Technische Referenzarchitektur

IT, die mitdenkt – nicht bindet.

Praxisbewährt, nachvollziehbar dokumentiert – damit Sie Ihre IT souverän steuern können.

Warum wir unsere Referenzarchitektur offenlegen

Gute IT entsteht nicht durch Zufall.
Sie braucht ein stabiles, nachvollziehbares Fundament, das flexibel genug ist, um sich an neue Anforderungen anzupassen — ohne die interne IT zu überfordern oder in neue Abhängigkeiten zu treiben.

Deshalb legen wir unsere Technische Referenzarchitektur — unsere praxiserprobten IT-Bausteine — offen.

  • Damit Ihre interne IT weiß, womit wir arbeiten.
  • Damit Entscheidungen transparent und fundiert getroffen werden können.
  • Damit die Kommune die volle Hoheit über ihre eigene IT behält.

Unsere Prinzipien dabei: Offen dokumentiert, modular und pragmatisch aufgebaut, nachvollziehbar für interne IT, Verwaltung und Gremien.

Unser Architekturprinzip: Keep it simple. Keep it strong.

IT muss funktionieren — unterbrechungsfrei und sicher.
Dafür bauen wir unsere Architekturen nach einem klaren Ansatz:

  • So einfach wie möglich – so robust wie nötig
  • Offen, wo sinnvoll – proprietär, wo es echten Mehrwert bietet
  • Administrierbar für 1–2 Personen – auch im Vertretungsfall
  • Von der Infrastruktur bis zum Client gedacht – weil der Mensch im Mittelpunkt steht

Unsere Architektur im Überblick: Ein sicheres Fundament

Bevor wir ins Detail gehen: Stellen Sie sich unsere Architektur wie ein gut gesichertes Haus vor.
Die Firewall (OPNsense) ist die sichere Außenmauer. Im Inneren sorgt die Virtualisierung (Proxmox) dafür, dass jeder „Raum“ (Server, Anwendung) stabil und effizient läuft.
Das Backup-System ist die Versicherung im Keller, die alles absichert. Und das Monitoring (Zabbix) ist die Alarmanlage, die uns sofort meldet, wenn etwas nicht stimmt. Alle Bausteine sind so gewählt, dass sie perfekt zusammenspielen und ein stabiles, sicheres und nachvollziehbares Ganzes ergeben.

Die Bausteine unserer Technischen Referenzarchitektur

Die folgenden Bausteine dienen der internen IT als praxisbewährtes Architektur-Framework — und bieten Verwaltung und Gremien eine transparente Entscheidungs- und Diskussionsgrundlage.

1️⃣ Netzwerk & Firewall

→ Sicher, nachvollziehbar, flexibel erweiterbar

Firewall:
  • Primär: OPNsense (virtuell oder als Hardware-Appliance)
  • Alternativ: SonicWall
  • Warum:
    • Flexibel, sicher, kostenkontrolliert
    • Sehr gute Transparenz für die interne IT – Konfiguration nachvollziehbar & dokumentiert
    • Offene Community, aktive Entwicklung → keine „Blackbox“
Switching & WLAN:
  • Standard: Ubiquiti (Unifi)
    • Sehr gute Integration von Switching und WLAN → einheitliches Management
    • Preis-/Leistungsverhältnis ideal für kommunale Infrastrukturen
  • Andere Hersteller: auf Kundenwunsch und Bestandsumgebungen problemlos integrierbar

2️⃣ Sicherheit & Endpoint-Management

→ Klar, sicher, schnell administrierbar

Virenschutz:
  • Primär: SentinelOne
    • Klar, übersichtlich, praxisnah administrierbar
    • Starke Integration mit NinjaOne → im Störfall sehr schnelles Reagieren möglich
Endpoint-Management & Monitoring:
  • Primär: NinjaOne (ehemals NinjaRMM)
    • Standardisiertes Patch-Management
    • Remote-Support
    • Monitoring (Basis + individuelle Erweiterungen möglich)
Zero Trust & Standortverbindungen:
  • Modern: Netbird
    • Zero-Trust-Ansatz → flexible, sichere Standort- und Cloud-Anbindungen ohne klassisches VPN
    • Einfach administrierbar, sehr gute Integration in hybride Umgebungen
  • Technisch: Web Dienste per Proxy Tunnel mit Authentik+Traefik
  • Klassisch: VPN (Bestandsumgebungen) → wird weiter genutzt, bzw. Standortverbindungen

