Balance zwischen Business und Security

06.02.2007
Wie Eurocopter einen Mittelweg zwischen den Anforderungen der Entwickler und den Bedenken der Sicherheitsexperten fand.

Das aus Sicht des Business Naheliegende rückt oft in weite Ferne, sobald Security-Fragen berührt werden. Das gilt vor allem für Unternehmen, die in sicherheitskritischen Bereichen tätig sind.

Das deutsch-französisch-spanische Gemeinschaftsunternehmen Eurocopter fertigt hauptsächlich Hubschrauber - angefangen vom fünfsitzigen "Colibri" bis zu militärischem Fluggeräte wie dem "Tiger" mit seinem charakteristischen Heckrotor. Jeden zweiten Tag verlässt eine Maschine die Produktionshallen der deutschen Zentrale im schwäbischen Donauwörth. Zudem werden dort die großen, aus den USA und aus England stammenden Transporthubschrauber der Bundeswehr gewartet. Verschärfte Anforderungen an die Datensicherheit liegen da auf der Hand - ganz zu schweigen von der Furcht vor Industriespionage beziehungsweise dem Bestreben, geistiges Eigentum zu schützen.

Sicherheit wird bei Eurocopter groß geschrieben – in der Hubschrauberproduktion wie in der IT.
Sicherheit wird bei Eurocopter groß geschrieben – in der Hubschrauberproduktion wie in der IT.

Demgegenüber stehen jedoch die Bedürfnisse der Produktentwickler und Supply-Chain-Manager, die einen weltweit ungehinderten, schnellen und sicheren Austausch von Daten und Dokumenten benötigen. Akut wurde das Problem in einem Eurocopter-Bereich, der eigentlich nur eine Nebenrolle spielt: Donauwörth hat etwa 20 Prozent seiner Kapazitäten für den Bau von Flugzeugtüren reserviert - für die Airbus-Maschinen der ebenfalls zum EADS-Konzern gehörenden Airbus Industries. Dieses Profit-Center ging vor etwa zwei Jahren eine Kooperation mit einem chinesischen Zulieferer ein und suchte nach einer effektiven Möglichkeit, den Ansprechpartnern in Fernost mit möglichst wenig Aufwand umfangreiche Konstruktionszeichnungen zu übermitteln.

E-Mail-Programme sind dazu nicht in der Lage; das bei Eurocopter genutzte "Microsoft Outlook" stößt bei 3 MB an seine Kapazitätsgrenze. Der Postversand von eigens gebrannten CDs hingegen birgt eine Reihe von Unsicherheiten, beispielsweise die Gefahr des Diebstahls. Und dass Eurocopter-Mitarbeiter die Datenträger im Handgepäck auf die Dienstreise mitnehmen, wie in Einzelfällen praktiziert, eignet sich wohl kaum als dauerhafte Lösung. Da war die Versuchung groß, auch schon mal eine technisch unsichere Lösung zu nutzen. Den Security-Verantwortlichen werden allein beim Gedanken daran die Haare zu Berge gestanden haben.

IT gehört zur Global Supply Chain

Alle Eurocopter-Bereiche sind länderübergreifend organisiert. Das gilt auch für die Informationstechnik. Der CIO hat seinen Schreibtisch in Marseille, aber sein Zuständigkeitsbereich erstreckt sich direkt über alle drei Länder und indirekt über 20 Niederlassungen auf dem ganzen Erdball. Letzteres gilt auch für Senior-Manager Manfred Seiler, der von Donauwörth aus für alle technischen Systeme verantwortlich zeichnet - beispielsweise für CAD- und CAM-, Produkt-Daten-Management- (PDM) und Dokumenten-Management-Systeme. Der studierte Maschinenbauer ist froh darüber, dass die Euocopter-IT nicht dem Finanz-, sondern dem Global-Supply-Chain-Ressort untersteht. "Dort sind wir besser ins Business integriert", bestätigt er jüngste Erkenntnisse der Management-Berater, "im Finanzbereich spricht man schnell nur noch über Controlling-Themen".

