Ăśber die Stadt Kaufbeuren
Kaufbeuren ist eine kreisfreie Stadt im bayerischen Allgäu mit rund 49.000 Einwohner:innen. Zum Aufgabenspektrum der Stadtverwaltung gehören unter anderem das Einwohnermeldewesen, die Führerscheinstelle, das Standesamt als auch die Verwaltung des Hallenbads und der Stadtbücherei.
Die IT-Abteilung der Stadtverwaltung stellt hierbei die technische Infrastruktur für die vielfältigen Verwaltungsbereiche bereit – von der Server-Infrastruktur, zu der Systeme wie Active Directory sowie SQL- und Exchange-Server gehören, bis hin zu spezialisierten Fachverfahren und dem Berechtigungsmanagement über tenfold.
Kundenmeinung
“Wir sind sehr froh, dass wir auf tenfold gesetzt haben – ohne das System bräuchten wir heute wahrscheinlich drei bis vier zusätzliche Personen.”
Oliver Holderried
Sachgebietsleiter Systemtechnik, Stadt Kaufbeuren
Projektdaten
Standort
Kaufbeuren, Bayern
Branche
Stadtverwaltung
Anzahl IT-User
1200
IT-Mitarbeitende
37
Lizenz
Enterprise
Vor tenfold
Bevor tenfold eingeführt wurde, war die Benutzeranlage und -verwaltung bei der Stadt Kaufbeuren ein stark manueller und zeitaufwändiger Prozess. Ein Mitarbeiter war nahezu die gesamte Woche ausschließlich damit beschäftigt, neue Benutzer:innen (von denen es durchschnittlich zwei bis drei pro Woche gab) in Active Directory und den verschiedenen Softwarekomponenten manuell anzulegen – zusätzlich zu den zahlreichen alltäglich anfallenden Änderungen wie Abteilungswechseln, Ruhestandseintritten oder anderen Anpassungen, die ebenfalls manuell bearbeitet werden mussten.
Auch die Kommunikation mit den jeweiligen Kolleginnen und Kollegen lief manuell über E-Mails oder häufig sogar über handschriftliche Notizen, die herumgereicht wurden, ab. Aufgaben und Termine zur Benutzeranlage wurden individuell in Outlook eingetragen.
Warum IAM? Cyberangriffe als treibende Kraft
Vor allem in den vergangenen Jahren rückte das Thema Cybersecurity durch die stetig wachsende Bedrohungslage in den Vordergrund. So häuften sich gezielte Angriffsversuche auf Mitarbeitende der Verwaltung, zum Beispiel über manipulierte E-Mail-Anhänge oder betrügerische Anrufe, mit dem Ziel, Schadsoftware einzuschleusen.
Das ist für Stadtverwaltungen besonders kritisch, da sie über hochsensible Informationen aus den unterschiedlichsten Bereichen über ihre Bürger verfügen: Neben Adressen und biometrischen Daten wie Fingerabdrücken umfassen diese auch familiäre Verhältnisse, Sozial- und Kontodaten sowie Informationen über rechtliche oder soziale Konfliktlagen. Ein erfolgreicher Angriff könnte daher zu erheblichen Datenschutzverletzungen führen.
Angesichts dieser Risiken und um Datenabfluss sowie Systemkompromittierungen zu verhindern, investiert die Stadt zunehmend in technische Schutzmaßnahmen wie Application Control, Mitarbeiterschulungen – und eben IAM.
Eine IAM-Lösung hilft dabei, die Angriffsfläche für potentielle Eindringlinge zu minimieren. Denn sollte jemand es doch schaffen, sich an der Firewall vorbeizuschleichen und sich eines Benutzerkontos zu ermächtigen, so kann diese Person nur auf jene Daten zugreifen, auf die auch das kompromittierte Konto Zugriff hat. Es ist daher essenziell, dass Mitarbeitende nur so viele Berechtigungen besitzen, wie sie für ihre Arbeit benötigen – nicht mehr und nicht weniger.
/
Ăśberzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!
Anforderungen an eine IAM-Lösung
Somit begab sich die Stadt Kaufbeuren auf die Suche nach einer geeigneten Identity- und Access Management-Lösung. Folgende Anforderungen und Ziele wurden vorab definiert:
1. Automatisierung von Berechtigungen:
Durch die Automatisierung sollten Prozesse optimiert, beschleunigt und vereinfacht werden.
Zugriffsrechte sollten zeitgesteuert vergeben und entzogen werden können…
…. wodurch wiederum eine manuelle Nachverfolgung von Berechtigungen anhand von z.B. Kalendereinträgen nicht mehr notwendig sein wĂĽrde.
2. Abbildung von Benutzerzyklen:
Das IAM-System sollte in der Lage sein, das On- und Offboarding, Rollenwechsel, temporäre Rechte sowie etliche andere Punkte im Lebenszyklus von Benutzer:innen abzubilden.
