![[Illustration]](04-6-014-1.jpg)
Galileo ist die europäische Antwort auf das GPS-Navigationssystem. In einem Jointventure arbeiten dabei Unternehmen eng zusammen, die ansonsten Konkurrenten sind – mit dementsprechend besonderen Anforderungen an die genutzte IT-Struktur.
Das Galileo-Projekt ist der europäische Beitrag zur satellitengestützten, globalen Navigation und damit die hiesige Antwort auf das US-amerikanische Global Positioning System (GPS). Anders als GPS ist Galileo von vornherein für eine zivile Nutzung konzipiert worden und vollständig zivil kontrolliert. Führende europäische Raumfahrtunternehmen haben das ehrgeizige Jointventure Galileo Industries im Jahr 2000 ins Leben gerufen – mit dem Ziel, schließlich 30 Satelliten auf Umlaufbahnen in 23 km Höhe zu bringen und zugleich die korrespondierende Infrastruktur am Boden zu schaffen. Bis zum Ende des Jahrzehnts soll das System, dessen Entwicklung von der Europäischen Union und der European Space Agency (ESA) unterstützt und mitfinanziert wird, voll funktionsfähig sein. Die geschätzten Gesamtkosten betragen 3,5 Milliarden Euro.
Seit Beginn 2004 hat Galileo Industries in der Rechtsform einer GmbH seinen Hauptsitz in Ottobrunn bei München, das Tochterunternehmen Galileo Industries SpA ist in Rom angesiedelt. An dem Jointventure sind zurzeit fünf europäische Unternehmen beteiligt, die so genannten Shareholder: Alcatel Space SA (Frankreich), Alenia Spazio SpA (Italien), EADS Astrium GmbH (Deutschland), EADS Astrium Ltd (Großbritannien) sowie Galileo Sistemas y Servicios S.L., ein Konsortium aus sieben spanischen Unternehmen. Der französische Konzern Thales SA steht kurz davor, der sechste Shareholder zu werden.
Galileo ist die europäische Antwort auf das GPS-Navigationssystem. In einem Jointventure arbeiten dabei Unternehmen eng zusammen, die ansonsten Konkurrenten sind – mit dementsprechend besonderen Anforderungen an die genutzte IT-Struktur.
Galileo Industries hat drei Hauptaufgaben: das grundsätzliche Management des Projekts, die Spezifikation des Systems auf oberster Ebene und die Beschaffung. In der gegenwärtigen Projektphase arbeiten rund 65 hochqualifizierte Mitarbeiter am Standort in Ottobrunn, weitere 55 sind in Rom tätig. Rund ein Viertel dieser 120 Mitarbeiter hat Verträge direkt mit Galileo Industries, die Mehrzahl ist aber nach wie vor formell bei den Shareholder-Unternehmen beschäftigt und lediglich für das Galileo-Projekt abgestellt.
Aus dieser Konstruktion ergeben sich auch besondere Anforderungen an die IT-Struktur. Man muss sich vergegenwärtigen, dass Galileo Industries zwar ein Jointventure ist, aber viele der Shareholder-Unternehmen außerhalb dieses Projekts nach wie vor in einem Konkurrenzverhältnis stehen. Das IT-Netzwerk, das – übrigens innerhalb kürzester Zeit – für Galileo Industries aufgebaut wurde, hat darum eine Struktur, die von derjenigen der Shareholder-Unternehmen vollständig unabhängig ist; es gibt keine Verbindung zu den IT-Netzwerken der Shareholder-Unternehmen.
Das Galileo-IT-Netz ist ein Virtual Private Network (VPN) mit einer durchgängigen Verbindung zwischen den Standorten Ottobrunn und Rom und bietet kohärente IT-Funktionen. Dieses VPN basiert auf einem Corporate-VPN- und Firewall-Service des italienischen IT-Dienstleisters I.NET SpA, einem Mitglied der BT Group. Das Netz arbeitet auf der Intel/Microsoft-Plattform unter Windows 2003 mit Active-Directory-Service. Die Accounts der Mitarbeiter sind durch individuelle Passwörter geschützt, wobei die Policies den Benutzern Sicherheitsstandards wie eine Minimallänge, die Benutzung von Sonderzeichen und einen regelmäßigen Wechselturnus vorschreiben.
