Herzlich Herzlich willkommen

Ähnliche Dokumente
Warum und wie Daten verschlüsselt werden am Beispiel von Max P.

Warum und wie Daten verschlüsselt werden am Beispiel von Max P.

Erfahrungen aus der Implementierung einer PKI

Was ist Identity Management?

Mobile ID für sichere Authentisierung im e-government

Signatur-Initiative Rheinland-Pfalz

Authentication as a Service (AaaS)

Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter.

Für richtige ICT-Security

Mobile ID für sichere Authentisierung im e-government

midentity midentity Manager Basic KOBIL midentity Manager Basic Meine kleine, aber feine Verwaltung

Desktopvirtualisierung. mit Vmware View 4

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

1. Sept Über Keyon

Authentisierung in Unternehmensnetzen

Secure Authentication for System & Network Administration

Zertifikatsgeschützter Remote Zugang ab Memory Stick

IAM Area Wer darf was? - Lösungsstrategien für ein erfolgreiches Identity & Access Management

CardOS API V5.0. Standard-Kryptoschnittstelle zur Nutzung von Anwendungen mit CardOS-Smartcards

Authentication Solutions

IT-SECURITY 2006 PARTNER SOLUTION DAYS RSA SECURITY

Enterprise Mobility, Live! Pascal Kaufmann, Swisscom IT Services AG 12. Juni 2013

smis_secure mail in der srg / pflichtenheft /

Systemvoraussetzungen

Verschlüsseltund versperrt Datensicherheitist Unternehmensschutz

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

DEPARTEMENT FINANZEN UND RESSOURCEN. 2. Juli 2014 ANLEITUNG. Zertifikate erneuern. 1. Ausgangslage

Smartphone-Sicherheit

Merkblatt: HSM. Version Systemvoraussetzungen, Setup und Trouble Shooting.

SSL VPN Zugang Anleitung Version 1.3

Sun Java Desktop System Die sichere Desktop-Alternative

Identity for Everything

Warum braucht es neue Betriebssysteme? Security Event NetSpider GmbH / GoEast GmbH

ECOS Technology GmbH Moderne Telearbeitsplätze

FirstWare FreeEdition Quick Start Guide. Version 1.3

Good Dynamics by Good Technology. V by keyon (

Chipkartensysteme II

Whitepaper D-TRUST onlinera 2010

Agenda Azure Active Directory mehr als nur Benutzer und Gruppen

Das Plus an Unternehmenssicherheit

Handbuch. Smart Card Login (SuisseID) Version Juni QuoVadis Trustlink Schweiz AG Seite [0]

Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten

Kobil Roundtable Identity Federation. Konzepte und Einsatz


Identity Management Service-Orientierung Martin Kuppinger, KCP

Ihr Weg in die Cloud einfach A1. Alexandros Osyos, MBA Leiter Partner Management A1 Telekom Austria

Sicheres Mgmt von mobilen Geräten & Benutzern

Begrüssung VMware Partner Exchange Update VMware Virtual SAN GA and use cases SimpliVity Converged Infrastructure Kaffeepause

ISSS Security Lunch - Cloud Computing

Chancen durch Verzeichnisdienste im Intraund. Junited Gründermesse, , Reutlingen Peter Gietz

Implementierung Smartcard Aladdin E-Token pro für Domänen-Anmeldung. USB Smart Card Reader und USB Token der Fa. Aladdin (E-Token Pro)

Cloud Control, Single Sign On in Active Directory Umfeld

Bewährt. Sicher.

securemsp CloudShare Encrypted File Transfer & Collaboration Platform Secure-MSP GmbH 2013

Studentenzertifikate für Online-Dienste der Fachhochschule Landshut

Sicherheit wird messbar Lösungsansätze und Methoden. Case. 15. September 2009, Hotel St. Gotthard, Zürich

Neue Konzepte für. Markus Tak. Mobile Signatur und PKI

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

Enterprise Web-SSO mit CAS und OpenSSO

2012 Quest Software Inc. All rights reserved.

Mobile Business. SmartPhones&Tablets: Sicherer Datenzugriff von unterwegs?

