Zentrum für Digitale Souveränität (ZenDiS)

Bereits im Jahr 2020 hat der IT-Planungsrat das Bundesministerium für Inneres und Sicherheit mit der Erarbeitung und Prüfung einer Open-Source-Alternative für einen digitalen Büro-Arbeitsplatz für die Öffentliche Verwaltung beauftragt. Hintergrund war unter anderem eine von Price-Waterhouse-Cooper erstellte Studie, die eine extrem hohe Abhängigkeit der Verwaltung von Microsoft-Office-Lösungen feststellte. Anfang 2024 übernahm das neu gegründete Zentrum für Digitale Souveränität (ZenDiS) die Koordination und Projektsteuerung. Basierend auf der von dem Dienstleister Dataport entwickelten Lösung dPhoenixSuite wurde ein webbasierter Arbeitsplatz gemeinsam mit einer Reihe erfolgreicher europäischer Open-Source-Hersteller entwickelt, der Ende 2024 offiziell als openDesk gelauncht wurde. openDesk steht auf dem Open Source Repository Open CoDE als Quellcode zum Dowload bereit und wird vom ZenDiS als Software-as-a-Service für öffentliche Verwaltungen angeboten.

Maßgeblich bei der Entwicklung von openDesk sind die Aspekte: digitale Souveränität durch Herstellerunabhängigkeit, Wahlfreiheit, Mitgestaltungsmöglichkeit und Kontrolle. Außerdem sollen die besonderen Bedarfe der Öffentlichen Verwaltung erfüllt und Modularität, Austauschbarkeit und Interoperabilität der Komponenten untereinander und mit Fachverfahren durch eine offene Architektur und offene, standardisierte Schnittstellen gewährleistet sein. Weitere Anforderungen sind ein containerisierter Betrieb, Barrierefreiheit und DSGVO-Konformität und die Erfüllung sowohl der BSI-Sicherheitsstandards als auch der Anforderungen der deutschen Verwaltungscloud.

Komponenten von openDesk

openDesk vereint alle essenziellen Büro-Anwendungen, die Mitarbeitende der Öffentlichen Verwaltung benötigen, unter einer einzigen benutzerfreundlichen Oberfläche. Dazu gehören folgende Funktionalitäten, die von unterschiedlichen Softwareherstellern bereitgestellt werden:

• Projektmanagement
• Aufgabenverwaltung
• Kontakte
• Dokumentenbearbeitung
• Chat
• Kalender
• Wiki
• E-Mail
• Dateiablage
• Videokonferenzen

Benutzer und Benutzerinnen können auf diese Funktionen über ein intuitiv bedienbares Webportal nach einmaliger Anmeldung mit ihrem Benutzeraccount und Passwort zugreifen und einfach zwischen ihnen hin und her wechseln. Die einzelnen Komponenten der verschiedenen Hersteller sind technisch tief miteinander integriert und arbeiten zusammen.

Nubus für Kubernetes sorgt für Integration

Das Identity & Access Management Nubus von Univention sorgt sowohl dafür, dass die Funktionen für die Endanwender*innen sicher und benutzerfreundlich zugänglich sind, als auch dafür, dass die Module untereinander interagieren. So können beispielsweise Dateien aus dem Cloud-Storage-Modul „Nextcloud“ einfach über die Groupware (OX App Suite) oder das Projektmanagement-Modul (OpenProject) zugänglich gemacht und bearbeitet werden. Dafür sorgen sowohl standardisierte Schnittstellen als auch fertige Integrationspakete für Open-Source-Anwendungen wie Nextcloud oder Open-Xchange.

Durch diesen Ansatz minimiert openDesk den Aufwand für Endbenutzer-Organisationen bei Einführung und Betrieb von openDesk. Außerdem behalten sie gleichzeitig die Flexibilität, Module innerhalb von openDesk zu ergänzen oder auszutauschen.

Auch für die Anwendungsentwicklung in openDesk ergeben sich klare Vorteile. Viele der openDesk-Module basieren auf Open Source Software, die auch außerhalb von openDesk weiterentwickelt wird. Dank der IAM-Integration können für neue Versionen der Modulsoftware Schnittstellen weiterentwickelt werden, ohne dass openDesk als Gesamtlösung seine Schnittstellen ändern muss. Dies vereinfacht erheblich die Übernahme von Innovationen und verbessert die Integration innerhalb der openDesk-Module.

Projektgetriebene Verbesserungen

Nubus ist aus der bereits über 20 Jahre lang am Markt etablierten IAM Software Appliance Univention Corporate Server (UCS) hervor gegangen. UCS entsprach zu Projektbeginn jedoch nicht den Anforderungen eines Betriebs in einem Kubernetes Umfeld und erfüllte nicht die Kritierien der Deutschen Verwaltungscloud-Strategie und die des BSI Grundschutz.
Daher musste im Projekt zunächst ein recht hoher Aufwand in die Aufteilung der IAM-Komponenten von UCS in eine skalierbare Container-Architektur investiert werden, für die auch Teile der notwendigen Funktionen und Schnittstellen neu implementiert werden mussten.

Nubus Identity & Access Management

Inzwischen ermöglicht das Identity & Access Management von Nubus in einer Kubernetes-Umgebung die zentrale Administration der für openDesk relevanten Identitäten und Berechtigungen wie:

• Benutzer & Gruppen
• Rollen von Nutzern und Gruppen in den openDesk-Modulen
• Berechtigungen für den Zugriff auf Ressourcen w.z.B. Funktionspostfächer oder Meetingräume

Die Benutzeraccounts werden von den IT-Administrierenden an zentraler Stelle über eine webbasierte Konsole gemanagt. Auf Basis von Gruppenzugehörigkeiten können die jeweiligen Zugriffsrechte verwaltet werden. Nubus bietet außerdem standardisierte Schnittstellen für die einfache Anbindung von Benutzern, Benutzer-Gruppen und Berechtigungen aus Quellen w.z.B. anderen Verzeichnisdiensten. Manuelle oder doppelte Pflege von Daten wird so überflüssig, Administrationsaufwände werden signifikant reduziert und damit die Datenqualität erhöht.

Benutzer-Web-Portal für den einfachen Zugriff auf alle Funktionen

Das Web-Portal von Nubus ermöglicht Nutzenden nach Anmeldung, zentral und komfortabel auf alle an openDesk angebundenen Anwendungen zuzugreifen. Für mehr Übersichtlichkeit sorgt dabei, dass jeder Person nur die Anwendungen angezeigt werden, für die sie auch Zugriffsrechte hat. Nur ein Klick auf die entsprechende Kachel und der gewünschte Dienst, sei es Mail, Kalender, Dokumente oder Videokonferenzen, öffnet sich in einem eigenen Tab. Über das in allen Modulen integrierte Navigations-Menü sind die im Portal sichtbaren Anwendungen immer erreichbar, egal in welchem Modul der oder die Benutzer*in gerade arbeitet.

Dank eines Self-Service können die Nutzenden die eigenen Profildaten bearbeiten und beispielsweise Kontaktdaten ändern oder ein Profilbild hinterlegen. Über die Funktion Passwort-Reset können sie eigenständig ihr Passwort zurücksetzen und ändern.

Das Portal bietet außerdem weitere individuell auf die eigenen Bedürfnisse konfigurierbare Funktionen wie eine persönliche Begrüßung, einen NewsFeed mit Neuigkeiten aus der aktuellen Umgebung, Quick-Links auf häufig genutzte Funktionen innerhalb der Module sowie Informations-Links, die zum Beispiel zur Produkt-Dokumentation oder dem Impressum weiterleiten.

Identity Provider für Single Sign-on und Single-Logout sowie Zwei-Faktor-Authentifizierung

Technische Basis für den Zugriff über ein Single Sign-on – also die einmalige Anmeldung mit einem Benutzeraccount und einem Passwort – auf alle openDesk Module, ist die Anbindung an einen Identity Provider. Das IAM von Univention realisiert aber auch die Anbindung an externe Identity Provider zur Integration in die bestehende IT-Infrastruktur von Kunden.

Für die Abwehr von Cyberangriffen und die „feindliche“ Übernahme und missbräuchliche Nutzung von Benutzerprofilen implementiert Nubus eine (Login) Brute Force Prevention. Erhöht wird die Sicherheit für das Login außerdem durch eine gruppenbasiert aktivierbare Zwei-Faktor-Authentisierung auf Basis von zeitbasierten Einmalpasswörtern (TOPT).

Kubernetes sorgt für hohe Skalierbarkeit sowie Konformität mit BSI-Grundschutz und Verwaltungscloud-Strategie

Die Univention-Komponenten für das Identity & Access Management, die Integration der unterschiedlichen IT-Komponenten und das Portal sind als containerisierte Kubernetes-Komponenten umgesetzt, so dass der Betrieb von openDesk sowohl im eigenen Rechenzentrum als auch als Clouddienst bei einem Hoster möglich ist.

Die für Nubus bereitgestellten Container erfüllen die Anforderungen von BSI-Grundschutz und der Deutschen Verwaltungscloud-Strategie durch:

• die Trennung von Services in einzelnen Containern,
• die Unterstützung für Redundanzen und Skalierung aller Services,
• minimierte Container-Größen
• sowie den Schutz der Lieferkette über signierte Images und SBOMs.