Patch-Management in der öffentlichen Verwaltung


Die Gemeinde Bisingen liegt im Zollernalbkreis in Baden-Württemberg und ist Heimat von knapp 10.000 Einwohnern. In der Gemeindeverwaltung Bisingen sind ca. 150 Mitarbeiter und Mitarbeiterinnen tätig, die den 19-köpfigen Gemeinderat bei seiner Arbeit unterstützen. Auch wenn es sich bei der Gemeinde Bisingen um eine kleine Gemeinde handelt: Die Gemeindeverwaltung zählt als öffentliche Verwaltung zu den KRITIS-Unternehmen, die besonders im Fokus von Cyberattacken stehen.

Die Ausgangslage – viel Arbeit für einen Administrator

Neben dem Rathaus mit zirka 30 Angestellten und dem Gemeinderat zählen ein Schulzentrum mit drei Schulen sowie deren Verwaltungen und Gebäudesteuerungen, sechs Kindergärten, eine Bücherei, die Wasserversorgung inkl. der Wasserhochbehälter, die Kläranlage, der Bauhof sowie einige Hausmeister zu den Einrichtungen und Personen, die von der Gemeindeverwaltung Bisingen IT-seitig betreut werden. So vielfältig die Bereiche, so unterschiedlich ist deren IT-Ausstattung. Entsprechend hoch ist auch der Betreuungsaufwand für Dominik Kegler, der derzeit allein für alle IT-relevanten Themen bei der Gemeindeverwaltung  verantwortlich ist – von der Gerätebeschaffung bis hin zu Nutzerservice und Wartung.

Da die zur Verfügung stehenden finanziellen Mittel begrenzt sind, wurden Patches für die verschiedenen Geräte bis 2017 manuell bzw. über die Windows Server Update Services (WSUS) ausgerollt. Damit konnten allerdings keine Patches von Drittanbietern verteilt werden. Zudem ließen sich die Außenstellen so nicht zentral verwalten. Neben Microsoft-Lösungen hatte die Gemeinde auch Linux-Betriebssysteme sowie Software-Produkte weiterer Hersteller im Einsatz. Gleichzeitig nahm die Anzahl der mobilen Endgeräte immer mehr zu, so dass neben Laptops und Handys vermehrt Smartphones und Tablets zum Einsatz kamen. Ohne ein gutes Werkzeug für Endpoint- und Patch-Management wurde es  daher immer schwieriger, diese Vielfalt an Geräten, Betriebssystemen und Software weiter effizient zu betreuen.

Als Dominik Kegler, der in der Stabstelle IT / Administration direkt dem Bürgermeister unterstellt ist, aus der freien Wirtschaft in den öffentlichen Dienst wechselte, nahm er sich gleich zu Beginn seiner Tätigkeit zwei große Themenschwerpunkte vor: Zentralisierung sowie IT-Security mit dem Schwerpunkt Patch-Management. Gerade von letzterem versprach er sich eine deutliche Entlastung. „Um den Betreuungsaufwand allein stemmen zu können, braucht es gute Lösungen und Automatisierungen“, berichtet der IT-Experte.

Auf der Suche nach einem solchen Werkzeug sah sich der IT-Verantwortliche einige Hersteller und deren Lösungen genauer an. Darunter war auch die Endpoint-Management Lösung Endpoint Central von ManageEngine (ehemals Desktop Central), die Dominik Kegler bereits aus früheren Tätigkeiten kannte. Mit einer Evaluierung prüfte er nun, ob sich seine guten Erfahrungen auch auf die öffentliche Verwaltung übertragen lassen würden. „Als IT-Administrator muss ich sagen, dass es nicht wichtig ist, was eingesetzt wird. Zentral ist vielmehr, dass eine Lösung eingesetzt wird“, merkt der IT-Experte an. „Und Endpoint Central bietet einfach ein unschlagbares Preis-/Leistungsverhältnis, das sich auch eine Gemeinde in unserer Größenordnung leisten kann.“

Denn auch wenn eine Gemeindeverwaltung weniger Mitarbeitende beschäftigt als ein Landkreis, der zusätzlich beispielsweise noch eine Zulassungsstelle verwaltet: Die Vielzahl und Komplexität der Aufgabenbereiche bleibt nahezu identisch. „Die anderen Hersteller sind für unsere Verhältnisse einfach zu teuer. Deshalb sind wir froh, dass wir mit Endpoint Central eine so qualitativ hochwertige Lösung gefunden haben, die der Gemeinde auch noch eine Menge Geld spart“, stellt Dominik Kegler fest.

