![[Screenshot]](52-1.jpg)
Sicherer Zugang zum Portal: Die SSL-Benutzerauthentifizierung erfolgt per X.509-Zertifikat. Der geheime Schlüssel des Benutzers ist hierbei sicher auf einem USB-Token gespeichert.
Die LHI Leasing GmbH ist mit einem Vertragsvolumen von rund 12,9 Milliarden Euro eine der führenden deutschen Leasing-Gesellschaften. Seit fast 30 Jahren betreut sie Immobilien- und Mobilien-Bestände im In- und Ausland, berät in Finanzierungsfragen und bietet als Fonds-Initiator Geldanlagen an. An den Standorten München und Pöcking arbeiten 250 Mitarbeiter, weitere 20 Finanzdienstleister sind in der polnischen Niederlassung beschäftigt. Zu den Kunden von LHI gehören sowohl das Gewerbe (wie BMW, Karstadt Quelle AG, MAN und REWE AG) als auch auf kommunaler Ebene große Stadtwerke und Bundesländer (z. B. Bayern, Baden-Württemberg und die Stadtwerke Hannover). Mit zunehmendem Wachstum stand das Unternehmen schließlich vor der Herausforderung, einen Weg zu finden, um weit mehr als 1 400 Objektgesellschaften transparent und zuverlässig zu managen und seinen Kunden einen komfortablen Zugriff auf relevante Informationen anzubieten.
"Wir realisieren komplexe Finanzierungsgestaltungen mit einem traditionell sehr hohen Servicegrad. Effizientes und transparentes Projekt- und Bestandsmanagement bilden seit jeher die Basis für anhaltende Kundenzufriedenheit. Durch kreative und kontinuierliche Weiterentwicklung des Kundennutzens versuchen wir unseren Qualitätsvorsprung auf dem Finanzsektor zu sichern. Das Kundenportal 'IQ – intelligente Qualität' ist das neueste Ergebnis dieser Bemühungen", so Ralf Kirberg, Sprecher der Geschäftsführung bei LHI. Vor der Einführung des Unternehmensportals war es für die Kunden von LHI nicht möglich, Projektdaten direkt einzusehen. Informations- oder Änderungsanfragen wurden von Sachbearbeitern intern und zumeist manuell bearbeitet. Die bestehende IT-Systemlandschaft war stark gesichert und bis zur Einführung des Unternehmensportals keinerlei Zugriff von außen möglich.
Sicherer Zugang zum Portal: Die SSL-Benutzerauthentifizierung
erfolgt per X.509-Zertifikat. Der geheime Schlüssel des
Benutzers ist hierbei sicher auf einem USB-Token
gespeichert.
Im Jahr 2000 setzte man sich zum Ziel, Kunden stärker in die Geschäftsprozesse zu integrieren und ihnen eine Möglichkeit zu bieten, durch einfachen Zugriff auf Informationen ihr eigenes Tagesgeschäft effizienter abwickeln zu können. Objekt- und Projektdaten sollten jederzeit transparent und aktuell zugänglich sein. Heute können LHI-Kunden via Internet alle Informationen zu bestehenden Leasingobjekten abrufen und objektübergreifend Auswertungen erstellen. Damit die zeitgemäß schnelle Kommunikation über das Internet auch auf höchstem Sicherheitsniveau ablaufen kann, entschieden sich die Projektverantwortlichen bei der Benutzerauthentisierung für den Einsatz von USB-Tokens.
Das Unternehmensportal sollte ausgewählte Informationen, Applikationen und Services bereitstellen. Des Weiteren mussten die Verwaltung für die interne IT-Abteilung und die Nutzung für den Kunden so einfach wie möglich sein. Die Anwendungen sollten ausschließlich über einen Web-Browser erfolgen und möglichst wenig Installationsaufwand auf den Kunden-PCs erfordern. Zudem sollte die Absicherung keinen Verlust an Flexibilität und Performance mit sich bringen.
Auf der anderen Seite bietet das eingeführte Portal die Möglichkeit über das Internet und einen einfachen Web-Browser, Zugriff auf die produktiven IT-Systeme des Unternehmens zu erhalten. Umso entscheidender war es, diesen Zugriff restriktiv zu implementieren. Allein um vertrauliche Kundendaten vor dem Zugriff Dritter und vor Manipulation zu schützen, ist die Forderung nach einer höchstmöglichen Sicherheitsstufe bei der Realisierung eines Unternehmensportals unumgänglich. Des Weiteren dient es natürlich auch dem unternehmenseigenen Schutz nach außen. Die Sicherheit und Integrität aller beteiligten Datenübertragungswege musste gewährleistet sein. So ergaben sich folgende Forderungen bei der Implementierung:
Nach ersten Überlegungen entschied man sich gegen eine Benutzerauthentifizierung mittels Benutzername und Passwort. Eine solche Möglichkeit wäre zwar unkompliziert gewesen, birgt jedoch die Gefahr einer hohen Betrugswahrscheinlichkeit und bietet auch technisch nur ein geringes Sicherheitsniveau. Der Einsatz digitaler Zertifikate gewährleistet weitaus größere Sicherheit. Die Verwendung von Smartcards als Speichermedium wurde jedoch ebenfalls verworfen. Der anfallende Hardware- und Installationsaufwand sowie das nötige Know-how erschienen zu hoch.
Um Handhabung, Verwaltung und Zugang zum Portal so unkompliziert wie möglich zu halten, sollten auf Kundenseite möglichst keine Installations- und Konfigurationsarbeiten notwendig werden. Der Einsatz eines eigens zu installierenden Smartcard-Terminals kam deshalb nicht in Frage und wäre zudem mit spürbaren Kosten pro PC verbunden gewesen, von dem aus ein Zugang möglich sein soll. Die Tatsache, dass die Desktop-Betriebssysteme auf Kundenseite nicht als bekannt vorausgesetzt werden konnten, stellte ein weiteres Problem dar. Mindestanforderung an eine geeignete Sicherheitslösung musste deshalb die Unterstützung aller gängigen Microsoft-Windows-Betriebssysteme sein.
Die Entscheidung fiel schließlich für ein Portal mit Single-Sign-On-Funktion, das über einen Web-Browser und mittels verschlüsselter digitaler Zertifikate den personalisierten Zugang ermöglicht. Die Speicherung der digitalen Ausweise sollte nicht im (softwarebasierten) Zertifikatsspeicher des Betriebssystems selbst erfolgen, da hier – abhängig vom zugrunde liegenden Betriebssystem – die Gefahr bestanden hätte, dass das Benutzerzertifikat zusammen mit dem geheimen Schlüssel vom PC des Benutzers entwendet und von Dritten missbräuchlich zur Anmeldung herangezogen werden könnte.
Das USB-Token ist ein portables Stück Hardware mit der vollen Funktionalität einer Smartcard. Für den Benutzer stellt er einen Schlüssel dar, den er statt einer Passwort-Eingabe einfach in die USB-Schnittstelle seines PCs oder Notebooks steckt. Für den Kunden entfällt damit die Anschaffung eines speziellen Smartcard-Lesegerätes bei gleichzeitig höherer Flexibilität, was den Zugang von verschiedenen Systemen aus angeht. Das digitale Zertifikat wird auf dem Hardware-Token – wie auf einer Smartcard – zusätzlich durch eine PIN geschützt und steht ausschließlich dem autorisierten Benutzer zur Verfügung.
![[Screenshot]](52-2.jpg)
Personalisierte Sichtweise: Jeder Benutzer erhält nach
erfolgreicher Anmeldung an das Portal seinen rollenbasierten
Funktions- und Informationsumfang.
Die Anforderungen an Portal und Security konnten erfolgreich auf Basis der SAP-Portaltechnologie mySAP Enterprise Portals umgesetzt werden. Die Implementierung der Single-Sign-On-Lösung erfolgte mittels SAP Trust Center Services: Hier wird jedem autorisierten Kunden ein eigenes Benutzer-Zertifikat ausgestellt, das seine Identität bescheinigt und ihn zum Zugriff auf das Portal berechtigt. Die Single-Sign-On-Lösung läuft dann über die so genannten "SAP Logon Tickets". Dabei lassen sich sowohl SAP- als auch Fremdkomponenten mit einem eigenen, auf digitaler Signatur basierenden Logon-Ticket in das Single Sign-On einbinden. Durch den "SAP Logon Ticket"-Mechanismus sind zusätzliche Optionen für eine flexiblere und sichere Benutzerauthentifizierung gegeben.
Bei den Speichermedien für die Zertifikate entschied man sich in Zusammenarbeit mit der Düsseldorfer Unternehmensberatung btexx business technologies für USB-Tokens der Firma Aladdin, die einen Infineon Smartcard-Chip (SLE66CX160S mit CardOSM4) enthalten, der die Generierung des individuellen Schlüsselpaares auf dem so genannten eToken selbst durchführt. Die Treiber für die Token kann jeder Anwender von der Aladdin-Homepage herunterladen und selbst installieren.
Zur Datenverschlüsselung zwischen Web-Browser und Server dient wie üblich das SSL-Protokoll, jedoch in diesem Fall mit der optionalen Client-Authentifizierung. Der Server fragt dabei ein Benutzerzertifikat an, das somit auf dem PC des Anwenders verfügbar sein muss. Die Speicherung des Schlüsselpaares (Private und Public Key) erfolgt je nach Betriebssystem unterschiedlich und kann im vorliegenden Fall der Windows-Systeme auch über eine entsprechende Schnittstelle (Cryptographic Application Programming Interface, C-API) auf einer Smartcard oder einem USB-Token erfolgen.
Nach Aufruf des Unternehmensportals und Anmeldung über den Internet Explorer überprüft der Web-Server das Benutzerzertifikat in Bezug auf seine Echtheit anhand des installierten Wurzelzertifikates des SAP Trust Centers. Dabei wird im Challenge/Response-Verfahren auch sichergestellt, dass der Benutzer tatsächlich im Besitz des zum akzeptierten Zertifikat gehörenden Private Key ist.
Nach nur sechsmonatiger Projektdauer ging das Unternehmensportal in den Produktivbetrieb. Heute können LHI-Kunden rund um die Uhr alle für sie relevanten Informationen abrufen. In der Regel werden mehrere Mitarbeiter des Kunden mit dem Token ausgerüstet, meist etwa vier bis zehn Mitarbeiter. Derzeit haben etwa 200 Kunden ihre Absicht erklärt, das Portal nutzen zu wollen. Derzeit sind jedoch erst rund 50 Token in Benutzung.
Das Feedback der Anwender ist aufgrund der verbesserten Geschäftsabwicklung mit LHI durchweg positiv. Der Zugang zum Portal ist sicher und bequem: Der Sachbearbeiter startet lediglich den Browser und gibt die URL des LHI-Portals ein, nachdem er sein Token an den PC angeschlossen hat. Pro Aufschalten des Tokens an den USB-Anschluss wird die PIN nur einmal beim jeweils ersten Zugriff abgefragt. Die Anmeldung mithilfe des Benutzerzertifikates erfolgt dann für den Benutzer transparent, gegebenenfalls erscheint noch ein Pop-Up mit der Auswahlliste der Zertifikate, wenn mehrere Client-Zertifikate auf dem Token oder dem PC gespeichert sind.
Aufgrund der hohen Akzeptanz und der leicht zu handhabenden Sicherheitsvorkehrungen ist geplant, zum Ende diesen Jahres auch für LHI-Mitarbeiter einen personalisierten Zugang über ein "IQ-Mitarbeiterportal" einzurichten. LHI fungiert dabei als Registration Authority und startet pro Token einen Certificate Request an die SAP CA. Diese Anforderung wird mit dem Server-Zertifikat des Portal-Servers digital unterschrieben, sodass SAP davon ausgehen kann, dass der Antrag von legitimierter Stelle stammt.
Das Public-Key-Paar erzeugt der eToken auf Anforderung am Administrator-PC direkt und individuell auf dem Token selbst, der dem Kunden oder Mitarbeiter anschließend persönlich übergeben wird. Aufgrund der geringen Benutzeranzahl stellte dieser Faktor bisher kein Problem dar. Wenn in Zukunft mehr Benutzer teilnehmen, soll jedoch ein entsprechender Verteilprozess aufgesetzt werden. Der Aufwand für das Erzeugen eines Token-Zertifikats liegt im Minutenbereich. Sinnvollerweise erstellt der Registration Administrator gleich mehrere Token. Der Certificate Request wird über das Internet von der SAP CA bedient, es ist also lediglich ein Internetzugang erforderlich.
Die nächste Projektphase des Portals wird bereits mit der neuesten Version mySAP Enterprise Portals 5.0 von SAP umgesetzt, die Migration befindet sich zurzeit in Arbeit. Mit der neuen Softwareversion steht dann auch die Komponente "Knowledge Management" zur Verfügung, die eine webbasierte Dokumentenverwaltung und eine Suchmaschine umfasst.
Diplom-Informatiker Stefan Bohlmann ist SAP Portals & Security Consultant bei btexx business technologies, Düsseldorf.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 52
