Als ein weltweit führender Hersteller von Nutzfahrzeugen und Bussen ist Scania mit dem Leben "auf Achse" bestens vertraut. Diese Tatsache und die Verpflichtung, die bestmögliche Arbeitsumgebung für die weltweit 30000 Angestellten zu schaffen, veranlasste das Unternehmen, nach Lösungen zu suchen, die den Fernzugriff auf Unternehmensapplikationen flexibler gestalten. Das existierende Einwählverfahren für den Remote Access bereitete Scania eine Reihe von Problemen. Insbesondere, weil der Eindruck entstand, dass dieses Verfahren nicht so sicher war wie eigentlich gewünscht.

Auslöser: Mehr Fernzugriffe

"Beim Dial-up wird keine Authentifizierung verlangt. Wir hatten 600 Angestellte, die sich von unterwegs aus in unser Netz einwählten. Was wir jedoch wollten, war eine integrierte, intuitive und flexible Lösung, die es allen Mitarbeitern ermöglicht, auf das Netz zuzugreifen - egal, ob sie nun im Außendienst sind, auf Geschäftsreise oder am Heimarbeitsplatz." So beschreibt Bo Palmblad, Global Access Manager bei Scania, die Ausgangssituation. "Wir gingen davon aus, dass es zu mehr Fernzugriffe kommen würde", sagt der Manager. Damit einhergehend war eine Zunahme der Zahl der dafür benutzen unterschiedlichen Geräten zu erwarten.

Scania wollte seinen Mitarbeitern nicht nur den Zugriff auf E-Mails, sondern auch die Nutzung von Unternehmensapplikationen, Intranet und anderen einschlägigen Web-Applikationen ermöglichen. Dazu musste die neue Lösung eine Vielzahl von Authentifizierungsmethoden und unterschiedlichen Client-Plattformen unterstützen. Gleichzeitig sollte sie sich leicht in die existierende IT-Infrastruktur des Unternehmens integrieren lassen. Aus diesen Gründen identifizierte Scania die Skalierbarkeit als weiteren wichtigen Aspekt für eine neue Remote-Access-Lösung, die zudem leicht zu verwalten sein sollte.

Diese Kritierien im Sinn, begann das Unternehmen mit der Recherche und untersuchte verschiedene Virtual-Private-Network (VPN)-Produkte auf ihre Eignung. Lösungen auf Basis von Internet Protocol Security (Ipsec) wurden im Auswahlprozess schnell ausgeschlossen, weil sie sich zwar auf das Herstellen der allgemeinen Netzverbindung konzentrieren, jedoch nicht auf den gezielten, sicheren Zugriff auf individuelle Applikationen. Dieses war jedoch die Schlüsselanforderung von Scania. Außerdem erforderten Ipsec-VPNs eine Client-Installation auf jedem Endgerät, das für den Zugriff auf das Unternehmensnetz benutzt wird. Dies hätte angesichts der zu erwartenden Zunahme der Zahl der Nutzer des Fernzugriffs einen zu hohen administrativen Aufwand bedeutet.

Als Nächstes untersuchte Scania VPN-Lösungen auf Basis des Verfahrens Secure Sockets Layer (SSL). Diese nutzen den zum Standardumfang herkömmlicher Browser gehörenden SSL-Client, um ohne eine zusätzlich erforderliche Software-Komponente den sicheren Zugriff auf interne Unternehmensanwendungen herzustellen. Dadurch reduziert sich der administrative Aufwand beträchtlich, da nur bestimmte Applikationen den SSL-VPN-Tunnel passieren. Außerdem sinkt dadurch die Gefahr des Missbrauchs.

Nach gründlicher Untersuchung aller verfügbaren Lösungen entschied sich Scania für die "Secure Application Access Plattform" des Anbieters Portwise. Dessen Lösung schließt die Sicherheit des Einwahlgerätes, strenge Authentifizierung, regelbasierte Nutzer-Authorisierung, den Client-losen Zugriff, ein zentrales Protokoll der Zugriffsaktivitäten und ein anschließendes Löschen der Benutzerhistorie ein.

Internationaler Einsatz

"Wegen des integrierten Ansatzes hatte Portwise mehr zu bieten als andere SSL-VPN-Anbieter", sagt Manager Palmblad.

Scania setzt die neue Software an drei Standorten ein, um die Angestellten weltweit zu unterstützen: Neben Brasilien kommt die Lösung in Frankreich und Schweden zum Einsatz. Die Implementierungsphase für die ersten 600 Nutzer dauerte sechs Wochen. Danach wurde das Projekt schrittweise erweitert. Inzwischen greifen 2500 Angestellte, Berater und Partner über die Plattform auf Scania-Anwendungen zu. "Aus administrativer Sicht verliefen Roll-out und Management der Software-Lösung reibungslos und einfach" sagt Palmblad. "Sie fügt sich nahtlos in die vorhandene IT-Umgebung ein, die Client-Installation entfällt, und End-User Support ist so gut wie nicht erforderlich."

