Sicherheitsanforderungen bei KiKxxl

Sicherheitsanforderungen bei KiKxxl

Die Computerwoche 6 / 2015 berichtet ausführlich über die IT Strukturen bei KiKxxl. Lars Hoeger, seit 15 Jahren IT Leiter bei KiKxxl, setzt aus verschiedenen Gründen auf Linux und auf Univention Corporate Server, wenn es um die IT Infrastruktur des Unternehmens geht.

 

Wie Linux für das Call-Center KiKxxl zum Wachstumsmotor wurde – Computerwoche

Lars Hoeger ist ein Überzeugungstäter. Als er vor beinahe 15 Jahren die IT-Leitung des Call-Center-Betreibers Kikxxl übernahm, verordnete er ihm sofort eine Linux-Umgebung. Nicht aus wirtschaftlichen Gründen – “Open Source heißt ja nicht kostenlos” – , sondern wegen der Stabilität und Sicherheit.

Die Kikxxl-Zentrale im Osnabrücker Industriegebiet an der Mindener Straße wirkt von außen hell und transparent – Glas dominiert die Außenfassade. Innen ähnelt das Gebäude einem Hochsicherheitstrakt: Hier öffnen sich Türen nur für Autorisierte, durch Transponder geschützt. Einige Bereiche des Call-Centers sind zudem mit Sichtblenden gegen die Flure abgeschirmt; Ton- oder Bildaufnahmen streng verboten. Kikxxl arbeitet unter anderem für die Netz-Provider Telekom, Vodafone und Debitel. Und die möchten sicher sein, dass ihre Kundengespräche nicht von Konkurrenten verfolgt werden können.

Darüber hinaus werden alle Prozesse schon aus Sicherheitsgründen dokumentiert, sagt IT-Chef Hoeger. Die “locker 10.000 Seiten” aktuell zu halten gehört zu seinen Aufgaben. Einer der IT-Beiträge zum Kikxxl-Geschäft besteht schließlich in der Programmierung und Betreuung der Sicherheitssysteme.

Das Verwalten, Verarbeiten und Bereitstellen von Daten sind andere wichtige Aufgaben, die das 20-köpfige IT-Team zu erledigen hat. Die Mitarbeiter sollen sich ja nicht damit abmühen, Kundeninformationen zu suchen oder Vertragsformulare zu erstellen. Sie haben genug damit zu tun, die Probleme der Anrufer zu lösen (Inbound-Services) und den Bestandskunden ihrer Klientel neue Services schmackhaft zu machen oder eventuell Abtrünnige bei der Stange zu halten (Outbound-Services).

 

Projektsteckbrief

  • Branche: Dienstleistungen (Call-Center).
  • Projektart: Prozessautomatisierung in der IT (Rechtevergabe).
  • Herausforderung: hohe Fluktuation der Mitarbeiter, feingranulare Rechtegruppen.
  • Umgebung: Debian auf 1300 Clients und 140 Servern.
  • Eingesetztes Produkt: Univention Corporate Server (UCS). Zeitrahmen: 2010 begonnen, seit 2013 komplett umgesetzt.
  • Ergebnis: automatische Rechtevergabe; weniger Administrationsaufwand, mehr Innovation.
  • Geplante Weiterentwicklung: Browser als Remote-Service, Umsetzung von Proxy-Gruppen, Software as a Service.

 

Extrem hohes Sicherheitsverständnis

Mit Ausnahme der Telekom-Daten, die verschlüsselt aus dem Rechenzentrum des Providers übertragen werden, sind Kundendaten und andere kritische Informationen bei Kikxxl gespeichert – auf dem MySQL-Fork “MariaDB”, weil Hoeger dem neuen MySQL-Eigner Oracle nicht traut: “Oracle-Chef Larry Ellison ist mir zu positiv gegenüber der NSA eingestellt.”

“Die Daten speichern wir verschlüsselt und nach Mandanten getrennt – auf File-Server- und sogar auf Backup-Ebene”, berichtet Hoeger: “Zweimal im Jahr unterwerfen wir uns einem Dauer-Audit, denn wir haben ein extrem hohes Sicherheitsverständnis.” Mit mehr als 50.000 versuchten Zugriffen pro Monat steht das Call-Center quasi unter Dauerbeschuss. Dabei wollten die Hacker eigentlich gar nicht an die Daten, die in Osnabrück gespeichert sind, weiß der IT-Verantwortliche. Ihnen gehe es darum, ein Einstiegstor zu den Kundenunternehmen zu finden: “Die sind scharf auf unseren Status als vertrauenswürdiger Partner. Deshalb gibt es bei uns kein USB, kein WLAN, keine Wechseldatenträger.”

