nx success story ausgabe12 II.indd - netlogix IT

nx success story ausgabe12 II.indd - netlogix IT
Success Story
Installation einer
Authentifizierungslösung mit
SMS PASSCODE
www.netlogix.de
2
Der Kunde
Das Projekt
Die Aarsleff Rohrsanierung GmbH ist der
Generaldienstleister
in
der
grabenlosen
Rohr- und Kanalsanierung mit ca. 215
Mitarbeitern. Neben sechs Niederlassungen,
fünf
Zweigniederlassungen
und
einem
Produktionsstandort in Deutschland hat das
Unternehmen auch Tochtergesellschaften in
der Slowakei und Ungarn. Die Hauptverwaltung
befindet sich in Röthenbach/Pegnitz.
Damit
die
Mitarbeiter
jederzeit
ohne
Sicherheitsrisiko mit ihren eigenen Geräten
auf die Terminalserverfarm des Unternehmens
zugreifen können, installierte netlogix bei
Aarsleff in Röthenbach SMS PASSCODE als
Authentifizierungslösung. Der Zugriff erfolgt
über ein Citrix Access Gateway, das eine sichere
Verbindung zum Terminalserver zur Verfügung
stellt.
Materialschonende Inversion mittels Förderband
Im Gespräch mit Andreas Pehnelt, dem IT-Leiter der Aarsleff Rohrsanierung GmbH, erfuhr die
Redaktion des netlogix-Magazins, wie sich mit SMS PASSCODE Sicherheitsanforderungen der IT und
Flexibilitätswünsche der Anwender mit einer Lösung erfüllen lassen – als Mehrwert im Zuge einer
sowieso nötigen Netzwerkerneuerung.
Sie haben die Authentifizierung und den
Remotezugriff geändert. Wie war das vorher
geregelt?
Wir haben es nicht geändert, sondern es kam
als Mehrwert zu der bestehenden VPN-Lösung
hinzu. Wir möchten unseren Mitarbeitern so
viel Flexibilität wie möglich geben. Bisher wurde
die VPN-Verbindung ins Firmennetzwerk über
einen Software-VPN-Client auf den Laptops
realisiert. Dabei war der Benutzer aber auf das
firmeneigene Gerät angewiesen. Um noch flexibler
zu sein und den Zugriff von jedem Endgerät
aus zu ermöglichen, sind wir zu dieser Lösung
gekommen.
Eine Authentifizierung gab es bisher nicht?
Doch,
Authentifizierung
gab
es.
Die
Authentifizierung am VPN-Client ist an das
normale Active-Directory-Kennwort gekoppelt,
das immer wieder abläuft und eine gewisse
Komplexität verlangt, aber es gab keine Tokens
oder dergleichen. Wir wussten ja, woher die Leute
kommen, nämlich von unserem eigenen Gerät,
wo sie keine Administratorrechte haben und
durch eine Endpoint-Security-Software geschützt
sind, so dass wir die Gefahr von Keyloggern oder
Ähnlichem als ziemlich gering einschätzen. SMS
PASSCODE kam erst dann zum Tragen, als sich
die Anwender von Rechnern, die wir nicht unter
3
Grabenlose Kanalsanierung: minimale Einschränkung für Verkehr und Anwohner
Kontrolle haben, verbinden wollten. Deshalb war
es uns wichtig, den Zugriff noch an einen weiteren
Sicherheitsfaktor zu binden.
Und das war auch der Grund, warum Sie sich für
SMS PASSCODE entschieden haben. Stand noch
ein anderes Produkt zur Auswahl?
Man kennt natürlich Tokens, das ist seit Jahren
gängige Sicherheitstechnik, aber die erschienen
uns zu unflexibel. Man muss wieder etwas
mitnehmen, das kaputtgehen kann, das eine
Batterie hat etc. Ein Handy hat jeder immer und
überall dabei, und daher schien es uns die beste
Lösung, dem Anwender nicht noch ein weiteres
Gerät zuzumuten, das wir natürlich von der IT
auch administrieren müssen.
Haben Sie vorher mit Herrn Griebel einen Termin
gehabt, an dem er Ihnen das Produkt vorgestellt
hat, oder mit dem Hersteller selber?
Ich kannte das Produkt bereits, da netlogix es
seit langem z.B. auf Hausmessen vorstellt. In
4
Ihrem Magazin war auch schon mal ein Beitrag
darüber. Weil ich also schon wusste, was das
Produkt kann und was es für andere Lösungen
auf dem Markt gibt, musste ich nicht groß nach
Alternativen suchen. Außerdem war die Aussage
Ihrer Techniker, dass die Implementierung in
Citrix sehr gut ist. Wir wollten keine neue Hürde
schaffen, die dazu führt, dass das Log-in aufgrund
von inkompatibler Software nicht funktioniert,
sondern die Systeme sollten im Idealfall nahtlos
ineinandergreifen.
Wie viele User bzw. Geräte nutzen SMS PASSCODE
derzeit bei Ihnen?
Angefangen haben wir mit 55 Lizenzen.
Aber man könnte sie sozusagen wieder austragen
und jemand anderen dafür eintragen.
Wäre eine Erweiterung jederzeit ohne größeren
Aufwand möglich?
Völlig problemlos. Man braucht nur ein GSMModem, das die SMS automatisch verschickt.
Dafür bräuchte man erst eine Erweiterung,
wenn plötzlich deutlich mehr Log-ins pro Stunde
anfallen würden. Aber davon sind wir derzeit weit
entfernt.
Im Moment sind es also nur 55 Lizenzen?
Ja. Nicht jeder Bau- bzw. Niederlassungsleiter
hat diese Möglichkeit angenommen, da das
Anwenderverhalten sehr unterschiedlich ist:
Auf der einen Seite junge Studienabgänger,
die froh sind über alles Technische, womit sie
ihren Arbeitsalltag flexibler bewältigen können.
Auf der anderen Seite langjährige Kollegen,
die es gewohnt sind, ihre Arbeit am Stück am
Firmenarbeitsplatz zu erledigen. Deswegen
müssen die Anwender den Zugang bei der
IT-Abteilung beantragen.
So läuft das also: Wer es braucht, beantragt es.
Und wird zeitnah freigeschaltet. Natürlich erhält
er auch noch die Information, dass es sich hierbei
um einen kostenpflichtigen Dienst handelt. Falls
dieser dann doch nicht genutzt wird, melden wir
den Kollegen wieder ab. So fahren wir momentan
ganz gut.
Wie ist das gemeint, dass der Dienst etwas kostet?
Bezahlen Sie, wenn jemand darüber ins Internet
geht?
Nein, die Kosten entstehen für die SMS
PASSCODE-Lizenzen. Diese müssten wir ggf.
aufstocken, denn jede Lizenz ist an einen
Benutzernamen gebunden. Ob jemand sie nutzt
oder nicht, sie ist für ihn vergeben.
Genau. Es geht darum, das Bewusstsein zu
stärken, dass Software beschafft werden muss
und Kosten verursacht. Deshalb schalten wir es
nicht automatisch für alle Mitarbeiter frei, denn
dann wären wir bei einer Größenordnung von 150
Lizenzen, und wie wir sehen, reichen aktuell 55 –
allerdings mit steigender Tendenz.
Im Zuge des Projekts wurde auch ein Citrix Access
Gateway installiert. Wozu dient das CAG?
Das war das eigentliche Projekt. Wir haben
uns nicht für SMS PASSCODE entschieden,
weil wir SMS PASSCODE brauchen, sondern
wir haben das CAG benötigt. Und um das CAG
sicher zu machen, wurde SMS PASSCODE
installiert. Was ist das CAG? Wir haben hier in der
Hauptverwaltung unsere Serverfarm, auf die die
Niederlassungen deutschlandweit zugreifen –
ohne über das Internet gehen zu müssen, da
sie direkt mit uns vernetzt sind. Oder es wird mit
dem angesprochenen VPN-Client eine gesicherte
Verbindung durch einen Tunnel aufgebaut, so
dass der Laptop in unserer geschützten Zone, im
gleichen LAN wie die Terminalserver ist.
Dieser Weg ist aber nur mit einem Firmenlaptop
möglich. Wir lassen nicht zu, dass auf einem
privaten Laptop der VPN-Client installiert wird,
nur weil jemand seinen Laptop nicht immer
mitnehmen will, da er zu Hause auch einen hat.
Aber der Anwender sollte die Flexibilität haben,
nicht ausschließlich das Firmengerät nutzen zu
müssen, sondern jedes beliebige.
Das CAG ist dabei quasi das „Sicherheitstor“: Nur
das CAG steht immer im Internet und „unterhält“
sich mit den Terminalservern. Und hier gibt es jetzt
die Wahl der Authentifizierung: Die Anmeldung
kann wie gewohnt mit Benutzernamen und
Kennwort erfolgen. Weil wir aber nicht wissen,
5
Also gibt es jetzt praktisch beide Möglichkeiten
parallel? Anwender können sich entweder mit
dem Firmenlaptop direkt über das VPN verbinden
oder sie nehmen ihr eigenes Gerät und gehen
dann über SMS PASSCODE und das CAG?
Genau. Beim VPN-Client geht die Kommunikation
direkt zu den Terminalservern, als wäre
der Anwender in einem unserer Standorte.
Zusätzlich kann er jetzt aber auch z.B. über einen
ungesicherten PC im Internetcafé im Urlaub auf
das CAG zugreifen.
Wofür genau wird das jetzt eigentlich genutzt, für
welche Zwecke oder an welchen Orten?
Inversion des Aarsleff-Liners
von welchem Client die Benutzer kommen – wird
hier mitgesniffert, ist ein Keylogger aktiv –, sind
wir zu der Überzeugung gelangt, wir brauchen
eine weitere Authentifizierungsebene, gebunden
an eine Session und ein Gerät.
Das war auch eine strategische Entscheidung. Es
gibt immer mehr Geräte bzw. Betriebssysteme,
die nur schwer in unsere bestehenden
Sicherheitskonzepte einzubinden sind. Jetzt
können beliebige Geräte genutzt werden, der
Anwender hat Adminrechte und kann sich
jederzeit in die Firma verbinden. Und für uns als
IT-Abteilung entsteht kein Mehraufwand.
6
Home-Office, Urlaub, Veranstaltungen, Kundenbesuche, Baustellen – eigentlich überall. Es gab
keine Problemstellung im eigentlichen Sinne,
die wir mit SMS PASSCODE gelöst bzw. abgelöst
haben, es ist vielmehr etwas dazugekommen,
ein Mehrwert entstanden. Wir wollten nicht mal
schnell einen Standort mit zehn Leuten anbinden,
sondern unsere Kollegen noch mehr unterstützen.
Was wir jetzt haben, ist maximale Flexibilität bei
maximaler Sicherheit.
Weiterer Vorteil: Wir können lokale Ressourcen
steuern. Wenn man sich mit dem Firmenlaptop
von extern verbindet, werden z.B. USB-Sticks
oder das Laufwerk C mitgemappt. Das bedeutet,
ich kann auf Dateien zugreifen, die auf dem
PC vor Ort sind. Oder ich kann Daten vom
Netzlaufwerk auf den USB-Stick vor Ort kopieren.
Wenn jemand aber über das CAG kommt, über
SMS PASSCODE, wissen wir, das ist ein PC,
den wir nicht kennen, und dann werden lokale
Ressourcen nicht mitverbunden. Der Anwender
kann somit keine – möglicherweise verseuchten –
Dateien einschleusen. Das lässt sich alles am
CAG einstellen. Man kann auch definieren, nach
welchem Zeitraum die Session beendet wird,
wenn der Benutzer nicht mehr aktiv arbeitet.
Gab es noch eine Besonderheit bei diesem
Projekt?
Wir haben ja mehr gemacht: einen Fileserver
und neue Terminalserver. Das CAG-Projekt war
lediglich der Mehrwert für die Anwender. Und
das hat uns dann die Möglichkeit gegeben, mit
ziemlich geringen Mehrinvestitionen – nämlich für
SMS PASSCODE und das CAG – einen deutlichen
Flexibilitätsvorteil zu liefern.
Das CAG war eigentlich „nur“ das kleine
i-Tüpfelchen am Ende des Gesamtprojekts.
Und genauso einfach war es auch realisiert
und implementiert. Zum Vergleich: Für die
Neuinstallation
aller
Terminalserver
war
Herr Rothgerber eine ganze Woche bei uns,
während Herr Scheler und Herr Hoch für die
Implementierung von CAG und SMS PASSCODE
nur einen halben Tag gebraucht haben.
Und auch vom täglichen Betrieb her ist es kein
großer Mehraufwand?
Nein.
Man
muss
sich
einmal
damit
auseinandersetzen, um den Anwendern eine
Bedienungsanleitung zu schreiben. Für den
Internet Explorer und für den Firefox haben wir
eine Schritt-für-Schritt-Anleitung erstellt, in der
erklärt wird, wie der Citrix-Client installiert wird.
Diese erhält der Anwender nach der Freischaltung.
Das war das einzig wirklich Aufwändige, was wir
gemacht haben.
Sie sind also zufrieden mit dem Projekt bzw. der
Lösung?
Wir sind rundum zufrieden! Abgesehen davon,
dass wir mit Ihren Technikern sehr konstruktiv
zusammengearbeitet haben, haben auch unsere
Anwender das Produkt bzw. die Möglichkeit, die
wir geschaffen haben, sehr gern angenommen.
Einen VPN-Client zu installieren ist kompliziert,
während SMS PASSCODE klar verständlich ist.
Viele kennen das Prinzip von den TANs beim
Online-Banking: Du bekommst eine Nummer,
gibst sie ein und fertig. Wahrscheinlich sind
unsere Kollegen sogar froh, sich nichts merken
zu müssen, denn der Code wird ja zugeschickt.
Auch von der Bedienung, von der Oberfläche her
bekommt der Anwender gar nicht mit, dass noch
ein Produkt vorgeschaltet ist.
7
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertising