Herzlich Herzlich willkommen

Transkript

1 Herzlich Herzlich willkommen Identity und Access Management Lösungen und Praxiserfahrungen bei Suva insinova ag Jens Albrecht, Dipl. El.-Ing. FH, CEO 1

2 Case Study Case Study Session Die Themen Business Needs Projektauftrag & Vorgehen Lösungen Erfahrungen Nutzen und Empfehlungen 2

3 Ein heisser Auftrag Sichere firmenübergreifende Prozesse Kostenreduktion im Gesundheitswesen durch Optimierung betriebsinterner Prozesse und Abläufe Elektronische Unfallmeldungen Einsicht in Verunfallten-Dossiers durch die Betriebe Elektronische Meldung von Salärdaten Publikation von Statistiken für die Betriebe Auf den Basisdiensten: Metadirectory und Security 3

4 Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der Kunden und Partner der Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 4

5 Auftrag Rahmenbedingungen Die Suva verarbeitet unter anderem sehr sensitive Personendaten. Es handelt sich häufig um Daten von Verunfallten, also um Personendaten, verknüpft mit medizinischen Befunden. Diese Daten sind besonders schützenswert und müssen, entsprechend dem Datenschutzgesetz, vor unbefugtem Zugriff gesichert werden. 5

6 Projektleitung Nicht nur IT... Fachabteilung Personal Informatik Partner Revision Datenschutz 6

7 Projektleitung Zusammenspiel Metadirectory & Security Accounts Attribute Connectors bestehende Directories Metadirectory Rollen Personen-Identifikation Verantwortlichkeiten Zugriffs-/Zugangsrechte Revisionsfähigkeit Produkte-Evaluation Anzahl Schnittstellen Workflow Security Gesetze/Vorschriften Firmenpolicy Informationen 7

8 Projektleitung Setup der Projekte und Arbeitspakete Klare Grenzen, Aufträge und Ergebnisse definieren. Einbezug von Stellen ausserhalb der IT 8

10 Metadirectory Identity Data Authorization Authentication Identity Platform Enterprise Directory Traum HR System Contractor System Lotus Notes Apps Infra Application In-House Application In-House Application Ein Verzeichnisdienst für alle Identitäts-Informationen und - Prozesse Genutzt durch alle Applikationen Zentrales Management, Schema und Provisionierung 10

11 Metadirectory Realität - Identity Chaos Enterprise Directory Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Verschiedene Verzeichnissedienste für alle Identitäts- Informationen und -Prozesse Verschiedene User s, Unterschiedliche Passwörter Dezentralisiertes Management, ad hoc data sharing HR System Contractor System Lotus Notes Apps Infra Application In-House Application In-House Application In-House Application 11

12 Metadirectory Metadirectory Zielsetzung in Phase 1 SAP-HR MIIS PKI DB2 AD Notes 12

13 Metadirectory Mitarbeiter Partner Kunden Identity Management Wer? Was? Rollen Zugriff worauf? IT-Systeme Ressourcen Applikationen Web Service File Share Host Policies Regeln SAP Wann? 13

14 14 SAP Aladin () Legacy Applikation Metadirectory MIIS Active Directory Beispielablauf Metadirectory Metadirectory

15 15 SAP Aladin () Legacy Applikation Metadirectory MIIS Active Directory Metadirectory Metadirectory

16 Metadirectory Metadirectory MIIS SAP Active Directory Legacy Applikation Aladin ()

17 Metadirectory Metadirectory MIIS SAP Active Directory Legacy Applikation Aladin ()

19 Security Projektziele Erhöhung der Sicherheit innerhalb des Unternehmens Strategisch Etablierung eines funktionierenden IT- Sicherheitsmanagements. Taktisch Erarbeiten eins zentralen Dokuments im IT-Sicherheitsprozess. Operativ Implementation einer PKI-Infrastruktur für Mitarbeitende und externe Partner und Kunden. Hoher Schutz auf den portablen Geräten. 19

20 Security Einsatz der Smart Card Bezahlung Mitarbeiterbild Robert Koch IF Unterschrift Zutritt Zeiterfassung Systemzugriff, Abt., P-Nr. Single Sign-On digitale Signatur VPN / WLAN 20

21 PKI intern 21 Security

22 Security PKI intern: CA Ein Hardware Security Module (HSM) schützt den privaten Schlüssel der Zertifizierungsstelle vor Missbrauch, Viren, Beschädigung etc. und stellt somit die INTEGRITÄT der ausgegebenen Zertifikate sicher. Suva setzt auf HSM von SafeNet. 22

23 Security 23

24 Security CSP - Cryptographic Service Provider Die CSP-Software bestimmt Ihre Möglichkeiten! CSP und Krypto-Chip arbeiten zusammen. CSP und Windows arbeiten zusammen. KOBIL Smart Key CSP: PIN und PUK werden durch CSP programmiert. Unterstützt u.a. Infineon Krypto-Prozessor (ITSEC EAL 5+). Tauscht die MS-GINA nicht aus. Einziger von Microsoft Verified for Windows XP zertifizierter CSP. Unterschiedliche Token werden unterstützt. Security made in Germany In Deutschland zur digitalen Signatur verwendet (nach SigG D). 24

25 Security Ablauforganisation: Prozess Kartenabgabe Smart Cards werden unprogrammiert angeliefert. Smart Cards werden bedruckt und der Legic-Chip wird programmiert. Smart Cards werden an die Benutzer verteilt. Benutzer melden sich mit initialem Passwort am Computer an. Die Zertifikate werden nun automatisch mittels Active Directory Policies am Computer der Benutzer auf die Smart Card gespeichert. Benutzer wählt seinen PIN. Der PUK wird durch Zufallsgenerator generiert und auf die Smart Card geschrieben. Der PUK wird in eine verschlüsselte Datei auf ein Netzwerklaufwerk gespeichert. Nur Mitarbeiter des Help-Desks können die PUK-Dateien entschlüsseln. Keine zentrale Ausgabe- und Programmierstelle für Zertifikate nötig Enorme Kosteneinsparung, keine PIN-Briefe! 25

26 Security Ablauf der Zertifikatsausstellung 26

27 Security Ergebnisse - Wünsche Realisierte Funktionen Anmelden an der Windows Domäne Anmelden an Applikationen (z.b. Citrix MF, SAP R/3) Sicherer Zugang per VPN und RAS Verschlüsseln von Dateien Gebäudezutritt Zeiterfassung Bezahlsystem für Kantine Mitarbeiterausweis Robert Koch IF Sicherheitsaspekt Smart Card basierende Lösung kombiniert mit Gebäudezutritt, Zeiterfassung und Bezahlen Gewährleistet, dass die Smart Card immer beim Benutzer ist! Gewünschte Erweiterung Austausch verschlüsselter E-s mit Partnern und Kunden, um den Anforderungen des Datenschutzgesetztes zu entsprechen. Zertifikat-basierender Zugang für Partner und Kunden auf eigene Applikationen. 27

28 Security Ausblick Extern: TAN Server Anforderung Benutzer, welche sporadisch auf die SUVA-Informationen zugreifen Einzige Voraussetzung ist ein PC mit Web-Browser und Internet-Anschluss Keine SW oder HW Installation am PC erforderlich Kostengünstig, denn es wird mit multipliziert Lösung Einmalpasswortsystem mit unterschiedlichen Token Rasterkarte für sporadische Benutzer Der Benutzer muss keine Zeilen durchstreichen Einmalpasswort-Generator für häufige Benutzer PDA oder Token A B J

29 Ausblick Extern: TAN Server 29 Security

30 Security Sicherheit portabler Geräte Anforderung Schutz der Informationen bei Diebstahl und Verlust der Geräte. Muss für Notebooks, TabletPCs und Memory Sticks funktionieren. Muss mit unterschiedlichen Token bzw. Smart Cards funktionieren. Lösung Verschlüsselung der gesamten Festplatte mit Pre-Boot-Authentification. Alle 900 Notebooks von Suva wurden mit der SecureDoc Festplattenverschlüsselung verschlüsselt. Verwaltet werden die Geräte durch den zentralen SecureDoc Enterprise Server. Erfahrung Gute Akzeptanz bei den Mitarbeitern, kaum Probleme. Die Mitarbeiter werden durch die transparente Verschlüsselung nicht behindert. SecureDoc ist auch beim Bundesamt für Informatik und Telekommunikation (BIT) als Produkt Admin Secure Disk im Einsatz. 30

31 Summary Nutzen 1 Gute Basis für firmenübergreifende Prozesse und weitere Anforderungen Umfassende Authentifizierung aller Beteiligten Professioneller Workflow bei Mutationen Erhöhte Sicherheit und Transparenz 31

32 Summary Nutzen 2 Jeder Mitarbeitende hat eine integrierte Lösung für viele Bedürfnisse Authentisierung Zugriffssicherheit Zutrittsregelung Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge 32

33 Summary Lessions learned 1 Security und Metadirectory sind mehr als IT- Projekte Organisation und Workflow sind die Key Success-Faktoren Security-Management soll zentralisiert sein Fehlende Rollenkonzepte behindern rasche Ausbreitung Bestehende Berechtigungssysteme werden genutzt Produkte grosser Hersteller sind geeignet 33

34 Summary Lessions learned 2 Die Kommunikation des Nutzens ist ausserhalb der IT schwierig Revisionsanforderung zu Projektbeginn einfordern Aufwand liegt primär in der Adaption bestehender Infrastrukturen und Programme Altlasten werden offensichtlich und können nicht unbedingt mit dem Projektbudget finanziert werden 34

35 Summary Empfehlungen für Ihre Projekte Ohne Support durch Management kein Erfolg Blick für das Ganze, aber klein anfangen Chancen für eine umfassende Verbesserung nutzen Rollenkonzept muss überarbeitet vorliegen Keine Eigenentwicklung (Standard-Software nutzen) Prüfen Sie die Kosten der Lösung über 5 Jahre IT-Security ist ein kontinuierlicher Prozess ohne Ende 35

36 Summary Mit Metadirectory und Security kennen Sie nicht nur die Spitze des Eisberges. 36

37 Danke für Ihr Interesse. Kontakt: insinova ag Jens Albrecht, CEO, Sumpfstr Zug