Business und Enterprise Cloud Sync, Backup- und Sharing-Lösungen

Anwendung Rechnernetze. 7.Semester INF - WS 2005/2006 Vorstellung der Projekte (Prof. Dr. Uwe Heuert)

Einführung IGA bei der Firma Centris AG. 25. Juni 2015

Systemvoraussetzungen

Mobile Device Management

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

CLX.Sentinel Kurzanleitung

Decus IT Symposium 2006

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Identity & Access Management in der Cloud

PKI-Lösungen in Windows-Netzwerken

FirstWare FreeEdition Quick Start Guide. Version 2.1

Swisscom der erste Dienstanbieter für qualifizierte Signaturen in der Schweiz

e-seal Gebrauchsanweisung für Novartis Mitarbeiter mit Microsoft Outlook e-seal_2_8_11_0154_umol

etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April / 18

Sind Cloud Apps der nächste Hype?

Integration von Zertifikaten in Benutzerverwaltungssysteme

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Einsatzmöglichkeiten der Open Text SharePoint Erweiterungen an einem Beispielprojekt

Authentication Token gesucht- Nutzen Sie doch Ihr Handy. T-TeleSec OneTimePass Überblick / Version

Das ist ein gute Frage! Jörg Giffhorn Head of IT & Mobile Solutions eves_information technology AG

VASCO - Ihr Passwort in der Hand

USB 2.0 Ultimate Card Reader

Identity-Management flexible und sichere Berechtigungsverwaltung

HERZLICH WILLKOMMEN SHAREPOINT DEEP DIVE FOR ADMINS IOZ AG 2

Systemvoraussetzungen

Studentenzertifikate für Online-Dienste der Hochschule Landshut

Sicherheit und Mobilität ein lösbares Dilemma

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Identity as a Service

der referent Enterprise Mobility Hype oder Must-Have?

Dieses Dokument beschreibt die Anwendung des Repa Copy Token.

Einführung SSO bei Hero. Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Next Generation Remote Access Hochsicher ins Firmennetz mit jedem PC

Sichere PCs und Laptops

Transkript:

Herzlich Herzlich willkommen Identity und Access Management Lösungen und Praxiserfahrungen bei Suva insinova ag Jens Albrecht, Dipl. El.-Ing. FH, CEO 1

Case Study Case Study Session Die Themen Business Needs Projektauftrag & Vorgehen Lösungen Erfahrungen Nutzen und Empfehlungen 2

Ein heisser Auftrag Sichere firmenübergreifende Prozesse Kostenreduktion im Gesundheitswesen durch Optimierung betriebsinterner Prozesse und Abläufe Elektronische Unfallmeldungen Einsicht in Verunfallten-Dossiers durch die Betriebe Elektronische Meldung von Salärdaten Publikation von Statistiken für die Betriebe Auf den Basisdiensten: Metadirectory und Security 3

Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der 160 000 Kunden und Partner der 2 600 Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an 2 600 Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 4

Auftrag Rahmenbedingungen Die Suva verarbeitet unter anderem sehr sensitive Personendaten. Es handelt sich häufig um Daten von Verunfallten, also um Personendaten, verknüpft mit medizinischen Befunden. Diese Daten sind besonders schützenswert und müssen, entsprechend dem Datenschutzgesetz, vor unbefugtem Zugriff gesichert werden. 5

Projektleitung Nicht nur IT... Fachabteilung Personal Informatik Partner Revision Datenschutz 6

Projektleitung Zusammenspiel Metadirectory & Security Accounts Attribute Connectors bestehende Directories Metadirectory Rollen Personen-Identifikation Verantwortlichkeiten Zugriffs-/Zugangsrechte Revisionsfähigkeit Produkte-Evaluation Anzahl Schnittstellen Workflow Security Gesetze/Vorschriften Firmenpolicy Informationen 7

Projektleitung Setup der Projekte und Arbeitspakete Klare Grenzen, Aufträge und Ergebnisse definieren. Einbezug von Stellen ausserhalb der IT 8

Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der 160 000 Kunden und Partner der 2 600 Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an 2 600 Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 9

Metadirectory Identity Data Authorization Authentication Identity Platform Enterprise Directory Traum HR System Contractor System Lotus Notes Apps Infra Application In-House Application In-House Application Ein Verzeichnisdienst für alle Identitäts-Informationen und - Prozesse Genutzt durch alle Applikationen Zentrales Management, Schema und Provisionierung 10

Metadirectory Realität - Identity Chaos Enterprise Directory Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Authentication Authorization Identity Data Verschiedene Verzeichnissedienste für alle Identitäts- Informationen und -Prozesse Verschiedene User s, Unterschiedliche Passwörter Dezentralisiertes Management, ad hoc data sharing HR System Contractor System Lotus Notes Apps Infra Application In-House Application In-House Application In-House Application 11

Metadirectory Metadirectory Zielsetzung in Phase 1 SAP-HR MIIS PKI DB2 AD Notes 12

Metadirectory Mitarbeiter Partner Kunden Identity Management Wer? Was? Rollen Zugriff worauf? IT-Systeme Ressourcen Applikationen Web Service File Share Host Policies Regeln SAP Wann? 13

14 SAP Aladin () Legacy Applikation Metadirectory MIIS Active Directory Beispielablauf Metadirectory Metadirectory

15 SAP Aladin () Legacy Applikation Metadirectory MIIS Active Directory abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch Metadirectory Metadirectory

Metadirectory Metadirectory MIIS abr@suva.ch abr@suva.ch abr@suva.ch abr@suva.ch SAP Active Directory Legacy Applikation Aladin () 041 748 50 50 16

Metadirectory Metadirectory MIIS abr@suva.ch 041 748 50 50 abr@suva.ch abr@suva.ch abr@suva.ch SAP Active Directory Legacy Applikation Aladin () 041 748 50 50 17

Auftrag Business Needs Erhöhung der Sicherheit und des Komforts durch eine integrierte Lösung für Authentisierung der 160 000 Kunden und Partner der 2 600 Mitarbeitenden Zugriffssicherheit auf die IT-Infrastruktur an 2 600 Arbeitplätzen Umfassender Schutz von 900 Notebooks Zutrittsregelung an 21 Standorten zu verschiedenen Gebäuden zu diversen Sicherheitszonen Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge Aufwand-Reduktion durch professionelle Mutationsprozesse in den >40 Directories 18

Security Projektziele Erhöhung der Sicherheit innerhalb des Unternehmens Strategisch Etablierung eines funktionierenden IT- Sicherheitsmanagements. Taktisch Erarbeiten eins zentralen Dokuments im IT-Sicherheitsprozess. Operativ Implementation einer PKI-Infrastruktur für Mitarbeitende und externe Partner und Kunden. Hoher Schutz auf den portablen Geräten. 19

Security Einsatz der Smart Card Bezahlung Mitarbeiterbild 11654 Robert Koch IF Unterschrift Zutritt Zeiterfassung Systemzugriff, Abt., P-Nr. Single Sign-On digitale Signatur VPN / WLAN 20

PKI intern 21 Security

Security PKI intern: CA Ein Hardware Security Module (HSM) schützt den privaten Schlüssel der Zertifizierungsstelle vor Missbrauch, Viren, Beschädigung etc. und stellt somit die INTEGRITÄT der ausgegebenen Zertifikate sicher. Suva setzt auf HSM von SafeNet. 22

Security 23

Security CSP - Cryptographic Service Provider Die CSP-Software bestimmt Ihre Möglichkeiten! CSP und Krypto-Chip arbeiten zusammen. CSP und Windows arbeiten zusammen. KOBIL Smart Key CSP: PIN und PUK werden durch CSP programmiert. Unterstützt u.a. Infineon Krypto-Prozessor (ITSEC EAL 5+). Tauscht die MS-GINA nicht aus. Einziger von Microsoft Verified for Windows XP zertifizierter CSP. Unterschiedliche Token werden unterstützt. Security made in Germany In Deutschland zur digitalen Signatur verwendet (nach SigG D). 24

Security Ablauforganisation: Prozess Kartenabgabe Smart Cards werden unprogrammiert angeliefert. Smart Cards werden bedruckt und der Legic-Chip wird programmiert. Smart Cards werden an die Benutzer verteilt. Benutzer melden sich mit initialem Passwort am Computer an. Die Zertifikate werden nun automatisch mittels Active Directory Policies am Computer der Benutzer auf die Smart Card gespeichert. Benutzer wählt seinen PIN. Der PUK wird durch Zufallsgenerator generiert und auf die Smart Card geschrieben. Der PUK wird in eine verschlüsselte Datei auf ein Netzwerklaufwerk gespeichert. Nur Mitarbeiter des Help-Desks können die PUK-Dateien entschlüsseln. Keine zentrale Ausgabe- und Programmierstelle für Zertifikate nötig Enorme Kosteneinsparung, keine PIN-Briefe! 25

Security Ablauf der Zertifikatsausstellung 26

Security Ergebnisse - Wünsche Realisierte Funktionen Anmelden an der Windows Domäne Anmelden an Applikationen (z.b. Citrix MF, SAP R/3) Sicherer Zugang per VPN und RAS Verschlüsseln von Dateien Gebäudezutritt Zeiterfassung Bezahlsystem für Kantine Mitarbeiterausweis 11654 Robert Koch IF Sicherheitsaspekt Smart Card basierende Lösung kombiniert mit Gebäudezutritt, Zeiterfassung und Bezahlen Gewährleistet, dass die Smart Card immer beim Benutzer ist! Gewünschte Erweiterung Austausch verschlüsselter E-s mit Partnern und Kunden, um den Anforderungen des Datenschutzgesetztes zu entsprechen. Zertifikat-basierender Zugang für Partner und Kunden auf eigene Applikationen. 27

Security Ausblick Extern: TAN Server Anforderung 160 000 Benutzer, welche sporadisch auf die SUVA-Informationen zugreifen Einzige Voraussetzung ist ein PC mit Web-Browser und Internet-Anschluss Keine SW oder HW Installation am PC erforderlich Kostengünstig, denn es wird mit 160 000 multipliziert Lösung Einmalpasswortsystem mit unterschiedlichen Token Rasterkarte für sporadische Benutzer Der Benutzer muss keine Zeilen durchstreichen Einmalpasswort-Generator für häufige Benutzer PDA oder Token 0 1 9 A 850426 265985 893634 B 466921 285633 243657 J 832745 847350 144291 28

Ausblick Extern: TAN Server 29 Security

Security Sicherheit portabler Geräte Anforderung Schutz der Informationen bei Diebstahl und Verlust der Geräte. Muss für Notebooks, TabletPCs und Memory Sticks funktionieren. Muss mit unterschiedlichen Token bzw. Smart Cards funktionieren. Lösung Verschlüsselung der gesamten Festplatte mit Pre-Boot-Authentification. Alle 900 Notebooks von Suva wurden mit der SecureDoc Festplattenverschlüsselung verschlüsselt. Verwaltet werden die Geräte durch den zentralen SecureDoc Enterprise Server. Erfahrung Gute Akzeptanz bei den Mitarbeitern, kaum Probleme. Die Mitarbeiter werden durch die transparente Verschlüsselung nicht behindert. SecureDoc ist auch beim Bundesamt für Informatik und Telekommunikation (BIT) als Produkt Admin Secure Disk im Einsatz. 30

Summary Nutzen 1 Gute Basis für firmenübergreifende Prozesse und weitere Anforderungen Umfassende Authentifizierung aller Beteiligten Professioneller Workflow bei Mutationen Erhöhte Sicherheit und Transparenz 31

Summary Nutzen 2 Jeder Mitarbeitende hat eine integrierte Lösung für viele Bedürfnisse Authentisierung Zugriffssicherheit Zutrittsregelung Zeiterfassung und Personalausweis Zahlungsmittel für interne Bezüge 32

Summary Lessions learned 1 Security und Metadirectory sind mehr als IT- Projekte Organisation und Workflow sind die Key Success-Faktoren Security-Management soll zentralisiert sein Fehlende Rollenkonzepte behindern rasche Ausbreitung Bestehende Berechtigungssysteme werden genutzt Produkte grosser Hersteller sind geeignet 33

Summary Lessions learned 2 Die Kommunikation des Nutzens ist ausserhalb der IT schwierig Revisionsanforderung zu Projektbeginn einfordern Aufwand liegt primär in der Adaption bestehender Infrastrukturen und Programme Altlasten werden offensichtlich und können nicht unbedingt mit dem Projektbudget finanziert werden 34

Summary Empfehlungen für Ihre Projekte Ohne Support durch Management kein Erfolg Blick für das Ganze, aber klein anfangen Chancen für eine umfassende Verbesserung nutzen Rollenkonzept muss überarbeitet vorliegen Keine Eigenentwicklung (Standard-Software nutzen) Prüfen Sie die Kosten der Lösung über 5 Jahre IT-Security ist ein kontinuierlicher Prozess ohne Ende 35

Summary Mit Metadirectory und Security kennen Sie nicht nur die Spitze des Eisberges. 36

Danke für Ihr Interesse. Kontakt: insinova ag Jens Albrecht, CEO, jens.albrecht@insinova.ch Sumpfstr. 32 6300 Zug 041 748 72 00 http://www.insinova.ch 37

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback