Anschlussvereinbarung Citrix Remote Zugang Kanton Bern Anhang 1 Servicekatalog

Transkript

1 Amt für Informatik und Organisation des Kantons Bern Finanzdirektion Office d'informatique et d'organisation du canton de Berne Direction des finances Citrix Remote Zugang Kanton Bern Anhang 1 Leistungsvereinbarung im Sinne von Art. 11 Bst. i der Verordnung vom 18. Oktober 1995 über die Organisation und die Aufgaben der Finanzdirektion (Organisationsverordnung FIN; OrV FIN; BSG ) und Art. 134 der Verordnung vom 3. Dezember 2003 über die Steuerung von Finanzen und Leistungen (FLV; BSG 621.1) zwischen dem Amt für Informatik und Organisation des Kantons Bern Wildhainweg 9, Postfach 6935, 3001 Bern - als Leistungsanbieter Tel IT-Basisdienste@be.ch und allen Direktionen und der Staatskanzlei des Kantons Bern (handelnd durch ihre Vertreter in der Kantonalen Informatikkonferenz) - als Leistungsbezüger Dokumentenname: AV CitrixRemoteZugangKt.BE_V_1.0_.doc Version: 1.00 Datum: Autor: Sandy Schwab 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 1 von 12

2 Inhaltsverzeichnis 1 Sinn und Zweck des s Rollen und Begriffsbestimmungen Voraussetzungen und Pflichten Allgemeines Grundvoraussetzungen Unterstützte Produkte und Software (auf Seite Server) Unterstützte Produkte und Softwares (auf Seite Clients) Anforderungen an den Client Beziehung zum Endbenutzer Servicebeschreibung Übersicht und Grundversorgung Beschreibung wichtiger Einzelsysteme Citrix Access Gateway (CAG) Secure Ticketing Authority Redirect-Server Zentraler Web Interface Server Serviceimplementierung Definition der Zugriffsarten Einrichtung des Zugriffs für Endbenutzer Zugriffs-Token (OWA-Token) Nutzungsbestimmungen Nachvollziehbarkeit der Nutzung / Weisung mit Endbenutzer Einbindung von Terminalserver(-Farmen) für den Zugriff via CAG Servicebenutzung Anmeldevorgang Automatischer Verbindungsabbau (Session Timeout) Serviceeinschränkungen Spezielle Anwendungen Übertragung von Audio-Signalen Lokales Drucken Sicherheit Änderungsnachweis P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 2 von 12

3 1 Sinn und Zweck des s Um den Citrix Remote Zugang Kanton Bern nutzen zu können, müssen gewisse technische Voraussetzungen erfüllt sein. Weil es auch möglich ist, die private Infrastruktur für den Zugriff zu verwenden, gibt es weitere spezifische Anforderungen, die zwingend einzuhalten sind. In diesem werden die Voraussetzungen und Anforderungen des Citrix Remote Zugang Kanton Bern definiert, so dass ein sicherer und stabiler Betrieb gewährleistet werden kann. Weiter ist der Systemaufbau erläutert, sowie die Implementierung und die Nutzung des CAG sind beschrieben. 2 Rollen und Begriffsbestimmungen Es gelten die Rollen und Begriffsbestimmungen gemäss Ziffer 1 des Rahmendokumentes der Citrix Remote Zugang Kanton Bern. Aus Gründen der Lesbarkeit wird im Dokument für Rollen und weitere Personenbezeichnungen nur die männliche Form verwendet. 3 Voraussetzungen und Pflichten 3.1 Allgemeines a. Der Zugriff ist als Perimeterschutz mit einer starken Authentifizierung geschützt. Die existierende starke Authentifizierung Kanton Bern (Produktname) funktioniert mit einem Token, welches Einmalpasswörter generiert. Zusammen mit dem Benutzernamen ergibt sich daraus eine sehr sichere Zugangsprüfung bevor auf die vordefinierten Systeme zugegriffen werden kann. Damit der Zugriff auf den CAG (Citrix Access Gateway) und den dahinter liegenden Systemen überhaupt möglich ist, muss der Benutzer über ein Zugriffs-Token verfügen (Teils auch bekannt unter dem Namen OWA-Token). b. Die Herausgabe sowohl persönlicher wie auch unpersönlicher Token hat nur gegen Verfügung zu erfolgen (siehe Verfügungen im Anhang 3 und 4). c. Der Citrix Remote Zugang Kanton Bern ist in erster Linie für die Verwendung durch Kantonsangestellte oder Gemeinden gedacht. Er kann aber auch von nicht Kantonsmitarbeitenden benutzt werden. Es wird jedoch empfohlen, für Dritte, externe Partner und Firmen ausschliesslich den BEWAN-Zugriff VPN-Client oder VPN-Router zu verwenden, da die Kosten für die Installation und den Betrieb an den Bezüger weiterverrechnet werden können. Im Fall des Citrix Remote Zugangs Kanton Bern gehen die Kosten für den OWA-Token und sämtliche Lizenzkosten (CAG und Terminalserver) zu Lasten der Leistungsbezüger bzw. des Leistungsanbieters. d. Jede autorisierte SSL-Session zwischen einem Client und einer Terminalserver-Farm terminiert auf dem CAG und wird danach als ICA-Session zwischen dem CAG und dem Terminalserver aufgebaut. Diese Verschlüsselung muss auf den Terminalserver konfiguriert werden. Die Leistungsbezüger sind verpflichtet die Verschlüsselung zu aktivieren. 3.2 Grundvoraussetzungen Die Grundvoraussetzungen, damit der Citrix Remote Zugriff Kanton Bern überhaupt verwendet werden kann, sind: 1. Der Endbenutzer ist im Active Directory Kanton Bern erfasst (ADS) und verfügt über einen gültigen Username und Passwort. 2. Der Endbenutzer verfügt über ein Zugang-Token (AcvtiveIdentity), für welches die entsprechenden Berechtigungen konfiguriert sind. 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 3 von 12