3️⃣ Virtualisierung & Server-Betrieb

→ Offen, flexibel, hoch verfügbar

Virtualisierung:
  • Primär: Proxmox VE
    • Open Source, performant, flexibel
    • Sehr gute und einfache Backup- und Disaster-Recovery-Integration (mit Proxmox Backup Server)
    • Clusterfähig, auch für kleinere kommunale Umgebungen sinnvoll einsetzbar
  • Alternativ / Bestand: VMware → umfassende Erfahrung vorhanden
Backup & Restore:
  • Proxmox Backup Server → für schnelle, einfache Backups & Restores
  • Veeam → bei größeren Installationen oder besonderen Anforderungen
  • Commvault → für Enterprise-Umgebungen / KRITIS / spezielle Compliance-Anforderungen
Serverbetrieb:
  • Primär: Linux-basierte Systeme
    • Massive Lizenzkosteneinsparung, sehr gute Skalierbarkeit, bewährt in der Praxis
    • Clusterfähig, optimiert für den Einsatz in Proxmox-/VMware-Umgebungen
  • Storage: Dell EMC, NetApp, Synology → fundierte Erfahrung vorhanden
Containerisierung:
  • Docker (i.d.R. auf Proxmox-Basis) → für flexible Bereitstellung von ergänzenden Diensten & Lösungen

4️⃣ Authentifizierung & Nutzerverwaltung

→ Offen und bewährt kombinieren

Single Sign-On (SSO):
  • Primär: Authentik
    • zentrale Anmeldung, Open Source → flexibel und offen erweiterbar
Active Directory (AD):
  • Klassisch: bei größeren Windows-Umgebungen weiterhin bewährte und stabile Basis für:
    • Benutzerverwaltung
    • Gruppenrichtlinien
    • Client-Management
  • Warum:
    • Bewusst pragmatischer Einsatz: wo AD Sinn macht, nutzen wir es. Wo es nicht gebraucht wird → offene Alternativen

5️⃣ Mail & Collaboration

→ Eigenständig, souverän, gut integrierbar

Mailserver:
  • Primär: Mailcow (lokal gehostet)
    • Vollständige Kontrolle über die eigene Mail-Infrastruktur
    • Keine Cloud-Abhängigkeiten
    • DSGVO-konform und revisionssicher betreibbar
Collaboration:
  • Nextcloud → zentrale Plattform für:
    • Filesharing
    • Kalender
    • Kontakte
    • Kommunikation (Nextcloud Talk)
    • Office-Integration → Collabora + LibreOffice → vollständige Office-Funktionalität ohne Microsoft-Lizenzen
Reverse Proxy:
  • Traefik
    • zentrale Absicherung und Routing von Nextcloud und weiteren internen Diensten
Telefonie:
  • 3CX → lokal oder Cloud-basiert
    • Flexibel, gut administrierbar
    • Gute Integration mit SIP-Providern (z.B. Telekom)
    • Selbstgehostet möglich → maximale Kontrolle

6️⃣ Monitoring & Automatisierung

→ IT, die mitdenkt

Monitoring:
  • Zabbix (Wechsel von Icinga → aufgrund vieler Standardchecks und einfacher Administration)
    • Zentrales Monitoring aller wesentlichen Systeme
    • Integration von Proxmox, VMware, Linux, Windows, Netzwerkkomponenten
  • Alternativ: Basischecks mit NinjaOne
Dokumentation:
  • Hudu → zentrale Dokumentation inkl.:
    • Passwörter
    • Monitoring-Informationen (aus Zabbix / Ninja)
    • Systemdokumentation → damit IT auch im Vertretungsfall handlungsfähig bleibt
Automation & Scripting:

„Automation ist bei uns kein Extra – sondern ein Prinzip. Gerade weil unsere Kunden oft mit knappen IT-Ressourcen arbeiten, setzen wir Automation gezielt ein: Damit alltägliche Prozesse verlässlich und dauerhaft entlastet werden — und Ihre IT nicht nur reagiert, sondern aktiv mitdenkt.“

  • u.a. n8n → Workflow-Automatisierung
    • Integration von Systemen
    • Automatisiertes Reporting
    • Prozessunterstützung für IT und Verwaltung
Praxisbeispiele:
  • Monitoring-Daten automatisiert in Hudu übernehmen
  • CVE-Informationen proaktiv in Reports integrieren
  • Unterstützung interner Verwaltungsprozesse durch einfache Apps / Scripte

7️⃣ Business-Anwendungen (Open Source)

→ Mehr Unabhängigkeit, weniger Kosten

Ergänzend bieten wir praxiserprobte Open-Source-Anwendungen an — bewusst so ausgewählt, dass sie für die interne IT sinnvoll und nachhaltig betreibbar sind.

