Ein Pionier in Sachen Sicherheit

Feature | 5. April 2004 von admin 0

Das Thema Nummer eins für die CIOs in Unternehmen ist die Sicherheit, sagt eine aktuelle Studie des IT-Marktforschungsunternehmens Standish Group. Gerade die Verpflichtung, gesetzliche Vorschriften einzuhalten, zwingt Unternehmen zu Investitionen zum Schutz von Daten und IT-Infrastruktur. Ein Beispiel hierfür ist der Health Insurance Portability and Accountability Act (HIPAA). Arbeitgeber in den USA müssen dabei gewährleisten, dass medizinische Daten von Mitarbeitern vor unbefugtem Zugriff geschützt sind. Bei Verletzung der Geheimhaltungspflicht drohen hohe Geldstrafen und andere Sanktionen, ganz zu schweigen von negativen Schlagzeilen und den unvermeidlichen Rechtsstreitigkeiten.

HIPAA einhalten, aber wie?

Das Inkrafttreten des HIPAA zeigt überall in den USA Wirkung. Auch die IT-Abteilung von Brevard County, ein 72 Meilen langer Landkreis entlang der Atlantikküste Floridas, beschäftigte sich mit der Frage, wie sie die gesetzlichen Auflagen erfüllen könnte. Brevard ist vermutlich besser bekannt als die “Space Coast”, denn so nennen Reiseführer den Kreis, der die NASA, die Astronaut Hall of Fame und das Kennedy Space Center beheimatet.
Brevard ist seit 1999 SAP-Kunde. Rund 100 Anwender der Kreisverwaltung arbeiten mit verschiedenen Modulen, unter anderem mit der Kreditorenbuchhaltung, Hauptbuchhaltung und Personalwirtschaft. Aus Sicherheitsgründen definierte Brevard Benutzerprofile, die den Zugriff auf bestimmte Transaktionen beschränken. Je nach Aufgabe und Abteilung ist den Anwendern eine bestimmte Kombination dieser Profile zugewiesen.
Die Passwort- und Sign-On-Technologie funktionierte gut, allerdings mit der Einschränkung, dass sie Passwörter mit sechs bis acht Zeichen erforderte, die zudem regelmäßig geändert werden mussten. Vor dem Hintergrund der Auflagen von HIPAA allerdings erschienen dem Systemadministrator von Brevard, Rick Meshberger, Passwörter als Schutzmaßnahme nicht ausreichend. Für ihn war die größte Herausforderung, Mitarbeiter außerhalb der Personalabteilung daran zu hindern, medizinische Daten von sich und anderen zu ändern.
“Die Mitarbeiter der Personalabteilung haben die Berechtigung, sich in der SAP-Lösung alle Daten zu einem Angestellten anzeigen zu lassen. Wir befürchteten, dass auch andere, nicht berechtigte Personen Zugriff auf diese Informationen bekommen, wenn beispielsweise ein Mitarbeiter im Personalbereich seinen Bildschirm unbeaufsichtigt lässt”, schildert Meshberger das Sicherheitsproblem. Gleichermaßen besorgt war das IT-Team darüber, dass Anwender in und außerhalb der Personalabteilung nicht vorsichtig genug mit ihren Passwörtern umgehen. Meshberger: “Manche Kollegen notieren ihre Passwörter an leicht zugänglichen Stellen oder verwenden solche, die einfach zu knacken sind.”

Zugangskontrolle via Fingerabdruck

Meshberger und seine Kollegen suchten daher eine andere Möglichkeit, um sicherzustellen, dass die Mitarbeiter, die im System auf medizinische Daten zugreifen, “auch die Personen sind, die sie vorgeben zu sein.” Hier kam das Unternehmen realtime North America mit der Lösung bioLock ins Spiel, der ersten und einzigen SAP-zertifizierten Lösung für die Zugangskontrolle via Fingerabdruck. Sie ist speziell für SAP-Software entwickelt und für SAP R/3 4.x und die mySAP Business Suite freigegeben.
Entwickelt wurde die Lösung von der deutschen realtime AG, die ehemalige SAP-Mitarbeiter im Jahr 1986 gegründet hatten. Der SAP-Partner zählt mehr als 200 “Fortune Global 500”-Unternehmen zu seinen Kunden, darunter Bayer, DaimlerChrysler, Siemens, Toyota, Esso, Procter & Gamble und Nestlé.
Für Brevard schien bioLock schien genau die richtige Lösung zu sein. Laut Meshberger hatte die Kreisverwaltung kaum andere Möglichkeiten, die Konformität mit HIPAA sicherzustellen. Es sei denn, sie würde die Anwender dazu verpflichten, beim Verlassen ihrer Schreibtische die Bildschirme zu sperren oder sich von der SAP-Lösung abzumelden. “Doch das kann man nicht erzwingen”, weiß der Systemadministrator.

Einzelne Masken in SAP-Transaktionen sperren

Bevor Meshberger die Zusammenarbeit mit realtime besiegelte, wünschte er sich einige kleine Änderungen an bioLock: “Wir wollten die Lösung auf eine ganz bestimmte Weise nutzen, daher war noch etwas Entwicklungsaufwand notwendig. So sollten nicht ganze Transaktionen, sondern nur bestimmte Eingabemasken innerhalb einer Transaktion gesperrt werden.”
Ziel war es, Anwendern, die auf nicht sicherheitsrelevante Daten wie Arbeitsstunden oder Lohnstatus zugreifen wollen, die Transaktion zur Verfügung zu stellen. Meshberger: “Ich hatte PA20 und PA30 bereits so gesperrt, dass ich sagen konnte, welche Anwender nur auf bestimmte Infotypen zugreifen können. Doch ich wollte die Sperrmöglichkeiten in HR erweitern, da es weitere kritische Infotypen gibt, die geschützt sein sollten, wenn Mitarbeiter mit Zugriffsberechtigung ihren Schreibtisch verlassen.”
Brevard avancierte in kurzer Zeit zum Pionier für den Einsatz von bioLock in den USA. Die Sicherheitslösung ist einfach zu installieren, beeinträchtigt die SAP-Software nicht und bietet hohen Bedienkomfort. “Wenn ein Anwender den Infotyp 167 eingibt, ist er gezwungen, seinen Finger auf den Sensor auf der Tastatur zu legen, bevor er Zugang erhält. So einfach ist das”, erklärt Meshberger.
Mit bioLock kann Brevard außerdem eine Single-Sign-On-Funktion für komplette Systemlandschaften mit SAP-Anwendungen und Lösungen von Drittanbietern implementieren. Der Single-Sign-On ist einfach: Ein Mausklick auf die gewünschte Anwendung und die Identifikation über den Fingerabdruck genügen.

SAP integriert bioLock in Szenarien zur Gefahrenabwehr

Die innovative Lösung bei Brevard wurde auch außerhalb des Landkreises bekannt. Das US-Magazin “InfoWorld” zeichnete die Kreisverwaltung im Jahr 2003 mit dem “InfoWorld 100”-Award aus. Der Preis würdigt IT-Projekte in Unternehmen, die Technologien optimal für ihre Geschäftsziele nutzen. Kriterien für die Auszeichnung sind unter anderem die Innovation, die Projektkomplexität, Integrationsaspekte sowie die Zusammenarbeit der Projektleiter mit den Anwendern und anderen Geschäftsbereichen.
SAP erkannte den Wert der realtime-Lösung ebenfalls. Das Unternehmen band Informationen über bioLock und in seine umfangreiche Präsentation zum Themenbereich Gefahrenabwehr (Homeland-Security) ein, die von SAP Public Sector veranstaltet wird.
Barbara Gaspard, die für die Präsentationen von SAP America verantwortlich ist, erklärt: “Beim Aufbau der Homeland-Security-Präsentation erkannten wir die Biometrie als eine sehr nützliche Lösungskomponente. Also setzten wir uns mit realtime in Verbindung, implementierten ihre biometrische Lösung in unser SAP-Demosystem und anschließend in unsere Homeland-Security-Präsentation. Dabei geht es um die Themen Notfallmanagement und Abwehrbereitschaft.”
Gaspards Kollegen, die technischen Spezialisten hinter den SAP-Präsentationen, waren von bioLock beeindruckt. “Die Lösung ist sehr einfach zu implementieren, es war ein Kinderspiel. Zudem ist das Customizing-Menü, das Anwendern in SAP R/3 zur Verfügung steht, sehr einfach zu bedienen. Der letzte Schritt besteht dann lediglich darin, die biometrischen Endgeräte – also Tastaturen oder Mäuse – anzubinden.”
SAP zeigt bioLock nicht nur in der Präsentation zur Homeland-Security, sondern stattete Lösungsentwickler mit biometrischen Mäusen von Cherry aus, um bioLock auch in anderen SAP-R/3-Demos zu zeigen. Barbara Gaspard: “Die Präsentation geht über das hinaus, was ursprünglich für den Bereich Homeland-Security entwickelt wurde. Sie lässt sich problemlos auch für andere Funktionen verwenden, die wir als geschützt präsentieren möchten. Mit Hilfe des Customizing-Menüs lassen sich Transaktionen leicht und ohne Programmieraufwand gegen unbefugten Zugriff absichern. Das ist so einfach, weil die Technologie speziell für die Interaktion mit SAP-Anwendungen entwickelt wurde.”

Die Tage des Passworts sind gezählt

Der Geschäftsführer von realtime North America, Thomas Neudenberger, freut sich über den wachsenden Erfolg von bioLock. Seiner Meinung nach sind die Tage des Passworts gezählt. In wenigen Jahren werde die Biometrie weit verbreitet sein, ist er überzeugt: “Sachar Paulus, Chief Security Officer bei SAP, wird mit der Aussage zitiert, der erste Schritt zur inneren Sicherheit sei die Fähigkeit zu verfolgen, wer welche Informationen nutzt. Die einzige Möglichkeit dazu ist das biometrische Identitätsmanagement, um Anwender eindeutig zu identifizieren. Kennwörter sind hochgradig unsicher, äußerst unpraktisch und teuer zu verwalten. Unser Ziel ist es, diese bekannte Sicherheitslücke mit innovativer Technologie zu schließen.”
Diese Meinung teilt auch Pete Gunn, Director of Safety and Security bei der Florida Space Authority, der die bioLock-Einführung bei Brevard forcierte: “Ich hoffe, die erfolgreiche Installation bei Brevard wird mehr Regierungsbehörden und private Unternehmen landesweit dazu anregen, ihre gefährdeten IT-Systeme mit biometrischer Technologie zu schützen.”

John Sterlicchi

Tags:

Leave a Reply