Hohe Sicherheit

Via Browser erhalten die Scania-Mitarbeiter Zugriff auf unternehmensinterne Applikationen wie E-Mail, Intranet und Extranet - unabhängig von Zeit, Ort und Gerät. Mittels einer Policy-Management-Komponente liefert die Software Sicherheit, da der Zugriff des Nutzers sowohl über dessen Identität als auch über weitere Kriterien wie User-Profil, individuelle Zugriffsrechte und Typ des Endgerätes geregelt wird. Zu den Zugriffsrechten zählen grundsätzliche Rechte, wie sie je nach Rolle im Nutzerprofil hinterlegt wurden, die Authentifizierung für die jeweilige Session (Ein- oder Zwei-Faktor-Authentifizierung) und die Feststellung, ob über einen bekannten (trusted) oder unbekannten (untrusted) Client auf die Anwendungen zugegriffen wird.

Nach der Einwahl über die URL öffnet sich ein Anwendungsportal, das abhängig von der jeweiligen Policy verschiedene Authentifizierungsmethoden bereitstellt. Sollte sich bei der Überprüfung des Clients ergeben, dass dieser nicht den definierten Sicherheitsanforderungen entspricht, kann der Zugriff auf die Unternehmensanwendungen entweder eingeschränkt oder aber vollständig verweigert werden. Sollten beispielsweise die Virensignaturen nicht aktuell sein, wird ein eingeschränkter Zugriff ermöglicht. So können zum Beispiel Dateien zum Herunterladen angeboten werden, ein Upload dagegen unmöglich sein. Ebenfalls denkbar ist die Variante, dass ein als unsicher eingestufter Client zunächst auf einen Update-Server umgeleitet wird. Dort lässt sich das Gerät dann auf den aktuellen Stand bringen.

Da die Lösung in der Lage ist, Firewalls, Proxies und Router zu passieren, ergeben sich beim sicheren Remote Access weltweit keinerlei Hindernisse. Portwise stattet die Scania-Mitarbeiter zudem mit weiteren Tools zur strengen Nutzerauthentifizierung aus, die unabhängig vom benutzten Gerät und vom Ort der Einwahl funktionieren. Hier können die Anwender zwischen verschiedenen Authentifizierungs-Tokens wählen: einem Java-Applet, das aus dem Web geladen werden kann, einem fest installierbaren Client (zum Beispiel für Pocket PC, Windows und Linux) oder Einmalpasswörtern, die per SMS verschickt werden.

"Das Feedback unserer Mitarbeiter war positiv; insbesondere die einfache Handhabung und die SMS-Passwort-Funktionalität wurden gelobt", sagt Palmblad. "Sie funktioniert gut mit unserer existierenden Authentifizierungsmethode und liefert jederzeit schnellen und sicheren Zugriff."

Reduzierte Kosten

Obwohl dieser Aspekt bei der Auswahl einer Lösung nicht im Vordergrund stand, stellte Scania fest, dass die ausgewählte Software echte Kosteneinsparpotenziale mit sich brachte. Zunächst einmal fielen die hohen Einwahlgebühren weg, die mit dem internationalen Dial-up-Verfahren verbunden sind. Außerdem konnten die operativen Kosten des Unternehmens gesenkt werden, da die Lösung weder Konfiguration noch Instandhaltung oder End-User-Support verlangte. Schließlich konnten kleine Nebenstellen an das Scania-Netz angebunden werden, ohne dass Investitionen etwa für das Bereitstellen von Leitungen oder Verkabelungen getätigt werden mussten.

Fazit

Inzwischen greifen insgesamt mehr als zweieinhalbtausend Scania-Mitarbeiter weltweit von unterwegs aus sicher auf die Geschäftsprozesse des Unternehmens zu. Sie benutzen dabei eine Vielzahl von Endgeräten. "Das Secure-Remote-Access-Produkt von Portwise entspricht unseren Anforderungen, da es uns die Zugriffslösung ermöglicht, die wir uns von Anfang an vorgestellt hatten," sagt Palmblad, demzufolge die Akzeptanz der Nutzer ist "sehr hoch" ist. Scania wird seinen Aussagen zufolge weiterhin auf diese Lösung bauen, um den Herausforderungen der Zukunft gewachsen zu sein. (ave)