Smartcards bei Energie AG

Mit den Bereichen Gas, Strom, Wärme, Abfallwirtschaft und Wasser ist die in Linz beheimatete Energie AG einer der großen österreichischen Infrastrukturkonzerne. Als Dienstleister beschäftigt das Unternehmen ca. 900 mobile Notebookanwender, vom Servicetechniker bis zum Vertriebsbeauftragten mit der Anforderung, sich von überall her via Internet ins Firmennetz einwählen zu können. Die ständig wachsende Gefahr des Notebookdiebstahls und somit auch missbräuchlicher Verwendung von teils hochsensiblen Kunden- und anderen Unternehmensdaten ließen bereits 2002 den Entschluss reifen, diese Bedrohungen für die IT-Sicherheit durch eine neue Smartcard auszumerzen.

Ein kontaktloser Mitarbeiterausweis für die Kantine und die Zeiterfassung war zwar schon seit Jahren im Einsatz, wichtige Security-Funktionen wie eine vereinfachte Authentifizierung beim Remotezugang und auf den Workstations oder die Verschlüsselung von Festplatten jedoch fehlten.

Und so informierte sich das Unternehmen in einem Workshop zum Thema PKI und Kryptographie noch im selben Jahr über aktuelle Technologien und Einsatzmöglichkeiten im Haus. Schnell erkannte man Lösungsansätze und beauftragte den IT-Security-Dienstleister Integralis mit der Erstellung einer Vorstudie. Erste Zielsetzung war, den laufenden Betrieb bei der Energie AG näher zu erfassen und auftretende Schwachstellen genau zu dokumentieren. Auf Grundlage des so entstandenen Arbeitspapiers startete die IT-Abteilung in 2004 ein Pilotprojekt mit ca. 20 Teilnehmern.

Schwierigkeiten überwinden

Doch schon in der Planungsphase stieß man auf erste Schwierigkeiten und musste teils neue Lösungswege beschreiten. Bereits in der Vorstudie war vorgesehen, das Projekt auf Basis einer Novell Certification Authority umzusetzen, da das Produkt bereits im Hause war und auch schon als Masterdirectory diente. Im weiteren Verlauf stellte sich jedoch heraus, dass verschiedene Komponenten des Herstellers in den Bereichen PKI und Kryptographie nicht wie gewünscht funktionierten oder zur Verfügung standen. "Im Ergebnis mussten wir umplanen und haben verschiedene Novell-Komponenten, hauptsächlich die Certification Authority, durch Produkte von Microsoft ersetzt", erklärt Ingenieur Roland Ott von Konzern-IT-Services die damalige Situation. So wurde zwar die gesamte Benutzerverwaltung wie auch die Netzwerkanmeldung auf Novell belassen, mittels eines Tools von Novell werden die Benutzer nun aber vom Novell Directory NDS ins Microsoft Directory hinein synchronisiert. "Durch diese Probleme haben wir zwar sechs Monate verloren, schließlich konnten wir mit der neuen Lösung den Piloten aber Mitte 2004 erfolgreich abschließen und das Projekt ausschreiben", zeigt sich der Securityverantwortliche letztlich zufrieden.

Die Vergabe erfolgte dann im Herbst 2004 an den deutschen IT-Dienstleister Integralis als Generalunternehmer. "Integralis war schon seit 1997 als Lösungsanbieter bei uns im Haus und wir waren der Ansicht, dass das Unternehmen das Thema Security am breitesten abdecken konnte", begründet Ott die damalige Entscheidung.

Im Frühjahr 2005 startete die Energie AG, nach Implementierung der Serverinfrastruktur, mit dem Rollout. "Wir haben mit dem Rollout bei den leidensfähigen Abteilungen, also bei uns in der IT, begonnen", so Roland Ott. "Auf diese Weise konnten wir dem Projekt noch den letzten Feinschliff verpassen und Kleinigkeiten bereinigen." Aber auch hier verlief nicht alles nach Plan. So hatten die für das Rollout zuständigen Mitarbeiter ständig mit knappen Ressourcen zu kämpfen, wandelte sich die Energie AG von einem Unternehmen mit 2.000 Angestellten doch binnen weniger Jahre durch zahlreiche Akquisitionen und damit verbundenen Umstrukturierungen bis ins Jahr 2006 zu einem Konzern mit heute 6.000 Mitarbeitern. Hinzu kam auch, bedingt durch den Neubau des Firmengebäudes am Standort Linz, die Zersplitterung der Zentrale auf drei Ausweichquartiere. Da kam die Möglichkeit, das Rollout des neuen Mitarbeiterausweises dezentral, sozusagen im "Selfservice", durchzuführen, gerade recht.

Initialisiert wurde die neue Smartcard zentral durch die Personalabteilung. Dies war nötig, da sich auf der neuen Karte nun sowohl der alte bereits für Kantine und Zeiterfassung genutzte Chip als auch der neue befanden. Da beide mit unterschiedlichen Technologien arbeiten, mussten sie auch unterschiedlich initialisiert werden. So vorbereitet, wurde die neue Karte dann durch einen Vor-Ort-Service mit Unterstützung des zentralen User Helpdesks in den einzelnen Standorten ausgestellt. "Wir mussten auch darauf achten, den Übergang fließend zu gestalten, da die Mitarbeiter ja noch die alten Mitarbeiterausweise besaßen, die Zug um Zug ausgetauscht werden mussten", erklärt der IT-Fachmann das Vorgehen.

Bedingt durch eine Vielzahl von Standorten wie Kraftwerken und Servicezentren in vielen Ländern wäre ein zentrales Ausstellen des Ausweises auch nur schwer möglich gewesen.

Akzeptanz schaffen

"Durch die enge Einbindung der Personalabteilung, der Rechtsabteilung und des Betriebsrates von Beginn an konnten wir vielen Fragen und Problemen aus dem Weg gehen", erläutert Ingenieur Ott. "So erzielten wir bereits in diesem frühen Projektstadium großes Verständnis hinsichtlich der Verbesserungen für den einzelnen Mitarbeiter. Außerdem gab es ja schon seit Jahren einen Ausweis für Kantine und Zeiterfassung, so dass die Einführung einer neuen Karte die Anwender nicht völlig unvorbereitet traf."

Wichtig war der IT aber auch die Sichtbarkeit des Projektes durch die Geschäftsleitung. "Ohne die Unterstützung der Geschäftsleitung hätten wir nie die nötige Akzeptanz für das Thema bekommen", weiß Ott.

Mehrwerte erzielen

Um aber auch bei den Mitarbeitern eine große Akzeptanz für das Projekt zu erreichen, griff die IT zu einem kleinen Trick. Sie verknüpfte das Smartcard-Projekt mit dem Thema Single-Sign-on. Dies war wichtig, um dem Anwender mit der Einführung einer abstrakten und neuen Technologie einen sofort sichtbaren Mehrwert zu verkaufen.

"Das Thema Single-Sign-on wurde von den Usern von Beginn an sehr positiv aufgenommen, sahen sie hierin doch eine sofortige Verbesserung ihrer Arbeitsabläufe", so Roland Ott. "Bei der Vielzahl der sich bei uns im Haus befindlichen Systeme kann man sich vorstellen, was da an Passwörtern mit all den Problemen und Zeitaufwand durch Verlust, Vergessen oder Diebstahl zusammenkam. Für uns bedeutete der Wegfall nicht nur eine erhebliche Verbesserung der Sicherheit, sondern auch eine signifikante Entlastung unseres User Helpdesks."

Als weiterer großer Vorteil erwies sich der nun abgesicherte Remotezugang für die Notebookanwender. Quasi als kleines Network Access-Control-Projekt (NAC) am Rande wurden alle voreingestellten und nicht veränderbaren Firmenlaptops mit einem Check Point Secure Client ausgestattet und bei jeder Anmeldung zentral auf die Sicherheitsbestimmungen hin abgeprüft. Zuvor nutzten die mobilen Anwender zur Anmeldung einen Token und hatten so einen umständlichen und eingeschränkten Zugang zum Firmennetz. "Heutzutage sind unsere Notebooks so abgedichtet, dass die Mitarbeiter von jedem Ort mit Internetzugang uneingeschränkten Zutritt zum gesamten Unternehmensnetzwerk haben, eine sehr große Arbeitserleichterung für alle."

Fazit

Zurückblickend zeigt man sich bei der Energie AG mit dem Verlauf des Projektes sehr zufrieden, wenn auch Integrationsprobleme einzelner Produkte und die Umstrukturierungsphase des Konzerns den Zeitplan etwas durcheinander würfelten. Das Ziel, mit der eingeführten Lösung Mehrwerte für Mitarbeiter wie das Unternehmen zu schaffen, sieht Roland Ott klar erreicht.

"Das neue Anmeldeverfahren mit Single-Sign-on, der abgesicherte Remotezugang ins Firmennetz und nicht zuletzt die erweiterten Funktionalitäten des neuen Mitarbeiterausweises wurden von den Anwendern uneingeschränkt angenommen", freut sich Ott über den Erfolg. Mit dem geplanten Rückzug in die dann fertig gestellte Konzernzentrale sollen noch weitere Funktionen wie Gebäude-, Raum- und Tiefgaragenzutrittsmanagement hinzukommen.

www.integralis.at

---

Projektanforderung:

• Public Key Infrastruktur und Verschlüsselung (Kryptographie)
• Starke Authentifizierung auf den Workstations anstelle eines Passwortes
• Verschlüsselung von Festplatten
• Starke Authentifizierung beim Remotezugang

Eingesetzte Komponenten:

• Verzeichnisdienst im Unternehmen: Novell eDirectory
• Synchronisation Novell nach AD: Novell DirXML
• Verzeichnisdienst für Smartcards: Microsoft ActiveDirectory
• PKI Infrastruktur: Microsoft Enterprise Root und Sub CA auf Windows 2003 Server Enterprise
• Speicherung des CA Schlüsselmaterials: Safenet Luna SA
• Kartenmanagementsystem: ActivIdentity CMS
• Speicherung der Global Plattform Keys: Safenet Luna RA
• Datenbanksever: Microsoft SQL 2000
• Middleware: ActivIdentity ActivClient
• Smartcardleser: ActivIdentity, Omnikey bzw. in die Notebooks eingebaut
• Smartcards: Axalto
• Single Sign On: ActivCard Trinity
• Verschlüsselung: Safenet ProtectFile
• VPN: Checkpoint VPN-1 mit Secure Client