Die Lösung – ManageEngine Endpoint Central

Nachdem die Entscheidung für Endpoint Central gefallen war, verlief die Einführung schnell und unkompliziert: In einer kurzen Testphase auf der „alten“ Testumgebung wurden die genauen Anforderungen an die Software ermittelt und neue Hardware angeschafft. Wenige Tage später waren alle Systeme bereits komplett installiert und voll funktionsfähig. Auch die notwendige Client-Software war auf den Endpoints ausgerollt. Anschließend ging es dann zunächst an das Finetuning des Patch Managements.

„Das Patch-Management in Endpoint Central bietet eine Vielzahl von Funktionen und die Anzahl der abgedeckten Produkte ist gigantisch“, ergänzt Dominik Kegler. „Sehr von Vorteil – und gerne von mir genutzt – ist die voll automatisierte und dennoch getestete Installation.“ Dazu werden neue Patches zunächst bei einer Referenzgruppe ausgerollt. Meldet dann ein Anwender in einem bestimmten Zeitrahmen Probleme oder schlägt ein Patch fehl, kann der IT-Administrator noch in die Automatisierung eingreifen und ein Deployment auf die restlichen Systeme unterbinden. Läuft der Test-Rollout hingegen unproblematisch ab, werden auch alle anderen Rechner aktualisiert. Am Ende erstellt Endpoint Central einen Bericht, der eine Übersicht aller Endpoints enthält, die den Patch automatisiert und ohne externes Zutun erhalten haben. „Eine feine Sache“, fügt der IT-Verantwortliche hinzu.

Inzwischen werden auch alle mobilen Geräte der Gemeindeverwaltung über die Mobile-Device-Management-Funktionen von Endpoint Central verwaltet – und zwar von allen Herstellern. Dominik Kegler hat die geschäftlichen Smartphones und Tablets dabei in verschiedene Gruppen eingeteilt, für die er unterschiedliche Standards definiert hat. So kann er beispielsweise die Geräte der Gemeinderäte, der Hausmeister, des Bauhofs, der Kindergärten sowie alle BYOD-Geräte einfach und effizient mit den jeweils passenden Berechtigungen und Konfigurationen ausstatten. Für zusätzliche Gerätesicherheit sorgt die Nutzung von Samsung KNOX. Muss z. B. ein Gerät zur Reparatur, wird dieses vorübergehend eingestellt und die Daten werden vorübergehend offline genommen. Eine extreme  Erleichterung ist für den IT-Experten auch der Kiosk-Modus, über den die Gemeinderäte mit den passenden Apps für ihre Smartphones versorgt werden. 

Auch die von Dominik Kegler eingeführten Standardisierungen helfen, den Arbeitsalltag des IT-Verantwortlichen zu erleichtern. Dazu gehört beispielsweise das mit Endpoint Central bereitgestellte Software-Portal, mit dem sich die Einrichtungen selbst Software herunterladen und installieren können – und das ohne die Unterstützung des Administrators zu benötigen. 

„Das Patch-Management in Endpoint Central bietet eine Vielzahl von Funktionen und die Anzahl abgedeckter Produkte ist gigantisch. Sehr von Vorteil – und gerne von mir genutzt – ist die voll automatisierte und dennoch getestete Installation.“ Dominik Kegler – Stabstelle IT / Administration, Gemeindeverwaltung Bisingen

Das Ergebnis – weniger lästiger Kleinkram, mehr Sicherheit und Zeit

Ein weiterer Pluspunkt von Endpoint Central ist für die Gemeindeverwaltung die sichere Anbindung ihrer Außenstellen über einen Forward Server, der in der DMZ steht. Bei diesem können sich beispielsweise die Kindergärten über das Internet anmelden und so sicher mit dem internen Server kommunizieren. Das sorgt für zusätzliche Sicherheit, zumal gerade öffentliche Einrichtungen besonders darauf achten müssen, kein Einfallstor über das Internet auf ihre Infrastruktur zu bieten. 

Darüber hinaus bietet Endpoint Central mit dem Endpoint Security Add-on zahlreiche weitere Tools, die der Gemeinde helfen, ihre Geräte noch besser abzusichern. So warnt z. B. das Vulnerability Management vor Zero-Day-Sicherheitslücken. Bei KRITIS-Unternehmen sehr geschätzt ist auch die Gerätesteuerung Device Control, die auch die Gemeindeverwaltung Bisingen nutzt: Damit werden die ausschließlich von der IT beschafften USB-Sticks verschlüsselt und freigegeben. Sollte ein Mitarbeiter am heimischen Rechner die eventuell als lästig empfundene Verschlüsselung entfernen, wird der USB-Stick automatisch an den Endgeräten der Gemeinde blockiert. Zudem wird Dominik Kegler informiert, der den Mitarbeiter dann auffordert, das USB-Speichergerät wieder zum Verschlüsseln vorbeizubringen. Aus Sicherheitsgründen wurde mit Device Control auch das Aufladen von fremden Smartphones an Gemeinderechnern unterbunden.

