Anwenderbericht Druck machen mit Token Managed Authentication mit Einmal-Passworten für die Heidelberger Druckmaschinen AG

Ordnungsmerkmale

erschienen in: <kes> 2004#4, Seite 28

Rubrik: Systeme und ihr Umfeld

Schlagwort: Remote Access

Zusammenfassung: Sicherer Remote Access über unsichere Netzwerkverbindungen bei hoher Bedienerfreundlichkeit – so stand es in den Anforderungen der Heidelberger Druckmaschinen AG. Integralis hat hierzu eine Managed-Services-Lösung mit ActivCard umgesetzt.

Autor: Von Thorsten Krüger, Hallbergmoos

Die Heidelberger Druckmaschinen AG ist mit 22 800 Mitarbeitern in mehr als 170 Ländern weltweit tätiger Lösungsanbieter für die Printmedienindustrie. Mit Hauptsitz in Heidelberg bietet das Unternehmen Produkte von der Druckvorstufe über den Offset- und Rollendruck bis hin zur Weiterverarbeitung, inklusive Software und Verbrauchsmaterialien. Dazu betreibt Heidelberger ein immenses Service- und Vertriebsnetz: 18 internationale Produktionsstandorte und 250 Vertriebsniederlassungen betreuen 240 000 Kunden. Das Unternehmen generiert seinen Umsatz zu 85 % durch eigene Vertriebsgesellschaften und erzielt rund 87 % seiner über 3,5 Mrd. € Umsatz im Ausland (Geschäftsjahr 2003/2004).

Heidelbergers Kunden arbeiten weltweit unter strengen Zeitvorgaben und benötigen von den Technikern der Firma fristgerechte Unterstützung und Service; der Zugang zu wichtigen Dateien unterwegs und bei Kunden vor Ort ist für einen effizienten Kundendienst kritisch. Daher hat Heidelberger seine mehr als 8 500 Köpfe starke mobile Belegschaft mit Remote Access über das Internet zum zentralen Netzwerk ausgestattet; Schutz gegen unerwünschten Zugang ist naturgemäßg unverzichtbar.

Aufgrund der Schwächen einer statischen Kennwortauthentifizierung entschied man sich frühzeitig für ein Zwei-Faktor-System. Das Unternehmen forderte aber auch ausreichende Flexibilität, um bei Bedarf die jetzige Lösung zu einem Firmenausweis migrieren zu können und Single-Sign-on einzuführen. Eine hohe Benutzerfreundlichkeit stand ebenfalls im Pflichtenheft: Angesichts der großen Zahl der Anwender mussten unhandliche Produkte und schwierige Anmeldeprozeduren vermieden werden, die Hardware-Komponente robust, haltbar und ökonomisch sein.

Nach einer gründlichen Analyse wählte Heidelberger ActivCard aus, um die Remote-Access-Authentifizierung zu handhaben. Michael Neff, der zuständige CIO, kommentiert: "Mit dem Einsatz eines Tokens lässt sich die Effizienz im Service deutlich erhöhen, da die Servicetechniker in Zukunft schnelle Verbindungen auch beim Kunden vor Ort sicher nutzen können. ActivCards Lösungen boten offenbar einen höheren Wert und die Zukunftsicherheit der Lösung war das entscheidende Kriterium."

Für die anfängliche Installation wählte Heidelberger die ActivCard Secure Remote Access Solution aus, die aus AAA Server, Token und ActivClient für Smartcards besteht. Beim Token gibt der Benutzer seine vierstellige PIN ein und erhält daraufhin ein einmalig gültiges Passwort. Danach wird einfach der Benutzername und das neue Passwort eingegeben, um Zugang zum Firmen-Netzwerk zu bekommen. Wahlweise zum Zeit/Eventsynchron-Verfahren, bei dem Authentifizierungsserver und Token unabhängig voneinander, anhand derselben Zeitbasis und eines Eventzählers das Einmal-Passwort errechnen, steht auch ein Challenge/Response-Verfahren zur Verfügung: Dabei erzeugt der Authentifizierungsserver zunächst eine Zufallszahl, die auf der Client-Seite in den Token eingegeben werden muss und in die Passwort-Generierung einfließt. Das Verfahren zur Erzeugung des Einmal-Passwortes selbst beruht auf einem 3DES-Algorithmus.

Heidelberger steht von ActivCard eine große Auswahl an Token und Smartcards zur Verfügung, die sich dem Arbeitsstil jedes Mitarbeiters anpassen: Einige Mitarbeiter benötigen beispielsweise Single-Sign-on-Zugang zu bestimmten Anwendungen. Für sie wurden Smartcards eingekauft, die neben dem Erzeugen von Einmal-Passworten auch statische Benutzernamen und Zugangskennungen speichern können und Funktionen für den Einsatz von Public-Key-Infrastrukturen besitzen: Schlüsselgenerierung, Zertifikatsspeicherung, digitale Signatur.

Der zugehörige ActivClient kann zudem statische Passwörter für nahezu alle Applikationen zentral speichern und verwalten: Öffnet der Anwender eine Applikation, wird das Anmeldefenster automatisch erkannt und die Anmeldeinformationen automatisch eingetragen. Damit muss sich der Benutzer lediglich beim Starten seines Rechners authentifizieren, alle anderen Anmeldevorgänge werden automatisiert im Hintergrund ausgeführt – ActivCard nennt das Reduced Sign-on.

Umsetzung durch Partner

Die zentrale Benutzermanagement-Software (AAA Server) arbeitet vollständig im Lightweight Directory Access Protocol (LDAP) und spart Heidelberger somit die Einrichtung einer zusätzlichen Benutzerdatenbank. Auf diese Weise wurden die Gesamtkosten der Lösung drastisch gesenkt.

[Illustration]
Implementierungsschema der Managed-Authentication bei der Heidelberger Druckmaschinen AG

Die Implementierung und das Management des Secure Remote Access wird durch das Managed-Security-Services-Team von Integralis durchgeführt. Das Systemhaus stellt ein komplettes Fernmanagement zur Verfügung, eine Intervention von Mitarbeitern bei Heidelberger ist nicht nötig. Das Security Management Center (SMC) in Ismaning überwacht und unterhält die Authentifizierungsserver, die mittels Radius- oder Tacacs+-Protokoll mit den Netzwerk-Authentifizierungsservices verbunden sind. Neben der reinen Authentifizierung von Anwendern sind somit auch Autorisierung (z. B. Parametrisierung des Radius-/Tacacs+-Clients mit Call-Back-Parametern) und Accounting möglich. Die Seriennummer des Tokens wird dem Benutzer über ein frei definierbares, nicht verwendetes Feld des zentralen Directories zugeordnet, das per LDAP/LDAPS angebunden ist.

Heidelberger nutzt den Authentifizierungsserver dabei in Verbindung mit Dial-in-Routern. Es werden zwei primäre Authentifizierungserver eingesetzt: einer für EMEA, ein zweiter für die USA. Zur Gewährleistung von Hochverfügbarkeit besitzt jeder Server in der jeweils anderen Region sein Backup. Alle Kommunikationsbeziehungen zwischen den Komponenten des ActivPack (Authentifizierungsserver, Administrationskonsolen) werden – unabhängig von implementierten Netzwerksicherheitsverfahren – 3DES-verschlüsselt.

Die Server sind durch den 24/7-Support des SMC jederzeit verfügbar. Dies geschieht über weitere Komponenten, die den Zugriff auf die Server über das Netzwerk per Tastatur/Monitor/Maus (KVM), serieller Konsole und SSH-Remote-Login ermöglichen. Das SMC hat zu jedem Standort für die gängigen Arbeiten eine VPN-Verbindung und außerdem als Backup eine Wählverbindung. Der normale administrative Zugriff erfolgt über das VPN, im Notfall ist es jedoch möglich, gewisse Aktionen "ferngesteuert" durchzuführen (z. B. Zugriff auf die Maschinen ohne funktionierende Netzwerkverbindung per serieller Konsole oder per KVM, Neuinstallation der Server nach einem Hardware-Wechsel, Stromab- und -anschaltung bei Fehlern sowie BIOS-Zugriff).

Integralis hat mittlerweile ActivCards Lösung bei Heidelberger vollständig installiert. "Alle Laptopbenutzer bei Heidelberger können jetzt sicher auf Firmen- und Kundendaten zugreifen – schnell und kosteneffektiv über das Internet. Langsame und kostspielige Wählverbindungen können folglich vermieden werden," fasst CIO Neff zusammen: "Wir gehen davon aus, dass sich die Investition innerhalb von einem Jahr amortisieren wird."

Thorsten Krüger ist Sales Manager bei ActivCard ([externer Link] www.activcard.com).