Single-Login und dreistufige Zugriffskontrolle

Bayerische Sparkassen setzen auf Sicherheitslösung von Norcom

09.10.1998

Insgesamt 102 Sparkassen mit zusammen mehr als 3300 Geschäftsstellen sind als rechtlich selbständige Einheiten in der Sparkassen-Finanzgruppe Bayern organisiert. Die DV-Dienstleistungen erledigen zwei Unternehmen: Das Informatik-Zentrum Bayern (IZB) sorgt für die IT-Infrastruktur in den zentralen Rechenzentren und in den Weitverkehrsnetzen. Die IZB Soft evaluiert die Komponenten der dezentralen IT-Infrastrukturen in den Sparkassen (einschließlich des LAN) und gibt diese für den Betrieb frei. Vor allem aber bietet sie die komplette Palette bankfachlicher Anwendungen, leistet Hilfestellung bei der Einführung dieser Produkte und bei Problemen in den Außenstellen.

Um das Verbundnetz und sämtliche darüber laufenden Anwendungen der Sparkassen abzusichern, hat die IZB Soft eine Lösung gesucht, die sich einfach administrieren läßt und zudem in bestehende Software einzubetten ist. Diesen Punkt betont Wolfgang Ortner, Leiter Kompetenz Center Sicherheit, besonders: "Uns kam es vor allem darauf an, Sicherheitselemente nicht bloß draufzukleben, sondern sie wirklich zu integrieren." Daneben spielten für ihn und seine Mannschaft aber auch Faktoren wie Zukunftssicherheit eine wichtige Rolle. Die zu implementierende Lösung sollte beispielsweise auf jeden Fall die Möglichkeit bieten, zu einem späteren Zeitpunkt Verfahren wie Chipkarten oder Agententechnologien zu integrieren. Außerdem wollte das IZB Soft eine skalierbare Lösung: Schließlich galt es, Sparkassen in Größenordnungen von 50 bis zu mehr als 1000 Mitarbeitern gleichermaßen in das System einzupassen.

1996 erstellten mehrere Abteilungen gemeinsam einen Anforderungskatalog und begannen damit, entsprechende Lösungen zu evaluieren. Anfang 1997 hatte sich das Feld bis auf zwei Produkte gelichtet. Nach ausgiebigen Tests fiel die Wahl schließlich auf das Sicherheitsmodul der Produktfamilie Distributed Application Services (DAP) des Herstellers Norcom.

"DAP Security" ermöglicht unter anderem ein einheitliches, einmaliges Login auf allen Betriebssystemen, Client-Server-Zugriffsschutz nach dem Kerberos-Standard sowie eine dreistufige Kontrolle der Zugriffe auf Ressourcen im Netz. Der Hersteller setzt hierbei ein Ticketing-Verfahren ein, bei dem das Paßwort des Anwenders bei der Anmeldung gegen eine elektronische Sicherheitsmarke getauscht wird. Mit dieser authentifiziert sich der Client dann gegenüber dem Anwendungs-Server, ohne daß der Anwender davon etwas mitbekommt. Er braucht sich demnach nur einmal an der Netzgrenze einzuloggen, während mit DAP Security bei jedem Zugriff auf Ressourcen automatisch ein mehrstufiger Sicherheitscheck (Authentifizierung und Autorisierung des Benutzers) abläuft.

Die jeweiligen Berechtigungen verwaltet die Norcom-Lösung nicht auf Basis von Personennamen, sondern mit Hilfe eines Modells, das auf einer beliebigen Anzahl hierarchisch gegliederter Rollen basiert (siehe Grafik). Jedem Anwender im Netz sind ein oder mehrere solcher Rollen zugeordnet, wobei die Hierarchie der einzelnen Rollen untereinander in einer Baumstruktur abgebildet wird. Auch Administrationsrechte im Netz lassen sich so festschreiben.

Dieses Prinzip erleichtert die Arbeit der Netzverwalter insofern, als sie Änderungen, Erweiterungen oder Einschränkungen von Rechten nicht wie sonst üblich bei allen betroffenen Anwendern, sondern lediglich bei den festgelegten Rollen vornehmen müssen. Im Alltag einer Sparkassenfiliale hat dieses Verfahren noch weitere Vorteile. Fällt beispielsweise ein Kassierer aus, so kann er von einem anderen Mitarbeiter recht schnell ersetzt werden. Der Administrator muß ihm lediglich die Rolle "Kassierer" (die gegebenenfalls mit weiteren Rollen verknüpft ist) zuweisen, und schon verfügt der Angestellte ohne Komplikationen über alle notwendigen Berechtigungen. Ohne eine Lösung wie DAP Security müßten dem Anwender in einem solchen Fall umständlich alle Zugriffe auf Ressourcen erst freigeschaltet und später entsprechend wieder gesperrt werden.

Dabei ist es für die Sparkassen in Bayern von Vorteil, daß die Berechtigungsänderungen nicht von einem zentralen Administrator erfolgen müssen, sondern direkt vom Netzverantwortlichen in der Filiale vorgenommen werden können. Da auch in puncto Verwaltung das Rollenmodell Anwendung findet, können kritische Aufgaben der Administration zentral gehalten werden, während sich Kompetenzen für begrenzte Bereiche auf die lokale Ebene weiterreichen lassen. "Dezentrale Administration, zentrale Sicht" faßt Ortner das diesem Ansatz zugrundeliegende Prinzip zusammen, das für ihn eine "granulare Delegation von Administrationsaufgaben" bedeutet.

Seit Juli 1998 wird die Norcom-Lösung in den bayerischen Sparkassen installiert, bis zum Jahresende soll sie flächendeckend zur Verfügung stehen.