Bundesrechenzentrum Wien implementiert zentrale Security-Plattform Ohne Sicherheit kein eGovernment

Autor / Redakteur: Petra Adamik / Gerald Viola

Österreich liegt in puncto eGovernment in Europa an der Spitze. Seit Jahren setzt die Alpenrepublik in Behörden und Kommunen konsequent computerbasierende Lösungen um. Ein durchgängiges Sicherheitskonzept ist eine wichtige Säule im Gesamtprojekt.

Firmen zum Thema

Das Bundesrechenzentrum in Wien ist der zentrale Dienstleister der Bundesverwaltung in Österreich
Das Bundesrechenzentrum in Wien ist der zentrale Dienstleister der Bundesverwaltung in Österreich
( Archiv: Vogel Business Media )

Die Bundesrechenzentrum GmbH (BRZ) ist der IKT-Dienstleister der Bundesverwaltung in Österreich. Das Unternehmen betreut und berät große Ressorts wie das Bundesministerium für Finanzen oder das Bundesministerium für Justiz in allen Belangen rund um die IKT-Themen. Zum Aufgabengebiet des BRZ gehört es auch, sensible (Bürger-)Daten sicher zu verwalten und zu verwahren. „Aus diesem Grund hat die Sicherheit in all ihren Ausprägungen bei uns einen extrem hohen Stellenwert“, unterstreicht Günther Lauer, Bereichsleiter eGovernment im BRZ. „Das gilt nicht nur für die IT-Anwendungen, sondern beginnt bei der Auswahl der Mitarbeiter, umfasst die Zutrittskontrolle zu Gebäuden und zum Rechenzentrum ebenso, wie den Zugriff auf sensible Daten.“ So werden die Mitarbeiter regelmäßig nach dem Sicherheitspolizeigesetz überprüft, wenn sie mit hochsicheren Anwendungen und den damit verbundenen Daten arbeiten. Darüber hinaus betreibt das BRZ eine eigene Kryptografiegruppe. Hinzu kommt ein Trust Center für digitale Signaturen, in dem die Republik digitale Schlüssel erzeugt, verwaltet und speichert, wie sie für die Reisepässe benötigt werden.

Sicherheit im Web

Hochsicherheit ist auch bei allen Anwendungen gefragt, die das Rechenzentrum im Intranet der Verwaltung und im Internet zur Verfügung stellt. Über das „Portal AusTria Services“ Framework stellt das BRZ den Bundesbehörden eine Fülle individueller IT-Services zur Verfügung. Die Gewährleistung der Zugangssicherheit sowie ein effizientes Berechtigungsmanagement sind in diesem Umfeld essenziell.

Aus diesem Grund suchte das Experten-Team um Günther Lauer nach einer Lösung, mit der sich für die Internet-Anwendungen ressortübergreifend ein ausgefeilter Zugriffsschutz realisieren und möglichst einfach und effizient verwalten lässt.

Ein Auslöser für den gestiegenen Sicherheitsbedarf war auch die Tatsache, dass Ende der 90-er Jahre die Anforderung entstand, zentrale Registeranwendungen, wie das Firmenbuch oder die Grundstücksdatenbank, einem breiteren Personenkreis in den Behörden online zugänglich zu machen. „Das Marktangebot war zu diesem Zeitpunkt nicht sehr groß, CA aber bot mit dem CA SiteMinder eine adäquate Lösung“, erinnert sich Günther Lauer. CA SiteMinder ist ein zentrales System für das Webzugriffsmanagement mit Benutzerauthentifizierung und Single Sign-On. Eine richtlinienbasierende Autorisierung sowie die Prüfung von Zugriffsberechtigungen auf Webanwendungen sind integriert. Ausschlaggebend für die Entscheidung, das Sicherheitsprodukt des Herstellers von Managementsoftware zu nutzen, war unter anderem auch, dass CA SiteMinder, verteilt auf mehreren Einzelservern, ohne Clusterbildung, betrieben werden konnte. Für das BRZ war dies ein wichtiges Argument, denn auf diese Weise lassen sich zu Wartungszwecken einzelne Server aus dem laufenden Betrieb herausnehmen, ohne das Gesamtsystem – und damit die Behördenarbeit – zu beeinträchtigen. Damit ist auch die erforderliche hohe Verfügbarkeit der Anwendungen (> 99 Prozent) sichergestellt. Darüber hinaus sind die Kosten für eine solche Implementierungsform laut Günther Lauer attraktiver, als für eine komplexe Cluster-Lösung.

