Aktuelles, Branche, Produkte - geschrieben von am Donnerstag, Juni 2, 2016 7:32 - noch keine Kommentare

Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

Ingenieurbüro für Karosserie-Anlagenbau führt SecurAccess zur Absicherung des Zugangs zu hochsensiblen CAD-Daten ein.

[datensicherheit.de, 02.06.2016]  In Fulda wird das Aussehen der Autos der Zukunft geplant. Als spezialisierter Dienstleister für die Entwicklung von modernen Produktionslösungen in der Automobilindustrie 2010 gestartet, konnte sich das Unternehmen über die Jahre hinweg weiter entwickeln und ein fundiertes Know-how in der Anlagenentwicklung erarbeiten. Automobilbauer beauftragen das 60 Mitarbeiter umfassende Ingenieurbüro mit der Planung, Ausschreibung von Projekten und Beratung von Karosserie-Anlagenbauern, um CAD-Daten in Fahrzeugteile für die Produktion zu verwandeln. Alle Mitarbeiter wurden dafür in den Werkzeugen, Methoden und Prozessen des digitalen Engineerings geschult. „Bis aus Daten echte Bauteile werden, vergeht viel Entwicklungszeit. Wir begleiten und gestalten für unsere Auftraggeber den gesamten Prozess von der Entwurfsphase für die erste Anlage auf dem Papier bis hin zur Produktion. Am Ende muss die Anlage so funktionieren, dass in 60 Sekunden ein Auto produziert wird“, erklärt Daniel Auerbach, Geschäftsführender Gesellschafter bei der A&S Engineering und Gründer zusammen mit dem geschäftsführenden Gesellschafter Wolfgang Sieckel.

A+S Engineering

Bild: A+S Engineering

Das Thema Sicherheit spielt hier eine große Rolle, denn dem Unternehmen werden Prototypen-Daten anvertraut, aus denen die Fahrzeuge für die Zukunft entwickelt werden. Die Entwicklungsinformationen sind ihrer Zeit zwischen vier und fünf Jahre voraus und dadurch hochinteressant für die Konkurrenz. Damit diese geschäftskritischen Daten überhaupt von einem Server auf den anderen übertragen werden können, haben die Auftraggeber der Karosserie-Experten bereits hochsichere Zugänge geschaffen, auf die nur mit entsprechenden Berechtigungen zugegriffen werden kann. Doch nicht nur die Übertragungsleitung wird entsprechend dem Wert der Informationen abgesichert.

Auditierung für Dienstleister und Zulieferer

Seit 2015 hat einer der größten Auftraggeber aus der Automobilbranche darüber hinaus auch eine Auditierung aller Dienstleister eingeführt, um die Sicherheit der Daten über das eigene Netzwerk hinaus zu garantieren. Von dieser Änderung war auch die A&S Engineering betroffen. Neben einem Alarmsystem zum Schutz vor Einbrechern, einer Technologie zur Festplatten-Verschlüsselung sowie Maßnahmen zur Erhöhung der Server-Sicherheit stand dabei auch die Absicherung des täglichen Authentifizierungsprozesses und des Fernzugriffs auf der Anforderungsliste. Dieser Zugriff sollte über einen zweiten Faktor erfolgen. „Es gab zwei K.O.-Kriterien für das Audit: die Alarmanlage und die Zwei-Faktor Authentifizierung“, erinnert sich Auerbach. „Unsere Auftraggeber müssen dafür sorgen, dass nicht nur die Fahrzeuge sicher sind, sondern auch die Informationen geheim bleiben, die für die Entwicklung notwendig sind. Hier leisten wir natürlich gerne unseren Beitrag und sind uns außerdem bewusst, dass auch wir ins Visier von Cyber-Kriminellen geraten können.“ Darüber hinaus bringt das neue IT-Sicherheitsgesetz Unruhe in die Branche und immer mehr Unternehmen suchen nach Möglichkeiten, sensible Informationen vor fremden Zugriffen zu schützen.

Authentifizierung mit dem eigenen Smartphone

Um diese Anforderung zu erfüllen, sucht das Unternehmen nach einer sicheren aber auch praktikablen Lösung. „Als Know-how und Geheimnisträger ist es natürlich für uns wichtig, nicht nur die geforderten Standards einzuhalten, sondern uns darüber hinaus auch als vertrauensvoller Ansprechpartner zu präsentieren. Allerdings wollten wir die Komplexität möglichst geringhalten. Unsere Mitarbeiter müssen schnell und sicher auf unser Netzwerk und die dort liegenden Daten zugreifen. Deshalb haben wir uns über unsere interne IT-Abteilung und unseren Ansprechpartner bei der Bucher Netzwerke in Weingarten über die im Markt verfügbaren Lösungen zur Zwei-Faktor Authentifizierung informiert“, sagt Auerbach. Interessant war eine Lösung, die im Zusammenspiel mit dem Smartphone des Mitarbeiters für eine sichere Authentifizierung sorgt: SecurAccess von SecurEnvoy.

