKT-Verantwortlichen nicht von der Aufgabe, ihre IKT-Systeme entsprechend ihrem Schutzbedarf zu schützen.

Für das BeLa-MSN und das Grenznetz gilt das Prinzip der Netzneutralität. Hiervon ausgenommen sind Echtzeitanwendungen, die zur Sicherstellung der vom Land Berlin erwarteten Qualität priorisiert behandelt werden können, wie etwa Telefonie.

Rechenzentrum-LAN und Standort LAN

In den Rechenzentren des ITDZ Berlin werden die IKT-Dienste -und Services für das BeLa bereitgestellt. Dies wird durch „high-performance, low-latency“ LANs mit Rechenzentrums-Technologien -und Technik ermöglicht. Die RZ-LANs arbeiten in diesem Sinne als IPv4/IPv6-Dualstack Transportnetz. Das Design der LANs folgt der Grundidee einer flachen Topologie mit der geringstmöglichen Zahl an Hops zwischen zwei Endpunkten. Es werden getrennte Sicherheitszonen für Daten mit normalem und hohem Schutzbedarf bereitgestellt. Es wird der BSI Grundschutz angewendet. Alle Verbindungen und Komponenten in den RZ-LANs sind mit einer 1 : 1 oder einer 1 : n+1 Redundanz ausgelegt. Der Betrieb der RZ-LANs erfolgt weitgehend automatisiert.

Standort- bzw. Campus-LANs werden vom ITDZ Berlin betrieben und müssen einem normalen Schutzbedarf genügen. Das Design der LANs folgt der Grundidee einer flachen Topologie mit der geringstmöglichen Zahl an Hops zwischen zwei Endpunkten. Es besteht aus einem redundanten LAN-Backbone, an den Etagen-Switches (Edge/Access) zweibeinig angebunden werden. Statt Spanning Tree werden moderne Layer2-Redundanztechnologien eingesetzt. Allgemein werden solche Technologien eingesetzt, die einen weitgehend automatisierten Betrieb des LAN ermöglichen. Es wird der BSI Grundschutz angewendet.

Jeder Endgeräte-Port im LAN unterstützt Power over Ethernet (mindestens IEEE802.3af-2003) und QoS mit DiffServ. Die Portgeschwindigkeit beträgt mindestens 100 Mbit/s Fullduplex.

Das LAN stellt eine eigene Schutzbedarfszone dar und wird mit einem Sicherheitsgateway an das BeLa-MSN angeschlossen. Da es keine Kontrolle über die anderen angeschlossenen Teilnehmer hat, ist aus Sicht des LAN das BeLa-MSN nicht vertrauenswürdig. Zur vertraulichen Kommunikation mit anderen LANs oder zwischen Endgeräten werden Verschlüsselungstechnologien unter Beachtung der Technischen Richtlinie BSI TR-02102 „Kryptographische Verfahren“ eingesetzt.

Nach Bedarf werden die LANs durch dem Stand der Technik entsprechende, sichere WLANs erweitert.

An LAN und WLAN angeschlossene Endgeräte befinden sich in der administrativen Hoheit des IKT-Verantwortlichen des LAN. Private Endgeräte sind nicht zugelassen.

Mit einem geeigneten Sicherheitsmechanismus wird der Zugang zum LAN/WLAN auf erlaubte und registrierte Endgeräte beschränkt.


Nach Bedarf werden zusätzliche Gäste-WLANs mit eigener physischer Infrastruktur ohne Verbindung zum LAN betrieben. Zulässig ist auch die logische Trennung auf gemeinsamer physischer Infrastruktur, wenn diese zur physischen Trennung gleichwertig ist. Gäste-WLANs verfügen über einen eigenen Internetzugang. Eine direkte Verbindung zum Berliner Landesnetz besteht nicht. Die Kommunikation zwischen Endgeräten im Gäste-WLAN wird unterbunden. Zur Nutzung des Gäste-WLAN ist die Anmeldung an einem SelfService-Portal notwendig.

Der Betrieb aller vom ITDZ Berlin betrieben LANs erfolgt mit einem zentralen Managementsystem.

Die LANs setzen auf einer bereitgestellten Infrastruktur auf, welche die einschlägigen Normen

- EN 50173 - EN 50288-X - EN 50310 - EN 50174-X - EN 50346 - EN 60603-7 - EN 61076-3-104

einhält. Dabei sind die Verbindungen zwischen dem Primär- und Sekundärbereich 10 Gigabit Ethernet-fähig und der Tertiärbereich ist Gigabit Ethernet-fähig.