Als E-Mail-System fungiert Microsoft Exchange 2003 mit entsprechenden Microsoft-Produkten auf den Client-Rechnern. IT-Support und technische Administration kauft Galileo Industries als Managed Services zu. Für die IT-Infrastruktur in Ottobrunn und Rom ist die Münchener United Systems AG verantwortlich. Zur physischen Zugangskontrolle dient ein Chipkartensystem des Stuttgarter Facility-Engineering- und Facility-Management-Spezialisten M+W Zander AG. Das Zugangskontrollsystem teilt das Galileo-Gebäude in verschiedene Sicherheitszonen. Die gesamte Server-Netzwerk-Infrastruktur und die Domain-Name-Server stehen vor Ort in den Gebäuden von Galileo Industries in Ottobrunn und Rom und sind physisch ebenfalls durch das Chipkarten-System gesichert.
Das grundlegende Problem für diese IT-Infrastruktur bestand darin, zwar den Informationsfluss und den Dokumentenaustausch im Rahmen des Galileo-Projekts zu ermöglichen, andererseits aber eine darüber hinausgehende Einsichtnahme in vertrauliche Dokumente der Shareholder zu verhindern. Die Galileo-Mitarbeiter sollten nur so weit Einsicht in die Vorgänge, Dokumente und Entwicklungen der anderen Shareholder-Unternehmen und anderer Mitarbeiter erhalten, wie es ihrem Aufgabenbereich entspricht – Firmengeheimnisse sollten Firmengeheimnisse bleiben.
Auch die Organisationsstruktur von Galileo Industries spiegelt diese Philosophie wider: Jedes der Shareholder-Unternehmen ist für einen bestimmten Entwicklungs- und Projektbereich verantwortlich, im Galileo-Sprachgebrauch sind dies die "Segmente". So gibt es etwa das Payload- und Ground-Control-Segment, das Space-Segment, ein Assembly&Integration-, Ground-Mission- und Test-User-Segment, jedes mit einem anderen Shareholder-Unternehmen als Segmentführer. Die entsprechenden Segmentverantwortlichen innerhalb von Galileo Industries sind die so genannten Procurement Manager.
Nachdem man sich bei Galileo Industries verschiedene Lösungen für Collaborative-Arbeitsumgebungen angeschaut hatte, fiel die Entscheidung für den Secure Dataroom der Münchener Brainloop AG (![[externer Link]](../../../../images/link.gif)
www.brainloop.de). Seit April 2004 ist die webbasierte Lösung das Kernstück des Dokumentenaustauschs, sowohl innerhalb von Galileo Industries als auch im Dokumentenverkehr mit den Shareholdern, mit Zulieferern und Kunden. Der Secure Dataroom fungiert als die zentrale Document Exchange Facility von Galileo Industries – alles, was die Galileo-Mitarbeiter dafür brauchen, ist ein Browser.
Als eine Art virtueller Dokumententresor ermöglicht der Secure Dataroom die Bearbeitung von Geschäftsdokumenten durch verschiedene Personen jederzeit und von jedem Ort der Welt per Internet. Sofern sie dazu autorisiert sind, können Anwender von innerhalb oder auch von außerhalb eines Unternehmens auf den Datenraum oder auch nur auf einzelne, für sie bestimmte Dokumente zugreifen. Zugleich fungiert die Lösung auch als Dokumentenmanagementsystem, mit dem sich alle Lesezugriffe und Änderungen an Dokumenten verfolgen und dokumentieren lassen.
