Single-Sign-on

Eine Smartcard für das ganze Netzuniversum

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Eine Smartcard-Authentifizierung in eine bestehende Infrastruktur zu integrieren ist problematisch. Das Deutsche Zentrum für Luft- und Raumfahrt (DLR) hat die Lösung in einer Zwischenschicht gefunden.
Jeder Arbeitsplatz im Kontrollzentrum hat drei Bildschirme.
Jeder Arbeitsplatz im Kontrollzentrum hat drei Bildschirme.
Foto: Joachim Wendler

Sicherheit ist eine Grundtugend der IT. Umso mehr, wenn durch unbefugten Zugriff auf die Systeme Menschenleben und hohe Sachwerte in Gefahr geraten. Entsprechend aufwändig ist das Sicherheitskonzept im German Space Operations Center (GSOC) des Deutschen Zentrums für Luft- und Raumfahrt in Oberpfaffenhofen. Hier wird unter anderem rund um die Uhr das Columbus-Modul der internationalen Raumstation ISS gesteuert.

Drei separate Netze

Wie in vielen anderen Unternehmen mit hohen Sicherheitsanforderungen basiert das Konzept des GSOC auf getrennten Netzwerken unterschiedlicher Schutzstufen, die keine Berührungspunkte haben: Im "Ops"-Netz findet die eigentliche Steuerung des Forschungsmoduls im Erdorbit statt, darunter die Kontrolle der lebenserhaltenden Systeme im Columbus-Modul. Hier gelten - damit kein Unbefugter Kommandos an die ISS absetzen kann - strengste Sicherheitsrichtlinien, wie sie zum Beispiel in Banken üblich sind.

Projektsteckbrief

Projektname: Netzzugang im GSOC/Col-CC des Deutschen Zentrums für Luft- und Raumfahrt.

Branche: Luft- und Raumfahrt.

Projektkategorie: Benutzerauthentifizierung

Kernprodukte: Comtarsia SignOn Gate, Comtarsia Logon Client.

Systemumgebung: Windows, Linux, LDAP.

Herausforderungen: Integration von bestehender Windows-Domain und Active Directory in ein führendes LDAP; Einführung von Smartcard-Authentifizierung (PKI) innerhalb einer bestehenden Infrastruktur.

Stand des Projekts/Zeitrahmen: Laufzeit 1,5 Jahre, produktiv seit Juni 2008.

Involvierte Anbieter/Dienstleister: Comtarsia IT Services GmbH, Insyen AG.

Ansprechpartner: Jürgen Fein (DLR), Harald Stößner, Insyen AG, Oberpfaffenhofen.

Parallel dazu existiert das "Ops-Support"-Netz. In diesem Segment laufen verschiedene Hilfsmittel für die Flight Controller, etwa ein Tool zur minutiösen Tagesplanung der ISS-Besatzung. Die Sicherheitsansprüche hier sind mit den Standards in unternehmenskritischen Bereichen anderer Industrien vergleichbar: Ein Fehler im System oder eine Manipulation der IT von außen könnte gravierende Störungen im Ablauf der Raumfahrtmission und nicht zuletzt hohe Kosten zur Folge haben.

Die geringsten Sicherheitsansprüche bestehen im Office-Netz. Nur innerhalb dieses Teils der Infrastruktur kann auf das Internet zugegriffen werden. Office-Programme und E-Mail dominieren dieses Segment.