Debian ist fertig, wenn es fertig ist
Ein wichtiger Unterschied zwischen Windows und Debian liegt laut Hoeger in der Release-Politik. Während bei der kommerziellen Software regelmäßig eine neue Version fällig ist, wird eine neue Debian-Ausführung erst in die Öffentlichkeit entlassen, wenn sie wirklich ausgetestet ist. Indem er den Quellcode herausgebe, lasse der Entwickler ja die Hosen runter, so formuliert der IT-Chef. Das riskiere der nur, wenn darunter alles tadellos in Ordnung sei.
Ein anderer Punkt ist die Lizenzpolitik: "Da gibt es bei Microsoft so viele verschiedene Modelle, dass man leicht den Überblick verliert", sagt Hoeger: "Unserem Linux-Distributor Univention sage ich einfach: Ich brauche 500 User-Lizenzen für ein Jahr. Das war`s."
Vor allem aber hält der IT-ExperteOpen-Source-Software per se für sicherer: "Auch hier gibt es ab und an Lücken, aber im Gegensatz zu Windows kann man sie sehen." Als im vergangenen Jahre die Sicherheitslecks "Heartbleed" und "Shellshock" publik wurden, habe sich das Thema innerhalb weniger Tage erledigt. Microsoft hingegen komme monatlich mit neuen Patches. Und der Anbieter entscheide, welche der ihm bekannten Sicherheitslücken gestopft werden und welche nicht.
Hoeger setzt bereits seit 15 Jahren auf Open Source. Dass das Call-Center-Unternehmen mittlerweile mehr als 1600 Mitarbeiter beschäftigt, rechnet der IT-Verantwortliche auch Linux an: "Das Betriebssystem ist für uns ein Wachstumsmotor". Kikxxl könne häufig als einziger Bewerber eine vom potenziellen Kunden geforderte Funktion bereitstellen. Die Konkurrenz, die zumeist auf Windows setze, müsse dann passen: "Unter Windows sind die Applikationen vielleicht bunter, aber nicht unbedingt reicher in der Funktionalität."
Das liegt allerdings auch daran, dass Hoeger stark auf Eigenentwicklung setzt. Wenn auch nicht unbedingt freiwillig: "Viele der für uns notwendigen Funktionen gab es am Markt nicht zu kaufen."
Von der Stange gab es hingegen den "Univention Corporate Server" (UCS). Um klarzumachen, wozu KiKxxl ihn brauchte, holt Hoeger weit aus: "Wir haben eine hohe Fluktuation, weil sich die Mitarbeiter nach dem Berufseinstieg finanziell zu verbessern hoffen - obwohl wir längst mehr als den Mindestlohn zahlen. Zudem vergeben wir Benutzerrechte extrem granular; jedes Element wird mit eigenen Rechten versehen. So summieren sich die Rechtegruppen auf etwa 6200." Diese Rechte manuell zu vergeben wäre Sisyphos-Arbeit. Vor allem nach 2009, weil Security und Privacy aufgrund einiger öffentlich gewordener Sicherheitslücken im Telekommunikationsbereich seither noch kritischer beäugt werden als zuvor.
Automatische Rechtevergabe
"2009 waren wir an einem Punkt angelangt, wo wir ohne eine professionelle Software nicht weitergekommen wären", erinnert sich der IT-Chef. Anforderungen und Manpower hatten sich einfach zu weit auseinanderentwickelt. Die Sicherheit musste also systemisch verankert werden: "Wir brauchten vor allem ein funktionierendes Domain Controlling."
Microsoft hätte mit seinem "Small Business Server" wohl gern ausgeholfen. Zu Hoegers Glück brachte jedoch einer seiner Netzadministratoren eine Linux-basierende Alternative ins Spiel: UCS. Die Software bietet ein zentrales User-Management sowie eine Directory-Manager-Schnittstelle (UDM). Mit Hilfe der Debian-basierenden Software hat Kikxxl bislang mehr als 140 Server integriert. Die etwa 1300 Thin Clients arbeiten auf den Terminal-Server-Systemen "FreeNX" und "X2Go".
Schnüffelstück schafft Integration
Hoegers Team entwickelte eine an die Directory-Management-Schnittstelle andockende Steuersoftware für die automatische Rechtevergabe. Die will der IT-Chef auch in die Linux-Community zurückspiegeln - allerdings erst, wenn es ihm gelungen ist, die Struktur der Zugangsinformationen so zu verstecken, dass auch die findigen Linux-Spezialisten sie nicht nachvollziehen können. Ein Sicherheitsrisiko kann und will er nicht eingehen.
Bei der Steuersoftware - Hoeger nennt sie "Schnüffelstück" - handelt es sich im Kern um eine TCP/IP-Schnittstelle: "Sie hört aufs Internet und schreibt auf die Konsole", wie der IT-Spezialist erläutert. So ist sie in der Lage, die "Internet-seitig" definierten Zugriffsrechte und Regeln "konsolenseitig" umzusetzen, ohne dass ein Administrator eingreifen müsste.
"Ich drücke auf einen Knopf, und die Prozesse laufen los", beschreibt Hoeger diesen Vorgang. Dabei sei die Kommunikation innerhalb des Systems und nach außen nicht nur verschlüsselt, sie arbeite auch mit Zertifikaten, so dass nur die ITler darauf zugreifen können.
"Wenn wir so weitergemacht hätten wie zuvor, würden wir heute nichts anderes mehr machen als Rechte anzulegen beziehungsweise hin- und herzuschieben", versichert Hoeger: "Und auf diese Weise entstünden zunächst einmal Altlasten, weil die Mannschaft keine Zeit mehr für Innovationen hätte." Das wäre am Ende auch sicherheitskritisch: "Wer die IT am Limit fährt, geht zwangsläufig Risiken ein."
Sicherheit lebe von der Weiterentwicklung, so Hoegers Überzeugung. Das spiegeln denn auch die kontinuierlichen Verbesserungen des Systems wider: Im vergangenen Jahr setzte das Team ein "E-Mail-Whitelisting" um - "vollständig integriert in UCS und vollständig automatisierbar durch UDM", wie Hoeger präzisiert. So lässt sich festlegen, wer mit wem elektronisch kommunizieren darf.
Im laufenden Jahr will Kikxxl das "sichere Surfen" einführen. Damit hofft Hoeger, die "Drive-by-Angriffe" vermeiden zu können, bei denen schon das Anklicken einer Site zum Virenbefall führen kann: Der Browser wird hier als Remote Session von einem zentralen Server "exportiert". Bestimmte Unternehmensbereiche können nur auf diesen Browser zugreifen. Ebenfalls auf der Agenda steht die Definition und Umsetzung von "Squid"-Gruppen.
2016 will Kikxxl dann seine IT-Umgebung auf UCS 4.0 umstellen. In diesem Zusammenhang trägt sich Hoeger auch mit dem Gedanken, die Software aus der Cloud zu beziehen: "Im Ist-Zustand bin ich Cloud-Gegner. Aber Cloud ist cool, wenn die Sache sicher ist. Ich mache das nur mit Univention 4.0 - sonst nicht." Ein Serviceanbieter des Vertrauens ist bereits ausgewählt; die Verhandlungen laufen.