IP-Adressverwaltung

Die IP-Adressverwaltung im Berliner Landesnetz erfolgt getrennt für IPv4 und IPv6 nach einem IP-Adressrahmenkonzept. Halter der IP-Adressbereiche des Landes Berlin ist SenInnSport. Sie entscheidet als nachgeordnete Local Internet Registry (Sub-LIR) über die grundsätzliche Verwendung (Strategie) der IP-Netzbereiche und vertritt Berlin in der Kommunikation nach außen.

Das ITDZ Berlin agiert als operative Sub-LIR, erstellt die IP-Adressrahmenkonzepte und verwaltet nach deren Vorgaben den IP-Adressraum bis zur Ebene der Standorte und Verwaltungen.

Innerhalb der Standorte werden die IP-Adressen vom jeweiligen IKT-Verantwortlichen (dem Endnutzer) eigenverantwortlich verwaltet. Bei Bedarf delegiert er die Verwaltung einzelner IP-Netze an deren Nutzer (Halter/Verfahrensbetreiber des IP-Netzes).

Der IKT-Verantwortliche für ein IP-Netz ist dem IKT-Verantwortlichen der jeweils übergeordneten IP-Hierarchieebene über die Verwendung seiner IP-Adressen auskunftspflichtig.

IP-Adressbereiche des Landes Berlin:

Verwendung IPv4 IPv6

BeLa 10.0.0.0/9 2a02:1022∷/32

Internet 141.15.0.0/16


Abb. 6: Berliner Landesnetz – Hierarchie der IP-Adressverwaltung und Zuständigkeiten

3.11. IKT-Sicherheit

Grundsätzliches Für den Betrieb von Applikationen stellt das ITDZ Berlin gemeinsam (d.h. applikations-, mandanten- und verwaltungsübergreifend) genutzte Infrastrukturen bereit. Das ITDZ Berlin gewährleistet ein angemessenes Schutzniveau entsprechend des Schutzbedarfs des einzelnen Verfahrens für die in der gemeinsam genutzten Infrastruktur betriebenen Applikationen. Die IKT-Infrastruktur und die vom ITDZ Berlin angebotenen Services entsprechen grundsätzlich dem normalen Schutzbedarf, welcher - wenn nötig – erweitert wird.

Die IKT-Sicherheitsstrategien sind Generallinien zur Planung, Gewährleistung und ständigen Aufrechterhaltung der IKT-Sicherheit. Gültige vorhandene Regelungen sind insbesondere: E-Government Gesetz Berlin, IKT-Sicherheitsgrundsätze, IKT-Standards, BSI Standards 100-104, BSI Grundschutzkataloge, ISO 2700x und ISO 22300, Berliner Datenschutzgesetz.

Alle IKT-Vorhaben sowie Maßnahmen zur IKT-Sicherheit sind an den genannten Standards auszurichten.

Der sichere Betrieb von Verfahren in gemeinsam genutzten, standardisierten Infrastrukturen erfordert die Anwendung neuer Prinzipien bei der Architektur von Fachverfahren und Diensten. Für die Sicherheit müssen alle verfügbaren Infrastruktur- und Applikationsmechanismen angewendet werden können. Der jeweilige Anwendungsfall bzw. die Fachlichkeit entscheiden im konkreten Fall darüber, welche Mechanismen umgesetzt werden. Dabei sind neben den sicherheitsrelevanten Herausforderungen auch wirtschaftliche Aspekte zu berücksichtigen.


Die verfahrensabhängige IKT setzt auf den IKT-Sicherheitskonzepten und –Bausteinen der verfahrensunabhängigen IKT auf.

Geltungsbereich

Geltungsbereich ist die gesamte Berliner Verwaltung.

3.12. Lebenszyklen Es werden grundsätzlich nur zwei Releases von Software, Hardware und Technologien vorgehalten (Vorgängerversion und aktuellste Version). Einschränkungen können sich insbesondere aus Sicherheitsgründen ergeben. Der Betrieb von abgekündigter Software wird nicht aufrechterhalten.

Des Weiteren werden drei Mindestbestandteile der Betriebsumgebung genutzt (Test/Freigabe/Produktion).


4. Anhänge

4.1. Standardisierungskatalog

Abb. 7: Technologie-Übersicht (Auswahl)


4.2. Abkürzungsverzeichnis

Abkürzung Bedeutung

Iaas Infrastructure as a Service

PaaS Platform as a Service

BeLa Berliner Landesnetz

DaaS Desktop as a Service

nPA Neuer Personalausweis

DMS Dokumentenmanagement-System

VoIP Voice over IP

VPN Virtuelles privates Netzwerk

RZ Rechenzentrum

MSN Multi Services Network

PKI Public-Key Infrastruktur

Documents

IKT- Architektur für das Land Berlin · vom IKT-Staatssekretär festgesetzt und weiterentwickelt, gleichzeitig ist er für die Einführung und die Überwachung von IKT-Standards