Technische Universität Berlin
Alle News

Exchange-Server wird Anfang August wieder zugänglich sein

Das SAP-Portal und vor allem die Studierendenservices sowie das Identitätsmanagement stehen auf der Prioritätenliste – Interview mit Dr. Matthias Reyer, Leiter der Zentraleinrichtung Campusmanagement

 

Die Universitätsleitung und die Zentraleinrichtung Campusmanagement (ZECM) haben Anfang Juli 2021 darüber gesprochen, wann welche weiteren IT-Dienste an den Start gehen sollen. Welche Schwerpunkte haben Sie gesetzt?

Wir mussten klar priorisieren, was die Wiederherstellung der IT-Services angeht. Erst einmal geht es darum, als Universität wieder handlungsfähig zu sein. Das heißt für uns, Basis-Services wieder zum Laufen zu bringen. Wir hatten kurzfristig einen provisorischen Notmail-Dienst aufgesetzt, um die Kommunikation aufrecht zu erhalten. Anfang August wollen wir die „richtigen“ Mailserver, also den Exchange-Server, wieder an den Start bringen, damit alle Zugang zu ihrer „alten“ Mailbox haben. Das umfasst nicht nur E-Mail, sondern auch Kalender, Adressbücher, Notizen und verschiedene Groupware-Funktionen für Arbeit und Studium.

Werden mit dem Wechsel zum Exchange-Server alle Mails wieder hergestellt sein oder wird es eine Datenlücke geben?

Wir werden alle Mails wiederherstellen, die bis zum Sicherheitsvorfall eingegangen waren. Details zum Synchronisationsprozess werden wir rechtzeitig vor dem Relaunch der Exchange-Server veröffentlichen. Einige Zusatzfunktionen werden zum Start voraussichtlich noch nicht verfügbar sein, z.B. die In-App-Preview von Office-Dokumenten im Browser, die Fax- und Anrufbeantworter-Integration oder das Archiv. Diese Features werden wir zu einem späteren Zeitpunkt nachziehen. Sie genießen erst einmal keine höhere Priorität gegenüber beispielsweise der Dienste für Immatrikulation und Rückmeldung.

Welche Meilensteine gibt es noch?

Rechtzeitig zum Beginn des neuen Semesters muss das Student Lifecycle Management (SLM) wieder so weit funktionieren, dass sich Studierende zurückmelden bzw. einschreiben können. Parallel dazu nehmen wir die Dienste der Verwaltung nach Priorität wieder in Betrieb.

Um welche Dienste der Verwaltung handelt es sich konkret und wie ist deren Priorisierung?

Grundsätzlich betrifft das neben dem SAP-Portal vor allem die Studierendenservices und als wichtigen Infrastruktur-Dienst das Identitätsmanagement. Eine aktualisierte und konkrete Road-Map werden wir in diesem Monat veröffentlichen.

Wie ist der Stand zum SAP-Portal? Einige Abteilungen haben teilweise Zugriff auf SAP-Funktionen. Wann können Beschäftigte wieder zugreifen?

SAP ist ein sehr komplexes System. Im ersten Schritt mussten wir die allgemeine Netzwerk-Infrastruktur der TU Berlin wieder in Betrieb nehmen, auf der auch die SAP-Server laufen, danach die SAP-Infrastruktur selbst und jetzt starten wir nach und nach wieder die einzelnen Anwendungen, die darauf aufbauen.

Allgemein gesprochen bilden wir an der TU Berlin zwei grundsätzliche Prozesse mit SAP ab: Das Student Lifecycle Management (SLM) begleitet unsere Studierenden von der Bewerbung bis zum Abschluss, das Enterprise Resource Management (ERM) bildet Geschäftsprozesse der Uni als Organisation ab. Höchste und erste Priorität hatten Gehalts- und Finanzbuchhaltung. Nun geht es vor allem darum, das Student Lifecycle Management wieder zum Laufen zu bringen.

Ab wann kann der Immatrikulationsprozess wieder digital starten?

Die ZECM ist bei Bewerbungs- oder Immatrikulationsthemen ein technischer Dienstleister und arbeitet natürlich eng mit Abteilung I zusammen. Unser Ziel ist es, dass die TU Berlin zum nächsten Semester wieder voll handlungsfähig ist in Fragen der Studiumsorganisation. Wir konzentrieren uns derzeit auf das Bewerbungsverfahren für zukünftige Studierende und um die Belange der bereits eingeschriebenen. Die Immatrikulation selbst müssen wir aktuell noch etwas hintenanstellen, weil daran einige Prozesse hängen, für die beispielsweise das Identitätsmanagement benötigt wird. Wir gehen derzeit davon aus, dass der Bewerbungszugang ab Anfang August wieder verfügbar ist, die Immatrikulation circa einen Monat später.

(Die Präzisierung wurde aufgrund von Nachfragen aus der Universität nachträglich in das Interview eingefügt: Neue Student*innen werden bereits im August den administrativen Vorgang der Immatrikulation vornehmen können und sind damit rechtlich an der TU Berlin eingeschrieben. Erst zu einem späteren Zeitpunkt werden nachgelagerte Services für den Studiumsalltag möglich sein. Dazu gehören die Provisionierung eines TU-Accounts. Er ist Voraussetzung, um IT-Services und Dienstleistungen der TU Berlin zu nutzen, z. B. Moses/Isis für die Studienorganisation.)

Die Herausforderung besteht darin, dass dafür eine Reihe von IT-Services über verschiedene Plattformen hinweg benötigt werden, die in der neuen IT-Architektur miteinander kommunizieren müssen: Das Identitätsmanagement bildet beispielsweise die Basis für die TU-Accounts, mit denen sich Studierende an der Uni authentifizieren können. Außerdem unterscheiden sich die Prozesse und damit die Anforderungen zwischen verschiedenen Studiengängen, dem Status der Student*innen bzw. Studienbewerber*innen. Wo nötig und möglich, werden wir auch Dienstleistungen Dritter dazu ziehen, um schneller wieder handlungsfähig zu werden.

Am 23. Juni 2021 rief ZECM alle TU-Mitglieder auf, ihr zentrales Passwort festzulegen. Wie ist hier der Stand? Wie viele haben es schon getan? Welche Nachteile gibt es für die, die ihr zentrales Passwort noch nicht gewechselt haben?

Stand 14. Juli 2021 haben ca. 25.000 TU-Angehörige ihr Passwort seit dem 23. Juni gewechselt. Das heißt im Umkehrschluss aber auch, dass ca. 20.000 Passwörter noch nicht gewechselt wurden, inklusive einer hohen vierstellige Zahl an nicht aktualisierten Service-Accounts. Diese werden bald vor der Herausforderung stehen, dass sie sich in keinen TU- oder ZECM-Diensten mehr anmelden können, von Mail über WLAN bis zu Gitlab, sobald das alte Passwort deaktiviert wird. Wir rufen noch einmal dringend dazu auf, dass Passwort zu ändern, wenn dies seit dem 23. Juni noch nicht geschehen ist!

Was ist geplant, damit alle Beschäftigten in ihren Büros ihre Rechner wieder nutzen können? Noch gibt es die Weisung, viele Rechner aus Sicherheitsgründen nicht anzuschalten.

Alle Geräte, die vor dem IT-Notfall in der Windows-Domäne waren, müssen zwingend neu aufgesetzt werden, wenn dies noch nicht geschehen ist. Die ZECM baut dazu eine zentrale „Rollout-Infrastruktur“ für Client-Management und Software-Verteilung auf. Konkret bedeutet dies, dass Rechner mit einer neuen Betriebssystem-Version und vielen Anwendungen versorgt werden können. Für einige Bereiche wie die zentrale Universitätsverwaltung setzt die ZECM den Rollout auch um. Es gibt allerdings große Unterschiede innerhalb der TU Berlin bezüglich der IT-Organisation. Wir laden alle dezentralen Bereiche herzlich ein, ebenfalls unsere Infrastruktur für den Rollout zu nutzen, sie müssen es aber nicht.

Was heißt „neu aufgesetzt“? Muss ich als Beschäftigte*r aktiv werden? Kommt ein IT-Verantwortlicher auf mich zu? Wer informiert mich? Und: Wann startet dieser Prozess?

Die Ansprechpersonen für die Zentrale Univerwaltung sind die jeweiligen IT-Beauftragten, in den anderen Einrichtungen sind die lokalen Administratoren zuständig, die Ihnen zum Beispiel auch beim Dienstantritt den Rechner eingerichtet hatten. Der Rollout setzt den so genannten SCCM-Dienst und verschiedene weitere Services voraus, wobei ZUV und dezentrale Bereiche unterschiedliche Anforderungen haben. Deshalb tun wir uns derzeit noch schwer mit einer Datumsangabe. Details zum weiteren Vorgehen werden wir veröffentlichen, bevor die Umsetzung beginnt.

Wenn Sie zurückblicken: Welche Schritte waren wichtig, bevor die IT-Dienste Schritt für Schritt and den Start gehen können?

Bevor wir überhaupt abgeschaltete IT-Services wieder in Betrieb nehmen konnten, mussten wir im Hintergrund dafür die IT-Infrastruktur neu aufbauen, welche die Grundlage für alle IT-Services bildet. Beispielsweise muss das Identitätsmanagement komplett neu aufgebaut werden, das die Basis für den TU-Account und die Anmeldung an sämtlichen IT-Services bildet.
Mit den Erfahrungen des IT-Sicherheitsvorfalls und mit der Beratung durch ein IT-Krisendienstleister haben wir die Netzwerk-Infrastruktur überarbeitet, das Zusammenspiel von Servern und Services kritisch betrachtet und bei jedem Schritt rückblickend auf versteckte Gefahren geachtet und vorausblickend strengere IT-Sicherheitskonzepte umgesetzt.
Erst im nächsten Schritt konnten wir uns den Diensten für TU-Angehörige zuwenden.

Der Support der ZECM hatte sicherlich viel zu tun? Wie viele Anfragen gab es bisher?

Es ist schwer, eine Gesamtzahl zu nennen, die sich auf den IT-Sicherheitsvorfall und seine Folgen begrenzt, denn das Tagesgeschäft lief die ganze Zeit über parallel dazu weiter. Es gab natürlich Spitzen, etwa zur Zeit des Passwortwechsels, an denen die Kolleginnen und Kollegen täglich bis zu 1.000 Tickets per Mail, Telefon oder Webkonferenz bearbeiten haben. Und trotzdem am Ende des Tages noch eine Queue von rund 800 Tickets offen hatten.

Vielen Dank!


Die Fragen stellte Stefanie Terp.

Dr. Matthias Reyer, Leiter der Zentraleinrichtung Campusmanagement © Annette Koroll

Dr. Matthias Reyer, Leiter der Zentraleinrichtung Campusmanagement