Aufgrund der Nähe zum Business fühlte sich Seiler besonders herausgefordert, als die Aibus-Abteilung ihre Probleme mit dem Dokumentenaustausch auf den Tisch packte - zumal es ja nur eine Frage der Zeit war, bis dieses Thema auch den anderen Unternehmensbereichen unter den Nägeln brennen würde: "Die Globalisierung verlangt eine verstärkte Integration der Zulieferer", konstatiert der Leiter IT-Projekte und -Applikationen R&D. Die Nachfrage nach einer Austauschplattform im Internet war schon länger enorm, konnte aber aus Sicherheitsgründen nicht wirklich befriedigt werden. Die konventionelle Übertragung via File Transfer Protocol (FTP) hatte aus Seilers Sicht entscheidende Nachteile: Sie bietet keinen hohen Sicherheitsstandard, und der Übermittlungsprozess lässt sich nicht effizient dokumentieren.

Was die Nutzer wollten ...

Selbstverständlich gab es auch bei Eurocopter bereits Möglichkeiten für den Austausch von Handels- und CAD-Dokumenten. Beispielsweise ließen sich solche Daten mittels des in der Automobilindustrie entwickelten "Odette"-Standards, übertragen. Aber derartige Lösungen sind reine Peer-to-Peer-Verbindungen. Ihnen fehlt der Vorteil des ortsunabhängigen Zugriffs, den das Internet bietet. Zudem sind sie hinsichtlich der Sicherheitsanforderungen zumindest im kritischen Bereich. Und last, but not least fordern sie vom Zulieferer Softwareinvestitionen.

Airbus suchte nach einer Lösung, die dem Empfänger keinerlei Installation abverlangen und das interne Customizing so gering wie möglich halten würde. Zudem legten die Verantwortlichen Wert auf die Möglichkeit, jeden Up- und Download von Dokumenten nachzuverfolgen, so dass zum Beispiel niemand später behaupten konnte, eine Sendung überhaupt nicht erhalten zu haben. Außerdem gab es eine Reihe von Anforderungen an den Bedienungskomfort. Beispielsweise sollten die Mitarbeiter von Outlook informiert werden, sobald Daten für sie bereit stünden.

Die Anforderungen an das System

  • keinerlei Installation auf der Empfängerseite,

  • zentrale Schnittstelle für das User-Management,

  • Scheduler für automatischen Datenversand,

  • Programmierschnittstelle,

  • Informationen über Posteingang via Outlook-Client,

  • schneller Datentransfer,

  • Unterstützung großer Datenvolumina,

  • Bedienerfreundlichkeit,

  • Sprachunterstützung für Französisch, Englisch, Deutsch und Spanisch,

  • lückenloses Reporting aller Aktionen (Up- und Download),

  • Datenspeicherung mit Backup,

  • sichere Verschlüsselung (128 Bit Secure Socket Layer im Netz, 256 Bit auf dem Server),

  • Eins-zu-eins-Identifizierung,

  • Server-Betrieb innerhalb der "demilitarisierten Zone",

  • von einem Administrator verwaltet.

... und die Security befürchtete

Der Chief Security Officer setzte hingegen ganz andere Prioritäten. Wie Seiler berichtet, habe er neben einer starken Verschlüsselung auf dem Server (256 Bit) und im Netz (128-Bit-Secure-Socket-Layer) auch auf einem ausgefeilten Authorisierungskonzept bestanden, das weit über einen gewöhnlichen Passwort-Schutz hinausgehen sollte. Die Forderungen lauteten: Betrieb durch einen Administrator und Eins-zu-Eins-Identifizierung der Nutzer mit gesicherten Zertifikaten bei jedem Zugriff. Dabei sollte ein fortgeschrittenen Sicherheits-Feature, beispielsweise einer Secure-ID-Karte oder ein Dongle eingesetzt werden.