4 3. Der Leistungserbringer erlässt dem Endbenutzer gegenüber eine Verfügung gemäss Anhang 3 oder Unterstützte Produkte und Software (auf Seite Server) Um Systeme bzw. die Terminalserver(-Farmen) an den CAG anbinden zu können werden folgende minimalen Anforderungen auf der Seite des Servers gestellt: Schnittstelle/Produkt Minimal Optimal (empfohlen) Citrix Terminalserver- Farmen Windows 2003 Server Citirx Presentation Server 3.0 mit SP RENO, wenn verwendet, 5.00 oder höher Verschlüsselung der Sessions zwischen CAG und den Terminalserver-Farmen mit 128 Bit (RC-5). Abweichungen davon sind mit dem zuständigen PM des KAIO abzusprechen. Windows 2003 Server SP1 Citrix Presentation Server 4.0 oder höher RENO, wenn verwendet, 6.02 oder höher Verschlüsselung der Sessions zwischen CAG und den Terminalserver-Farmen mit 128 Bit (RC-5) oder höher (falls mit späteren Versionen stärkere Verschlüsselungen möglich sind. 3.4 Unterstützte Produkte und Softwares (auf Seite Clients) Folgende minimalen Anforderungen werden auf der Seite des Clients verlangt: Nr. Produkte / Software Minimal Optimal (empfohlen) 1. Betriebssystem Windows 2000 XP mit Servicepack 2 Alle Versionen 2. Betriebssystem Mac OSX 10.0 mit JRE und Safari Betriebssystem sonstige Gemäss Angaben Hersteller Betriebssystem OSX 10.0 mit JRE und Safari 1.25 oder höher Gemäss Angaben Hersteller Betriebssystem 4. Browser Microsoft Internetexplorer 6.0 Internetexplorer 7.x oder höher 5. Browser Diverse Mozilla 1.x Firefox 1.x Mozilla 1.x oder höher Firefox 2.x 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 4 von 12

