Datenzugang geregelt

12.07.2007
Dass auch kleine Reseller bei Weltunternehmen IT-Projekte durchführen können, beweist der Utimaco-Partner Protea. Er hat bei Telefónica ein Datenverschlüsselungssystem installiert.

Von Dr. Ronald Wiltscheck

Diese Kundenanfrage hat Utimaco sofort an seinen Vertriebspartner Protea Networks weitergereicht. Immerhin handelte es sich bei dem potenziellen Kunden um Telefónica Deutschland, und der spanische Carrier war es leid, die Zugangsregeln für bestimmte Dokumente auf seinen Servern halb-manuell zu regeln. Bisher griff Telefónica dabei auf eine Vielzahl von Samba-Servern zurück. Auf diesen hat der Kunde seine Daten und Informationen aus den verschiedenen Abteilungen zwar getrennt voneinander gespeichert. Diese Dokumente und Ordner aber anschließend nochmals gesondert zu sichern, dafür gab es bei keine Ressourcen.

Die neuen Sicherheitsrichtlinien von der spanischen Mutter forderten aber eine Komplettlösung, die in der Lage sein sollte, die gesetzlichen Anforderungen an das Unternehmen und die Geschäftsleitung einfach und unternehmensübergreifend zu erfüllen. Sensible Unternehmensdaten sollten - ohne spürbaren Mehraufwand für die Mitarbeiter - gesichert werden.

Darüber hinaus suchte Telefónica nach einer zentral verwaltbaren Software, die den Aufwand für die IT-Abteilung minimieren und Kosten sparen würde. Das heißt, Daten sollten in Zukunft transparent gesichert und verschlüsselt werden. Es galt die Frage zu klären, welche Lösung Telefónicas Richtlinien und Sicherheitspläne am effizientesten erfüllen könnte.

Am Beginn des Auswahlverfahrens standen verschiedene Produkte im direkten Vergleich, so auch die "LAN Crypt"-Software von Utimaco. Davor recherchierte Telefónicas Security-Manager und Datenschutzbeauftragter Romeo Heinert im Internet und in Fachzeitschriften. Daraus gewann er einen ersten Überblick über die am Markt verfügbaren Verschlüsselungswerkzeuge. In einem weiteren Schritt kontaktierte Heinert verschiedene Anbieter und bat sie, an der Evaluierungsphase teilzunehmen. Aus dem mehrmonatigen Test ging schließlich LAN Crypt von Utimaco Safeware als Sieger hervor.

Neue Hardware war nicht notwendig

"Wir haben uns für dieses Produkt entschieden, weil es alle geforderten Bereiche in der von uns gewünschten Qualität abdecken konnte", erinnert sich Heinert. Ausschlaggebend war für den Sicherheitsbeauftragten von Telefónica die Tatsache, dass LAN Crypt Dateien sowohl auf lokalen Rechnern als auch auf zentralen Servern verschlüsselt und zusätzlich diese Daten auch noch abhörsicher zu übertragen vermag. "Weitere große Vorteile sind die zentrale Administration, transparente Datensicherheit für alle Benutzergruppen und Verschlüsselung auf allen gängigen Medien, also auch auf CDs, DVDs und USB-Sticks, ergänzt Heinert.

Ferner habe den Security-Manager die Möglichkeit beeindruckt, die Software von Utimaco auf die bei Telefónica bereits vorhandene Hardware aufzuspielen. "Bei einigen von uns getesteten Konkurrenzprodukten hätten wir dagegen unsere IT-Infrastruktur ausbauen müssen", erläutert Heinert.

Verschlüsselungsregeln zu komplex

Vom Beginn der Ausschreibung bis zur Installation der Software vergingen rund neun Monate. Denn auch nachdem bereits feststand, dass Utimacos LAN Crypt zum Zuge kommen sollte, waren noch einige vorbereitende Tätigkeiten zu erledigen. Zuerst erarbeitete der Utimaco-Partner Protea Networks erste Grobpläne, wie die Software zu implementieren sei. Anschließend ging es an das Feintuning. Und diese Projektphase stellte sich im Nachhinein als die größte Herausforderung dar. Denn der Kunde wollte die Verschlüsselungsregeln bis auf einzelne Personen herunter individuell handhaben. Dies war natürlich so nicht realisierbar. Hier musste also Protea ein Konzept erstellen, wie die Wünsche des Kunden erfüllt werden sollten, ohne dass die Schlüsselverwaltung zu komplex geraten würde. "Es galt, sinnvolle Regeln für alle Abteilungen bei Telefónica zu erstellen", erinnert sich Michael Seele, Projektleiter bei Protea Networks.