„In der Einführungsphase konnten wir noch nicht abschätzen, welchen Umfang die Installation letztendlich haben würde, weshalb die Skalierbarkeit und der modulare Aufbau der Lösung für uns seinerzeit schon extrem wichtig war“, so der IT-Spezialist.

Sichere Zugangswege

Wichtig ist für Lauer die Möglichkeit, bei Bedarf den Zugriffsschutz mittels CA SiteMinder sowohl vorgelagert (als Proxy) als auch direkt auf dem zu schützenden System (als Agent) betreiben zu können. Diese Wahlmöglichkeit war zum Einführungszeitpunkt ein Alleinstellungsmerkmal der CA-Lösung. Ein weiteres Entscheidungskriterium war die strikte Trennung zwischen Autorisierung und Authentifizierung, die eine effiziente Applikations-Integration, Wartung und einen bestmöglichen Support erlaubt. Die Programmierschnittstellen für Java und „C“ ermöglichen flexible kundenspezifische Anpassungen, wie sie für sogenannte Custom Authentification Schemes notwendig sein können“, erläutert Günther Lauer und betont: „Der CA SiteMinder hat von Beginn an eine Reihe unterschiedlicher Webserver-Produkte unterstützt.“ Die Möglichkeit der granular einstellbaren Zugriffslogs konnte für die Gewinnung von Rohdaten, die für die behördeninterne Verrechnung von Services notwendig sind, genutzt werden.

120 Produktivsysteme

Aktuell schützt das BRZ mit der Sicherheitslösung von CA rund 120 Produktivsysteme inklusive Schulungs- und Testsysteme. Bei der Implementierung der Lösung wurde das IT-Team durch CA-Spezialisten unterstützt. Daraus hat sich eine enge Zusammenarbeit ergeben, die sich auch darin zeigt, dass im Laufe der Jahre Verbesserungsvorschläge des BRZ in das CA-Produkt eingeflossen sind. Durch die Weiterentwicklung des Portal Access Managements ist es laut Lauer gelungen, die elektronische Bürgerkarte als Anmeldeverfahren im Rahmen des Access Managements zu etablieren. Durch die Integration der Bürgerkartenfunktion sei es möglich geworden, den Sicherheitsgrad durch Passwort und User-Identifizierung deutlich zu toppen.

Seit 2004 läuft mit eZoll eine weitere große Applikation, mit der die Wirtschaft und die Österreichische Zollverwaltung Logistik-Prozesse optimieren. Verfahrensabläufe für Import, Export und Versand werden vereinfacht, die Datenübermittlung vereinheitlicht und die Abgabenrechnung durch die Zollbehörde beschleunigt. Darüber hinaus stellt eZoll die Basis für die staatenübergreifenden Systeme wie das New Computerised Transit System (NCTS) und das EU-weite Exportkontrollsystem (ECS) dar.

Schutz für Tausende Anwender

Das Access-Management wird derzeit von rund 60.000 Anwendern genutzt. „Es war uns wichtig, eine relativ hohe sicherheitstechnische Eintrittshürde zu schaffen, um den größtmöglichen Schutz für Anwendungen und Daten sicherstellen zu können. Danach soll das Arbeiten für die Anwender jedoch möglichst einfach und effizient sein“, so Günther Lauer.

In naher Zukunft plant das BRZ eine Erweiterung von CA SiteMinder Web Access Manager um weitere CA-Lösungen, zum Beispiel für das Applikations-Monitoring. Ziel ist es vor allem, Performance-Optimierungen und eine Steigerung in der Effizienz bei der Fehlerbehebung zu erreichen.

Da es auch im öffentlichen Bereich immer wichtiger wird, Internet-Anwendungen zu nutzen, plant das BRZ zudem eine Single-Sign-On-Lösung. Damit soll sichergestellt werden, dass eine Sicherheitssymbiose zwischen den Benutzern, ihrem Arbeitsgerät und dem Portal AusTria entsteht. Beabsichtigt ist, dass der Zugriff über das Internet nur von ausgewählten Dienstgeräten möglich sein soll. Die Implementierung des CA SSO-Agents direkt auf einem ausgewählten Dienstgerät unterstützt diese Anforderung. Günther Lauer und seine Kollegen sind zuversichtlich, dass die Access-Managementlösung von CA sie auch bei den neu anstehenden Projekten effizient unterstützten wird.

Artikelfiles und Artikellinks

(ID:2017421)