Single Sign-On im Einsatz IT-Sicherheit im Spannungsfeld zwischen Mensch und Technik

Transkript

1 Single Sign-On im Einsatz IT-Sicherheit im Spannungsfeld zwischen Mensch und Technik Adrian Dürmüller, SECUDE International AG Carsten Olt, SECUDE GmbH

2 Agenda SECUDE als Special Expertise Partner der SAP AG Projektvorstellung: Single Sign-On bei der Finanzdirektion Kanton Zürich Praktischer Einsatz von SAP NetWeaver Single Sign-On in einer komplexen heterogenen SAP Umgebung Herausforderungen & Lösungswege Zusammenfassung Ihr Schritt in Richtung sichere Authentifizierung und Verschlüsselung für SAP SECUDE als erfahrener Partner zur Umsetzung Ihrer SSO Anforderungen 2012 SAP AG. All rights reserved. 2

3 SECUDE Zahlen und Fakten SECUDE International AG eine Tochter der SECUDE AG (Hauptgesellschafter Familie Kromer) 80 Mitarbeiter in der Gruppe Über 1 Mio. verkaufte Lizenzen Spezialisierter Hersteller im Bereich Data Protection mit starken Technologien für Datenverschlüsselung und Endpoint Security Niederlassungen in Deutschland, Schweiz, Nordamerika, Indien, Singapur und Vietnam SAP Partner Beratung und Implementierung von SAP NetWeaver Single Sign-On für Schweiz und Deutschland 2012 SAP AG. All rights reserved. 3

4 SECUDE Meilensteine SECUDE International AG ist im Rahmen SAP VAR-Partner ab sofort Special Expertise Partner und Vertriebspartner der SAP (Schweiz) AG SECUDE GmbH ist im Rahmen des SAP PartnerEdge-VAR-Programms ab sofort Vertriebspartner der SAP Deutschland AG & Co. KG Fokussierung der SECUDE auf Data Protection 2011 Verkauf der SECUDE SAP Security Produkte an die SAP AG 2006 Start von Secure Notebook mit Seagate (FDE HW-basiert) 2005 Eintritt in das Thema Full-Disc-Encryption (FDE) 2004 Gründung der SECUDE USA 2002 Eintritt in die Themen Smart Card Management und E-SSO 2001 Eintritt in das Thema Folder Encryption 2000 SAP Partnerschaft (weltweiter Einsatz der SECUDE SNC-SW) 1997 Gründung der SECUDE GmbH Germany, Spin-Off 2012 SAP AG. All rights reserved. 4

5 Projektvorstellung Verschlüsselung und sichere Authentifizierung im Umfeld Kanton Zürich Finanzdirektion

6 Kanton Zürich Organisatorische Sicht Kanton Zürich Zentrale Verwaltung Staatskanzlei Justizdirektion Sicherheitsdirektion Finanzdirektion Volkswirtschaftsdirektion Gesundheitsdirektion Bildungsdirektion Baudirektion Behörden / Rechtspflege Kantonsrat Finanzkontrolle Ombudsstelle Datenschutzbeauftragter Obergericht Bezirksgerichte Verwaltungsgericht Sozialversicherungsgericht Notariate Selbständige Anstalten Universitätsspital Zürich Kantonsspital Winterthur Universität Zürich Zürcher Hochschule für Angewandte Wissenschaften Zürcher Hochschule der Künste Pädagogische Hochschule Zürich ZVV-Holding Zentralbibliothek 2012 SAP AG. All rights reserved. 6

7 CCC SAP im Kanton Zürich Finanzdirektion Dr. Ursula Gut SAP-Lösungen werden von allen Organisationseinheiten genutzt 2012 SAP AG. All rights reserved. 7

8 Informatikorganisationen GD KSW ipw Schulgemeinden KJPD dsb USZ BI PUK AJB FD FK MBA BD UNI DS VD SK Rund 40 (teil)autonome KAP O Gerichte Informatikorganisationen ZHAW ZHdK ZVV SVA Kantag JI PHZH KAZ 2012 SAP AG. All rights reserved. 8

9 Betriebssysteme und Internetbrowser GD KSW dsb USZ FD FK UNI VD Verschiedene PUK BD KJPD ipw und KAP O MBA Internetbrowser Schul- BI DS gemeinden AJB SK Betriebssysteme Gerichte ZHAW ZHdK ZVV SVA Kantag JI PHZH KAZ 2012 SAP AG. All rights reserved. 9

10 Namenskonventionen, Verzeichnisdienste VD dsb FD Gerichte GD Uneinheitliche Namens- UNI USZ FK KSW SK ZHAW KJPD PUK BD Mehrere Verzeichnisdienste, ipw KAP O zentrales Verzeichnis MBA ist ZHdK Schul- BI DS gemeinden nicht vollständig AJB ZVV konventionen für die Benutzer SVA Kantag JI PHZH KAZ 2012 SAP AG. All rights reserved. 10

11 Einsatz von Smart Cards GD KSW ipw Schulgemeinden KJPD dsb USZ BI PUK AJB FD FK MBA BD UNI DS VD SK Keine einheitliche Kartenlösung KAP O Gerichte ZHAW ZHdK ZVV SVA Kantag JI PHZH KAZ 2012 SAP AG. All rights reserved. 11

12 Gesetzliche Grundlagen Gesetz über die Information und den Datenschutz (IDG) (vom 12. Februar 2007) Verordnung über die Information und den Datenschutz (IDV) (vom 28. Mai 2008) Informatiksicherheitsverordnung (vom 17. Dezember 1997) Hoher Schutz muss gewährleistet werden (PKI) 8. Bei kleinen Negativfolgen gehören Informatiksysteme und anwendungen zur Sicherheitsstufe 1. Ein Grundschutz ist zu gewährleisten. Bei mittleren Negativfolgen gehören Informatiksysteme und anwendungen zur Sicherheitsstufe 2. Ein mittlerer Schutz ist zu gewährleisten. Bei grossen Negativfolgen gehören Informatiksysteme und anwendungen zur Sicherheitsstufe 3. Ein hoher Schutz ist zu gewährleisten SAP AG. All rights reserved. 12

13 Produktive SAP-Systemlandschaft Psychiatrie PEP ERP 604 FI / CO SD / MM IS-H KTP TREX 710 Finanz KEP ERP 604 FI / CO Logistik CATS PSP Zentrale Infrastruktur KPP EP 701 KWP BPC 7.5 Cognos 8 KMP SolMan 701 GRC PC Mammut Mammut Zahlungsverkehr PBP KBP dipsin dispin Kreditoren-/ Buchungsworkflow Personal HEP KXP Archiv EE.x dipsin P-Akte HPP KFP HBP Kantonsapotheke AEP verschlüsselte BW 701 PI 711 FTP ABAP E-Recruiting EP 701 Kommunikation KIP KCP K?P GRC AC CE 711 JAVA ist wünschenswert CRM-Shop BO 3.1 ServicePortal KJP CE 710 ServicePortal AXP SRM 50 BW 700 ERP 604 EP 701 Cognos ERP 604 PI 710 HCM ESS DWH FI / CO E-Recruting MSS SD / MM EP 700 IS-H Single Sign-On und eine Internet KFP MF MobileFit Beschaffung Lieferung Umsysteme Printing Mail Relay System XY 2012 SAP AG. All rights reserved. 13

14 Lösung mit Smart Card 2012 SAP AG. All rights reserved. 14

15 Lösung ohne Smart Card, mit Authentisierungsserver (Software Zertifikate) 2012 SAP AG. All rights reserved. 15

16 Unterstützung verschiedener Authentisierungsserver 2012 SAP AG. All rights reserved. 16

17 Auch für die JAVA-Anwendungen (SAP Portal) 2012 SAP AG. All rights reserved. 17

18 Verschiedene Root-Zertifikate 2012 SAP AG. All rights reserved. 18

19 Highlights Standardsoftware, von SAP zertifiziert (Plattformsupport) Kurze Implementierungszeiten Keine Anpassungen an der vorhandenen Infrastruktur Grosse Flexibilität, d.h. mehrere Lösungsansätze, verträglich mit bestehenden Lösungen Transparent für den Benutzer bzw. Organisationseinheiten Single Sign-On für alle Benutzer und SAP Technologien Unterstützung unterschiedlicher Plattformen Verwendung von verschiedenen Authentisierungsverfahren Für sämtliche SAP Instanzen (ABAP SAP GUI, JAVA, Portale, Web Dynpro) Verschlüsselte Kommunikation Kein Zurücksetzen von Passwörtern mehr notwendig 2012 SAP AG. All rights reserved. 19

20 SAP NetWeaver Single Sign-On Zusammenfassung Wahl der Authentisierung X.509 Zertifikate auf Smart Card oder Microsoft Certificate Store Kerberos / Microsoft Active Directory LDAP, RADIUS, RSA SecurID Standard SAP Anmeldung (Verschlüsselter Kanal) Single Sign-On SAP NetWeaver ABAP inkl. ABAP WebAS SAP NetWeaver Java Systeme (Enterprise Portal) Drittanbieter: Windows Programme, Web-Seiten, Terminal Emulationen Kommunikation über die Standard Protokolle SNC / Secure Network Communications SSL / Secure Socket Layer 2012 SAP AG. All rights reserved. 20

21 SAP NetWeaver Single Sign-On Fakten Single Sign-On Zufriedenere Anwender mit erhöhter Produktivität Verringerung von Password-Reset-Calls Erhöhung der Sicherheit auch für die Passwort Authentisierung Nutzung vorhandener Authentifizierungssysteme Starke Authentisierung und Verschlüsselung Einhaltung von unternehmensinternen und gesetzlichen Vorgaben Unternehmensweite Authentisierung und Verschlüsselung auch zwischen SAP Systemen Datenintegrität Vertraulichkeit Ursprungsnachweis 2012 SAP AG. All rights reserved. 21

22 SECUDE: Unsere Vorgehensweise & Ihr Vorteil Erfahrungswerte und die richtige Vorgehensweise in den Projekten Betrachtung aller Anwendungen die in das SSO integriert werden sollen Single Sign-On immer im Rahmen einer Gesamtstrategie einführen Bewertung der Technologien und Lösungskonzeption (POC) Alle Stakeholder einbeziehen und Anforderungen klären Keine Angst vor mehr Sicherheit und Anwenderfreundlichkeit SAP Single Sign-On Projekte sind keine Langzeitprojekte SECUDE bietet basierend auf der langjährigen Erfahrung in diesem Segment verschiedene Festpreispakete an 2012 SAP AG. All rights reserved. 22

23 Fragen? Fragen! Gerne beantworten wir nun Ihre Fragen? 2012 SAP AG. All rights reserved. 23

24 Vielen Dank für Ihre Aufmerksamkeit! Adrian Dürmüller Senior Security Consultant SECUDE International AG Werftestrasse 4A CH-6005 Luzern Tel: Carsten Olt Head of Global Consulting & Support SECUDE GmbH Rheinstrasse Darmstadt Germany Tel: Fax: SAP AG. All rights reserved. 24