Integrierte Lösung sichert Verlagshaus und IT

Bild-Zeitung: Die Chipkarte gewährt Zugang zum PC

03.03.2000
Der Axel Springer Verlag setzt auf eine umfassende Sicherheitsphilosophie: Eine Chipkartenarchitektur schützt nun die IT-Infrastruktur. Die schlauen Plastikkarten kontrollieren zudem als Türöffner den Gebäudezutritt und dienen den Mitarbeitern in der Kantine als Geldkarte. Stefanie Schneider* hat sich die Lösung angeschaut.

Mit halbherzigen Lösungen in Sachen IT-Security hat die Axel Springer Verlag AG nichts am Hut. Als feststand, dass die Datenverarbeitung im Haus vollständig auf Client-Server-Lösungen umgestellt wird, dachte man gleichzeitig über umfassende Schutzmechanismen nach. "Wir wollten mindestens das gleiche Maß an Sicherheit erreichen wie zuvor im Mainframe-Umfeld", erläutert Michael Zurheide, Hauptabteilungsleiter Systeme und Technologien, den Anspruch, der in ein umfassendes Sicherheitskonzept mündete. Denn schützenswerte Daten gibt es in einem Verlagshaus genug, das mit Objekten wie "Bild" in der deutschen Presselandschaft vertreten ist. Neben den betriebswirtschaftlichen Informationen sieht der IT-Manager insbesondere die in den Redaktionen produzierten Daten als sensibel und wichtig für den Erfolg des Unternehmens.

Deren Sicherung ist umso schwieriger, als die IT-Abteilung mit einer recht heterogenen Struktur zurechtkommen muss. Neben der im kommerziellen Umfeld weitgehend homogenen IT-Landschaft existieren im redaktionellen Bereich entsprechend den verschiedenen Aufgaben (Zeitschriften, Zeitungen, Online-Objekte) verschiedene IT-Systeme und Verfahren. Als Betriebssysteme werden Unix und Windows NT eingesetzt. Etwa 350 Server tun ihren Dienst. Die Vielfalt der Datenbanken reicht von Sybase-Produkten über Microsofts "SQL Server" bis hin zu Oracle. Die betriebswirtschaftlichen Funktionen werden über SAP R/3 abgewickelt, ein externer Dienstleister kümmert sich um den reibungslosen Betrieb. Solche Standardapplikationen werden durch spezifische Anwendungen ergänzt: "Für die umfangreiche Vertriebsunterstützung, etwa der Bild, gibt es keine Standardsoftware", erklärt Zurheide.

Virenscanner und Firewalls kamen schon recht frühzeitig zum Einsatz. Zuerst wurden die PCs mit entsprechender Software ausgestattet, dann die E-Mail-Server, und letztlich wurden die Verbindungen nach außen per Firewall abgeschottet. Dass dabei ein Restrisiko in Kauf genommen werden muss, ist dem Projektverantwortlichen Zurheide klar. "Der Schutz aller externen Zugänge wäre wünschenswert. Die berühmten 100 Prozent Sicherheit wird man jedoch in einer heterogenen, historisch gewachsenen und sich dynamisch verändernden Umgebung nicht erreichen, sondern vielleicht 98 Prozent. Damit muss man zufrieden sein."

Da eine derart umfassende Absicherung über punktuelle Einzellösungen nicht zu erreichen war, kam für die IT-Spezialisten des Springer-Verlags nur ein in sich geschlossenes Konzept als Fortführung der Sicherheitsarchitektur bis hinunter auf die Anwendungsebene in Frage. Die bereits 1996 begonnene Suche nach entsprechenden Lösungsansätzen brachte die IT-Abteilung auf die Chipkarte - zu einer Zeit, in der diese erst langsam als Technologie für Zugriffs- und Datenschutz ins Gespräch kam. Heute dürfte das Verlagshaus damit eine der innovativsten Security-Architekturen realisiert haben.