Sämtliche Zugriffsprozesse sollten workflowbasiert steuerbar sein.
3. Angriffsfläche minimieren:
Durch eine genauere Zugriffskontrolle sollte die Angriffsfläche für potenzielle Cyberangriffe minimiert werden.
4. Compliance:
Stadtverwaltungen müssen gewisse Zertifizierungen vorweisen. Viele davon verlangen ein Maß an Zugriffskontrolle und Übersichtlichkeit, das ohne eine IAM-Lösung nur schwer zu erreichen ist.
5. Einfache Kommunikation und Benachrichtigung:
Betroffene Mitarbeiter sollten automatisierte E-Mails erhalten, die sie ĂĽber Ă„nderungen informieren.
Ebenso sollten IT-Mitarbeiter und Fachbereiche automatisch ĂĽber Ă„nderungen informiert werden.
6. Wirtschaftlichkeit:
Die Lösung musste vergabekonform und im kommunalen Budgetrahmen liegen.
Der Weg zu tenfold
Bevor man auf tenfold stieß, hatte man im Rahmen einer strukturierten Evaluierung bereits vier andere IAM-Lösungen geprüft, darunter auch Enterprise-Lösungen, die auf sehr große Organisationen ausgelegt sind.
Vorrangig war man auf der Suche nach einer Lösung, die Benutzerlebenszyklen gut abbilden konnte. tenfold erfüllte diese sowie alle weiteren funktionalen Anforderungen und überzeugte gleichzeitig durch ein hervorragendes Kosten-Nutzen-Verhältnis; somit konnte sich die IAM-Lösung aus Wien im Auswahlprozess klar durchsetzen.
Implementierung von tenfold
Von der Grundinstallation bis zum Go-live vergingen zwei Monate, wobei das Anlegen von Ressourcen in tenfold den zeitintensivsten Abschnitt darstellte.
Schritt 1: Grundinstallation
Die Grundinstallation von tenfold konnte rasch und ohne Komplikationen innerhalb von drei Tagen, mit Unterstützung des tenfold-Supports, abgewickelt werden. Hierbei wurden das Active Directory und sämtliche Fileserver angebunden.
Schritt 2: Anlegen von Ressourcen & Erschaffung von Imperium-Schnittstelle
Im nächsten Schritt wurden sämtliche Ressourcen angelegt, die für die Berechtigungsvergabe relevant sind. Dieser Schritt bildete den größten Aufwand, denn die Stadt Kaufbeuren hat rund 250 Fachverfahren im Einsatz – das sind spezialisierte Softwarelösungen für Verwaltungsaufgaben wie Führerscheinwesen, Jugendamt, Verkehrswesen, usw.
Vor tenfold musste jedes Mal, wenn ein neuer Mitarbeiter dazukam, dieser entsprechend manuell in die zutreffenden Fachverfahren eingebunden werden, was einen enormen personellen Aufwand bedeutete und zudem fehleranfällig war. Sobald nämlich ein Benutzer oder eine Benutzerin eine entsprechende Berechtigung erhielt, wurde automatisch eine E-Mail generiert, die das Team darüber informierte – dieses musste dann in die Softwareverteilungslösung Unified Endpoint Management („UEM“) von Matrix42 wechseln, die Software dem entsprechenden Rechner zuweisen und die Installation freigeben.
Um diesen Prozess effizienter zu gestalten, entschied sich die Stadtverwaltung gemeinsam mit tenfold dazu, eine direkte Schnittstelle zwischen tenfold und UEM zu entwickeln. Die Entwicklungsarbeit übernahm tenfold, während die Stadt ein Testsystem zur Verfügung stellte. Das Ergebnis war ein Plugin, das die automatische Übergabe der relevanten Informationen an UEM ermöglicht.
Seither können alle Fachverfahren als eigene Ressourcen in tenfold abgebildet werden und bei Neueintritten den neuen Mitarbeitenden zugewiesen werden. Die Zuweisung erfolgt über Rollen, die die passenden Ressourcen, also Fachverfahren, enthalten. Somit ist der Prozess der Vergabe nicht nur vereinfacht, sondern auch viel weniger anfällig für Fehler.
Schritt 3: User-Import
Danach wurden sämtliche Benutzer:innen in tenfold importiert, wodurch die Benutzerverwaltung endgültig an tenfold übergeben werden konnte.
WofĂĽr wird tenfold genutzt und welche Systeme sind bereits angebunden?
tenfold wird in der Organisation vielseitig eingesetzt, insbesondere zur Automatisierung und Standardisierung von IT-Prozessen. Etliche Systeme konnten bereits angebunden werden, wodurch der IT-Alltag erheblich vereinfacht wurde.
Nutzungszwecke von tenfold:
Anlegen von Ressourcen
Erstellen und verwalten von Benutzerprofilen
Self-Service-Portal zur Beantragung von Zugängen und Rechten (z. B. für Microsoft Teams)
Angebundene Systeme:
1. Active Directory (AD)
Zentrales Verzeichnis fĂĽr Benutzerkonten
Benutzeranlage und -verwaltung durch tenfold
2. Exchange / Outlook
Automatische Erstellung und Zuweisung von Postfächern
Steuerung von Team-Postfach- und Kalenderberechtigungen ĂĽber Skripte
3. File-Server
Verwaltung von Zugriffsrechten ĂĽber AD
Anbindung ĂĽber Standardmechanismen von tenfold
4. PowerShell-Skripte (individuell entwickelt)
Erweiterung der Automatisierung durch PowerShell-Plugin, z.B. Automatische Zertifikatsinstallation, je nach Teamzugehörigkeit
Umsetzung durch das interne Entwicklerteam
5. Matrix42 (UEM)
Einbindung in die Benutzerverwaltung
Nutzung fĂĽr Lizenz- und Asset-Zuweisungen im laufenden Betrieb
6. E-Mail-Workflows
Einsatz bei nicht direkt angebundenen Fachverfahren
UnterstĂĽtzung manueller bzw. halbautomatisierter Prozesse via E-Mail-Benachrichtigungen
7. Microsoft 365
Aktuell wird nur Teams aus der Cloud genutzt
Benutzerkonten-Synchronisation vom lokalen AD zu Microsoft 365
8. Rezertifizierung externer Dienstleister
Nutzung der Rezertifizierungsfunktion fĂĽr Zugriffskontrolle externer Accounts
Regelmäßige Prüfung der Zugänge, z. B. für Dienstleister in Hallenbädern außerhalb der IT-Servicezeiten
Verbesserung fĂĽr DateneigentĂĽmer
Dank tenfold konnten viele Entscheidungen von der IT an die Fachabteilungen ausgelagert werden, was einerseits Berechtigungsprozesse beschleunigt und andererseits für weniger Fehler sorgt. Außerdem erfreuen sich Dateneigentümer an der verbesserten Übersichtlichkeit – auf einen Blick ist nun bestens zu erkennen, welche Themen noch offen sind und genehmigt werden müssen, wohingegen vor tenfold vieles vergessen oder überlesen wurde und somit nicht oder nur verzögert umgesetzt werden konnte.
“Dank tenfold haben Dateneigentümer jederzeit einen klaren Überblick über ausstehende Aufgaben und Genehmigungen und können ihre Arbeit dadurch strukturiert und effizient planen. Für sie bedeutet tenfold einen echten Mehrwert.“
Oliver Holderried, Sachgebietsleiter Systemtechnik, Stadt Kaufbeuren
Zukunftspläne mit tenfold
Die Stadt Kaufbeuren plant, den Einsatz von tenfold kĂĽnftig deutlich zu erweitern. Dabei stehen folgende Vorhaben im Fokus:
1. Ausbau des Self-Service-Portals: Anfangs wurde das Self-Service für Microsoft Teams freigeschalten. Ziel ist es, weitere Applikationen freizuschalten, um Usern zu ermöglichen, selbstständig Zugriffe anzufragen und somit diesen Prozess vollständig zu digitalisieren. Dadurch sollen manuelle oder gar papierbasierte Prozesse komplett entfallen
2. Nutzung des Import-Plugin für die Anbindung der Personalverarbeitungssoftware: Damit sollen Benutzer:innen einerseits automatisch angelegt (z. B. bei Neueinstellungen) sowie automatisch deaktiviert werden können (z. B. bei Ruhestand, Altersteilzeit, Austritt, usw.)
3. Ausbau der Rezertifizierungsfunktion: In Zukunft soll die Funktion auf weitere Konten ausgeweitet werden, damit das Least-Privilege-Prinzip und somit auch die Compliance mit diversen Regulierungen aufrechterhalten wird.
Fazit
Die Stadt Kaufbeuren zieht ein durchweg positives Fazit aus der Einführung von tenfold. Seit der Implementierung konnten zahlreiche Prozesse rund um die Benutzerverwaltung erfolgreich automatisiert werden – mit spürbarer Entlastung für die IT. Gerade vor dem Hintergrund wachsender Anforderungen und einer höheren Personalfluktuation wäre eine manuelle Verwaltung heute kaum noch leistbar.
Durch die Flexibilität von tenfold konnten maßgeschneiderte Lösungen umgesetzt werden, die optimal zu den spezifischen Anforderungen einer kommunalen Verwaltung passen.
Die Kombination aus Automatisierung, Erweiterbarkeit und Zukunftsfähigkeit macht tenfold zu einem zentralen Baustein in der digitalen IT-Strategie der Stadt Kaufbeuren.