Suchen

Fallstudie zum SafeNet Authentication Manager Sicherer Remote-Zugriff für CANCOM-Mitarbeiter

Autor / Redakteur: Thorsten Krüger, SafeNet / Stephan Augsten

Durch Übernahmen hat sich das Systemhaus CANCOM stark vergrößert. Um weiterhin einen sicheren Zugriff auf die Systeme gewährleisten zu können, benötigte das Unternehmen eine übergreifende Authentifizierungsplattform. Diese Fallstudie beleuchtet den neuen Remote-Access-Ansatz.

Die CANCOM AG musste ihre Remote-Access-Lösungen konsolidieren.
Die CANCOM AG musste ihre Remote-Access-Lösungen konsolidieren.
(Bild: CANCOM)

CANCOM entschied sich 2010, die bisherige Strategie für den Fernzugriff neu aufzustellen. Durch zahlreiche Übernahmen waren innerhalb der Unternehmensgruppe unterschiedliche Remote-Access-Lösungen für verschiedene Einsatzbereiche und Mitarbeiter in Betrieb. Dadurch entstanden unnötige Mehrkosten und ein administrativer Overhead.

Aufgrund dessen begann CANCOM damit, die Systeme auf einer einheitlichen Plattform zu konsolidieren. Dazu implementierte das Systemhaus die CANCOM Application Hosting Plattform (AHP) Private Cloud und ein SSL-VPN (Virtual Private Network) für den Fernzugriff. Damit wurde eine einheitliche Lösung für alle Mitarbeiter geschaffen, die von außen auf das Unternehmensnetz zugreifen müssen.

Die CANCOM AHP Private Cloud wurde verschiedenen Zertifizierungsprozessen nach ISO 9001-2008 unterzogen. Dazu mussten alle Fernzugriffe auf das System mit einer starken Authentisierung abgesichert sein. Zusätzlich unterliegt das Unternehmen als Aktiengesellschaft zahlreichen gesetzlichen Vorgaben, die zwingend eine abgesicherte IT erfordern.

Beim Design und bei der Spezifikation des neuen Systems mussten einige besondere Anforderungen von CANCOM berücksichtigt werden:

Flexibilität: Eine umfassende und flexible Back-End-Lösung zur Authentisierung, die sowohl eine breite Palette an Authentisierungsmethoden und Sicherheitsanwendungen unterstützt als auch mit dem Sicherheitsbedarf des Unternehmens mitwachsen kann.

Benutzerfreundlichkeit: Die Mitarbeiter sollen je nach ihrer Rolle im Unternehmen und ihren Arbeitsgewohnheiten über unterschiedliche Authentisierungsmethoden verfügen können.

Mobile Authentication: Starke Authentisierung soll auch auf Smartphones verfügbar sein, mit besonderer Unterstützung für Blackberry, iPhone und Android.

TCO: Eine möglichst schlanke Authentisierung durch Einbindung der Benutzerdaten des bei CANCOM vorhandenen Active Directories.

Sicherheit: Zum einen sollte sich die Authentisierungslösung nahtlos auf die Sicherheitsprodukte von Drittanbietern wie Citrix, OWA oder Fortinet erweitern lassen. Außerdem war gewünscht, dass sich robuste Mechanismen wie die zertifikatsbasierte Authentisierung für privilegierte Benutzer in das Authentisierungs-Back-End integrieren lassen.

CANCOM legte besonders Wert auf die Kompatibilität zu den eingesetzten Drittanbieterlösungen, die Integration in die MS-Struktur sowie die Unterstützung von iPhones und iPads. Außerdem sollte eine Zwei-Faktor-Authentisierung für die Cloud eingerichtet werden, die CANCOM AHP Private Cloud, um sich vor unbefugten Zugriffen zu schützen.

Auswahl und Integration der Lösung

Um die geschäftlichen Anforderungen ebenso wie die Sicherheitsziele bei der Implementierung einer einheitlichen Plattform für den sicheren Zugriff zu erfüllen, entschied sich CANCOM für den Authentication Manager sowie eine Reihe von Authentisierungsgeräten von SafeNet.

Beim SafeNet Authentication Manager handelt es sich um eine Lösung, die verschiedene Sicherheitslösungen sowie unterschiedliche Authentikatoren und Authentisierungsmethoden unterstützt. Dazu zählen unter anderem die mobile Authentisierung, zertifikatsbasierte Authentisierung oder Einmalpasswörter (OTP, One-Time Passwords).

Die technische Integration

Die AD-Verbindung wurde per Installation im ADAM-Mode integriert, um das produktive Schema nicht erweitern zu müssen. Die Anbindung an Microsoft CA (Certificate Authority) und die OTP-Authentisierung erfolgen über Radius. Dafür ist ein durchgängiges Authentisierungskonzept erforderlich, das anhand von Gruppenzugehörigkeiten über Benutzer und Berechtigungen entscheidet.