Besonders attraktiv ist für Galileo Industries: Den Secure Dataroom gibt es auch in einer ASP-Variante, bei der Brainloop für das Hosting sorgt. Im konkreten Fall befindet sich der Datenraum-Server in einem Rechenzentrum der Telekom-Tochter T-Systems International (TSI). Als vollständig zertifiziertes Unternehmen in Deutschland erfüllt T-Systems in allen Unternehmensbereichen den British Standard BS 7799, ein Regelwerk für IT-Sicherheitsmanagement. Das entsprechende Testat erteilte die Deutsche Gesellschaft für die Zertifizierung von Managementsystemen mbH (DQS); somit ist das Vorhandensein der nötigen Sicherheitsinfrastruktur festgestellt. BS 7799 umfasst die personelle Sicherheit von der Aufgaben- und Rollenbeschreibung bis hin zur Benutzerschulung. Der Standard behandelt die physische und umgebungsbezogene Sicherheit, was Sicherheitszonen ebenso erfasst wie allgemeine Maßnahmen zur Gerätesicherheit sowie Zugangskontrollen. Er regelt Kommunikationsmanagement und Betriebsverfahren, Systemplanung und Netzwerkmanagement, Datenträgersicherheit und Zugriffskontrolle, auf Anwendungs- wie auf Systemebene. Dank ASP-Modell war der Secure Dataroom innerhalb von nur fünf Wochen einsatzbereit (einschließlich Schulung). Ein weiterer wichtiger Faktor war die Skalierbarkeit der Brainloop-Lösung: Zurzeit hat Galileo Industries rund 120 Mitarbeiter, aber in ihren relevanten Segmenten brauchen natürlich auch die für das Segment verantwortlichen Shareholder die Möglichkeit zum Dokumentenaustausch. Das Sicherheits- und Rollenkonzept des Datenraums ermöglicht es, diese Funktionsstruktur sehr gut abzubilden. Auch der Dokumentenverkehr mit Zulieferern oder beispielsweise der ESA, dem wichtigsten Galileo-Kunden, findet über den Secure Dataroom statt. Alles in allem zählt das System zurzeit somit ungefähr 160 Nutzer; und diese Zahl wird sich in späteren Projektphasen noch erhöhen.
Im Anschluss an ein Datenraum-Pilotprojekt wurde ein Rollenmodell festgelegt, das als Grundlage und Empfehlung für die Vergabe von Berechtigungen dient. Die Überschaubarkeit der Rollen erschien besonders wichtig, weswegen nur vier Rollentypen vordefiniert wurden. Ein entscheidender Vorteil der Lösung war dabei, dass die Galileo-Zentrale zwar die Policies festlegt, aber die eigentliche Rechtevergabe delegieren kann. Letztlich sind es die Procurement-Manager, also die Segmentverantwortlichen, die selbst festlegen, wer welche Berechtigungen in ihrem Teil des Datenraums erhalten muss.
Zudem kann der IT-Support den Inhalt der Dateien nicht einsehen, da er für diesen Personenkreis verschlüsselt bleibt; die Sichtbarkeit in Verbindung mit den Zugriffsrechten lässt sich dazu sehr granular einstellen. All dies stellt sicher, dass Interna, die nur einen Shareholder-Bereich oder nur ein Segment betreffen und geheim bleiben sollen, auch tatsächlich geheim bleiben. Darum ist es heute Bestandteil der Galileo-IT-Sicherheits-Policy, dass prinzipiell keine E-Mails mit Attachments, die firmenvertrauliche Daten enthalten, verschickt werden dürfen und auch keine FTP-Server für den Austausch von Dateien zu benutzen sind. Zum Dateienaustausch dient ausschließlich der Secure Dataroom.
Jede Datenübertragung zum Server des Datentresors, also der Upload und Download von Dokumenten oder die Anzeige von Datenraum-Inhalten, wird über eine 128-Bit-Browser-Verschlüsselung geschützt. Zudem nutzt Galileo die Möglichkeit einer stark verschlüsselten Dokumentenablage: Alle Dateien werden auf dem Server automatisch mit 256-Bit-Schlüsseln nach Advanced Encryption Standard (AES, Rijndael-Algorithmus) chiffriert. Dabei gibt es für jeden Datenraum einen separaten Schlüssel; Verschlüsselung und Schlüsselverwaltung laufen für den Betreiber und die Nutzer völlig transparent.
