Middleware statt Anpassung

Im Wesentlichen besteht die Lösung aus vier Komponenten:

1. Ein Client nimmt die Anmeldung des Benutzers am Arbeitsplatz entgegen.

2. Über eine Middleware kommuniziert der Logon-Client mit der Smart Card, die das Zertifikat enthält.

3. Der Client errechnet ein Session-Passwort und übergibt es zusammen mit dem Zertifikat an einen Proxy-Server, der es anhand der im LDAP hinterlegten Daten verifiziert und über Certificate Mapping den Benutzernamen ermittelt.

4. Im letzten Schritt setzt ein Agent das temporäre Passwort in Beziehung zu dem Benutzer im Active Directory. Der Client schließt die Anmeldung an der Windows-Domain ab. Es sind keine Anpassungen am Active Directory notwendig.

Die orhandenen Smart Cards der Linux-Welt basieren auf Starcos (Smart Card Chip Operating System). Ein Umstieg auf JCOP (Java Card Open Platform) sollte in der Lösung berücksichtigt werden. Daneben war es der Versicherung wichtig, dass die Lösung sowohl mit Windows XP als auch mit Windows 7 reibungslos arbeitet, da der Umstieg bereits beschlossen ist.

Erfolgreiche Testinstallation

Für die Pilotphase wählten die Verantwortlichen einzelne Benutzer aus allen Fachbereichen aus. So konnte sichergestellt werden, dass die Rückmeldungen repräsentativ für das gesamte Unternehmen waren. Als Kartenleser kamen dieselben Geräte zum Einsatz, die sich bereits in der Linux-Umgebung bewährt hatten. Die notwendigen Windows-Treiber konnten frühzeitig ausgerollt werden.

Während der Pilotphase zeigte sich, dass an einigen Stellen noch funktionale Erweiterungen notwendig waren. So sieht der Prozess der LVM zum Beispiel vor, dass die Benutzer eine Erinnerung erhalten, wenn ihr Zertifikat bald abläuft. Nachdem alle notwendigen Anpassungen vorgenommen waren, begann die Roll-Out-Phase.

Know-how von allen Seiten

Blieb die Frage, wie die Kartenleser an die Windows-User verteilt werden sollten. Turnschuh-Administration im klassischen Sinn wollte die LVM-IT vermeiden. Hierbei kam dem Projektteam zu Gute, dass die IT der LVM in drei Abteilungen gegliedert ist: Während Server, Netze und dergleichen vom Bereich "DV-Infrastruktur" verantwortet werden, kümmert sich die "DV-Organisation" um die Anwendungsentwicklung im Haus; der RZ-Betrieb steht unter der Obhut von "DV-Service". Für die Verteilung der Kartenleser warfen alle IT-Bereiche ihr Know-how aus vergangenen Roll-outs in die Waagschale und erarbeiteten ein Verfahren, das es ermöglichte, den Zeitplan zu halten.

Austausch am Infostand

Im Foyer wurde ein Infostand aufgebaut, an dem die Mitarbeiter sich den Kartenleser abholen konnten. Dazu erhielten die Nutzer einen Flyer, in dem Installation und Handhabung genau erklärt wurden.

Eine weitere Herausforderung war sehr profaner Natur, wie Timmerhindrick erläutert: "Der Smart-Card-Chip der Windows-User auf den Mitarbeiterausweisen war zuvor nie im Einsatz. Zugangs- und Bezahlfunktionen sind mit RFID auf den Karten integriert. Wir wussten also nicht, ob eine Karte schon einmal in der Vergangenheit personalisiert worden war und ob in diesem Fall der betreffende Mitarbeiter seine PIN noch im Kopf hatte."

Anstatt allen Mitarbeitern einen Besuch am Schreibtisch abzustatten, nutzte die IT-Abteilung auch hierfür Infostände. Dort wurden die Smart Cards überprüft und bei Bedarf ausgetauscht. "Die Austauschquote war niedriger als zunächst befürchtet, vielleicht zehn bis 15 Prozent der Karten mussten erneuert werden", so Timmerhindrick.

Bereits acht Monate nach der ersten Planung konnte die neue Authentisierungslösung für die Windows-Clients in den produktiven Betrieb übernommen werden. Der Return on Investment spielt dabei aus Sicht der LVM keine Rolle. "Bei Security-Projekten ist dieser immer sehr schwer zu beziffern", so Timmerhindrick. "Da Windows oft von unseren Führungskräften genutzt wird, war die zusätzliche Sicherheit einfach notwendig." (qua)