IKT-Architektur für das Land Berlin - Version: 1.0.0 Final Stand: 15.08.2016 - Berlin.de

Die Seite wird erstellt Milla Brunner

Sonstiges

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

IKT-Architektur für das Land Berlin - Version: 1.0.0 Final Stand: 15.08.2016 - Berlin.de

IKT- Architektur
für das Land Berlin

   Version:   1.0.0 Final
   Stand:     15.08.2016

                Version 1.0.0 Final - Stand: August 2016

Inhaltsverzeichnis
1.             Einführung ....................................................................................................................... 1
2.             Ziele & Lösungen durch die IKT-Architektur .................................................................. 2
3.             Ziel-Architektur ................................................................................................................ 3

3.1.           Grafische Darstellung ..................................................................................................... 3
3.2.           Erläuterung des Gesamtzusammenhangs ..................................................................... 3
3.3.           Endgeräte der Verwaltungskunden ................................................................................ 4
3.4.           Service.berlin.de ............................................................................................................. 4
3.5.           E-Government-Middleware............................................................................................. 4
Teilung in vier Schichten ................................................................................................................. 5
IKT-Basisdienste für E-Government ............................................................................................... 6
Ergänzungskanäle........................................................................................................................... 8
3.6.           Berlin PC ......................................................................................................................... 9
3.7.           Telefonie/VoIP .............................................................................................................. 10
3.8.           Fachverfahren ............................................................................................................... 11
Angebotene Services für den Applikationsbetrieb........................................................................ 11
Architektur- und Designprinzipien ................................................................................................. 12
3.9.           IKT-Basisdienste für Infrastruktur ................................................................................. 14
Identity- und Accessmanagement ................................................................................................ 14
Verzeichnisdienste ........................................................................................................................ 14
Mail-Gateway................................................................................................................................. 14
DNS……… .................................................................................................................................... 14
NTP…….. ...................................................................................................................................... 15
3.10.          Infrastruktur ................................................................................................................... 15
Cloud: Server, Betriebssysteme, Datenbanken, systemnahe Software ...................................... 15
Netzwerke...................................................................................................................................... 17
3.11.          IKT-Sicherheit ............................................................................................................... 20
Grundsätzliches............................................................................................................................. 20
Geltungsbereich ............................................................................................................................ 21
3.12.          Lebenszyklen ................................................................................................................ 21
4.             Anhänge ........................................................................................................................ 22

4.1.           Standardisierungskatalog ............................................................................................. 22
4.2.           Abkürzungsverzeichnis ................................................................................................. 23

                                                      Version 1.0.0 Final - Stand: August 2016

1. Einführung

Das vorliegende Dokument beschreibt die anzustrebende Ziel-Architektur der IKT-
Landschaft im Land Berlin. Sie hat nicht den Anspruch einer feingranularen Technologie-
Planung, sondern stellt im Sinne eines Übersichtsbildes die wesentlichen Bausteine der
Architektur sowie ihre arbeitsteiligen Zusammenhänge mit Fokus auf den angestrebten
strategischen Nutzen der IKT (Bereitstellung von Online-Diensten, Digitalisierung der
internen Verwaltungsarbeit) dar. Ziel ist die Beantwortung grundlegender Fragen, wie etwa
Wie verhalten sich Endgeräte und Fachverfahren zueinander?
Wie wird die benötigte Infrastruktur von Fachverfahren bereitgestellt?
Wo findet Datenverarbeitung und Datenhaltung von Fachverfahren statt?
Wie präsentieren sich Fachverfahren gegenüber dem Bürger?
Welche Basisdienste sind verpflichtend einzusetzen?

Gemäß § 21 Abs.2 Satz 2 Ziff. 3 EGovG Berlin wird die IKT-Architektur des Landes Berlin
vom IKT-Staatssekretär festgesetzt und weiterentwickelt, gleichzeitig ist er für die Einführung
und die Überwachung von IKT-Standards zuständig.
Erarbeitung, Festsetzung und Durchsetzung der Architektur regelt der Prozess zum IKT-
Architekturmanagement. Die vorliegende Ziel-Architektur ist ein Ergebnistyp dieses
Prozesses.
Die nachfolgend beschriebene IKT-Architektur gilt in erster Linie für Neu- oder
Ersatzbeschaffungen und größere Weiterentwicklungsprojekte. Altsysteme werden im
Einzelfall auf ihre Migrierbarkeit geprüft.

Version 1.0.0 Final - Stand: August 2016 Seite 1 von 23

2. Ziele & Lösung durch die IKT-Architektur

Die IKT-Architektur des Landes Berlin ist wesentlich durch Lösungsmuster bestimmt, die als
Antwort auf angestrebte Ziele dieser Architektur formuliert werden können.

Politisch-strategische Ziele                       Lösung durch die IKT-Architektur

One-Stop-Government (einheitlicher                 Anbindung von Fachverfahren über das Internet
Zugang aus Sicht des Bürgers)                      erfolgt ausschließlich über E-Government-
                                                   Middleware; einheitliches Front-End

Zeitnahe Einführung neuer Verfahren                Automatisierte und standardisierte Bereitstellung
                                                   von Servern und Laufzeitumgebungen;
                                                   vollumfängliche Unterstützung des Application
                                                   Lifecycle von der Anforderungsaufnahme über
                                                   Softwarearchitektur, Softwareentwicklung und
                                                   Inbetriebnahme

IKT-Sicherheit (§23 EGovG Bln)                     Standardisierte Sicherheitsbausteine für
                                                   Infrastrukturen und Plattformen

Stabiler Betrieb (§20 II EGovG Bln)                Strikte Standardisierung der
                                                   verfahrensunabhängigen Infrastruktur; Reduktion
                                                   von Technologie-Heterogenität

Ausbau Online-Transaktionen                        Zentrale Bereitstellung und zentraler Betrieb der
                                                   E-Government-Middleware

Digitalisierung der internen                       Verortung der eAkte und der digitalen
Verwaltungsarbeit                                  Antragserfassung in der Gesamtarchitektur

Wirtschaftlicher IKT-Betrieb (§24 III              Standardisierung, Wiederverwendung von
EGovG Bln)                                         Diensten, Automatisierung

Mehrkanalzugang (§4 EGovG Bln)                     Mitplanung von Ergänzungskanälen

…                                                  …

                               Version 1.0.0 Final - Stand: August 2016                       Seite 2 von 23

3. Ziel-Architektur

   3.1.       Grafische Darstellung

Abb. 1: Ziel-Architektur Land Berlin

   3.2.       Erläuterung des Gesamt-Zusammenhangs

Die Ziel-Architektur geht von der grundlegenden Einsicht aus, dass alle wesentlichen
Technologie-Ebenen der Berliner IKT-Landschaft aufeinander abgestimmt werden müssen
und nur in diesem Gesamtzusammenhang auch weiterentwickelt werden dürfen.
Beispielsweise müssen Mitarbeiter-Endgeräte kompatibel zu den darauf zu nutzenden
Fachverfahren und diese wiederum kompatibel zu einer standardisierten Infrastruktur-
Landschaft sein, für welche etwa bestimmte IKT-Sicherheits-Richtlinien gelten. Zugleich
sollen sich Fachverfahren einheitlich auf dem Stadtportal service.berlin.de präsentieren und
mit anderen E-Government-Diensten (wie etwa dem Service-Konto, ePayment oder der
eAkte) interagieren.

                            Version 1.0.0 Final - Stand: August 2016               Seite 3 von 23

Um diese mannigfaltigen technologischen und logischen Abhängigkeiten in ihrer Komplexität
kontrollieren zu können und in großem Umfang Synergieeffekte zu heben, muss die
Gesamtarchitektur in ihren wesentlichen Teilen so weit wie möglich standardisiert und
Freiheitsgrade in der Architektur-Gestaltung reduziert werden. Nur so kann die Architektur in
ihrer Gesamtheit den eigentlichen Zweck der IKT (digitale Abwicklung von
Geschäftsprozessen in den Verwaltungen durch den Einsatz von Fachverfahren sowie die
Bereitstellung von Online-Diensten für Bürger und Unternehmen) optimal unterstützen. Ziel
ist es also, die gesamte Rahmen-IKT um ein Fachverfahren herum als „Block“ standardisiert
und damit zueinander kompatibel bereitzustellen. Freiheitsgrade bestehen im Wesentlichen
nur noch in der Fachlichkeit eines Fachverfahrens.
Das ITDZ Berlin stellt der Berliner Verwaltung diesen hochgradig standardisierten
Technologie-Stack (Netze, Server, Betriebssysteme, Datenbanken, Endgeräte, E-
Government-Middleware, eAkte) für den Betrieb von Verfahren und Anwendungen mit
Endnutzer-Bezug (Verwaltungs-Mitarbeiter, Bürger, Unternehmen) zur Verfügung. Der
Betrieb erfolgt zentral im ITDZ Berlin.

3.3. Endgeräte der Verwaltungskunden

Endgeräte der Verwaltungskunden werden nur insofern in der IKT-Architektur beplant, als
dass als Systemvoraussetzung der browserbasierte Zugang auf das einheitliche
Stadtinformationssystem vorausgesetzt wird.

3.4. Service.berlin.de

Als verbindlich vorgegebener „Kundenzugang“ dient service.berlin.de der Information über
Verwaltungsdienstleistungen, der Beratung, der Antragsstellung sowie der Entgegennahme
von Bescheiden. Als einheitliche Schnittstelle organisiert service.berlin.de den elektronischen
Austausch zwischen der Verwaltung einerseits und Bürgern, Unternehmen, Organisationen
und anderen Verwaltungen andererseits.
Dieser Basisdienst organisiert die mobilfähige Darstellung von Präsentationsinhalten über
das einheitliche Stadtportal service.berlin.de.

3.5. E-Government-Middleware

Die Schnittstelle der Verwaltung gegenüber Bürgern, Unternehmen und Organisationen zur
Abwicklung von Online-Transaktionen wird technisch und organisatorisch einheitlich und für
alle Einrichtungen des Landes Berlin verbindlich nutzbar gestaltet. Alle Fachverfahren
werden, soweit sie einen Online-Zugang vorsehen, über die zentrale E-Government-
Middleware des Landes Berlin an das Internet angeschlossen. Sie müssen sich, sofern sie
eine Schnittstelle zum Internet benötigen, über ein standardisiertes Oberflächen-Design
sowie einen einheitlichen Zugangskanal (service.berlin.de) auf Grundlage einer einzigen
technischen Publikations-Plattform dem Bürger gegenüber präsentieren. Dies bedeutet, dass
Fachverfahren nicht mehr über eigene webbasierte Oberflächen im Internet sichtbar sind.

Version 1.0.0 Final - Stand: August 2016 Seite 4 von 23

Hierdurch wird die One-Stop-Strategie des Landes Berlin umgesetzt, Mehrfachinvestitionen
in Basisfunktionalitäten vermieden und die technische Komplexität der Bürgerschnittstelle
kontrollierbar gehalten.
Die E-Government-Middleware wird abnahmepflichtig vom ITDZ Berlin bereitgestellt. Das
ITDZ Berlin betreibt alle E-Government-Komponenten, entwickelt sie strategisch und in
ihrem Zusammenspiel in enger Abstimmung mit SenInnSport weiter.
Der Telefonkanal 115 und das Druck-Angebot des ITDZ Berlin werden als
Ergänzungskanäle des Online-Kanals betrachtet; das ITDZ Berlin richtet diese auf die
Online-Strategie hin aus, die den logischen Vorrang hat.

Teilung in vier Schichten

Die Schicht „Kundenzugang“ dient der Information über Verwaltungsdienstleistungen, der
Beratung, der Antragsstellung sowie der Entgegennahme von Bescheiden. Als einheitliche
Schnittstelle organisiert sie den elektronischen Austausch zwischen der Verwaltung
einerseits und Bürgern, Unternehmen, Organisationen und anderen Verwaltungen
andererseits.
Die Ergänzungskanäle Telefon, Print und persönliche Vorsprache zählen ebenfalls zur
Schicht „Kundenzugang“.
Die Schicht „E-Government-Middleware“ organisiert das Zusammenspiel zwischen den
Schichten „Kundenzugang“ und „Fachverfahren“. Fachverfahren werden einerseits an das
Service-Konto angebunden. Andererseits werden Antragsstrecken und Rückmeldungswege
über den Dienst „Digitales Antragsmanagement“ definiert, verwaltet und zurückgemeldet.
Anträge aus der Schicht „Kundenzugang“ werden entgegen genommen und an die Schicht
„Fachverfahren“ weitergereicht. Zwischenstände zur Bearbeitung, Nachfragen und Outputs
in Form von Bescheiden werden wiederum über die Middleware-Schicht an die Schicht
„Kundenzugang“ weitergereicht.
Die Schicht „Fachverfahren“ enthält die fachliche Logik der Datenverarbeitung. Sie nimmt
Anträge aus der Schicht „Middleware“ entgegen und meldet Bearbeitungsstände und
Ausgänge in Form von Bescheiden an diese zurück.
In der Schicht „eAkte“ werden Eingänge (Post, Dokumente) und Ausgänge (Bescheide) aus
der Schicht „ Fachverfahren“ verpflichtend abgelegt. Eine Integration in Fachverfahren kann
zur Dokument- und Bescheid-Erstellung sinnvoll sein. Bei einfachen Prozessen kann die
eAkte auch eigenständige Fachverfahren ersetzen und wird dann direkt an die Schicht „E-
Government-Middleware“ angeschlossen.