5 Netscape 7.1 Netscape 7.1 oder höher 6. ICA Presentation Server Clients (Enthält: Program Neighbourhood, Program Neighbourhood Agent, Web Client) Ältere ICA-Clients (ab 8.0) nach Absprache mit dem PM oder höher 7. JRE (für Java ICA-Client) 1.4.2_ _05 oder höher 8. RENO (Optional) oder höher 9. Hardware Gemäss Vorgaben Betriebsystem / Software Gemäss Vorgaben Betriebsystem / Software 10. Privater Internetzugang eines beliebigen Internet Service Providers ISDN (64KBit) oder 128 KBit (Kanalbündelung) Verbindungs- oder Volumenkosten gehen zu Lasten des Endbenutzers DSL/ADSL > 150KBit Mögliche Verbindungs- o- der Volumenkosten gehen zu Lasten des Endbenutzers Sofern es sich um ein Kantonsgerät handelt, gelten für alle eingesetzten Produkte und Softwares die Vorgaben gemäss aktuellem IT-Zonenplan (im Intranet auf Anforderungen an den Client a. Es wird empfohlen ein Kantonsgerät zu verwenden, auf welchem die notwendige Software installiert ist und ebenfalls der Support gewährt ist. Werden nicht Kantonsgeräte (z.b. privates Gerät) für den Zugriff verwendet, ist der Benutzer des Zugangs dafür verantwortlich bzw. muss er sicherstellen, dass das verwendete Gerät folgende Bestimmungen erfüllt: Relevanz Zwingend Empfohlen (optional): Beschreibung Aktueller Virenschutz mit aktueller Engine (automatischer Update ist konfiguriert) Automatisches Windows Update ist aktiviert Für Windows XP oder Vista-Benutzer: Integrierte Firewall muss aktiviert sein Die Ports 443 (https, SSL) und 1494 (ICA) müssen auf der lokalen Firewall offen sein Für nicht Windows XP oder Vista-Benutzer: Aktive Firewall (lokal auf Gerät, in Router integriert oder als Service des Internetproviders). Bemerkung: Bei installiertem Servicepack 2 für Windows XP steht eine sehr gute und kostenlose Firewall zur Verfügung b. Für die korrekte Lizenzierung der Software auf privaten Geräten ist der Endbenutzer verantwortlich. Der ICA-Client kann kostenlos bei herunter geladen werden. 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 5 von 12

6 3.6 Beziehung zum Endbenutzer a. Der Leistungsbezüger muss sicherstellen, dass der Endbenutzer dieser Services über die Voraussetzungen und Anforderung des Citrix Remote Zugang Kanton Bern informiert ist. Der Leistungsbezüger stellt zudem sicher, dass diese eingehalten werden. b. Der Leistungsbezüger eröffnet dem Endbenutzer die Verfügung des Leistungsanbieters gemäss den Verfügungen im Anhang 3 und 4. Der Endbenutzer hat die Verfügung zu unterschreiben. Bei einem unpersönlichen Token sorgt der Leistungsbezüger weiter dafür, dass die Nachvollziehbarkeit der Nutzung gemäss den entsprechenden Ausführungen im Anhang 4 gegeben ist. c. Der Leistungsbezüger muss die Verfügungen aufbewahren und jederzeit dem Leistungsanbieter vorweisen können. 4 Servicebeschreibung 4.1 Übersicht und Grundversorgung Der Leistungserbringer betreibt folgende Hardwares und Systeme zu Gunsten der Leistungsbezüger: a. Zwei redundante physisch getrennte Citrix Access Gatways b. Hochverfügbarer redundanter Internetanschluss auf Seite Leistungserbringers mit SSL- Verschlüsselung. c. Anbindung an starke Authentifizierung. d. Bestellung, Konfiguration und Support für die Zugriff-Tokens (analog OWA). e. Betrieb des zentralen Citrix Web-Interface Servers. f. Die zentrale Secure Ticketing Authority (dient zur Sicherung der Sessions). 4.2 Beschreibung wichtiger Einzelsysteme Citrix Access Gateway (CAG) a. Die zwei redundanten und physisch getrennten Citrix Access Gatways dienen als Zugriffs- und Terminierungspunkt für maximal 2500 simultane SSL-Verbindungen. Wobei für das Erreichen dieses Maximums eine entsprechende Lizenzierung notwendig ist. b. Die CAG werden im Hot-Standby Modus betrieben. Hot-Standby bedeutet, es ist nur ein Gerät aktiv. Das zweite wird erst im Fehlerfall aktiv und übernimmt vollumfänglich die Funktionen des primären Gerätes. Eine Umschaltung erfolgt automatisch, offene Verbindungen gehen jedoch verloren und der Benutzer muss sich neu anmelden Secure Ticketing Authority a. Die Secure Ticketing Authority kurz STA genannt ist ein XML Web-Service der als Ticketingmechanismus dient. Die STA gibt zufallsgenerierte Sitzungstickets für den Client aus um einen Man in the Middle Angriff auszuschliessen. Diese Tickets bilden die Basis der Authentifizierung und Autorisierung für Verbindungen mit einer Serverfarm. b. Die STA ist fester Bestandteil vom Presentation Server 4.0. Für das WebInterface und den CAG werden die STA der NEPLA-Farm (FIN) verwendet. Um der Ausfallsicherheit gerecht zu 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 6 von 12

7 werden, werden auf dem CAG und dem WebInterface-Server mehrere STA konfiguriert. Auf dem WebInterface-Server und dem CAG sind die gleichen STA konfiguriert Redirect-Server a. Die Redirect-Server sind redundant ausgelegt und leiten erfolgreich authentifizierte und verschlüsselte Verbindungen zum CAG um. Sie sind notwendig um die Differenzierung der Verbindungen nach Organisationseinheit (DIR/STA/Police) vorzunehmen, welche von der Einstiegsseite her rühren Zentraler Web Interface Server a. In der BEWAN-Zone des Rechenzentrums des Leistungserbringers werden zwei WebInterface-Server betrieben. Der WebInterface-Server wird benötigt um dem Endbenutzer eine Webseite mit seinen Published Applications zur Verfügung zu stellen. Des Weiteren kann man darüber den Endbenutzern den ICA-Client zur Verfügung stellen. Der CAG dient in dieser Konstellation als eine Art Reverse-Web-Proxy für das WebInterface. b. Die Berechtigungen, welche Applikationen ein Endbenutzer im WebInterface sehen kann, werden dezentral auf den eingebundenen Farmen der Leistungsbezügern und der Leistungserbringer vergeben. Auf dem CAG und den WebInterface-Servern werden keine Berechtigungen für die Published Applications oder Ressourcen vergeben. c. Auf den zentralen WebInterface-Servern werden ausschliesslich Angaben über die diversen Citrix Server Farmen und die Secure Ticketing Authority (STA) gemacht. Zudem wird die Authentisierungs-Methode mit den entsprechenden Domänen konfiguriert. 5 Serviceimplementierung 5.1 Definition der Zugriffsarten Damit ein Benutzer auf den CAG und den dahinter stehenden Anwendungen zugreifen kann muss er über ein Zugriffs-Token für die starke Authentifizierung verfügen. Damit der Zugriff gesteuert werden kann sind auf den Systemen der starken Authentifizierung pro DIR/STA zwei Rollen bzw. Zugriffsarten definiert: - Zugriffsart Light - Zugriffsart Full Die Zugriffsart Light umfasst nur den OWA-Zugriff. Der Benutzer sieht keine weiteren Anwendungen und kann auf keine TS-Anwendungen zugreifen, obschon er eventuell TS-Seitig über die entsprechenden Rechte verfügt. Mit der Zugriffsart Full stehen dem Benutzer OWA, sowie alle weiteren publizierten Anwendungen, inklusive den Querschnittsapplikationen (z.b. FIS) zur Verfügung. 5.2 Einrichtung des Zugriffs für Endbenutzer Der Leistungserbringer vergibt Zugriffsrechte Light oder Full beim Einrichten der starken Authentifizierung gemäss den Angaben auf dem Auftragsformular Einrichtung starke Authentifizierung und Zugriffvergabe auf OWA oder TS-Anwendungen. Das Formular ist unter folgendem Link abrufbar: Mit dem gleichen Formular können auch Mutationen gemeldet werden (z.b. Anpassung der Zugriffsart, Löschung der Berechtigung etc.). Der genaue Prozess ist ebenfalls im Intra- 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 7 von 12

8 net des KAIO beschrieben: Zugriffs-Token (OWA-Token) Alle Informationen zur Beschaffung, Konfiguration und zum Support sind im Intranet KAIO abrufbar: Nutzungsbestimmungen Es gelten die Bestimmungen gemäss den Anhängen 3 und 4 und der Ausführungen gemäss Kapitel 3.6., sowie der Einstiegsseite Nachvollziehbarkeit der Nutzung / Weisung mit Endbenutzer Die Nachvollziehbarkeit muss durch den Leistungsbezüger sichergestellt werden. Es gelten die Bestimmungen gemäss den Anhängen 3 und 4, sowie die gemäss Kapitel Einbindung von Terminalserver(-Farmen) für den Zugriff via CAG a. Damit eine bestehende oder neue Terminalserver-Farm über den CAG erreichbar ist, muss sie vorhergehend auf dem CAG erfasst werden. Dazu sind die Personen gemäss Liste der Callberechtigten berechtigt (siehe auch Servicevereinbarung). Die erste Ansprechstelle ist der zuständige Produktmanager des Leistungsanbieters. Der PM koordiniert den Auftrag mit dem Leistungserbringer. Dafür bitte folgende Angaben per dem PM mitteilen: 1. IP-Adressen der Farm/Server mit XML-Dienst 2. Name der Farm/Server (Citrix Farm Name) 3. Citrix Server Version (Presentation-Server) 4. Anzahl der Citrix-Server in der Farm 5. Kontaktangaben: Telefonnummer, Mail-Adresse des Auftraggebers des Leistungsbezügers. b. Folgender Prozess kommt dabei zu Anwendung: 1. Mail mit Angaben gemäss Ziffer a. verfassen und an den PM KAIO senden 2. Der PM KAIO eröffnet einen Call beim Leistungserbringer 3. Konfiguration CAG durch Leistungserbringer 4. Rückmeldung an Leistungsanbieter 5. Test durch Leistungsbezüger, falls OK: 6. Schliessen des Calls beim Leistungserbringer (im gegenseitigen Einverständnis) 6 Servicebenutzung 6.1 Anmeldevorgang Der Service steht den Endbenutzern unter der Einstiegseite zur Verfügung. Auf diese Seite kann nur direkt zugegriffen werden. Sie ist in der Navigation des Internetauftritts nicht sichtbar. Die Unterscheidung ob der Zugriff auf OWA oder CAG beabsichtigt ist, erfolgt über den verwendeten URL. 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 8 von 12

9 Nachdem sich der Endbenutzer mit den Nutzungsbestimmungen einverstanden erklärt hat und die Organisationseinheit ausgewählt hat, wird er nach dem Betätigen des Auswahlknopfs (Button) Weiter zum Login zur starken Authentifizierung Kanton Bern weitergeleitet (siehe Abbildung 2 - Anmeldefenster). Abbildung 1 - Einstiegsseite mit Auswahlknopf Die starke Authentifizierung beinhaltet folgende Schritte: 1) Mit das Token einschalten und den PIN eingeben. 2) Das Einmalpasswort (8-Stellig) wird ausgegeben. 1) Unter Benutzername den gewünschten Benutzernamen (RACF) eingeben. 2) Unter Kennwort das 8-stellige Einmalpasswort des Tokens eintippen und OK auswählen. Falls vorhanden, die Option Kennwort speichern nicht auswählen. Abbildung 2 - Anmeldefenster 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 9 von 12

10 Sobald die starke Authentifizierung erfolgreich durchgeführt wurde, erscheint die Anmeldemaske des CAG s (siehe Abbildung 3 - Anmeldemaske CAG). Als User Name wird wiederum der Benutzername (in der Regel ist das eine RACF-ID) eingegeben, und als Passwort muss das dazugehörige AD-Passwort (auch LAN-Passwort genannt) verwendet werden. Abbildung 3 - Anmeldemaske CAG Nach der Anmeldung am CAG wird der Endbenutzer auf die Seite gemäss Abbildung 4 - Webinterface weitergeleitet. In Abhängigkeit seiner Berechtigungen werden hier die publizierten Anwendungen angezeigt. Von hier aus werden diese auch gestartet. Die aktuelle Version des ICA-Clients kann ebenfalls von dieser Seite aus herunter geladen werden: Abbildung 4 - Webinterface 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 10 von 12

11 6.2 Automatischer Verbindungsabbau (Session Timeout) Ist eine Session für eine bestimmte Zeitdauer inaktiv (inactivity timeout), wird sie getrennt. Zurzeit beträgt diese Zeitdauer 60 Minuten. Nach Ablauf einer weiteren definierten Zeitdauer, dem absolute timeout wird zudem die starke Authentifizierung neu verlangt. Bis dahin reicht es die Verbindung zum Zielsystem (z.b. Terminalserver) neu aufzubauen. Die Einstellung dieser timeouts hat einen sicherheitstechnischen Hintergrund. Sie müssen und können nach Bedarf angepasst werden. Die hier erwähnten Angaben sind als Richtwerte zu betrachten und können von den effektiv konfigurierten Werten abweichen. 7 Serviceeinschränkungen 7.1 Spezielle Anwendungen Spezielle Anwendungen, Applikationen etc., welche viel Bandbreite benötigen, eigenen sich nicht für die Nutzung via Internet (CAG), da dadurch der Service bzw. die Performance für andere massiv eingeschränkt wird. Darunter fallen z.b. GIS- oder andere grafikintensive Anwendungen. Im Interesse der anderen Endbenutzer dürfen derartige Anwendungen nicht ohne Einwilligung des zuständigen Produktmanagers des KAIO verfügbar gemacht (published) werden. 7.2 Übertragung von Audio-Signalen Auf die Übertragung von Audio-Signalen (z.b. von Web-Radios) sollte verzichtet werden. Besteht ein Bedarf, bitte diesen dem Produktmanager des KAIO absprechen. 7.3 Lokales Drucken Dem lokalen Drucken muss ebenfalls ein besonderes Augenmerk geschenkt werden. Es ist möglich, dass ursprünglich kleine Dokumente zum Drucken aufgeblasen werden. Aus einigen MB können so mehrere 100 MB entstehen, welche über die Datenleitungen transferiert werden. Dies führt einerseits zu langen Ausdruckzeiten und schränkt andererseits die Performance des Zuganges für alle Endbenutzer drastisch ein. Das Drucken ist nur zulässig, wenn ein solches Verhalten ausgeschlossen werden kann. Im Zweifelsfall bitte mit dem zuständigen Produktmanager des KAIO Kontakt aufnehmen. 8 Sicherheit a. Die Kommunikation erfolgt immer verschlüsselt (https/ssl/secure ICA-Protokoll). Die Sessions werden jeweils auf dem CAG terminiert und für den Zugriff auf die Zielsysteme neu aufgebaut. Durch die Verwendung der starken Authentifizierung kommt immer ein mehrstufiges Login- Verfahren zum Einsatz. Die starke Authentifizierung schützt einerseits die Infrastruktur des Kantons Bern vor Attacken und Hackern, andererseits schützt sie den Endbenutzer vor Phishing und ähnlichen Bedrohungen. Die nachfolgende Stufe, in der Regel auf Stufe des Logins oder der Anwendungen, bietet den gewohnten Schutz wie er von innerhalb des BEWAN bekannt ist. b. Die Endsysteme (Anwendungen, Terminalserver-Farmen, Fileserver, etc.) verfügen immer ü- ber einen aktuellen Virenschutz. Dadurch wird die Problematik auf Seite der Clients, falls diese über einen ungenügenden Virenschutz oder einen veralteten Patch-Level (des Betriebssystems oder der Anwendungen) aufweisen, etwas entschärft. Dies entbindet aber dennoch nicht von der Pflicht den Client bezüglich Sicherheit laufend auf den neusten Stand zu halten. c. Die Leistungsbezüger müssen sicherstellen, dass 1. Die Kommunikation zwischen dem Client und dem CAG verschlüsselt ist (vergleiche Kapitel 3.3) 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 11 von 12

12 2. Die ICA-Kommunikation innerhalb vom BEWAN zwischen dem CAG und den Terminalservern verschlüsselt erfolgt (vergleiche Kapitel 3.3) d. Es werden nur die Anmeldedaten der starken Authentifizierung unverschlüsselt übertragen. Und dies auch nur in einem ersten Schritt zwischen dem Content Switch und den Redirect- Servern, also in einem gegenüber dem Internet bereits gesicherten Bereich. Die entsprechende Systembeschreibung kann dem Rahmendokument der entnommen werden. Ist die Verbindung aufgebaut und die starke Authentifizierung erfolgreich abgeschlossen, so erfolgt die Datenübertragung zwischen dem Client und dem CAG und dann zwischen dem CAG und dem Zielsystem (Terminalserver-Farm) jeweils verschlüsselt. 9 Änderungsnachweis Version Datum Autor Beschreibung Sandy Schwab Erstversion Sandy Schwab Version für Fachgruppe Sandy Schwab Erster Input Fachgruppe Sandy Schwab Review Rechtsdienst KAIO Sandy Schwab Einarbeitung Input Rechtsdienst Sandy Schwab Neue Kapitel, Version z. Hd. Fachgruppe Sandy Schwab Korrektur Link zu externem Dokument Anna Braun Redaktionelle Überprüfung Sandy Schwab Finale Version zu Abnahme KIK 11P_AV CitrixRemoteZugangKt.BE_V_1.0_.doc Seite 12 von 12