Die Smartcards sind der Dreh- und Angelpunkt der IT-Sicherheit im Hause Springer, ohne sie gibt es keinen Zugriff auf das System. Das gilt nicht nur für den Desktop, auch die Anwendungen und die Datenübertragungswege sind somit geschützt. Hierfür sorgt ein Server-Trio: Ein "Sicrypt"-Server von Siemens verwaltet und authentifiziert alle Benutzerschlüssel. Ein Datenbank-Server hält pro Benutzer fest, welchen Ausweis und welche Berechtigungen er hat. Zudem stellt er Verbindung zur Firewall her und definiert, welche Anwendungen der Benutzer jenseits der "Raptor"-Firewall - das Produkt von Axent wacht über die kritischen Applikationen - erreichen darf.

Erst nach Einschieben der Chipkarte und Abfrage einer persönlichen Identifikationsnummer (PIN) läuft die Startroutine des Desktop-Betriebssystems weiter und setzt die Authentifizierung über den Sicrypt-Server in Gang. Der Client baut mit dessen Hilfe über die Firewall eine getunnelte, das heißt gesicherte und bei Bedarf verschlüsselte Verbindung zu den Applikations-Servern auf. Alle Daten laufen dann beim Transport über einen geschützten IP-Kanal. Die Firewall liest die auf dem Datenbank-Server vorliegenden Berechtigungslisten aus, um festzustellen, welcher Benutzer auf welche Applikationen zugreifen darf. "Die Firewall dazu zu bringen, diese Tabellen zu lesen, war knifflig", erinnert sich der Projektleiter.

Zur Abbildung der Organisationsstruktur wird das "Organisations- und Informationssystem" (OIS) von Siemens eingesetzt, das auch die Verwaltung von Rollen und Kompetenzen erlaubt. Freigeschaltet werden die Anwendungen anhand der IP-Adresse des Servers sowie als zusätzliche Schutzmaßnahme über die IP-Ports, über die sie am Applikations-Server adressiert werden. Nur wenn alle diese Bedingungen erfüllt sind, kann auf Applikationen und Daten zugegriffen werden.

Bislang sind einige Vertriebssysteme und eine Revisionsanwendung per Smartcard vor unberechtigtem Zugriff geschützt. Andere werden nach und nach integriert. Applikationsseitig entsteht dabei kein Aufwand. Zurheide erklärt: "Wir sind mit dieser Lösung unabhängig von der Anwendung. Sie wird nur durch die IP-Adresse und die Kombination der Ports repräsentiert. Andernfalls hätten wir unsere Applikationen modifizieren müssen, um sie in eine Security-Architektur einzubinden." Insgesamt soll die Lösung einmal alle relevanten Server, zum Beispiel für SAP R/3, Personal und Anzeigen umfassen. Bislang werden auf der Client-Seite nur Windows 95 und Windows NT unterstützt, aber dem Sicherheitsexperten zufolge besteht auch eine Option für Macintosh-Systeme: "Immerhin haben wir hier im Verlag eine ganze Menge davon."

In der Praxis viel TüfteleiDie praktische Umsetzung der Lösung verlangte jedoch einige Programmierarbeit und viel Tüftelei. Als Generalunternehmer realisierte die Siemens-Tochter SBS zusammen mit dem IT-Team des Axel Springer Verlags die Integration der Systeme, die bislang so noch nicht zusammengespielt hatten. Doch diese Herausforderung konnte gemeinsam gemeistert werden: Kartenleser, Authentisierungs-Client, Sycript-Server, Firewall-System und der Datenbank-Server mit den Berechtigungstabellen arbeiten nun verzahnt. Das erforderte unter anderem eine Middleware auf den Clients sowie Anpassungen an der "Raptor"-Firewall, die kräftige Eingriffe ins System mit sich brachten.