Und noch etwas gibt es bei Kikxxl nicht – oder jedenfalls nur im absolut erforderlichen Maß: das Microsoft-Betriebssystem Windows. “Ein paar User meinen immer, sie müssten mit Exchange oder Powerpoint arbeiten”, räumt Hoeger ein, aber es gehe dabei nicht um das Betriebssystem. Und so hat es sich der IT-Chef zur Aufgabe gemacht, sie sanft, aber bestimmt umzuleiten: “90 Prozent der Funktionen lassen sich mit Open-Source-Alternativen abdecken.”

 

KikXXL_LarsHoeger

 

 

 

 

 

 

 

Lars Hoeger: “Wer die IT am Limit fährt, geht zwangsläufig Risiken ein.”

 

Ganz und gar soll Microsoft aber nicht ausgesperrt werden: “Wir erledigen ein paar admi-nistrative Arbeiten und haben einige wenige Anwendungen unter Windows – sozusagen dreifach abgesichert”, konzediert Hoeger. Der neue Standardarbeitsplatz der Call-Center-Agenten sei mit mindestens zwei Bildschirmen ausgerüstet. So lasse sich eine für den jeweiligen Kunden benötigte Windows-Umgebung klar von den Linux-Anwendungen abtrennen.

Das Grundsystem ist immer die Linux-Distribution Debian. Darunter wird im Bedarfsfall eine Windows-Umgebung hochgefahren. Hoeger: “Im Netz lassen wir kein Windows zu. Alle Schnittstellen nach außen sind Linux.”

Debian ist fertig, wenn es fertig ist

Ein wichtiger Unterschied zwischen Windows und Debian liegt laut Hoeger in der Release-Politik. Während bei der kommerziellen Software regelmäßig eine neue Version fällig ist, wird eine neue Debian-Ausführung erst in die Öffentlichkeit entlassen, wenn sie wirklich ausgetestet ist. Indem er den Quellcode herausgebe, lasse der Entwickler ja die Hosen runter, so formuliert der IT-Chef. Das riskiere der nur, wenn darunter alles tadellos in Ordnung sei.

Ein anderer Punkt ist die Lizenzpolitik: “Da gibt es bei Microsoft so viele verschiedene Modelle, dass man leicht den Überblick verliert”, sagt Hoeger: “Unserem Linux-Distributor Univention sage ich einfach: Ich brauche 500 User-Lizenzen für ein Jahr. Das war`s.”

Vor allem aber hält der IT-ExperteOpen-Source-Software per se für sicherer: “Auch hier gibt es ab und an Lücken, aber im Gegensatz zu Windows kann man sie sehen.” Als im vergangenen Jahre die Sicherheitslecks “Heartbleed” und “Shellshock” publik wurden, habe sich das Thema innerhalb weniger Tage erledigt. Microsoft hingegen komme monatlich mit neuen Patches. Und der Anbieter entscheide, welche der ihm bekannten Sicherheitslücken gestopft werden und welche nicht.

Hoeger setzt bereits seit 15 Jahren auf Open Source. Dass das Call-Center-Unternehmen mittlerweile mehr als 1600 Mitarbeiter beschäftigt, rechnet der IT-Verantwortliche auch Linux an: “Das Betriebssystem ist für uns ein Wachstumsmotor”. Kikxxl könne häufig als einziger Bewerber eine vom potenziellen Kunden geforderte Funktion bereitstellen. Die Konkurrenz, die zumeist auf Windows setze, müsse dann passen: “Unter Windows sind die Applikationen vielleicht bunter, aber nicht unbedingt reicher in der Funktionalität.”

Das liegt allerdings auch daran, dass Hoeger stark auf Eigenentwicklung setzt. Wenn auch nicht unbedingt freiwillig: “Viele der für uns notwendigen Funktionen gab es am Markt nicht zu kaufen.”

Von der Stange gab es hingegen den “Univention Corporate Server” (UCS). Um klarzumachen, wozu KiKxxl ihn brauchte, holt Hoeger weit aus: “Wir haben eine hohe Fluktuation, weil sich die Mitarbeiter nach dem Berufseinstieg finanziell zu verbessern hoffen – obwohl wir längst mehr als den Mindestlohn zahlen. Zudem vergeben wir Benutzerrechte extrem granular; jedes Element wird mit eigenen Rechten versehen. So summieren sich die Rechtegruppen auf etwa 6200.” Diese Rechte manuell zu vergeben wäre Sisyphos-Arbeit. Vor allem nach 2009, weil Security und Privacy aufgrund einiger öffentlich gewordener Sicherheitslücken im Telekommunikationsbereich seither noch kritischer beäugt werden als zuvor.

Automatische Rechtevergabe

“2009 waren wir an einem Punkt angelangt, wo wir ohne eine professionelle Software nicht weitergekommen wären”, erinnert sich der IT-Chef. Anforderungen und Manpower hatten sich einfach zu weit auseinanderentwickelt. Die Sicherheit musste also systemisch verankert werden: “Wir brauchten vor allem ein funktionierendes Domain Controlling.”

Microsoft hätte mit seinem “Small Business Server” wohl gern ausgeholfen. Zu Hoegers Glück brachte jedoch einer seiner Netzadministratoren eine Linux-basierende Alternative ins Spiel: UCS. Die Software bietet ein zentrales User-Management sowie eine Directory-Manager-Schnittstelle (UDM). Mit Hilfe der Debian-basierenden Software hat Kikxxl bislang mehr als 140 Server integriert. Die etwa 1300 Thin Clients arbeiten auf den Terminal-Server-Systemen “FreeNX” und “X2Go”.

Schnüffelstück schafft Integration

Hoegers Team entwickelte eine an die Directory-Management-Schnittstelle andockende Steuersoftware für die automatische Rechtevergabe. Die will der IT-Chef auch in die Linux-Community zurückspiegeln – allerdings erst, wenn es ihm gelungen ist, die Struktur der Zugangsinformationen so zu verstecken, dass auch die findigen Linux-Spezialisten sie nicht nachvollziehen können. Ein Sicherheitsrisiko kann und will er nicht eingehen.

Bei der Steuersoftware – Hoeger nennt sie “Schnüffelstück” – handelt es sich im Kern um eine TCP/IP-Schnittstelle: “Sie hört aufs Internet und schreibt auf die Konsole”, wie der IT-Spezialist erläutert. So ist sie in der Lage, die “Internet-seitig” definierten Zugriffsrechte und Regeln “konsolenseitig” umzusetzen, ohne dass ein Administrator eingreifen müsste.

“Ich drücke auf einen Knopf, und die Prozesse laufen los”, beschreibt Hoeger diesen Vorgang. Dabei sei die Kommunikation innerhalb des Systems und nach außen nicht nur verschlüsselt, sie arbeite auch mit Zertifikaten, so dass nur die ITler darauf zugreifen können.

“Wenn wir so weitergemacht hätten wie zuvor, würden wir heute nichts anderes mehr machen als Rechte anzulegen beziehungsweise hin- und herzuschieben”, versichert Hoeger: “Und auf diese Weise entstünden zunächst einmal Altlasten, weil die Mannschaft keine Zeit mehr für Innovationen hätte.” Das wäre am Ende auch sicherheitskritisch: “Wer die IT am Limit fährt, geht zwangsläufig Risiken ein.”

Sicherheit lebe von der Weiterentwicklung, so Hoegers Überzeugung. Das spiegeln denn auch die kontinuierlichen Verbesserungen des Systems wider: Im vergangenen Jahr setzte das Team ein “E-Mail-Whitelisting” um – “vollständig integriert in UCS und vollständig automatisierbar durch UDM”, wie Hoeger präzisiert. So lässt sich festlegen, wer mit wem elektronisch kommunizieren darf.

Im laufenden Jahr will Kikxxl das “sichere Surfen” einführen. Damit hofft Hoeger, die “Drive-by-Angriffe” vermeiden zu können, bei denen schon das Anklicken einer Site zum Virenbefall führen kann: Der Browser wird hier als Remote Session von einem zentralen Server “exportiert”. Bestimmte Unternehmensbereiche können nur auf diesen Browser zugreifen. Ebenfalls auf der Agenda steht die Definition und Umsetzung von “Squid”-Gruppen.

2016 will Kikxxl dann seine IT-Umgebung auf UCS 4.0 umstellen. In diesem Zusammenhang trägt sich Hoeger auch mit dem Gedanken, die Software aus der Cloud zu beziehen: “Im Ist-Zustand bin ich Cloud-Gegner. Aber Cloud ist cool, wenn die Sache sicher ist. Ich mache das nur mit Univention 4.0 – sonst nicht.” Ein Serviceanbieter des Vertrauens ist bereits ausgewählt; die Verhandlungen laufen.

 

Der Artikel ist erstmalig in der Computerwoche Ausgabe 6 / 2015 auf den Seiten 32-34 sowie auf computerwoche.de zu finden.

Share