Die Systemadministratoren und IT-Verantwortlichen von Galileo Industries – namentlich Alessandro Leone und der Autor Albrecht Dieterle – können zwar den ordnungsgemäßen Betrieb des Systems garantieren, Datensicherungen durchführen und Daten wiederherstellen, sind aber nie in der Lage, auf die verschlüsselten Dokumente oder die einzelnen Schlüssel zuzugreifen. Durch konsequente Trennung von Anwendungs- und Systemadministration sowie integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Verwaltungsfunktionen sind vertrauliche Dokumente vor dem Zugriff durch IT-Administratoren geschützt. Zudem sind die Aufgaben innerhalb der Applikationsadministration mit Berechtigungen versehen, sodass man unterschiedliche "Qualitäten" von Administratoren einrichten kann (z. B. für Monitoring/Analyse, Veränderungen, Konfiguration usw.).
Bestimmte Administrationsaufgaben lassen sich auf getrennte Personen oder Gruppen aufteilen, was Galileo beispielsweise für die Delegation der Rechtevergabe an die Procurement-Manager nutzt. Für manche Administrationsmaßnahmen ist es dementsprechend nötig, dass ein Configuration-Manager zusammen mit dem betreffenden Procurement-Manager handelt, in anderen Fällen gilt das Vier-Augen-Prinzip unter Beteiligung von Information-Manager und Chief Security Officer (CSO), beispielsweise beim Delegieren von Rechten.
Eine wesentliche Komponente des Sicherheitskonzepts für den Secure Dataroom ist naturgemäß die Verwaltung der Schlüssel: Diese sind über einen Masterkey geschützt, der während der Installation des Systems generiert und mithilfe eines SSL-Zertifikats im Certificate Store gespeichert wird. Um bei einem Totalausfall den Masterkey wiederherstellen zu können, erfolgt während der Installation eine Verteilung in mehrere Segmente und auf unterschiedliche Personen (Key Split). Soll der Masterkey wiederhergestellt werden, muss mindestens ein Benutzer für jeden Schlüsselteil zur Verfügung stehen.
Der alltägliche Umgang mit dem webbasierten Secure Dataroom ist denkbar einfach. Benutzer authentifizieren sich an einem beliebigen Ort per Browser durch eine Zugangskennung und ein vom Nutzer selbst gewähltes Passwort; die Password-Policy definiert die entsprechenden Anforderungen. Um manuelles oder auch maschinelles Durchprobieren zu verhindern, werden Fehlversuche zusammen mit der IP-Adresse protokolliert; diese können anschließend vom Applikationsadministrator eingesehen werden. Nach einer konfigurierbaren Zahl von Fehlversuchen erfolgt zudem eine Sperre des Benutzer-Accounts für eine bestimmte Zeit.
Ein höheres Sicherheitsniveau liefert eine Token-basierte Authentifizierung, entweder für den gesamten Secure Dataroom oder für einzelne Teilbereiche – Galileo Industries nutzt dieses Verfahren für besonders sicherheitsrelevante Datenbereiche und Vorgänge. Dabei entfiel praktischerweise das Problem der Distribution spezieller Hardware: Als Token dient nämlich einfach das Mobiltelefon des Nutzers. Eine an diese Telefonnummer verschickte SMS enthält einen kurzlebigen Einmalschlüssel, durch den der Nutzer Zugang zum Datenraum, zu Teilräumen oder zu einzelnen Dateien erhält.
Durch den Secure Dataroom konnte sich Galileo Industries innerhalb kurzer Zeit ein zuverlässiges, sicheres und flexibles Datenaustauschsystem nutzbar machen. Darin bewahren die Shareholder ihre Firmengeheimnisse dort, wo sie es wollen, tauschen aber zugleich Interface- und Entwicklungsspezifikationen, Aufträge oder Angebote mit den Projektteilnehmern in kontrollierter Weise nach dem "Need to know"-Prinzip aus – was genau der Rolle des Jointventures Galileo Industries entspricht.
Albrecht Dieterle ist Head of Information Management & Security, Galileo Industries ( www.galileo-industries.net).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#6, Seite 14
| 