Version 1.0.0 Final - Stand: August 2016 Seite 5 von 23

Abb. 2: E-Government-Middleware (im Verhältnis zu service.berlin.de, Fachverfahren und
eAkte)

IKT-Basisdienste für E-Government

Basisdienst Serviceportal
Dieser Basisdienst organisiert die mobilfähige Darstellung von Präsentations-Inhalten über
das einheitliche Stadtportal service.berlin.de.

Basisdienst Service-App
Native App (wg. Zugriff auf Smartphone-Hardware), aber ohne eigenständigen Content.
Stattdessen wird die mobilfähige Version der Seite service.berlin.de angezeigt, um die zu
pflegenden Kanäle zu reduzieren.
Nur eine App für alle Verwaltungsdienstleistungen, Gestaltung als responsive HTML-
Oberfläche (Web-App) zwecks Kanal-Reduktion.

Basisdienst Service-Konto
Das Service-Konto identifiziert Antragssteller auf service.berlin.de gegenüber den
Fachverfahren und schaltet die Antragssteller für die Nutzung der Fachverfahren frei.

Basisdienst eID
Die eID (neuer Personalausweis) stellt das höchste Authentifizierungsniveau für den
Basisdienst Service-Konto zur Verfügung und wird von diesem aus angesteuert.
                           Version 1.0.0 Final - Stand: August 2016               Seite 6 von 23

Basisdienst Digitales Antragsmanagement
Diese Komponente verbindet als zentrale E-Government-Middleware den Antragssteller auf
service.berlin.de mit den Fachverfahren der Verwaltung, steuert also die Antragsstellung.
Zentrale Funktionen der Komponente „Digitales Antragsmanagement“ sind:
· Definition von Antragstrecken inkl. Einbindung von Prüfroutinen,
· Erstellung und Veröffentlichung von webbasierten Dialogen für die Antragserfassung
· Übergabe der Anträge an die Fachverfahren zur Bearbeitung mit dezentraler
Fachlogik
· Antrags-Verfolgung
· Entgegennahme von Rückmeldungen und Bescheiden aus den Fachverfahren
· Papier-Formulare ausdrucken
Keine Abbildung fachlicher Logik. Jedes Fachverfahren muss über diesen Basisdienst in das
Internet.
Die Erstellung neuer Antragsstrecken wird vom ITDZ Berlin geleistet werden.
Das ITDZ Berlin entwickelt standardisierte Consulting- und Projektdienstleistungen, um
Fachverfahren an das Antragsmanagement anzubinden und den Antragsprozess zu
designen und zu implementieren.

Basisdienst Postkorb
Digitale Entgegennahme von Nachrichten und Anhängen (z.B. Bescheide). Upload/Ablage
von Dokumenten zur mehrmaligen Nutzung in verschiedenen Anträgen.

Basisdienst DE-Mail
Der Basisdienst De-Mail ermöglicht eine nachweisbare und vertrauliche elektronische
Kommunikation. Der Austausch von De-Mail-Nachrichten gilt als schriftformersetzend.
Gemäß des E-Government-Gesetzes Bln § 4 (2) ist jede Behörde verpflichtet, eine De-Mail-
Adresse im Sinne des De-Mail-Gesetzes als Eingangskanal zu eröffnen.
Als Eingangskanal kann DE-Mail alternativ zum Posteingang oder zur Antragsstellung nach
Authentifizierung über das Service-Konto genutzt werden.
Als Ausgangskanal kann DE-Mail alternativ zum Basisdienst Postkorb genutzt werden, um
Nachrichten der Verwaltung zu erhalten.

Basisdienst ePayment
Der Basisdienst ePayment wickelt die Bezahlung von Verwaltungsgebühren im Rahmen von
Antragsstellungen ab. Er wird vom Basisdienst „Digitales Antragsmanagement“ aufgerufen
und meldet an diesen seine Ausgänge zurück.

Basisdienst Zeit- und Terminmanagement
Das Zeit- und Terminmanagement dient der Buchung von Terminen für persönliche
Vorsprachen. Er kann in Antragsstrecken sowie Fachverfahren integriert werden, um die
Vorsprache durch die Vorabübermittlung von Informationen vorzubereiten und damit zu
beschleunigen.

Version 1.0.0 Final - Stand: August 2016 Seite 7 von 23

Basisdienst Virtuelle Poststelle
Die Virtuelle Poststelle ist ein optional nutzbarer Basisdienst für eine sichere, vertrauliche
Kommunikation. Sie dient zur Entgegennahme von Anträgen oder Dokumenten aus
webbasierten Kunden-Front-Ends.

Basisdienst eAkte/DMS
Eingänge (Post, Dokumente) und Ausgänge (Bescheide) von Fachverfahren werden
verpflichtend in der eAkte abgelegt. Eine Integration in Fachverfahren kann zur Dokument-
und Bescheid-Erstellung sinnvoll sein. Bei einfachen Prozessen kann die eAkte auch
eigenständige Fachverfahren ersetzen. Wenn anstatt eines Fachverfahrens eine eAkte zur
Vorgangsbearbeitung benutzt wird, so wird die eAkte direkt an die E-Government-
Middleware angebunden. Sofern ein Prozess über die Vorgangsbearbeitungsfunktion der
eAkte abgebildet werden kann, ist diese Funktion vorrangig gegenüber der Anschaffung
eines neuen Fachverfahrens zu nutzen.

Ergänzungskanäle

Ergänzungskanäle dienen der Einspeisung von Anträgen in die E-Government-Infrastruktur
sowie der Rückmeldung an den Antragssteller über nicht-digitale Kanäle. Strategisch werden
sie auf den elektronischen Kanal hin ausgerichtet. (Ein- und Ausgänge der anderen Kanäle
sind von Software abhängig; Effizienzvorteile durch Selbstbedienung und geringe
Grenzkosten für Leistungserbringung).

Basisdienst Bürgerterminal
Anträge können an fest installierten PC in öffentlichen Einrichtungen gestellt werden. Dort
wird die Seite service.berlin.de angezeigt.

Basisdienst Digitales Input-Management
Die Digitale Eingangsverwaltung dient dem Scannen von postalisch eingegangenem
Schriftgut und der Einspeisung in den elektronischen Geschäftsgang (Übergabe an den
Basisdienst „eAkte“).

Basisdienst Druck
Der Basisdienst Druck dient dem Versenden von Bescheiden, soweit diese nicht digital
zugestellt werden.