Gerade bei vielen Digitalisierungsthemen wissen wir aus Erfahrung: Oft lassen sich Anforderungen nicht von Beginn an zu 100 % festlegen.

Hier zeigt sich eine besondere Stärke von Open Source: Viele Lösungen sind als Docker-Container schnell testbar und flexibel integrierbar — ohne Lizenzhürde und ohne langfristige Bindung.

So können Kommunen iterativ und bedarfsgerecht die Lösungen einsetzen, die sich in der Praxis wirklich bewähren.

Beispiele:
  • Zeiterfassung: Kimai
  • Rechnungswesen: Invoice Ninja
  • Ticketsystem: Zammad
  • Proxy: Squid Proxy → insbesondere bei großen Umgebungen (>1000 MA)
Starkes Argument für die interne IT:

→ Diese Lösungen sind bewährt, offen und in Eigenregie betreibbar → kein Vendor-Lock-in.

Zusammenfassend: Unsere drei Kernprinzipien

Pragmatismus statt Dogma

Wir nutzen bewährte Open-Source-Lösungen, wo sie sinnvoll sind, und integrieren proprietäre Systeme, wo sie einen echten Mehrwert bieten.

Souveränität für den Kunden

Unsere Architektur ist darauf ausgelegt, Abhängigkeiten zu reduzieren (kein Vendor-Lock-in) und Ihnen jederzeit die volle Kontrolle zu ermöglichen.

Beherrschbarkeit im Alltag

Wir wählen Systeme, die auch von kleinen IT-Teams verlässlich betrieben und im Vertretungsfall administriert werden können.

Gesamtkonzept: IT als Werkzeug für den Menschen

Unser Architekturansatz endet nicht bei der Infrastruktur.
Wir denken konsequent vom Client und dem Menschen aus:

  • Unterbrechungsfreies Arbeiten als Leitbild
  • Begleitung von Anwendungsintegration → Zusammenarbeit mit Herstellern → bis zum Client durchgedacht
  • Regelmäßige Checks & Health-Management (Synergy-Modell)
  • Kritische Updates im Blick → automatisiert & dokumentiert
  • IT dokumentiert und nachvollziehbar → für interne IT & Vertretungsszenarien

Für wen wir das tun

  • Für interne IT-Teams → Verstärkung ohne Kontrollverlust → IT bleibt Herr ihrer Systeme
  • Für Verwaltung → Klare, nachvollziehbare IT-Strukturen → Gremien- & Rechnungsprüfungstauglich
  • Für Gremien → Entscheidungsgrundlagen, die man versteht und vertreten kann

Denn gute Verwaltung entsteht nicht durch Technik — sondern durch Menschen, die sie sinnvoll nutzen können.

Brücken bauen zwischen interner IT und zentralen IT-Diensten

Viele Kommunen und Organisationen nutzen zentrale IT-Dienste von Rechenzentren, Plattformanbietern oder landesweiten Lösungen. Unsere Aufgabe dabei:

  • Brücken zwischen Fachverfahren, interner IT und zentralen Systemen schaffen
  • Plattformen so integrieren, dass sie nachvollziehbar und steuerbar bleiben
  • Lokale Besonderheiten und Verantwortung sichtbar halten — nicht im Standard verlieren
  • Zentrale Vorgaben mit lokalen Anforderungen und realen Arbeitsabläufen so verbinden, dass Verantwortung klar und tragfähig bleibt

Was wir anders machen als klassische IT-Dienstleister

  • Wir verstärken, wir ersetzen nicht
  • Wir dokumentieren offen, wir verschließen nichts
  • Wir bauen für Ihre IT — nicht für unsere eigene Bequemlichkeit
  • Wir helfen automatisieren – statt manuelle Abhängigkeiten zu schaffen
  • Wir denken vom Betrieb her — nicht nur vom Projekterfolg

Unser Denkrahmen

Wir verstehen Technik als Werkzeug, um Verantwortung zu ermöglichen — für Verwaltung, interne IT und die Menschen, die sie tagtäglich tragen.
Unser Denkrahmen: Technik-Orakel mit Teamverständnis — damit Technik Entscheidungen vorausschauend unterstützt und Zusammenhänge sichtbar und verständlich macht.

Neugierig geworden?

Lassen Sie uns sprechen

Jetzt Gespräch anfragen