Kundennutzen:

  • Höhere Sicherheit mit Endpoint Security
  • Automatisierungen bringen Arbeitsentlastung
  • Extrem gutes Preis-/Leistungsverhältnis
  • Viele nützliche Helfer-Tools
  • Kostenlose Edition für 25 Endpoints

Beruhigend findet der IT-Verantwortliche auch, dass er mit Endpoint Security die eigene Arbeit überprüfen kann und darauf hingewiesen wird, wenn etwas vergessen oder eventuell ein falscher Haken gesetzt wurde. So wird beispielsweise die Tastenkombination „Strg+Alt+Entf“ von einigen Experten als Sicherheitslücke eingestuft, worauf Endpoint Central den Anwender auch hinweist, falls dieser sie trotzdem einsetzen möchte.

Als sehr hilfreich empfindet Dominik Kegler die Admin-Tools, die in Endpoint Central standardmäßig enthalten sind, und die er ausgiebig nutzt. Dazu zählen Wake On LAN, System Tools, Remote Shutdown und Remote Control ebenso wie die Ankündigungen. Letztere schätzt der IT-Administrator besonders: Hat er den Kollegen und Kolleginnen etwas mitzuteilen, z. B. dass ein System nicht verfügbar ist, dann erreicht er damit alle – schnell und ohne großen Aufwand.

Auch die Remote-Control-Funktion wird in Bisingen regelmäßig genutzt. Damit kann der IT-Verantwortliche einfach und unkompliziert auf die Rechner der Mitarbeitenden zugreifen, um sie per Fernwartung zu unterstützen. Der dazu erforderliche Agent ist bereits auf den Rechnern installiert und auch die Firewall-Regeln sind schon gesetzt. So kann sich die Gemeindeverwaltung ein weiteres Produkt für den Remote-Support sparen. 

Die Gemeindeverwaltung Bisingen nutzt auch das umfangreiche Angebot an Berichten, die bereits in Endpoint Central enthalten sind und die sich nach Wunsch konfigurieren lassen. Dabei können in den Reports beispielsweise benutzerdefinierte Daten maskiert werden, so dass diese nicht als Klartext übermittelt werden – ein großer Vorteil hinsichtlich DSGVO. Besonders oft im Einsatz ist bei Dominik Kegler allerdings vor allem der Report zu den sich ständig ändernden Passwörtern. So kann er im Report nachsehen und muss sich nicht durchs AD quälen, um ein bestimmtes Kennwort zu finden.

Fazit – Automatisierung entlastet IT

Die Gemeindeverwaltung Bisingen hat seit der Einführung von Endpoint Central konsequent alle Funktionen genutzt, um alle Aufgaben so weit wie möglich zu automatisieren. Nur so ist es für Dominik Kegler möglich, den Arbeitsaufwand bei der Verwaltung der Vielzahl an Geräten und unterschiedlichen Einrichtungen alleine zu stemmen. 

Vor allem das Patch-Management ist für den IT-Administrator dabei ein absolutes Muss – unabhängig von der Größe der Organisation: „Egal ob klein oder groß: Auch wenn ich nur fünf Rechner habe, dann müssen diese trotzdem gepatcht werden. Und bei ManageEngine gibt es sogar eine kostenlose Version, die bis zu 25 Endgeräte abdeckt.“

Die durch die Automatisierungen gesparte Zeit hat Dominik Kegler übrigens unter anderem bereits dazu genutzt, um Site24x7 von ManageEngine einzuführen. Damit kann er jetzt auch die Performance und Verfügbarkeit von Websites, Webapplikationen und Servern einfach überprüfen.

„Auch wenn es nach einem Klischee klingen mag, aber wenn ein zentraler Überblick das A und O ist, dann kommt man um ManageEngine Endpoint Central und Site24x7 nicht mehr herum“, fasst der IT-Verantwortliche seine Erfahrungen zusammen.

Gemeindeverwaltung Bisingen:

Branche: Öffentlicher Dienst
Mitarbeiter: ca. 150
Hauptsitz: Bisingen in Baden-Württemberg

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren