Seit ihrer Gründung im Jahr 1971 entwickelt die AKDB ein Komplettangebot an Lösungen für die Digitalisierung von Kommunen und öffentlichen Einrichtungen. Dazu zählen Software, IT-Sicherheit, Beratung, Schulung und eine umfassende Dienstleistungspalette.
Das Spektrum an IT-Services reicht von SaaS-Lösungen aus dem BSI-zertifizierten Rechenzentrum für alle behördlichen Fachbereiche über hoheitliche Aufgaben bei den bayerischen Melde- und Personenstandsregistern bis hin zu komplett gemanagten IT-Umgebungen. Zu den Kunden der AKDB gehören über 5.000 Kommunen, Gemeinden, Städte, Landkreise, Bezirke sowie öffentliche Institutionen und der Bund.
Im Bereich E-Government bietet die AKDB Bundesländern und Kommunen das Bürgerservice-Portal an, die reichweitenstärkste interoperable Plattform für Onlineverwaltungsdienste in Deutschland. Bundesweit wickeln mehr als 18 Millionen Bürger und zahlreiche Unternehmen ihre Kommunikation mit Behörden über die Online-Dienste des Bürgerservice-Portals ab.
Die AKDB hat ihren Hauptsitz in München und beschäftigt im Unternehmensverbund bundesweit etwa 1.200 Beschäftigte an verschiedenen Standorten.
Auf einen Blick
Briefwahlunterlagen beantragen, Urkunden anfordern, Kraftfahrzeuge anund abmelden: Diese und viele andere Verwaltungsleistungen können Bürger heute mit den Online-Services der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) erledigen. Um die Entwicklung neuer Angebote zu beschleunigen und digitale Services zuverlässig für Kommunen und andere Behörden bereitzustellen, setzt die AKDB auf eine Container-Infrastruktur mit Rancher Prime und NeuVector. Damit profitiert die Organisation von einfacher Skalierbarkeit, schnellen Software-Updates ohne Ausfallzeiten und dem zuverlässigen Schutz sensibler Daten.
Der Weg zur Container-Technologie
In den vergangenen Jahren hat die AKDB ihr Angebot an Softwarelösungen und Online-Services deutlich ausgebaut. Heute bietet die Organisation ihren Kunden ein 360-Grad-Portfolio, um die öffentliche Verwaltung fit für die digitale Zukunft zu machen. „Mit unseren Lösungen wollen wir den Bürgern das Leben erleichtern und zeitaufwändige Behördengänge reduzieren“, sagt Peter Köhlmann, Teamleiter DevOps bei der AKDB. „Gleichzeitig entlasten wir Verwaltungseinrichtungen und helfen ihnen, mit dem großen Fachkräftemangel im öffentlichen Sektor umzugehen.“
Die Arbeit der AKDB ist heute wichtiger denn je, da sich das Tempo der Digitalisierung in der öffentlichen Verwaltung erheblich beschleunigt – nicht zuletzt durch neue gesetzliche Vorgaben wie das Onlinezugangsgesetz (OZG). Das OZG verpflichtet Bund, Länder und Kommunen, rund 600 Verwaltungsleistungen digital zugänglich zu machen. Bürger und Unternehmen sollen viele Angebote von Behörden rund um die Uhr online nutzen können.
Einen Teil dieser Online-Verwaltungsleistungen stellt die AKDB über ihr Rechenzentrum zur Verfügung. Dazu gehören beispielsweise Services für die Zulassung von Kraftfahrzeugen oder den Umtausch von Führerscheinen. Auch Leistungen der Standesämter wie die Beantragung von Geburts-, Ehe- und Sterbeurkunden können über die Online-Anwendungen der AKDB abgewickelt werden.
„Im Zuge dieser digitalen Transformation müssen wir heute schneller denn je auf neue gesetzliche Rahmenbedingungen und veränderte Anforderungen von Bürgern und Behörden reagieren“, sagt Köhlmann. „Mit schwerfälligen, monolithischen Anwendungen ist das kaum zu bewältigen. Deshalb haben wir bereits 2018 damit begonnen, erste Anwendungen auf Basis einer Microservice-Architektur zu entwickeln und bereitzustellen.“
So läuft etwa BayernID, der digitale Identitätsservice für die sichere Kommunikation mit Behörden, seit mehr als vier Jahren auf Kubernetes-Clustern. Auch die neue Personalsoftware OK.PERS+ wurde von Anfang an als containerisierte Anwendung entwickelt.
Für die Verwaltung der schnell wachsenden Container-Infrastruktur nutzte die AKDB zunächst die SUSE Containeras-a-Service (CaaS) Plattform. Als SUSE Ende 2020 die Übernahme von Rancher Labs abgeschlossen hatte, wechselte die Organisation zu der Kubernetes Management Plattform Rancher Prime.
„Mit Rancher Prime und Kubernetes konnten wir die Infrastruktur so skalieren, dass sie den zeitweise sehr hohen Leistungsanforderungen gewachsen war. Dadurch wurden mehrere Millionen Anträge im Vorfeld der Landtagswahlen ohne Wartezeiten entgegengenommen und verarbeitet.“
Warum SUSE?
Rancher Prime
Nach der Übernahme von Rancher Labs durch SUSE stand für das IT-Team der AKDB schnell fest, dass Rancher Prime die richtige Wahl ist. „Schon der erste Eindruck von Rancher Prime war sehr positiv. Uns gefiel vor allem, dass wir alle Kubernetes-Cluster über eine zentrale Oberfläche überwachen und verwalten können“, berichtet Köhlmann. „Wie geht es den einzelnen Clustern und Workloads? Was passiert gerade in den verschiedenen Namespaces? Alles das sehen wir mit Rancher Prime auf einen Blick, ohne dass wir zusätzliche Tools installieren und bedienen müssen.“
Das IT-Team war mit Rancher Prime zudem in der Lage, eine differenzierte Berechtigungsstruktur mit drei verschiedenen Benutzerrollen für die Container-Umgebung einzurichten. Viewer, User und Administrator erhalten jeweils unterschiedliche Zugriffsrechte und können auf den Kubernetes-Clustern nur die Funktionen ausführen, die sie für ihre Aufgabe benötigen. Diese Maßnahmen minimieren Risiken und sorgen für einen einheitlich hohen Sicherheitsstandard.
Mit Unterstützung des Customer Success Teams und der Consulting Services von SUSE migrierte das Team der AKDB die bestehenden Workloads auf die neue Infrastruktur. Anschließend baute die AKDB ihre Container-Infrastruktur rasch weiter aus – von zunächst acht auf mittlerweile 20 Kubernetes-Cluster. Der Ausbau war unter anderem notwendig, um rechtzeitig vor den Landtagswahlen in Bayern und Hessen eine neue Anwendung für die Beantragung von Briefwahlunterlagen zur Verfügung zu stellen.
NeuVector
Die Online-Services der AKDB verarbeiten häufig sehr sensible personenbezogene Daten. Die Organisation legt daher großen Wert darauf, dass diese Daten während des gesamten Verarbeitungsprozesses vor möglichen Gefahren und Datenverlust geschützt sind. Aus diesem Grund testete die Organisation beim Aufbau der neuen Container-Infrastruktur mit Rancher Prime auch die Container Security Plattform NeuVector. Ein Mitarbeiter des AKDB-Teams hatte die Lösung auf der Konferenz KubeCon kennengelernt und installierte diese dann über die Rancher Prime Konsole auf den ersten Clustern.
„NeuVector ist für die Containersicherheit so vielseitig einsetzbar wie ein Schweizer Taschenmesser“, fasst Köhlmann zusammen. „Mit Technologien wie dem Vulnerability Management, Deep Packet Inspection und der integrierten Container-Firewall bietet die Lösung zahlreiche Möglichkeiten für eine durchgängige Absicherung unserer containerisierten Workloads. Das hilft uns, den steigenden Anforderungen an Datenschutz und IT-Sicherheit im öffentlichen Sektor auch beim Einsatz von Cloud-nativen Anwendungen gerecht zu werden.“
Die Mehrwerte von Rancher Prime
Maximale Verfügbarkeit für moderne digitale Verwaltungsservices
Die Kombination von Kubernetes und Rancher Prime bietet aus Sicht von Peter Köhlmann erhebliche Vorteile für den zuverlässigen Betrieb der containerisierten Anwendungen. „Seitdem wir die neue Infrastruktur implementiert haben, gab es kein einziges Mal Probleme mit der Verfügbarkeit der bereitgestellten Anwendungen. Anhand der Uptime-Reports in Rancher Prime können wir sehen, dass unsere Online-Services für Bürger, Unternehmen und Behörden jetzt wirklich rund um die Uhr verfügbar sind und wir alle internen und externen Service Level Agreements einhalten.“
In der Vergangenheit verbrachte das IT-Team der AKDB oft viel Zeit damit, Anwendungsprobleme zu lösen. So kam es zum Beispiel immer wieder vor, dass Java-Anwendungen aufgrund von fehlendem Speicherplatz nicht mehr richtig funktionierten. Bei containerisierten Anwendungen werden viele dieser typischen Probleme durch die Selbstheilungsfunktionen von Kubernetes gelöst, ohne dass das Team involviert sein muss. Dabei werden beispielsweise Komponenten automatisch neu gestartet, bis der gewünschte Systemzustand wieder erreicht ist. Die Management-Oberfläche von Rancher Prime weist die Systemadministratoren zudem proaktiv auf Störungen hin, die ein manuelles Eingreifen erfordern.
Auch während Wartungsarbeiten oder Software-Updates bleiben die Online-Services der AKDB immer erreichbar. Rancher Prime verschiebt die Workloads innerhalb des Clusters automatisch so, dass die einzelnen Nodes nach und nach aktualisiert werden können. Die Online-Services laufen dabei ohne Unterbrechung weiter.
Schnelle Verarbeitung von Millionen Anträgen dank einfacher Skalierbarkeit
Die neue Lösungsarchitektur erleichtert es dem AKDB-Team zudem erheblich, mit steigenden Anforderungen umzugehen. „Als wir etwa den Online-Dienst für die Beantragung der Briefwahlunterlagen einführten, rechneten wir bereits mit Lastspitzen von bis zu 30.000 Anträgen pro Stunde“, berichtet Köhlmann. „Mit Rancher Prime und Kubernetes konnten wir die Infrastruktur so skalieren, dass sie den zeitweise sehr hohen Leistungsanforderungen gewachsen war. Dadurch wurden mehrere Millionen Anträge im Vorfeld der Landtagswahlen ohne Wartezeiten entgegengenommen und verarbeitet.“
Der AKDB stehen dabei verschiedene Skalierungsoptionen zur Verfügung. Das Team kann den einzelnen Nodes bei Bedarf mehr CPU-Leistung und Arbeitsspeicher zuweisen oder den Cluster ganz einfach um zusätzliche Nodes erweitern. Darüber hinaus besteht die Möglichkeit, den Horizontal Pod Autoscaler (HPA) von Kubernetes zu nutzen. Damit lassen sich einzelne Services auf einem Cluster automatisch herauf- oder herunterskalieren. Rancher Prime vereinfacht die Verwaltung von HPA und ermöglicht es, individuelle Schwellenwerte für bestimmte Services festzulegen.
„Über das Monitoring von Rancher Prime sehen wir zudem auf einen Blick, wenn sich Performance-Engpässe abzeichnen und können dann proaktiv gegensteuern“, so Köhlmann.
Besseres Zusammenspiel zwischen Anwendungsentwicklung und Betrieb
Als Teamleiter des DevOps-Teams sieht Peter Köhlmann auch, wie Rancher Prime die Zusammenarbeit von Entwicklung und Betrieb verbessert: „Wir geben heute Verantwortung an die Softwareentwickler ab und ermöglichen ihnen, das Deployment von Software-Releases selbstständig aus unserer definierten CI/CD-Pipeline heraus anzustoßen.“
Die neuen Releases durchlaufen nach dem Staging-Prinzip verschiedene Stufen mit automatisierten Tests, bevor sie schließlich auf den produktiven Clustern bereitgestellt werden. Für das Betriebsteam bringt dieser automatisierte Deployment-Prozess eine enorme Entlastung, die jede Woche mindestens zehn Stunden Arbeit einspart.
„Bei traditionellen Anwendungen war die Anzahl der Deployments pro Woche aus operativen und personellen Gründen immer begrenzt“, sagt Köhlmann. „Inzwischen läuft der Prozess so geschmeidig ab, dass wir uns gar keine Gedanken mehr über die Frequenz machen. Wenn ein neues Release fertig ist, wird es sofort bereitgestellt.“
Die Mehrwerte von NeuVector
End-to-End-Sicherheit für containerisierte Anwendungen
Die Container Security Plattform NeuVector schützt die Container-Umgebung der AKDB heute umfassend vor möglichen Risiken. Mit ihrer Zero-Trust-Architektur kann die Lösung nicht nur bekannte Angriffsmuster abwehren, sondern auch neuartige Bedrohungen erkennen und blocken. NeuVector inspiziert den gesamten ein- und ausgehenden Datenverkehr innerhalb der Container-Umgebung und kann zwischen normalem Anwendungsverhalten und verdächtigen Aktivitäten unterscheiden. Mit der integrierten Container Firewall von NeuVector lassen sich kompromittierte Systeme isolieren und die Ausbreitung von schädlichem Code innerhalb des Netzwerks sofort stoppen.
„Ohne NeuVector wäre es uns kaum möglich, den Container-Traffic in Clustern mit tausenden von Microservices zuverlässig zu überwachen und abzusichern“, betont Köhlmann. „NeuVector bietet auch Schutz vor Zero-Day-Attacken, für die es noch keine Security-Patches gibt. Damit hilft uns die Lösung, neue gesetzliche Anforderungen wie die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) umzusetzen. Mit den strengen Kontrollmechanismen von NeuVector schaffen wir die Voraussetzungen, um auch Anwendungen mit hohem Schutzbedarf sicher in unserer Container-Umgebung zu betreiben.“
Wie geht es bei der AKDB weiter?
Die Transformation der Anwendungslandschaft der AKDB ist derzeit in vollem Gange. Neue Applikationen entwickelt die Organisation mittlerweile grundsätzlich als containerisierte Anwendungen. Darüber hinaus prüfen die Applikationsverantwortlichen, inwieweit auch einige der bestehenden monolithischen Kernanwendungen auf eine Container-Architektur portiert werden können.
Containerisierte Anwendungen bieten der AKDB und ihren Kunden viele Mehrwerte und helfen der Organisation, die digitale Transformation der Verwaltung weiter zu beschleunigen. „Rancher Prime und NeuVector helfen uns, den Übergang zu Cloud-nativen Anwendungen so reibungslos wie möglich zu gestalten“, resümiert Köhlmann. „Wir bieten unseren Kunden damit innovative Lösungen mit durchgängig hoher Sicherheit und erleichtern gleichzeitig unseren Entwicklern und Betriebsteams den Umstieg. Die Partnerschaft mit SUSE wird daher für uns auch in Zukunft eine strategisch wichtige Rolle spielen.“