Basisdienst Telefonauskunft
Der Basisdienst Telefonauskunft dient der Information über (Online-)Verwaltungsleistungen
sowie der Hilfestellung bei der Online-Antragsstellung.

Persönliche Vorsprache
Bei der Antragsstellung durch persönliche Vorsprache wird der Antrag von der
Sachbearbeitung direkt im Fachverfahren bearbeitet. Zu einem späteren Zeitpunkt könnte
erwogen werden, die Eingabe auch durch den Sachbearbeiter im Bürger-Front-End
vornehmen zu lassen.

Version 1.0.0 Final - Stand: August 2016 Seite 8 von 23

3.6. Berlin PC

Der BerlinPC ist ein standardisierter IKT-Arbeitsplatz für die Berliner Verwaltung.
Grundsätzlich wird hierbei eine „Desktop as a ServiceLösung (DaaS)- eingesetzt. Diese
zentralen Desktop-Komponenten werden automatisiert aufgesetzt und stark standardisiert
betrieben. Dezentral wird in der Regel nur die Eingabe- (Tastatur, Maus, …) und Ausgabe-
(TFT, Drucker, …) Hardware zur Verfügung gestellt. Für Anwendungen, die ein PC-
Betriebssystem voraussetzen (Terminalserver-Inkompatibilität der Anwendung, besondere
Anforderung an Peripheriegeräte) wird ein PC bereitgestellt. Auf diesem PC wird die
Software in der Regel automatisiert aufgesetzt und standardisiert betrieben. Auch auf diesen
Geräten wird der Zugriff auf den zentralen Desktop angestrebt und in diesem die dezentrale
Anwendung dargestellt. Das Leistungsspektrum des BerlinPC basiert auf Abstimmungen in
der Landesarbeitsgruppe Standardisierter Verwaltungsarbeitsplatz.

Abb. 3: Zentrale und dezentrale Bereitstellung des BerlinPC

Die Leistungen gliedern sich in Basisleistungen, die mit jedem BerlinPC bereitgestellt werden
und optionale Leistungen, die zu einem festgelegten Preis hinzu bestellt werden können. Der
zu erwartende Leistungsumfang soll damit genau abgrenzbar und nachvollziehbar dargestellt
werden. Grundsätzlich umfasst der BerlinPC in der Basisausstattung drei Bestandteile:
1. Bereitstellung und Betrieb von Hardware, wie Computer, Tastatur, Maus und Monitor
in verschiedenen Ausprägungen. Diese werden geliefert, aufgebaut, ggf. umgezogen,
im Rahmen von technischen Erneuerungen ausgewechselt und bei Vertragsende
abgebaut sowie umweltgerecht entsorgt.
2. Ein Softwarepaket, welches auf den Computern installiert und gepflegt wird
(Betriebssystem, Office, Browser, Mediaplayer, Virenschutz). Das umfasst auch die
nötigen Lizenzen und das Lizenzmanagement.

Version 1.0.0 Final - Stand: August 2016 Seite 9 von 23

3. Dienste, wie die Bereitstellung und den Betrieb eines Active Directorys, ein Postfach,
Netzlaufwerke, Speicherplatz und Datensicherung sowie das Endgerätemanagement,
Druckdienste und eine Softwareverteilung.

Mit dem BerlinPC wird funktionsübergreifende Standard-Software bereitgestellt. Das
beinhaltet die initiale Bereitstellung der Software auf der Hardware des BerlinPC, sowie die
lizenzrechtliche Absicherung. Die angegebenen Versionen verstehen sich als
Mindeststandards. Es können modernere Versionen installiert werden, sofern der
Standardisierungskatalog dies zulässt.
Die mit dem BerlinPC bereitgestellten Basis-Anwendungen unterliegen dem
Lizenzmanagement, welches den sachgerechten und effizienten Umgang mit
lizenzpflichtiger Software sichert. Alle Anwendungen und Anwendungsversionen durchlaufen
den Integrationsprozess zur Erstellung von neuen Softwarepaketen. Dieser beinhaltet die
technische Bereitstellung für den Anwendertest in einer definierten Umgebung und eine
verbindliche Freigabe, sowie den anschließenden flächendeckenden „Rollout“ auf alle
Arbeitsplätze.
Die Bereitstellung der Standardsoftware erfolgt über eine zentrale Softwareverteilung.
Die Softwareverteilung folgt einem Prozess, der durch die jeweils vom ITDZ Berlin genutzte
Softwareverteilinfrastruktur unterstützt wird. Mit der Softwareverteilung wird eine
automatisierte Bereitstellung der Software sichergestellt.
Die Softwareverteilinfrastruktur ist mandantenfähig und bildet somit Umgebungen für
teilnehmende Behörden ab.
Für die vom ITDZ Berlin bereitgestellten Dienste gibt es umgesetzte und fortgeschriebene
Sicherheitskonzepte. Diese basieren auf den Standards des BSI und den das Land Berlin
gültigen Richtlinien zur IKT-Sicherheit. Das umfasst beispielsweise zentrale
Terminalservices, Mailsysteme, Fileservices, Endgerätebetrieb, aber auch Tools wie die
Softwareverteilung.
Leistungsspektrum und die Leistungsgrenzen des BerlinPC werden durch landesweite
Gremien abgestimmt, definiert und angepasst.. Die Konkretisierung der Leistungen wird
daher nicht in diesem Dokument beschrieben. Sie finden sich in der jeweils aktuellen Version
auf der Intranetpräsenz der Senatsverwaltung für Inneres und Sport.
Mitgeltende Konzepte:

http://www.verwalt- 27.06.2016
berlin.de/seninn/itk/standards/berlinpc.php

3.7. Telefonie/VoIP

Die Telefonie wird über Voice over IP (VoIP) realisiert. So entfällt der Betrieb zweier
unterschiedlicher Netze am Standort. Die VoIP-Dienste des ITDZ Berlin sind in den TK-
Rahmenbedingungen detailliert beschrieben. Es umfasst die Bereitstellung und den Betrieb
der IP-Endgeräte, Anpassungs- und Veränderungsleistungen und optionale
Zusatzleistungen. Diese werden in Abstimmung mit dem Land aktualisiert und finden sich auf
der Intranetseite des ITDZ Berlin.

Version 1.0.0 Final - Stand: August 2016 Seite 10 von 23

Mitgeltende Konzepte:

„Rahmenbedingungen für 1.0.0.: http://www.itdz.verwalt- 21.11.2013
die Bereitstellung von berlin.de/dokumente/bd_tk-
Dienstleistungen im rahmenbedingungen-hardware.pdf
Bereich der
Telekommunikation

3.8. Fachverfahren

Fachverfahren sind verpflichtet, übergreifende Architektur- und Technologievorgaben zu
beachten. Die fachliche Hoheit über die Fachverfahren verbleibt bei den Verwaltungen.
Sie nutzen Basisdienste (E-Government-Middleware und IKT-Basisdienste). Oberflächen
sollen browserbasiert gestaltet sein.
Die Architektur- und Technologie-Standards sind verpflichtend in die
Ausschreibungsunterlagen mit aufzunehmen. Alle Verfahren werden auf der zentralen ITDZ
Berlin-Infrastruktur betrieben.
Für Fachverfahren stellt das ITDZ Berlin eine Infrastruktur bereit, in der Testumgebungen
aufgebaut werden, mit denen die Integration mit anderen Diensten und Infrastrukturen
getestet wird, bevor sie in der Produktivumgebung bereitgestellt werden.
Verfahren müssen sich gegenüber dem Bürger über die einheitliche E-Government-
Middleware präsentieren, die das Antragsmanagement über das Kunden-Front-End Berlin.de
organisiert. Die benötigten Schnittstellen werden von der E-Government-Middleware
vorgegeben.
Outputs/Bescheide von Fachverfahren sind ausschließlich im Basisdienst „eAkte“
vorzuhalten.
Fachverfahren sind dazu verpflichtet die landesweiten Versionswechsel und Patchzyklen von
Technologien gemäß. Standardisierungskatalog vertraglich über den Lieferanten
abzusichern und mit zu implementieren/nachzupflegen.
Es werden künftig nur noch automatisierte und im Ausnahmefall teilautomatisierte
Installationen von Fachverfahren erlaubt.
Die Ebenen Infrastruktur/IKT-Sicherheit/Endgeräte/E-Government-Middleware geben den
technologischen Rahmen für die Fachverfahren verbindlich vor. Fachverfahren werden somit
vom Anforderungsträger zum Anforderungsempfänger.
Das ITDZ Berlin unterstützt die Kunden bei der Verfahrenseinführung und
Anforderungsaufnahme.

Angebotene Services für den Applikationsbetrieb

Das ITDZ Berlin bietet Services für:
· Applikationsentwicklung und –integration. Diese Services stehen externen und
internen Softwareentwicklern zur Verfügung, die im Auftrag der Berliner Verwaltung

Version 1.0.0 Final - Stand: August 2016 Seite 11 von 23

Fachsoftware und –dienste entwickeln. Diese Services unterstützen die Entwicklung,

· den Test und die Abnahme der Fachsoftware und stellen bereits in der Phase der
Softwareentwicklung die Einhaltung der Standards sicher.
· Applikationsbetrieb. Für den Betrieb von Applikationen (Fachverfahrensbetrieb,
Verfahrensbetrieb) werden diese Services abnahmepflichtig angeboten. Der Betrieb
basiert auf den im Standardisierungskatalog aufgeführten Technologien. Die
Einhaltung der vereinbarten Servicelevels wird durch den Verfahrensbetrieb des ITDZ
Berlin gewährleistet.
· Datenbankbetrieb. Der Datenbankbetrieb (Administration und Betrieb) erfolgt im ITDZ
Berlin. Je nach Größe und Komplexität der Fachverfahren werden unterschiedliche
Ausprägungen von Datenbanken angeboten.

Verfahren, die im ITDZ Berlin betrieben werden, müssen zunächst in einer
Entwicklungsumgebung auf Standardkonformität geprüft und gegebenenfalls in die
Gesamtarchitektur des Landes Berlin technisch integriert werden.

Architektur- und Designprinzipien

Architekturprinzipien

Die Architektur von modernen Applikationen, die für den Betrieb auf Cloud-Infrastrukturen
optimiert sind, basiert auf vier Hauptprinzipien:
· Responsivität
· Resilienz
· Elastizität
· Nachrichtenorientierung

Die Prinzipien orientieren sich an der Definition von „Reaktiven Systemen“1.

Designprinzipien

· Atomizität
· Zustandslosigkeit
· Idempotenz
· Parallelität

1
http://www.reactivemanifesto.org/de

Version 1.0.0 Final - Stand: August 2016 Seite 12 von 23

Schnittstellen
In diesem Abschnitt werden die Anforderungen an Fachverfahren und Dienste bzgl. von
Schnittstellen zu Basisdiensten, Diensten und anderen Fachverfahren beschrieben. Dabei
wird zwischen der technischen Ausprägung der Schnittstellen (Formate, Protokolle,
Infrastrukturen), der Nutzung und der Bereitstellung von Schnittstellen unterschieden.

Nutzung von Schnittstellen
Entsprechend den Prinzipien einer serviceorientierten Architektur ist vor der Implementierung
oder einer wesentlichen Änderung eines Fachverfahrens oder eines Dienstes zu prüfen, ob
die gleiche Funktionalität bereits als Service mit einer nutzbaren Schnittstelle vorhanden ist.
In diesem Falle ist der Servicenutzung gegenüber einer eigenen Implementierung der
Vorzug zu geben, sofern dies insbesondere unter den Aspekten der Wirtschaftlichkeit und
der IKT-Sicherheit sinnvoll ist.

Angebot von Schnittstellen
Entsprechend den Prinzipien einer serviceorientierten Architektur ist vor der Implementierung
oder einer wesentlicher Änderung eines Fachverfahrens oder eines Dienstes zu prüfen, ob
die zu implementierende Funktionalität als Service für andere Fachverfahren oder Dienste
bereitgestellt werden kann. Dabei sind insbesondere auch für die mandanten- und
verwaltungsübergreifende Nutzung notwendige Aspekte der Wirtschaftlichkeit und der IKT-
Sicherheit zu berücksichtigen. Die Implementierung einer Funktionalität als Service ist immer
zu bevorzugen, auch wenn beispielsweise dieser Service in einem ersten Schritt nur
innerhalb des Fachverfahrens oder der Fachdomäne genutzt werden kann. Eine Erweiterung
zur Nutzung außerhalb des Fachverfahrens oder der Fachdomäne ist entsprechend zu
planen.

Formate und Protokollen von Schnittstellen
Für den Austausch von Daten zwischen Fachverfahren und Diensten sowie für die Nutzung
und das Angebot von Schnittstellen sind die Datenformate entsprechend des XÖV-
Rahmenwerkes (http://www.xoev.de/) zu bevorzugen.
Protokolle für Schnittstellen sind an den in diesem Dokument beschriebenen Architektur-und
Designprinzipien auszurichten. Darüber hinaus sind allgemeine Prinzipien zu beachten:
    ·   Allgemein anerkannte und auf offenen Standards basierende
        Schnittstellentechnologie (z.B. OSCI, JMS, REST, SOAP)
    ·   Angemessene Verschlüsselung auf Transport- und Nachrichtenebene
    ·   Asynchronität der Nachrichtenübermittlung
    ·   Möglichkeit der Inhaltsinspektion auf dem Transportweg, sofern die Vertraulichkeit
        der Daten dies zulässt und/oder die Fachlichkeit dies erfordert (z.B. für das Routing)
    ·   Möglichkeiten der Protokollierung, Absenderbenachrichtigung und
        Transaktionssicherheit sind der Fachlichkeit angemessen zu berücksichtigen

Infrastrukturen für Schnittstellen
Für den Austausch von dateibasierten Daten ist der Service „kommgate“ zu nutzen. Dieser
Service wird vom ITDZ bereitgestellt und betrieben.

                          Version 1.0.0 Final - Stand: August 2016                 Seite 13 von 23

3.9. IKT-Basisdienste für Infrastruktur

Identity- und Accessmanagement
Aufbauend auf dem für den BerlinPC genutzten Verzeichnisdienst sind Rollen und Nutzer für
alle weiteren Anwendungen und Verfahren, die von Beschäftigten der Berliner Verwaltung
genutzt werden und für die eine Authentisierung erforderlich ist, über die zentrale
Komponente Identity- und Accessmanagement zu verwalten.
Die jeweiligen Verfahren bringen keine eigenen Identity- und Accessmanagement Lösungen
mit, sondern müssen ihre Identität in die vom ITDZ Berlin bereitgestellte Lösung integrieren.

Verzeichnisdienste
Als zentraler Verzeichnisdienst wird im Land Berlin das „Active Directory“ (AD) mit der Root
Domain ad.verwalt-berlin.de genutzt. In dieser bestehenden Organisationsstruktur (Forest)
wird die Nutzung einer Domain für alle Benutzer und Gruppen verbindlich angestrebt.
Organisationsgrenzen werden über Organisationsverzeichnisse mit möglicher eigener
Administrationsstruktur abgebildet. Die Verantwortung für das Benutzermanagement kann
über ein Web-Frontend an die jeweilige Organisation delegiert werden. Ausschließlich aus
diesen Benutzerangaben werden weitere zentrale Services wie zum Beispiel das globale
Adressbuch versorgt.

Mail-Gateway
Das ITDZ Berlin betreibt ein zentrales skalierbares Mail Gateway im Grenznetz in Übergang
zwischen Landesnetz und Internet. Für den BerlinPC wird der Exchange Verbund genutzt. In
der Verbindung Mail Gateway, Exchange und Outlook Client gibt es aufeinander
abgestimmte Sicherheitssysteme zum Schutz vor Viren, Spam und anderer Malware.
Die Verschlüsselung der E-Mail Kommunikation erfolgt mit Microsoft Exchange zwischen
Outlook Exchange Server und zwischen Exchange Servern. Die Grundlage für die
Verschlüsselung der E-Mails bildet die Public Key Infrastructure (PKI) des Landes Berlin.

DNS
Alle Komponenten, die über das Berliner Landesnetz kommunizieren, verwenden dafür IPv4-
Adressen aus dem Netzbereich 10.0.0.0/9 und IPv6-Adressen aus dem landeseigenen Präfix
2a02:1022::/32.
Das DNS arbeitet nach dem Split-Brain-Ansatz, einem inneren DNS im BeLa und einem
äußeren DNS in Richtung Internet.
Innerhalb des Landes Berlins wird für die Kommunikation ausschließlich der Namensraum
*.verwalt-berlin.de. verwendet.
Das ITDZ Berlin betreibt die Nameserver für diese Bereiche. Die Nutzung von Adressen
bedarf der Registrierung bei ITDZ Berlin.

Version 1.0.0 Final - Stand: August 2016 Seite 14 von 23

NTP
Das ITDZ Berlin stellt für die Zeitsynchronisation Systeme bereit. Der Zugang wird für
dezentrale Zeitserver geöffnet, die dann wiederum die Clients in Ihrem
Verantwortungsbereich mit einem Zeitnormal versorgen.

   3.10.      Infrastruktur
Cloud: Server, Betriebssysteme, Datenbanken, systemnahe Software
Das ITDZ Berlin stellt den Berliner Verwaltungen einen technologisch abgestimmten „Stack“
aus IaaS/PaaS und korrespondierenden Basisdiensten zur Verfügung. Die gesamte
Infrastruktur, auf welchen die Fachverfahren technisch aufsetzen, wird somit standardisiert,
automatisiert und virtualisiert durch die Private Cloud des Landes Berlin (betrieben im ITDZ
Berlin) bereit gestellt. Die von einem Fachverfahren benötigte Systemumgebung wird somit
automatisiert und zeitnah bereitgestellt.

Abb. 4: Ziel-Architektur des Landes Berlin (Schichten – Darstellung)

Alle Rechenzentren der Berliner Verwaltung werden vom ITDZ Berlin betrieben. Server
stehen grundsätzlich physikalisch in den Rechenzentren des ITDZ Berlin.

                          Version 1.0.0 Final - Stand: August 2016                Seite 15 von 23

Das ITDZ Berlin ist zentraler System-Integrator des Landes Berlin. Die Leistungen Dritter
werden in die Gesamt-Architektur und Gesamt-IKT-Strategie des Landes Berlin integriert.
Cloud-Leistungen von Drittanbietern werden in den Ressourcen-Pool des ITDZ Berlin
eingebunden, sofern sie sinnvoll eingesetzt werden können.

Infrastructure as a Service (IaaS)
IaaS ist die bedarfsgerechte, automatisierte Bereitstellung von logischen
Infrastrukturkomponenten in einer virtualisierten Umgebung und umfasst die Bereitstellung
aller erforderlichen Infrastrukturkomponenten wie Server-, Speicher- und Netzkapazitäten.
PaaS (Platform as a Service) verwendet die über IaaS bereitgestellten Ressourcen.

Server-Betriebssysteme
Im Land Berlin sind zwei Server-Betriebssysteme zugelassen. Hierbei handelt es sich um
Windows-Server und RedHat Enterprise Linux. Andere derzeit noch verwendete Server-
Betriebssysteme laufen aus.
Das bisher verbreitete Betriebssystem SLES wird nicht mehr unterstützt, weil die
Konzentration auf ein Linux Betriebssystem aus Gründen der Wirtschaftlichkeit und
Standardisierung geboten ist. Außerdem ist durch die perspektivische Verbreitung des
BerlinPC von einem Rückgang der Nutzung von SLES auszugehen.
Das ITDZ Berlin bietet einen Transformationsservice an.

Platform as a Service (PaaS)
PaaS umfasst neben erforderlichen Infrastrukturen zusätzlich Laufzeitumgebungen und
Datenbanken für den Anwendungsbetrieb, sowie die Unterstützung von
Anwendungsentwicklung als Teil des Anwendungszyklus.

Datenbanken
Der Datenbankbetrieb (Administration und Betrieb) erfolgt im ITDZ Berlin.
Im Land Berlin sind die folgenden Datenbankprodukte zugelassen: MSSQL, MariaDB,
PostgresSQL.
Die aktuelle Lizenz- und Preispolitik der Firma Oracle kollidiert mit der strategischen
Entscheidung für eine Virtualisierungslösung als Kernkomponente innerhalb der Cloud-
Infrastruktur. Der weitere Einsatz von Oracle-Datenbanken und –Middleware wird daher
zeitnah geprüft. Für Neuentwicklungen oder größere Veränderungsvorhaben wird derzeit der
Einsatz alternativer Datenbanken vorgegeben.

Version 1.0.0 Final - Stand: August 2016 Seite 16 von 23

Netzwerke (LAN,MSN,WAN)
MSN/Grenznetz

Abb. 5: Berliner Landesnetz-Architektur

Auf der eigenen LWL-Infrastruktur betreibt das ITDZ Berlin das BeLa-Multiservicenetzwerk
(BeLa-MSN). Das BeLa-MSN ist ein IPv4/IPv6 Dualstack Transportnetz mit normalem
Schutzbedarf. Es verbindet die Berliner Verwaltung untereinander und mit den
Rechenzentren des ITDZ Berlin. Verschiedene, logisch voneinander getrennte,
administrative Domänen und geschlossene Nutzergruppen werden in „Virtuellen Privaten
Netzwerken“ (VPN) realisiert. Der allgemeine Datenverkehr des BeLa wird im PN „BeLa
Intranet“ und die IP-Telefonie im VPN „BeLa Voice“ transportiert. Verwaltungen können sich
auch eigene VPN für geschlossene Nutzergruppen einrichten lassen.
Das BeLa-MSN arbeitet ohne eigene Verschlüsselung der Transportwege.
Ein zentrales Grenznetz des BeLa-MSN stellt die Verbindung mit allen externen Netzwerken
und Zielen her, wie mit dem NdB-Verbindungsnetz und dem Internet. Der Zugang zu
externen Netzwerken ist ausschließlich über das Grenznetz des BeLa-MSN zulässig.
Das Grenznetz fungiert als Packetfilter – Applikationsfilter – Packetfilter Sicherheitsgateway
(PAP) nach BSI Grundschutz. Es arbeitet streng nach dem Prinzip des Whitelistings: jeder
Verkehr wird unterbunden und nur der explizit mit Regeln definierte Verkehr ist zugelassen.
Es arbeitet weiterhin als Proxy, über den alle Verbindungen zwischen den externen Netzen

Version 1.0.0 Final - Stand: August 2016 Seite 17 von 23

und dem BeLa terminiert und neu aufgebaut werden. Der zugelassene Verkehr wird auf
Sicherheitsrisiken untersucht.
Es stellt eine DMZ (Demilitarisierte Zone) bereit, in der alle Dienste platziert werden, die aus
dem Internet erreichbar sein sollen.
Das Grenznetz stellt somit Zugangspunkt wie auch erste Verteidigungslinie des Berliner
Landesnetzes gegenüber externen Netzwerken dar (Perimeter-Sicherheit). Es entbindet die
IKT-Verantwortlichen nicht von der Aufgabe, ihre IKT-Systeme entsprechend ihrem
Schutzbedarf zu schützen.
Für das BeLa-MSN und das Grenznetz gilt das Prinzip der Netzneutralität. Hiervon
ausgenommen sind Echtzeitanwendungen, die zur Sicherstellung der vom Land Berlin
erwarteten Qualität priorisiert behandelt werden können, wie etwa Telefonie.

Rechenzentrum-LAN und Standort LAN

In den Rechenzentren des ITDZ Berlin werden die IKT-Dienste -und Services für das BeLa
bereitgestellt. Dies wird durch „high-performance, low-latency“ LANs mit Rechenzentrums-
Technologien -und Technik ermöglicht. Die RZ-LANs arbeiten in diesem Sinne als IPv4/IPv6-
Dualstack Transportnetz. Das Design der LANs folgt der Grundidee einer flachen Topologie
mit der geringstmöglichen Zahl an Hops zwischen zwei Endpunkten. Es werden getrennte
Sicherheitszonen für Daten mit normalem und hohem Schutzbedarf bereitgestellt. Es wird
der BSI Grundschutz angewendet. Alle Verbindungen und Komponenten in den RZ-LANs
sind mit einer 1 : 1 oder einer 1 : n+1 Redundanz ausgelegt.
Der Betrieb der RZ-LANs erfolgt weitgehend automatisiert.

Standort- bzw. Campus-LANs werden vom ITDZ Berlin betrieben und müssen einem
normalen Schutzbedarf genügen.
Das Design der LANs folgt der Grundidee einer flachen Topologie mit der geringstmöglichen
Zahl an Hops zwischen zwei Endpunkten. Es besteht aus einem redundanten LAN-
Backbone, an den Etagen-Switches (Edge/Access) zweibeinig angebunden werden. Statt
Spanning Tree werden moderne Layer2-Redundanztechnologien eingesetzt. Allgemein
werden solche Technologien eingesetzt, die einen weitgehend automatisierten Betrieb des
LAN ermöglichen. Es wird der BSI Grundschutz angewendet.
Jeder Endgeräte-Port im LAN unterstützt Power over Ethernet (mindestens IEEE802.3af-
2003) und QoS mit DiffServ. Die Portgeschwindigkeit beträgt mindestens 100 Mbit/s
Fullduplex.
Das LAN stellt eine eigene Schutzbedarfszone dar und wird mit einem Sicherheitsgateway
an das BeLa-MSN angeschlossen. Da es keine Kontrolle über die anderen angeschlossenen
Teilnehmer hat, ist aus Sicht des LAN das BeLa-MSN nicht vertrauenswürdig. Zur
vertraulichen Kommunikation mit anderen LANs oder zwischen Endgeräten werden
Verschlüsselungstechnologien unter Beachtung der Technischen Richtlinie BSI TR-02102
„Kryptographische Verfahren“ eingesetzt.
Nach Bedarf werden die LANs durch dem Stand der Technik entsprechende, sichere WLANs
erweitert.
An LAN und WLAN angeschlossene Endgeräte befinden sich in der administrativen Hoheit
des IKT-Verantwortlichen des LAN. Private Endgeräte sind nicht zugelassen.
Mit einem geeigneten Sicherheitsmechanismus wird der Zugang zum LAN/WLAN auf
erlaubte und registrierte Endgeräte beschränkt.

Version 1.0.0 Final - Stand: August 2016 Seite 18 von 23

Nach Bedarf werden zusätzliche Gäste-WLANs mit eigener physischer Infrastruktur ohne
Verbindung zum LAN betrieben. Zulässig ist auch die logische Trennung auf gemeinsamer
physischer Infrastruktur, wenn diese zur physischen Trennung gleichwertig ist. Gäste-
WLANs verfügen über einen eigenen Internetzugang. Eine direkte Verbindung zum Berliner
Landesnetz besteht nicht. Die Kommunikation zwischen Endgeräten im Gäste-WLAN wird
unterbunden. Zur Nutzung des Gäste-WLAN ist die Anmeldung an einem SelfService-Portal
notwendig.
Der Betrieb aller vom ITDZ Berlin betrieben LANs erfolgt mit einem zentralen
Managementsystem.
Die LANs setzen auf einer bereitgestellten Infrastruktur auf, welche die einschlägigen
Normen
- EN 50173
- EN 50288-X
- EN 50310
- EN 50174-X
- EN 50346
- EN 60603-7
- EN 61076-3-104
einhält. Dabei sind die Verbindungen zwischen dem Primär- und Sekundärbereich 10 Gigabit
Ethernet-fähig und der Tertiärbereich ist Gigabit Ethernet-fähig.

IP-Adressverwaltung

Die IP-Adressverwaltung im Berliner Landesnetz erfolgt getrennt für IPv4 und IPv6 nach
einem IP-Adressrahmenkonzept. Halter der IP-Adressbereiche des Landes Berlin ist
SenInnSport. Sie entscheidet als nachgeordnete Local Internet Registry (Sub-LIR) über die
grundsätzliche Verwendung (Strategie) der IP-Netzbereiche und vertritt Berlin in der
Kommunikation nach außen.
Das ITDZ Berlin agiert als operative Sub-LIR, erstellt die IP-Adressrahmenkonzepte und
verwaltet nach deren Vorgaben den IP-Adressraum bis zur Ebene der Standorte und
Verwaltungen.
Innerhalb der Standorte werden die IP-Adressen vom jeweiligen IKT-Verantwortlichen (dem
Endnutzer) eigenverantwortlich verwaltet. Bei Bedarf delegiert er die Verwaltung einzelner
IP-Netze an deren Nutzer (Halter/Verfahrensbetreiber des IP-Netzes).
Der IKT-Verantwortliche für ein IP-Netz ist dem IKT-Verantwortlichen der jeweils
übergeordneten IP-Hierarchieebene über die Verwendung seiner IP-Adressen
auskunftspflichtig.

IP-Adressbereiche des Landes Berlin:

Verwendung IPv4 IPv6

BeLa 10.0.0.0/9
2a02:1022∷/32
Internet 141.15.0.0/16

Version 1.0.0 Final - Stand: August 2016 Seite 19 von 23

Abb. 6: Berliner Landesnetz – Hierarchie der IP-Adressverwaltung und Zuständigkeiten

3.11. IKT-Sicherheit

Grundsätzliches
Für den Betrieb von Applikationen stellt das ITDZ Berlin gemeinsam (d.h. applikations-,
mandanten- und verwaltungsübergreifend) genutzte Infrastrukturen bereit. Das ITDZ Berlin
gewährleistet ein angemessenes Schutzniveau entsprechend des Schutzbedarfs des
einzelnen Verfahrens für die in der gemeinsam genutzten Infrastruktur betriebenen
Applikationen. Die IKT-Infrastruktur und die vom ITDZ Berlin angebotenen Services
entsprechen grundsätzlich dem normalen Schutzbedarf, welcher - wenn nötig – erweitert
wird.
Die IKT-Sicherheitsstrategien sind Generallinien zur Planung, Gewährleistung und ständigen
Aufrechterhaltung der IKT-Sicherheit. Gültige vorhandene Regelungen sind insbesondere: E-
Government Gesetz Berlin, IKT-Sicherheitsgrundsätze, IKT-Standards, BSI Standards 100-
104, BSI Grundschutzkataloge, ISO 2700x und ISO 22300, Berliner Datenschutzgesetz.
Alle IKT-Vorhaben sowie Maßnahmen zur IKT-Sicherheit sind an den genannten Standards
auszurichten.

Der sichere Betrieb von Verfahren in gemeinsam genutzten, standardisierten Infrastrukturen
erfordert die Anwendung neuer Prinzipien bei der Architektur von Fachverfahren und
Diensten. Für die Sicherheit müssen alle verfügbaren Infrastruktur- und
Applikationsmechanismen angewendet werden können. Der jeweilige Anwendungsfall bzw.
die Fachlichkeit entscheiden im konkreten Fall darüber, welche Mechanismen umgesetzt
werden. Dabei sind neben den sicherheitsrelevanten Herausforderungen auch wirtschaftliche
Aspekte zu berücksichtigen.

Version 1.0.0 Final - Stand: August 2016 Seite 20 von 23

Die verfahrensabhängige IKT setzt auf den IKT-Sicherheitskonzepten und –Bausteinen der
verfahrensunabhängigen IKT auf.

Geltungsbereich

Geltungsbereich ist die gesamte Berliner Verwaltung.

   3.12.      Lebenszyklen
Es werden grundsätzlich nur zwei Releases von Software, Hardware und Technologien
vorgehalten (Vorgängerversion und aktuellste Version). Einschränkungen können sich
insbesondere aus Sicherheitsgründen ergeben. Der Betrieb von abgekündigter Software wird
nicht aufrechterhalten.
Des Weiteren werden drei Mindestbestandteile der Betriebsumgebung genutzt
(Test/Freigabe/Produktion).

                         Version 1.0.0 Final - Stand: August 2016            Seite 21 von 23

4. Anhänge

   4.1.      Standardisierungskatalog

Abb. 7: Technologie-Übersicht (Auswahl)

                         Version 1.0.0 Final - Stand: August 2016   Seite 22 von 23

4.2.   Abkürzungsverzeichnis

Abkürzung   Bedeutung

Iaas        Infrastructure as a Service

PaaS        Platform as a Service

BeLa        Berliner Landesnetz

DaaS        Desktop as a Service

nPA         Neuer Personalausweis

DMS         Dokumentenmanagement-System

VoIP        Voice over IP

VPN         Virtuelles privates Netzwerk

RZ          Rechenzentrum

MSN         Multi Services Network

PKI         Public-Key Infrastruktur

                        Version 1.0.0 Final - Stand: August 2016   Seite 23 von 23

Sie können auch lesen