3000 Desktops und Notebooks wurden bislang mit einem Chipkartenleser ausgestattet. Erstere erhielten ein Standgerät, bei den tragbaren Rechnern wird der PCMCIA-Steckplatz dafür genutzt. Tastaturen mit integriertem Leser kamen laut Zurheide aufgrund der bereits vorhandenen Hardware nicht in Frage. Da der Axel Springer Verlag die Multifunktionalität heutiger Kartentechnologien voll ausnutzt, sprich nicht nur die DV absichern wollte, verfügen die dort eingesetzten Smartcards sowohl über kontaktlose als auch kontaktbehaftete Prozessoren. Entsprechend wurde auch auf die Integrationsmöglichkeiten der verschiedenen Smartcard-Anwendungen geachtet: Den Schutz der DV-Systeme übernimmt der kontaktbehaftete Sicrypt-Chip. Doch den Mitarbeitern dient die Kartenlösung auch als Zutrittsmöglichkeit ins Unternehmen, wofür die Berechtigungen über ein eigenständiges Zutrittskontroll-System geprüft werden. Diese Lösung war schon vorhanden und wurde ins Gesamtkonzept eingebunden. Darüber hinaus fungiert die Smartcard als Geldkarte für die Kantine. Beim Bezahlen der Speisen kommt der konktaktlose Mifare-Chip zum Einsatz.

Somit wurde die Smartcard zum zentralen Tool der Mitarbeiter des Axel Springer Verlags. Bei rund 12000 Beschäftigten, von denen einige Tausend das komplette Kartensystem nutzen, muss dafür auch die entsprechende Infrastruktur zur Erstellung und Ausgabe der Karten geschaffen werden. Der Axel Springer Verlag erwirbt von Siemens die Rohlinge für die schlauen Plastikkarten, die mit einem leeren Chip ausgestattet und firmenspezifisch gestaltet sind. Im Zuge der Personalisierung werden auf den Ausweisen die persönlichen Daten des Mitarbeiters, etwa dessen Name, sowie sein Bild aufgedruckt. Darüber hinaus werden die Chips mit den benutzerspezifischen Daten und den persönlichen Schlüsseln geladen. Im ganzen Unternehmen existieren derzeit sieben mit digitaler Kamera, einem PC-System und Drucker ausgestattete Stellen, an denen die persönlichen Smartcards der Benutzer angefertigt werden.

Langfristig ist eine Netztrennung geplantDas Freischalten der PIN erfolgt im Fachbereich. Dort gibt es auch eine Ersatzkarte, falls ein Mitarbeiter seine vergessen haben sollte. Organisatorische Basis ist auch hier das OIS-Tool. Es enthält neben den Organisationsstrukturen des Unternehmens auch alle Kartendaten eines Benutzers und ermöglicht so eine komplette Kartenverwaltung.

Langfristig ist noch an andere Einsatzbereiche für die Smartcards gedacht, etwa digitale Signaturen und die Integration in Windows 2000. In Sachen DV-Absicherung hat Zurheide ebenfalls Pläne. Denn allein mit der Smartcard-basierten Sicherheitsarchitektur gibt sich der IT-Profi nicht zufrieden: "Langfristig wird es auf eine physikalische Netztrennung mit drei Sicherheitszonen hinauslaufen, um das Restrisiko durch Schadsoftware auszuschließen - separate Netze also für die wirklich harten Produktionssysteme und die Arbeitsplätze, die überwiegend Kommunikation betreiben."

* Stefanie Schneider ist freie Journalistin in München

Axel Springer Verlag AGDas vom Hamburger Verleger Axel Springer 1946 gegründete Unternehmen ist eines der bedeutendsten europäischen Medienunternehmen mit Verlagszentralen in Berlin und Hamburg. 1998 erwirtschaftete Springer mit rund 12 000 Mitarbeitern einen Gesamtumsatz von 4,8 Milliarden Mark. Mit einer Vielzahl von Zeitungen, Zeitschriften, Spezialtiteln und Offertenblättern im In- und Ausland, mit Buchverlagen sowie eigenen Druckereien und Vertriebsorganisationen liegt das Kerngeschäft des Verlages auf dem Print-Sektor. Gleichzeitig engagiert sich das Unternehmen bei den elektronischen Medien in den Bereichen Videotext, Telefonmehrwertdienste und Online-Angebote, darüber hinaus mit Beteiligungen an Fernseh- und Rundfunksendern sowie TV-Produktionsfirmen.