Verschlüsselung und geteilte Übertragung für mehr Sicherheit

Die Zwei-Faktor Authentifizierung funktioniert über eine App, die sogenannte SoftToken App. Über diese für iOS und Android, Windows Phone und Blackberry erhältliche App wird ein alle 30 Sekunden wechselnder, sechsstelliger Passcode generiert, der wiederum auf dem PC oder Laptop zur Anmeldung am Netzwerk genutzt wird. Der Server überprüft bei der Anmeldung die Gültigkeit des eingegebenen Passcodes für diesen Benutzer und diesen Zeitpunkt. Die Daten selbst werden auf dem Server der Fuldaer Ingenieure verschlüsselt abgelegt, wobei die hochsichere 256-bit AES Verschlüsselung eingesetzt wird, um auch im Fall eines kompromittierten Netzwerks für die Sicherheit der Daten in alle Richtungen hin sorgen zu können. Auerbach erläutert die Installation aus seiner Sicht: „Die Einrichtung war sehr einfach: Wir mussten nur die passende App herunterladen, dann am SecurAccess Sicherheits-Server anmelden und einen QRCode mit der Handy-Kamera abscannen. Schon hatten wir die Einrichtung geschafft und bekamen einen Passcode auf dem Smartphone angezeigt, mit dem wir uns mit PC oder Laptop am Firmennetzwerk einloggen konnten.“
Bei der Einrichtung mittels QR Code wird der erste Teil des Benutzer-individuellen Schlüssels („Seed Record“) vom Server auf das Smartphone übertragen, ohne dass dafür eine Netzwerkverbindung nötig ist. Im zweiten Schritt erzeugt das Smartphone den zweiten Teil des Schlüssels, den der Benutzer dann in Form eines acht-Zeichen langen Wertes auf der Registrierungsseite eingibt. Mit diesem einmaligen Vorgang stellt der Hersteller sicher, dass auch nur dieses eine Gerät gültige Passcodes generieren kann. Eine Doppelregistrierung oder Übertragung des Schlüssels z.B. mittels eines Backups des Telefonspeichers wird durch diese „Split-Seed-Technologie“ wirksam unterbunden.

Überzeugende und kurze Testphase sorgt für erfolgreiches Audit

Nach der Installation einer Test-Lizenz und einer Testphase, in der beide Geschäftsführer die App auf ihren Smartphones selbst ausprobierten, war klar, dass wir die richtige Lösung gefunden hatten. Nun musste nur noch mit dem Auditor geklärt werden, ob die Zwei-Faktor Authentifizierung auch dem entspricht, was der Auftrag gebende Automobilkonzern in seinen Richtlinien definiert hatte. Als schnellster Weg stellte sich die Übermittlung der Spezifikation heraus, die an den Auditor übersendet wurde und der nach einem Telefonat mit der Geschäftsführung seine Zustimmung zum Einsatz der Lösung erteilte. Die Geschäftsleitung entschied sich dann dazu, gleich für alle Mitarbeiter Lizenzen der Zwei-Faktor Authentifizierung anzuschaffen. „Es macht für uns keinen Sinn, die Lösung nur für den einen Kunden einzusetzen. Deshalb haben wir uns entschieden, die Authentifizierung für alle unsere Login-Prozesse einzuführen“, sagt Auerbach. Inzwischen nutzen alle Mitarbeiter – egal mit in welcher Funktion – die Zwei-Faktor Authentifizierung. Dass sie dafür das eigene Smartphone nutzen können und nicht noch ein weiteres externes Gerät mit sich herumtragen müssen, hat für eine schnelle Akzeptanz gesorgt. Sollte einer der Mitarbeiter Probleme bei der Anmeldung haben, gibt es noch zwei weitere Möglichkeiten zur erfolgreichen Authentifizierung: Ein sogenannter Voice-CallBack sowie eine Übertragung des Passcodes per E-Mail. Diese beiden Optionen dienen im Einzelfall für den schnellen Zugang zum Netzwerk auch ohne Smartphone App.

Skalierung möglich

„Bei SecurEnvoy gab es die Lösungen im Bundle zu 50 Lizenzen. Wir wollen in Zukunft weiterwachsen und weitere Mitarbeiter einstellen. Diese Mitarbeiter brauchen dann natürlich auch eine Lizenz, um sich auf unserem Server anzumelden. Daher ist es nur logisch, dass wir dann gleich Lizenzen im Haus haben und nicht jedes Mal wieder neue anfordern müssen “, führt Auerbach aus. Die Investition in mehr Sicherheit war für A&S Engineering eine Investition in die Zukunft, denn immer mehr Auftraggeber fordern durch das neue IT-Sicherheitsgesetz eine Auditierung an. „Dass wir hier schon vorgesorgt haben, ist auf jeden Fall ein gutes Gefühl“, schließt Auerbach.



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzhinweis