Herzlich Herzlich willkommen Identity und Access Management Lösungen und Praxiserfahrungen bei Suva insinova ag Jens Albrecht, Dipl. El.-Ing. FH, CEO 1
Case Study Case Study Session Die Themen Business Needs Projektauftrag & Vorgehen Lösungen Erfahrungen Nutzen und Empfehlungen 2
Ein heisser Auftrag Sichere firmenübergreifende Prozesse Kostenreduktion im Gesundheitswesen durch Optimierung betriebsinterner Prozesse und Abläufe Elektronische Unfallmeldungen Einsicht in Verunfallten-Dossiers durch die Betriebe Elektronische Meldung von Salärdaten Publikation von Statistiken für die Betriebe Auf den Basisdiensten: Metadirectory und Security 3
Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der 160 000 Kunden und Partner der 2 600 Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an 2 600 Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 4
Auftrag Rahmenbedingungen Die Suva verarbeitet unter anderem sehr sensitive Personendaten. Es handelt sich häufig um Daten von Verunfallten, also um Personendaten, verknüpft mit medizinischen Befunden. Diese Daten sind besonders schützenswert und müssen, entsprechend dem Datenschutzgesetz, vor unbefugtem Zugriff gesichert werden. 5
Projektleitung Nicht nur IT... Fachabteilung Personal Informatik Partner Revision Datenschutz 6
Projektleitung Zusammenspiel Metadirectory & Security Accounts Attribute Connectors bestehende Directories Metadirectory Rollen Personen-Identifikation Verantwortlichkeiten Zugriffs-/Zugangsrechte Revisionsfähigkeit Produkte-Evaluation Anzahl Schnittstellen Workflow Security Gesetze/Vorschriften Firmenpolicy Informationen 7
Projektleitung Setup der Projekte und Arbeitspakete Klare Grenzen, Aufträge und Ergebnisse definieren. Einbezug von Stellen ausserhalb der IT 8
Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der 160 000 Kunden und Partner der 2 600 Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an 2 600 Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 9
Metadirectory Identity Data Authorization Authentication Identity Platform Enterprise Directory Traum HR System Contractor System Lotus Notes Apps Infra Application In-House Application In-House Application Ein Verzeichnisdienst für alle Identitäts-Informationen und - Prozesse Genutzt durch alle Applikationen Zentrales Management, Schema und Provisionierung 10
Metadirectory Realität - Identity Chaos Enterprise Directory Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Verschiedene Verzeichnissedienste für alle Identitäts- Informationen und -Prozesse Verschiedene User s, Unterschiedliche Passwörter Dezentralisiertes Management, ad hoc data sharing HR System Contractor System Lotus Notes Apps Infra Application In-House Application In-House Application In-House Application 11
Metadirectory Metadirectory Zielsetzung in Phase 1 SAP-HR MIIS PKI DB2 AD Notes 12
Metadirectory Mitarbeiter Partner Kunden Identity Management Wer? Was? Rollen Zugriff worauf? IT-Systeme Ressourcen Applikationen Web Service File Share Host Policies Regeln SAP Wann? 13
14 SAP Aladin () Legacy Applikation Metadirectory MIIS Active Directory Beispielablauf Metadirectory Metadirectory
15 SAP Aladin () Legacy Applikation Metadirectory MIIS Active Directory abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch Metadirectory Metadirectory
Metadirectory Metadirectory MIIS abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch SAP Active Directory Legacy Applikation Aladin () 041 748 50 50 16
Metadirectory Metadirectory MIIS abr@suva.ch 041 748 50 50 abr@suva.ch abr@suva.ch abr@suva.ch SAP Active Directory Legacy Applikation Aladin () 041 748 50 50 17
Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der 160 000 Kunden und Partner der 2 600 Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an 2 600 Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 18
Security Projektziele Erhöhung der Sicherheit innerhalb des Unternehmens Strategisch Etablierung eines funktionierenden IT- Sicherheitsmanagements. Taktisch Erarbeiten eins zentralen Dokuments im IT-Sicherheitsprozess. Operativ Implementation einer PKI-Infrastruktur für Mitarbeitende und externe Partner und Kunden. Hoher Schutz auf den portablen Geräten. 19
Security Einsatz der Smart Card Bezahlung Mitarbeiterbild 11654 Robert Koch IF Unterschrift Zutritt Zeiterfassung Systemzugriff, Abt., P-Nr. Single Sign-On digitale Signatur VPN / WLAN 20
PKI intern 21 Security
Security PKI intern: CA Ein Hardware Security Module (HSM) schützt den privaten Schlüssel der Zertifizierungsstelle vor Missbrauch, Viren, Beschädigung etc. und stellt somit die INTEGRITÄT der ausgegebenen Zertifikate sicher. Suva setzt auf HSM von SafeNet. 22
Security 23
Security CSP - Cryptographic Service Provider Die CSP-Software bestimmt Ihre Möglichkeiten! CSP und Krypto-Chip arbeiten zusammen. CSP und Windows arbeiten zusammen. KOBIL Smart Key CSP: PIN und PUK werden durch CSP programmiert. Unterstützt u.a. Infineon Krypto-Prozessor (ITSEC EAL 5+). Tauscht die MS-GINA nicht aus. Einziger von Microsoft Verified for Windows XP zertifizierter CSP. Unterschiedliche Token werden unterstützt. Security made in Germany In Deutschland zur digitalen Signatur verwendet (nach SigG D). 24
Security Ablauforganisation: Prozess Kartenabgabe Smart Cards werden unprogrammiert angeliefert. Smart Cards werden bedruckt und der Legic-Chip wird programmiert. Smart Cards werden an die Benutzer verteilt. Benutzer melden sich mit initialem Passwort am Computer an. Die Zertifikate werden nun automatisch mittels Active Directory Policies am Computer der Benutzer auf die Smart Card gespeichert. Benutzer wählt seinen PIN. Der PUK wird durch Zufallsgenerator generiert und auf die Smart Card geschrieben. Der PUK wird in eine verschlüsselte Datei auf ein Netzwerklaufwerk gespeichert. Nur Mitarbeiter des Help-Desks können die PUK-Dateien entschlüsseln. Keine zentrale Ausgabe- und Programmierstelle für Zertifikate nötig Enorme Kosteneinsparung, keine PIN-Briefe! 25
Security Ablauf der Zertifikatsausstellung 26
Security Ergebnisse - Wünsche Realisierte Funktionen Anmelden an der Windows Domäne Anmelden an Applikationen (z.b. Citrix MF, SAP R/3) Sicherer Zugang per VPN und RAS Verschlüsseln von Dateien Gebäudezutritt Zeiterfassung Bezahlsystem für Kantine Mitarbeiterausweis 11654 Robert Koch IF Sicherheitsaspekt Smart Card basierende Lösung kombiniert mit Gebäudezutritt, Zeiterfassung und Bezahlen Gewährleistet, dass die Smart Card immer beim Benutzer ist! Gewünschte Erweiterung Austausch verschlüsselter E-s mit Partnern und Kunden, um den Anforderungen des Datenschutzgesetztes zu entsprechen. Zertifikat-basierender Zugang für Partner und Kunden auf eigene Applikationen. 27
Security Ausblick Extern: TAN Server Anforderung 160 000 Benutzer, welche sporadisch auf die SUVA-Informationen zugreifen Einzige Voraussetzung ist ein PC mit Web-Browser und Internet-Anschluss Keine SW oder HW Installation am PC erforderlich Kostengünstig, denn es wird mit 160 000 multipliziert Lösung Einmalpasswortsystem mit unterschiedlichen Token Rasterkarte für sporadische Benutzer Der Benutzer muss keine Zeilen durchstreichen Einmalpasswort-Generator für häufige Benutzer PDA oder Token 0 1 9 A 850426 265985 893634 B 466921 285633 243657 J 832745 847350 144291 28
Ausblick Extern: TAN Server 29 Security
Security Sicherheit portabler Geräte Anforderung Schutz der Informationen bei Diebstahl und Verlust der Geräte. Muss für Notebooks, TabletPCs und Memory Sticks funktionieren. Muss mit unterschiedlichen Token bzw. Smart Cards funktionieren. Lösung Verschlüsselung der gesamten Festplatte mit Pre-Boot-Authentification. Alle 900 Notebooks von Suva wurden mit der SecureDoc Festplattenverschlüsselung verschlüsselt. Verwaltet werden die Geräte durch den zentralen SecureDoc Enterprise Server. Erfahrung Gute Akzeptanz bei den Mitarbeitern, kaum Probleme. Die Mitarbeiter werden durch die transparente Verschlüsselung nicht behindert. SecureDoc ist auch beim Bundesamt für Informatik und Telekommunikation (BIT) als Produkt Admin Secure Disk im Einsatz. 30
Summary Nutzen 1 Gute Basis für firmenübergreifende Prozesse und weitere Anforderungen Umfassende Authentifizierung aller Beteiligten Professioneller Workflow bei Mutationen Erhöhte Sicherheit und Transparenz 31
Summary Nutzen 2 Jeder Mitarbeitende hat eine integrierte Lösung für viele Bedürfnisse Authentisierung Zugriffssicherheit Zutrittsregelung Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge 32
Summary Lessions learned 1 Security und Metadirectory sind mehr als IT- Projekte Organisation und Workflow sind die Key Success-Faktoren Security-Management soll zentralisiert sein Fehlende Rollenkonzepte behindern rasche Ausbreitung Bestehende Berechtigungssysteme werden genutzt Produkte grosser Hersteller sind geeignet 33
Summary Lessions learned 2 Die Kommunikation des Nutzens ist ausserhalb der IT schwierig Revisionsanforderung zu Projektbeginn einfordern Aufwand liegt primär in der Adaption bestehender Infrastrukturen und Programme Altlasten werden offensichtlich und können nicht unbedingt mit dem Projektbudget finanziert werden 34
Summary Empfehlungen für Ihre Projekte Ohne Support durch Management kein Erfolg Blick für das Ganze, aber klein anfangen Chancen für eine umfassende Verbesserung nutzen Rollenkonzept muss überarbeitet vorliegen Keine Eigenentwicklung (Standard-Software nutzen) Prüfen Sie die Kosten der Lösung über 5 Jahre IT-Security ist ein kontinuierlicher Prozess ohne Ende 35
Summary Mit Metadirectory und Security kennen Sie nicht nur die Spitze des Eisberges. 36
Danke für Ihr Interesse. Kontakt: insinova ag Jens Albrecht, CEO, jens.albrecht@insinova.ch Sumpfstr. 32 6300 Zug 041 748 72 00 http://www.insinova.ch 37