Auszug unserer Referenzen bzw. Success Stories aus unterschiedlichen Branchen.

Unser Portfolio

Möchten Sie in einem Team aus hochmotivierten Spezialisten arbeiten?

Hier bewerben

Im Sommer 2007 stand die Generalverwaltung der Max-Planck-Gesellschaften in München vor einer großen Herausforderung. Seit gut zehn Jahren war eine File- und Folderverschlüsselungslösung – SafeGuard® LAN Crypt der Firma Utimaco – im Einsatz. Etwa 1.600 Anwender im Verwaltungs-etzwerk der Max-Planck-Gesellschaft arbeiten mit diesem Programm, verteilt auf die rund 80 Max-Planck-Institute in Deutschland, Italien(Florenz und Rom) und den Niederlanden. Der Support der eingesetzten Version lief aus, daher entstand das Projekt „Umstellung SafeGuard® LAN Crypt“.

Drei Säulen

Martin Rogge, Leiter des Referats IT-Grundsatzfragen, IT-Infrastruktur in der Generalverwaltung der Max-Planck-Gesellschaften, analysierte die Aufgabe und erkannte, dass es bei der reinen Modernisierung nicht bleiben konnte: „Nach einigen Vorüberlegungen in unserem Team war klar, dass wir parallel mehrere Ziele anzusteuern hatten. Vordergründig war die Modernisierung der Verschlüsselungslösung. Gleichzeitig sollten, sozusagen als zweite Säule, neue, moderne SmartCards ausgegeben werden.“ Das Team unter Rogge legte schließlich eine weitere Projektsäule fest: „Die Active-Directory-Infrastruktur wird grundlegend erneuert und zentralisiert.“ Das Herzstück der drei Projekte bildete die Migration auf die neue SafeGuard® LAN Crypt-Version. Diese arbeitet nicht mehr mit Kennworten sondern ausschließlich mit Zertifikaten. Somit beschloss die Generalverwaltung der Max-Planck-Gesellschaft, auch die Benutzeranmeldung zukünftig über Zertifikate zu realisieren. Bisher erfolgte dies über ein auf der Chipkarte gespeichertes Kennwort. Rogge fasst zusammen: „Mit Hilfe der neuen SmartCards wird die Anmeldung an der Verschlüsselungslösung und am Betriebssystem möglich sein, wobei ergänzend auch der Gebäudezutritt und die Bezahlung an den Kaffeeautomaten über die SmartCards geregelt wird.“ Somit musste eine leistungsfähige SmartCard-Infrastruktur durch den Aufbau eines SmartCard-Management Systems und die Implementierung einer Unternehmens-PKI realisiert werden. Daher entstand, basierend auf einer Microsoft CA, eine Root-CA und eine Authentication-CA.

SmartCard-Technologie nach modernstem Stand

Die Max-Planck-Gesellschaft wählte javabasierte Chipkarten und als Card Management System BlueX des Herstellers AET. Dieses System basiert auf Standardschnittstellen und lässt sich flexibel an sämtliche Prozesse anpassen. Beim Einsatz in der Max-Planck-Gesellschaft steuert das System den kompletten Kartenausgabeprozess sowie die Administration der neuen Ausweise. Die Benutzer werden aus dem Active Directory importiert, BlueX regelt als interne Verwaltungsstelle verschiedene sicherheitsrelevante Abläufe betreffend Karten, Zertifikate, Konfigurationen und Reports. Über das System steuert man nun Rollout, Ausgabe und Widerruf der Karten und sämtliche Updates bis hin zum Erneuern der Karten. Über ein einfaches Web-Interface lassen sich Chipkarten ausstellen und grafisch personalisieren – gleichzeitig kann man unterschiedliche Zertifikate und Schlüssel verwalten. Bisher arbeitete die Max-Planck-Generalverwaltung mit einer äußerst heterogenen und verschachtelten Active-Directory- und Server-Infrastruktur. Hierzu hatte die Max-Planck-Gesellschaft eine klare Vision: „Im Zuge der AD-Erneuerung sollte sich die komplette Namensgebung der Benutzer ändern, wir mussten veränderte Verzeichnispfade einführen und die Dateiablage konsolidieren“, fasste Martin Rogge zusammen. Die Windows-Anmeldung sollte künftig über Zertifikate geregelt werden, damit entfiel die bisher zusätzlich nötige GINA. Die auf der SmartCard gespeicherten Zertifikate werden mit Hilfe von SafeSign AF des Herstellers AET bei der Anmeldung an der Windows Workstation, am Microsoft Terminalserver und am Citrix Server genutzt. Der große Vorteil: Mitarbeiter müssen ihre PIN nur noch ein einziges Mal eingeben, um sich per Single Sign On am gesamten System anzumelden. Der Benutzer führt die Chipkarte in den Leser des PC ein, die PIN wird überprüft und sofort ist der Zugriff auf alle Systeme und Applikationen möglich. „Damit haben wir eine sichere Zwei-Faktor-Authentisierung erreicht“, kann Martin Rogge zufrieden feststellen.

Gesamtprojekt als Herausforderung

Die Migration von SafeGuard® LAN Crypt und AD musste Hand in Hand laufen. Während des Gesamtprojekts war strenge Nebenbedingung, dass die Daten ständig verschlüsselt blieben. Rogge rückte „Transparenz und Effizienz der Prozesse“ ins Zentrum aller Überlegung, wobei der Schulungsaufwand für Mitarbeiter allenfalls minimal sein sollte. „Schließlich muss die Max-Planck-Gesellschaft in allen Bereichen kosteneffizient arbeiten.“ Insgesamt ergaben sich aus den verschiedenen Projektzielen und deren Vereinigung in einem Projekt extreme Herausforderungen. Dies verlangte enge Zusammenarbeit und exakte Abstimmung mit den externen Implementierungspartnern. Hinsichtlich der Wahl eines geeigneten Partners trat die Max-Planck-Gesellschaft in Kontakt mit dem Hersteller von SafeGuard® LAN Crypt. Dies ist die deutsche Firma Utimaco Safeware AG mit Sitz in Oberursel, die seit gut 25 Jahren Verschlüsselungslösungen entwickelt. Als potenziellen Partner der Max-Planck-Gesellschaft schlug Utimaco die Münchner Firma Protea Networks vor. Protea hatte hierbei die nötige Erfahrung und den Status eines Utimaco Gold Partners. Nachdem Martin Rogge die Anforderungen präzisiert hatte, und die Projektziele definiert waren, schildert Michael Seele, Technischer Leiter und Projektleiter bei Protea Networks die ersten Eindrücke: „Zweifellos war das Projekt Max-Planck-Gesellschaft für uns eine komplexe und interessante Aufgabe. Uns war klar, dass hierbei ständiger Austausch mit den Experten der Max-Planck-Gesellschaft und ein Schuss Kreativität bei der Lösung von Detailproblemen gefragt sein würden.“

Komplexe Implementierung

Bei der Implementierung fiel Protea die Aufgabe zu, möglichst viele Arbeitsschritte über die Scripting API von SafeGuard® LAN Crypt zu erledigen. „Kernstück waren die Übernahme der Schlüssel aus der alten Version, der Import der Benutzer aus dem AD und die Vorbereitung der Benutzer für die neue Domäne“, beschreibt Michael Seele die entscheidenden Schritte. „Weiterhin musste die Umstellung der Benutzer und Gruppen in die neue Domänenstruktur erfolgen.“ Nach einer Projektlaufzeit von 18 Monaten waren alle Klippen umschifft und die Ziele erreicht. Martin Rogge konnte Ende 2008 zufrieden zurück schauen: „Das ursprüngliche Projekt – Modernisierung der Verschlüsselungslösung – wurde modifiziert, optimiert und mehrfach erweitert. Ganz besonders hat mich gefreut, dass wir alle Ziele erreichen konnten und dabei Zeit, Kosten und organisatorischen Aufwand immer im Griff hatten.“ Dies will er als Kompliment an die am Projekt beteiligten Max-Planck-Mitarbeiter verstanden wissen – und adressiert es gleichzeitig an den externen Partner.

 

Protea News

Security News