Darüber hinaus konnte der IT-Sicherheitschef seine Abneigung gegen eine ASP-Lösung (Application Service Providing) nicht verhehlen. Er verlangte vielmehr, dass der Server für die geplante Datenaustausch-Plattform innerhalb des Unternehmens - in einer durch Firewalls abgegrenzten DMZ ("Demilitarisierte Zone") - aufgestellt würde. Damit schied die Möglichkeit aus, diese Plattform von einen externen Dienstleister, beispielsweise von einem der beiden Outsourcing-Partner Hewlett-Packard (SAP-Anwendungen) beziehungsweise T-Systems (Office-Systeme) bereitstellen zu lassen.

Evaluierung und Produktauswahl

„Wir wollen die Security-Plattform nicht nur für den Manfred Seller, Senior Manager: "Austausch von Dokumenten, sondern auch für die Abwicklung automatisierter Prozesse nutzen."
„Wir wollen die Security-Plattform nicht nur für den Manfred Seller, Senior Manager: "Austausch von Dokumenten, sondern auch für die Abwicklung automatisierter Prozesse nutzen."
Foto: Manfred Seiler

Die Rahmenbedingungen für das Projekt "Secure FTP Solution" waren also gesetzt. Die Aufgabe, den Markt zu sondieren, übertrug Seiler dem externen Support-Team der Advantec GmbH, Holzheim. Eigentlich auf CAD-Support spezialisiert, versteht sich der Mitbegründer Jürgen Weißenburger offenbar auch auf das Thema Datenaustausch. Er bereitete die Produktentscheidung vor, indem er die bei Eurocopter vorhandenen Lösungen und die Marktalternativen zusammentrug, um sie sorgfältig auf ihre jeweiligen Stärken und Schwächen hin zu analysieren. Dabei stellte sich unter anderem heraus:

- Das bei Airbus genutzte System "Tumbleweed" ist sicherheitsteschnik in Ordnung, jedoch stark Unix-lastig. Das Customizing wäre sehr aufwändig gewesen, weil das System im Grunde nur klassiche FTP-Services bietet.

- Das im Unternehmen bereits genutzte Collaboration-Werkzeug "E-Room" von Documentum hat Schwierigkeiten bei der Handhabung großvolumiger Dateien. Außerdem ist es weder in der Lage, automatisch Daten zu versenden, noch den Übermittlungsprozess nachzuverfolgen. Außerdem hielt es geforderten Sicherheitskriterien nicht stand, weil es weder Verschlüsselung des Servers noch PIN-Authentifizierung bietet.

- Die Secure-File-Transfer-Lösung "Move IT" von Standard Networks aus Madison, Wisconsin, schnitt in der Gegenüberstellung gut ab. Sie schied aber aus, weil der Security-Verantwortliche eine europäische Lösung vorzog. Er wollte der Möglichkeit einer Überwachung des Datenverkehrs durch die US-Behörden vorbeugen.

- Übrig blieb die Lösung "Secure Data Room" von der Münchner Brainloop AG. Sie erfüllte die meisten der vorgegebenen Kriterien. Ihr einziger Nachteil ist laut Seiler die Tatsache, dass sich der Hersteller bislang stark auf den deutschen Markt konzentriert hat, was in einem internationalen Umfeld ein wenig Überzeugungsarbeit erfordert.

Ein kleiner und vorwiegend lokal tätiger Anbieter hat aber auch Vorteile, gibt Weißenburger zu bedenken. Er sei häufig innovativer als ein Großunternehmen und fast immer flexibler im Hinblick auf Spezialwünsche seiner Kunden.

Auf Brainloop trifft das offenbar zu. Wie CEO Oliver Gajek versichert, wird die Benutzeroberfläche der Software innerhalb der nächsten zwei bis drei Monate neben Deutsch und Englisch auch in einer französischen Übersetzung zur Verfügung stehen. Das dürfte die Mitarbeiter in der Provence erfreuen - zumal sich das Produkt dort auch schon in der englischen Version einer hohen Akzeptanz erfreut, so der für den Betrieb verantwortliche Manager Dominique Rochel.

Hybridlösung für sensitive Kunden

Eigentlich bietet Brainloop seine Lösung am liebsten im ASP-Modus an, aber Gajek weiß, "dass wir da viel von unseren Kunden verlangen". Schließlich gehe es darum, die Übermittlung "höchstvertraulicher" Dokumente einem Anbieter zu überlassen, der in diesem Fall auch noch die Server des IT-Dienstleisters T-Systems nutze.

Gajek versucht, die Bedenken seiner Kunden zu zerstreuen, indem er auf die "Operator-Shielding"-Funktion der Software verweist: Der Betreiber bekomme die Daten überhaupt nicht zu Gesicht. Gleichzeitig hat der Brainloop-CEO Verständnis dafür, dass einige Kunden dieses Prinzip zwar "technisch nachvollziehen" könnten, sich dabei aber trotzdem nicht wohl fühlten.

Der EC-135 mit seinem markanten Stabilisationsrad am Heck ist der „Renner“ bei Eurocopter.
Der EC-135 mit seinem markanten Stabilisationsrad am Heck ist der „Renner“ bei Eurocopter.

Auch bei Eurocopter wäre Secure Data Room im ASP-Betrieb wohl dem Veto des Chief Security Officer zum Opfer gefallen - obschon es keine wirklich überzeugende Alternative gab und Brainloop mit BMW, Deutsche Telekom, Thyssen-Krupp und Galileo gute Referenzen vorzuweisen hatte. Zum Glück für Seiler und die Eurocopter-Fachbereiche kommen die Münchner besonders sensitiven Kunden jedoch mit einer "Hybridlösung" entgegen: Sie überlassen ihnen die Software in gekapselter Form (im Fachjargon: als Appliance), die im hauseigenen Rechenzentrum installiert werden kann. Das Software-Management, also beispielsweise Monitoring, Einspielen von Bug-Fixes und Skalieren der Lösung, behält sich der Anbieter allerdings selbst vor. Neben Eurocopter machen auch Thyssen-Krupp, Eon, die Bankgesellschaft Berlin und die Rhön Kliniken von dieser Möglichkeit Gebrauch.

Eigener Server statt ASP

Zunächst wollten Seiler und seine Mitarbeiter sehen, ob Secure Data Room seine Papierform auch im Praxistest nachweisen würde. Dazu nahmen sie vorübergehend das ASP-Angebot in Anspruch. Dabei muss sich die Lösung wohl bewährt haben. "Das User-Feedback war hervorragend", beteuert Seiler. Jedenfalls begann das Team im Februar 2006, einen eigenen Server für die Brainloop-Software aufzusetzen. Wenig später nahmen sie die Definition der Sicherheitsregeln in Angriff, im Juli stellten sie das System den Schlüsselanwendern vor, seit September ist es für die gesamte Eurocopter-Gruppe produktiv und als Standard gesetzt.

Wie der Name bereits andeutet, richtet Secure Room unterschiedliche virtuelle Räume für definierte Benutzergruppen, beispielsweise ein Projektteam, ein. Diese Datenräume sind in der Software als Ordner dargestellt, an die jeweils die Zugriffsrechte der Benutzer gekoppelt sind. Für jeden Raum ernennt der Supervisor einen "Hausmeister" oder Administrator. Er bestimmt, wer hinein darf und welche Dokumente er rein- oder rausträgt.

Projektsteckbrief

  • Projektart: Einführung einer sicheren Internet-Plattform für den Dokumentenaustausch.

  • Branche: Maschinenbau und Wartung.

  • Zeitrahmen: von Juni 2005 bis September 2006.

  • Ziele: Verringerte Transferzeiten, weniger Aufwand für Datensuche und Prozess-Monitoring, einfache Maintenance.

  • Herausforderung: heftige Bedenken von Seiten der Security.

  • Produkt: Secure Data Room von der Brainloop AG, München.

  • Diensteister: Brainloop und Advantec GmbH, Holzheim.

  • Nächster Schritt: Übersetzung der Bedienoberfläche ins Französische, Unterstützung für die Prozessautomatisierung.

Um die vom Security-Officer geforderten Eins-zu-eins-Zertifikate erstellen zu können, erhält der Teilnehmer zusätzlich zu Benutzername und Passwort nach jeder vollständigen Anmeldung eine dritte Kennung. Sie wird für jede Session neu erstellt und behält nur eine halbe Stunde ihre Gültigkeit. Damit die Mitarbeiter weder Karte noch Dongle mit sich herumtragen müssen, wird ihnen diese PIN (persönliche Identifikations-Nummer) auf ihre E-Mail-Adresse oder ihr Handy übermittelt. Das Mobiltelefon übernimmt hier quasi die Rolle eines PC-Dongle.

Laut Weißenburger war es nicht einfach, die Security-Abteilung von den Vorzügen dieser Lösung zu überzeugen. Sie stellte eine Menge Fragen, auf die sie jedoch plausible Antworten erhielten: Was passiert, wenn der Mitarbeiter unerwartet den Raum verlässt? - Dann schaltet sich nach anderthalb Minuten der Bildschirmschoner ein, der nur mit einem Passwort wieder entfernt werden kann. Und was ist, wenn der Mitarbeiter sein Handy verliert? - Der Finder kennt ja weder den Benuzternamen noch das Passwort.

Der Administrator sieht die übermittelten Inhalte genauso wenig wie der Systembetreiber. Zudem kann von jedem Dokument ein .pdf-File erzeugt und mit einem persönlichen Wasserzeichen versehen werden, um die Authentizität zu gewährleisten.

Schleuse für Lieferscheine

Mittlerweile wird die Lösung von 350 Anwendern genutzt - längst nicht mehr nur im Airbus-Bereich. Und Seiler hat schon Erweiterungen in Angriff genommen: "Wir treiben Brainloop in Richtung Prozessautomatisie-rung", berichtet er stolz. Eurocopter wolle die Plattform nicht mehr nur für den Austausch von Dokumenten, sondern auch für die Abwicklung automatisierter Prozesse nutzen. Brainloop-Chef Gajek bestätigt, dass sich sein Unternehmen bislang "stark auf den Menschen" und weniger auf die automatische Be- und Entladung von Datenräumen konzentriert habe. Aber die Programmierschnittstelle der Software lasse sich durchaus nutzen, um die automatische Übergabe aus dem führenden Softwaresystem zu unterstützen. Eurocopter nutzt diese Möglichkeit, um Daten aus dem CAD-System zu im- und exportieren.

In dieselbe Richtung läuft ein weiteres Projekt, das kürzlich initiiert wurde. Es zielt darauf, Massendokumente - beispielsweise Lieferscheine - für die verschickten Warensendungen durch einen Secure Data Room zu schleusen, ohne dass ein Sachbearbeiter Hand anlegen müsste.

Best Practice

  • Business- und Security-Anforderungen wurden sorgfältig gegeneinander abgewogen.

  • Schließlich setzte sich eine pragmatische Lösung durch.

  • Beispielsweise erfolgt die Anmeldung über den PIN-Versand aufs Handy statt über eine Karte oder ein Dongle.

  • Die ursprünglich als ASP-Lösung konzipierte Software wurde auf einen Unternehmens-Server in der DMZ portiert.

  • Auf Drängen des Kunden erprobt der Anbieter den Ausbau der Lösung in Richtung automatisierter Prozesse.