Ein Plus für die Sicherheit

Um den Mitarbeitern des Nordostschweizer Stromversorgungsunternehmens Axpo einen mobilen Datenzugriff zu gewähren, kommen VPN-basierte (Virtual Private Network) Anwendungen wie Check Points Secure-Clients und Citrix Access Gateway zum Einsatz. Damit ist einerseits der sichere Zugriff auf die rund 500 verfügbaren Applikationen bei Axpo gewährleistet. Zugleich sind damit aber auch die Remote-Desktops geschützt.

Ausserden können die Administratoren Sicherheitsrichtlinien für den Zugriff auf Anwendungen von ausserhalb des Unternehmens durchsetzen. Die dazu nötige Authentifizierung und Speicherung der digitalen Zertifikate machte bisher diverse Smartcards nötig, erklärt Franz Peter, Projekt-Manager bei Axpo Informatik, der hauseigenen IT-Dienstleisterin der Stromversorgerin. Die mit den Smartcards bestehende Situation beschreibt Peter als wenig befriedigend: «Sie waren hardwaremässig nicht sehr stabil und erforderten ein vergleichsweise aufwändiges Handling,» führt er aus.

So mussten zur Sperrung eines Benutzers dessen Zertifikate komplett widerrufen werden. Erhielt der gleiche Benutzer später erneut Remote-Access-Zugriff, wurde zuerst ein vollständig neues Zertifikat ausgestellt und dieses dann in einem weiteren Schritt wiederum auf die Smartcard aufgespielt.

Um die Authentifizierungsprozesse zu vereinfachen und die Verwaltung der Smartcards zu verschlanken, holte sich Axpo Informatik die IT-Dienstleisterin Clounet aus Muri bei Bern ins Boot. Diese erhielt den Auftrag, eine entsprechende Marktanalyse vorzulegen.

Franz Peter legte Wert darauf, dass Clounet insbesondere USB-Tokens einbezieht, die auch Einmalpasswort- respektive OTP-Funktionen (One Time Password) unterstützen. In den Vergleich traten zunächst die Angebote der Herstellerinnen Aladdin, RSA Security, Kobil und Secure Computing. Da nur Aladdin, RSA Security und Kobil die in der Studie definierten Anforderungen erfüllten, standen diese drei Firmen schliesslich auf der Shortlist.

Alle drei Anbieterinnen erfüllten die für Axpo wesentlichen Punkte: Simples Handling, einfache Verwaltung und vor allem Interoperabilität mit der bestehenden Infrastruktur. Dass die neuen Produkte neben stabiler Hardware auch über die Möglichkeit verfügen, verschiedenen Anwendern bedarfsgerechte Lösungen anbieten zu können, gehörte ebenfalls zu den Anforderungen der Axpo.

Obwohl Kobil bei Axpo bereits im Testeinsatz war, und man mit den Funktionen der RSA-Authentifizierung vertraut war, wurde aufgrund der Vergleichsergebnisse von Clounet zusätzlich Aladdins E-Token im Labor installiert, um sich einen Überblick über die drei möglichen Produkte zu verschaffen.

Diese Testinstallationen und auch die spätere Implementierung in die produktive Umgebung verantwortete die Sicherheitsspezialistin Internet Security aus Schwerzenbach. Durch deren Spezialisten konnten beispielsweise Probleme mit Microsofts Dotnet-Framework bei der ADS-Integration (Active Directory Service) rasch behoben werden.

Der Zeitraum von Projektbeginn bis zur Umsetzung in die Praxis erstreckte sich von November 2006 bis Februar 2007. Dabei ging Axpo von der Installation von 30 Testbenutzern aus. Der sukzessive Roll-out schliesst heute bereits 50 Anwender ein und soll bis Ende des Jahres 500 E-Token-Benutzer umfassen.

Schon bei der Projektplanung sei von einer schrittweisen Ablösung der bislang eingesetzten Smartcards durch einen Parallelbetrieb der E-Tokens ausgegangen worden, erläutert Peter das Konzept. Ziel sei es, dass langfristig alle internen und externen Nutzer denjenigen Token-Typ nutzen, der sich für ihr Aufgabenumfeld am besten eignet, schiebt der Projektmanager nach: «Einfaches Management und schlanke Handling-Prozesse für die Tokens setzen wir dafür voraus.»

Erste Ergebnisse hat Axpo Informatik inzwischen registriert. So lassen sich OTP-, Smartcard- sowie Flash-Tokens über die Management-Oberfläche «E-Token-TMS» (Token Management System) von Aladdin verwalten. «Verschiedene Token-Typen sind entsprechend ihrer Aufgaben dem Benutzer gezielt zuteil- und ausrollbar. Vorhandene Techniken wie Check Point und Citrix Access Gateway können ohne grosse Änderungen übernommen werden», resümiert Peter.

Aus strategischer Sicht schnitten die E-Tokens bei Axpo gut ab, weil sie im Gegensatz etwa zu den RSA-Tokens nicht nach vier Jahren ersetzt werden müssen. «Da sich ausserdem die IT-Services von Axpo Informatik auf die verschiedenen Token-Arten herunter brechen lassen, haben wir heute eine feinere Kalkulation, beispielsweise der Kosten pro User», sagt Peter.

Überzeugt hat die Aladdin-Ausführung auch, weil die diversen Token-Typen über eine Web-basierte, mandantenfähige Oberfläche verwaltet und mit der Client-Software «E-Token-RTE» (Runtime Environment) betrieben werden können. «Das Token-Management-System ist darüber hinaus vollständig MS-ADS-integriert», begründet Peter die Entscheidung von Axpo Informatik.

Weitere Informationen

Die Axpo Holding umfasst die NOK (Nordostschweizerische Kraftwerke), die CKW (Centralschweizerische Kraftwerke) sowie die EGL (Elektrizitäts Gesellschaft Laufenburg) und ist zu 100 Prozent in deren Besitz. Axpo ist in den Bereichen Stromproduktion, dessen Transport und Handel sowie mit entsprechenden Dienstleistungen in der Schweiz und Europa aktiv. Im letzten Geschäftsjahr wurden mit 3098 Mitarbeitern 9,392 Milliarden Franken umgesetzt, im Jahr zuvor waren es 6,684 Milliarden Franken. Seit 2001 unterhält der Konzern mit Axpo Informatik eine eigene IT-Sparte. Diese ist in Baden domiziliert und beschäftigt rund 130 Mitarbeiter. Vertreten ist die Informatiksparte von Axpo mit regionalen Supportorganisationen in Aarau, Beznau, Dietikon, Schaffhausen und Zürich. Von dort aus werden aktuell rund 3200 Anwender und rund 500 Applikationen betreut.