Erschwerend kam dabei hinzu, dass der Kunde zum damaligen Zeitpunkt keine ausgefeilte Domänenstruktur besaß. So waren die Windows-Clients an Linux-basierte Samba-Server angeschlossen, Microsoft Active Directory kam dabei nicht zum Zuge. Daher mussten alle Benutzerdaten im ASCII-Format importiert und in die Software von Utimaco eingespielt werden. Diese Arbeit nahm auch mehr Zeit in Anspruch als ursprünglich vorgesehen.

Weitere Clients werden später verschlüsselt

Die ausführliche Testphase bei Telefónica half aber, auch diese Probleme zu meistern. Hierbei stand Protea dem Kunden mit technischen Tipps und praktischer Hilfe stets zur Seite. Im Laufe eines Jahres hat der Utimaco-Partner 250 Rechner bei Telefónica mit der neuen Sicherheitssoftware ausgerüstet, die restlichen 200 Client-Lizenzen sollen peu à peu folgen. "Das Aufspielen der Software ist durch die zentrale Administration einfach und schnell. Außerdem haben wir kaum personellen Aufwand. Das gefällt uns natürlich sehr", meint dazu Romeo Heinert von Telefónica.

Aber was passiert, wenn ein Mitarbeiter die Abteilung wechselt, vorher aber noch nie mit LAN Crypt gearbeitet hat? "Kein Problem", meint Heinert. So fordert zunächst der Teamleiter die zum Freischalten der Schlüssel benötigten Benutzerdaten an. Im nächsten Schritt werden die Schlüssel generiert und gemäß der Sicherheitsrichtlinien bei Telefónica auf die unterschiedlichen Datenbanken verteilt. Danach erhält der neue Schlüsselinhaber eine kurze telefonische Anweisung, wie er die Software nun zu nutzen hat. Im Bedarfsfall erfolgt auch das Ganze via Fernzugriff direkt auf dem Rechner des Users, was den Lernprozess beschleunigt.

Durch das Verteilen der Schlüssel auf unterschiedliche Datenbanken und deren zentrale Verwaltung ist auch sichergestellt, dass ein ausgeschiedener Mitarbeiter keinen Zugriff mehr auf diese Schlüssel erhält und so die firmeninternen Dokumente nicht mehr lesen kann.

Kein Zugriff für Admins

Gleichzeitig bedeutet dies, dass bei Telefónica jeder Mitarbeiter nur diejenigen Dateien sehen darf, die für ihn freigegeben sind. Auch Systemadministratoren haben so keinen Zugriff auf die Inhalte vertraulicher Dokumente. Der Security Officer legt bei jedem neuen Rechner die individuellen Zugriffsrechte für Arbeitsgruppen oder gar einzelne Nutzer entsprechend den Telefónica-Sicherheitsrichtlinien fest. So erhält also jeder User seinen individuellen "Schlüsselbund" - so wie sein Profil es vorgibt. Nur mit diesen, dem User zur Verfügung gestellten Schlüsseln kann er die für ihn vorgesehenen Dokumente im Klartext lesen. Unberechtigte sehen dagegen nur einen verschlüsselten, unleserlichen Text.

Gab es denn schon Schwierigkeiten? "Nein. Wenn wir ab und zu einmal Beschwerden haben, dass ein User auf bestimmte Daten nicht zugreifen kann, dann zeigt uns das nur, dass die Utimaco-Software ihren Zweck erfüllt", meint Heinert. Weder die Systemadministratoren noch die Sicherheitsbeauftragten müssen dabei manuell eingreifen. Das System "erkennt" selbstständig, welche Dateien für welchen User lesbar sein sollen, und entschlüsselt diese transparent. Genauso automatisch werden die Dokumente beim Abspeichern oder beim Backup wieder verschlüsselt.

Durch die Gewaltenteilung von IT- und Security-Administration werden der Missbrauch von Schlüsseln und unberechtigte Vergabe von Lesezugriffen erschwert. "SafeGuard LAN Crypt ermöglicht es uns, Daten gruppenbezogen und individuell zu verschlüsseln. Chiffriert wird auch im Außendienst, auf mobilen Geräten, beim Datentransfer und vor dem Backup-Vorgang", fasst Heinert die Vorteile seines neuen Sicherheitswerkzeugs zusammen.

Und auch für Protea Networks hat sich das Projekt bei Telefónica voll und ganz ausgezahlt. So hat der Utimaco-Partner nicht nur einen neuen Referenzkunden gewonnen, sondern konnte auch im Laufe des vergangenen Jahres viel Expertise in Sachen Datenverschlüsselung aufbauen, die es nun in weiteren Projekten einzusetzen gilt. Gleichzeitig stellte Protea seinem Kunden lediglich 40 Arbeitsstunden in Rechnung, 85 Prozent der Projektkosten in Höhe von 50.000 Euro gingen für Softwarelizenzen von Utimaco drauf. So bleibt auch noch Spielraum für Nachfolgeprojekte bei Telefónica, etwa beim Verschlüsseln von E-Mails.