Für die Anmeldung von extern wird ein Einmalpasswort wie der eToken Pass und der Mobile PASS als iOS App eingesetzt. Für die zertifikatsbasierte Authentisierung in der Pre-Boot-Phase bei Laptop-Benutzern mit verschlüsselten Festplatten werden USB-Token eingesetzt.

Die Sicherheitslösungen von Drittanbietern wie Citrix und OWA unterstützen die Authentisierung über das Standard-Radius-Protokoll, so dass eine reibungslose Anbindung gewährleistet wird. Die zusätzlichen Authentisierungsmethoden wie die zertifikatsbasierte Authentisierung für privilegierte Nutzer wurden durch den Einsatz von Hybridtoken wie eToken NG-OTP realisiert, die sowohl Zertifikate als auch OTP unterstützen.

Mögliche Fallstricke

Bei der Migration muss gewährleistet sein, dass die geheimen PINs vertraulich übermittelt werden. Die SafeNet-Landschaft sollte auf jeden Fall redundant aufgebaut werden, da bei einem Ausfall keine neue Authentisierung mehr möglich ist.

Die umfangreichen Funktionen und Möglichkeiten des Authentication Manager bergen auch die Gefahr, bei der Konfiguration den Überblick zu verlieren. Hilfreich ist es daher, die Konfiguration gerade zu Beginn der Nutzung flach zu halten, um sie im Bedarfsfall zu erweitern.

Flexibilität

Dank der Unterstützung zahlreicher Formfaktoren, verschiedener Authentisierungsmethoden, nativer Active-Directory-Integration und ausgereifter Möglichkeiten zum Authentication Lifecycle Management ermöglichte es der SafeNet Authentication Manager, alle Operationen für den sicheren Zugriff auf einen einzigen Authentisierungs-Server zu konsolidieren.

Die Integration mit dem zentralen Microsoft Active Directory von CANCOM sowie der Einsatz standardisierter Komponenten wie Microsoft Radius-Server (Network Policy Server NPS) machten zusätzliche Verzeichnisdienste oder andere proprietäre Systeme überflüssig. Mit dem SafeNet Authentication Manager kann das Unternehmen alle Token-Funktionen sowie Client-Lösungen über eine einzige Management-Konsole ausrollen und verwalten.

CANCOM hat verschiedene Authentisierungsmethoden für unterschiedliche Benutzergruppen eingeführ. Zudem verfügt CANCOM mit dem SafeNet Authentication Manager über die Möglichkeit, ohne Änderungen am Back-End-Server bei Bedarf weitere Formfaktoren oder Technologien wie etwa die zertifikatsbasierte Authentisierung zu implementieren.

Benutzerfreundlichkeit

Basierend auf der Rolle eines Mitarbeiters im Unternehmen und seiner Arbeitsgewohnheiten kann CANCOM nun verschiedene Authentisierungsmethoden anbieten. Dazu gehören auch mobile Authentikatoren, die einfach auf dem Smartphone des Mitarbeiters installiert werden.

Mobile Authentication

Einer der ausschlaggebenden Gründe für die Einführung der SafeNet-Lösung war die Unterstützung einer Strategie, bei der die unterschiedlichen Komponenten beliebig kombinierbar sind. So ist CANCOM in der Lage, die MobilePASS Software-Authentisierung auf iPhones, Android, Blackberry und anderen Smartphones parallel zu den Hardware-Token auszurollen.

Besonders MobilePASS für iPhone und Android fand innerhalb des heterogenen Benutzerumfelds von CANCOM großen Anklang, denn es ist keine zusätzliche Hardware nötig und gewährleistet den sicheren Zugriff auf die CANCOM AHP Private Cloud Services. Der Anwender kann sein Einmalpasswort bequem per App auf dem Smartphone abfragen.

Für die Anwender ist der Migrationsprozess besonders zu beachten. Ohne den Token und Einmalpasswort kann sich der Nutzer nicht mehr authentisieren und somit auch nicht mehr an der Cloud-Lösung anmelden.

Die Anwender müssen auf den neuen Login-Prozess vorbereitet werden. Um sich abzusichern, wenn der Token gestohlen wird oder verloren geht, müssen sie sich im Selfservice-Portal registrieren und Sicherheitsfragen eingeben, um den Token entsprechend sperren und freischalten zu können.

Über den Autor

Thorsten Krüger ist Director Regional Sales bei SafeNet.
Thorsten Krüger ist Director Regional Sales bei SafeNet.
(Bild: SafeNet)

(ID:36332550)