Security bei der LVM Versicherung

Eine Smart Card für Linux und Windows

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Die LVM Versicherung hat ihre Benutzerauthentisierung vereinheitlicht: An allen Clients - ob Linux oder Windows - melden sich die User nun mit einer Karte an.
Das Wappentier der LVM im Foyer des Hauptgebäudes
Das Wappentier der LVM im Foyer des Hauptgebäudes
Foto: LVM

Für manche Branchen gelten in der IT besonders hohe Sicherheitsanforderungen. Dazu zählen vor allem die Versicherer. Hier werden extrem sensible Daten verarbeitet. Geraten diese Informationen in die falschen Hände, können hohe monetäre Schäden entstehen. So stellt zum Beispiel die eCrime-Studie 2010 von KMPG fest: "Die Schadenshöhen rangieren zwischen 100 000 Euro und Millionenbeträgen pro Einzelfall. Vor allem Datendiebstahl und das Ausspähen von geschäftskritischen Unternehmensinformationen verursachen Schäden von über einer Million Euro pro Vorfall." Noch schwerwiegender ist jedoch der damit einhergehende Vertrauensverlust bei den Kunden. Auch wenn man dem Konzept der "Return on Security Investment" (RoSI) skeptisch gegenüber steht: Die potentiellen Schäden rechtfertigen gezielte Investitionen in die IT-Sicherheit allemal.

Die Ausgangssituation

Diese Ansicht vertritt auch das Management der LVM in Münster. Die Versicherung verfolgt die Strategie, wo es sinnvoll ist, Open-Source-Lösungen einzusetzen. An den Standardarbeitsplätzen kommt schon seit Jahren Linux als Betriebssystem zum Einsatz. Aktuell setzt LVM das LTS-Release (Long Term Support) Ubuntu 10.04 von Canonical ein. Rund 10 000 Systeme betreibt die Versicherung damit. Die Benutzerverwaltung basiert auf dem offenen Standard LDAP. Hier nutzt die LVM den IBM Tivoli Directory Server.

Schon seit 2002 melden sich die Anwender an den Linux-Clients mit Hilfe einer Smart Card an. Dieses sichere Verfahren zur Benutzerauthentisierung sollte auf Wunsch der Sicherheitsbeauftragten, der internen Revision und nicht zuletzt des Vorstands auf die parallel betriebene Windows-Welt ausgeweitet werden.

Windows in vielen Sonderfällen

Daniel Timmerhindrick, im Bereich DV-Infrastruktur der LVM für die Sicherheit der Anwendungssysteme verantwortlich, erläutert: "Neben den Linux-Clients betreiben wir ungefähr 1000 Windows-Arbeitsplätze, aktuell noch mit Windows XP. " Unter anderem werde Windows häufig von Spezialisten genutzt.

In dieser Windows-Umgebung geschah die Authentisierung gegen ein Active Directory, die Benutzer meldeten sich bislang mit Benutzernamen und Passwort an ihren Rechnern an. Sicherheitstechnisch entsprachen diese Rechner damit nicht mehr dem Schutzbedürfnis der LVM.

Daniel Timmerhindrick ist bei der LVM für die Sicherheit der Anwendungssysteme zuständig.
Daniel Timmerhindrick ist bei der LVM für die Sicherheit der Anwendungssysteme zuständig.
Foto: LVM

Die bestehende Smart-Card-Lösung einfach auf die Windows-Welt zu übertragen wurde bereits in der ersten Projektplanung im Februar 2010 verworfen. "Eine Integration von nativen Windows-Smart-Cards wäre in unserer Infrastruktur recht aufwändig gewesen", führt Timmerhindrick aus: "Da Windows bei uns eben nur auf Arbeitsplätzen von Spezialisten eingesetzt wird, sind wir in dem Bereich nicht so breit aufgestellt wie im Linux-Umfeld."

Die LVM wollte die vorhandenen Prozesse möglichst unverändert lassen und auch die Windows-Systeme möglichst wenig anrühren. Die Smart Cards der Windows-Benutzer sollten nicht über das Active Directory, sondern über Linux mittels der bestehenden internen Public Key Infrastructure (PKI) ausgestellt werden. Zudem war gefordert, dass die bestehenden Smart Cards weiter eingesetzt werden könnten, denn sie dienen gleichzeitig als Zugangs- und Zahlkarte für alle Mitarbeiter.

Die Lösung fand die LVM beim Wiener Software-Haus Comtarsia IT-Services GmbH. Dessen Angebot versprach, den Bedarf der LVM mit geringem Anpassungsaufwand abzudecken.