Die Passwortflut bei betrieblichen IT-Systemen überfordert mitunter die Anwender und Berechtigungs­- administratoren gleichermaßen. Mit SAP NetWeaver Single Sign-On und entsprechenden Self-Services konnte die ProSiebenSat.1 Media AG den Aufwand für alle Beteiligten verringern und die Sicherheit erhöhen. Und mehr noch: Vielleicht werden in Zukunft auch weniger Post-it-Zettel verbraucht.

In einer Studie der Universität Cambridge hat Computerwissenschaftler Joseph Bonneau im letzten Jahr über 70 Millionen Passwörter von Yahoo-Usern weltweit ausgewertet. Eines der Ergebnisse: Viele Nutzer vertrauen nach wie vor fantasielosen, einfachen und folglich meist leicht zu erratenden Buch­staben- und Zahlenfolgen. Bei den Deutschen konnte der Autor eine alltägliche Beobachtung als Unterschied zwischen den Generationen beweisen: Es ist demnach die Anwendergruppe der über 55-Jährigen, die ihre persönlichen Informationen und Daten am ent­schlossen­sten schützt. Deren Accounts sind laut der Untersuchung in der Regel nur mit hohem Aufwand zu knacken.

Bei der ProSiebenSat.1 Media AG sind, was IT-Passwörter betrifft, alle Altersgruppen gefordert, sofern sie an einem der vier zugangsgeschützten SAP-Systeme arbeiten: dem Personalwesen, der Finanzwirtschaft, einem Portal, gekoppelt mit dem Personalwesen, und einem Web Application Server mit der Rechnungsprüfung, der Reisekostenabrechnung und -beantragung. „Da viele der Empfänger dieser Dokumente SAP-Gelegen­heits-User sind und sich nicht so richtig mit dem Standard-SAP-User-Interface anfreunden können, haben wir entspre­chende Web­applikationen gebaut, die mit dem Browser einfach zu benutzen und zu bedienen sind. Da­mit erhöhen wir zum einen die Bedienbar­keit und haben wenig bis gar keinen Schulungsaufwand“, erläutert Oliver Veth, Leiter SAP-Ko­ordination bei der ProSiebenSat.1 Media AG den Ansatz.

Katrin Butze, SAP-Koordinatorin, und Oliver Veth, Leiter SAP-Koordination bei der ProSiebenSat.1 Media AG

Die Übersicht geht verloren

Je nachdem, in wie vielen Systemen ein Anwender unterwegs ist, kann er schon mal leicht den Überblick über seine Passwörter verlieren, die den Zugang zu den Datensätzen ermöglichen. „Im Rahmen des Supports ha­ben wir in der Vergangenheit oftmals festgestellt, dass es für unsere Anwender aufgrund der Vielzahl an Log-in-Codes teilweise einfach nicht mehr transparent war, auf welchem Server sie gerade eingeloggt waren und welches Passwort dafür eingegeben werden musste“, bringt Katrin Butze, SAP-Koordinatorin bei ProSiebenSat.1, die un­be­friedigende Ausgangslage in der Vergangen­heit auf den Punkt.

Das Hauptaugenmerk der Sicherheitsspe­zia­listen gilt vor allem dem Human-Resources-Portal mit der Zeiterfas­sung als Service, den fast alle Mitarbeiter täglich nutzen. „Einige geben ihre Zeiten mor­gens und andere abends ein oder am Folge­tag. Manche notie­ren sich die Zeiten erst ein­mal separat und übertragen sie alle paar Tage en bloc. Da kommt es schon vor, dass ein Passwort ver­gessen oder falsch eingegeben wird“, ergänzt Katrin Butze.

Im Rahmen des Supports ha­ben wir in der Vergangenheit oftmals festgestellt, dass es für unsere Anwender aufgrund der Vielzahl an Log-in-Codes teilweise einfach nicht mehr transparent war, auf welchem Server sie gerade eingeloggt waren und welches Passwort dafür eingegeben werden musste.
Katrin Butze
ProSiebenSat 1 Media AG

Post-it-Zettel sind keine Lösung

Die Gedächtnislücken der Anwender sorg­ten bei den Mitarbeitern des Support-Bereichs immer mal wieder für zusätzliche Arbeit. Die bestand bislang u. a. darin, den Ablauf nochmals zu erklären, mit dem im Self-Service ein neues Passwort angefordert bzw. zurückgesetzt werden kann. Aus dem Bauch heraus wagt Oliver Veth eine unverbindliche Schätzung, nach der jeder Berech­tigungsadministrator bislang durchschnittlich 15 bis 20 Minuten täglich allein damit zu­­brachte, von ihren IT-Systemen ausge­sperr­­ten Anwendern wieder Zugang zu den Pro­zes­sen zu verschaffen. Eine umfangreiche Samm­lung von Post-it-Zetteln mit den unter­schied­­lichen Zu­gangs­daten unter die Schreib­­tisch­platte geklebt, ist aber auch nicht die ideale Lösung. „Das ist eine sehr unsichere Geschichte. Denn was nützt es, den Laptop zu sperren, wenn die Passwörter frei zugänglich sind für jeden, der naheliegende Verstecke vor seinem geistigen Auge abruft und dann fündig wird“, bringt Katrin Butze ein weiteres Problem zur Sprache.

Umsetzung mit Sekundärliteratur gescheitert

Kurzum, der Handlungsbedarf war offen­sichtlich und wurde schnell aufgegriffen. „Wir sind immer auf der Suche nach Möglich­keiten, unsere SAP-Systeme effizienter zu machen, Prozesse zu verbessern und da­mit Vorteile für unsere Anwender zu generieren“, beschreibt Oliver Veth. In diesem Fall versprach das Authentifizierungsverfahren Single Sign-On Abhilfe. Damit muss der Anwender an einem Arbeitsplatz nur noch einmal ein Passwort eingeben und kann dann auf alle Rechner und Dienste zugreifen, für die er lokal berechtigt ist. In einem ersten Ansatz versuchten die Spezialisten, das Single Sign-On über frei verfügbare Bibliotheken mit Sekundär- und Tertiärliteratur sowie entsprechenden Komponenten selbst zu realisieren. „Die Dokumentationslage in diesem Fall war recht dürftig, das Know-how des Basisdienstleisters nicht ausreichend und es zeichnete sich Consulting-Bedarf ab“, fasst Oliver Veth zusammen.

Außerdem: „Selbst wenn es letztlich funktio­niert hätte, wäre es nicht möglich gewesen zu beschreiben, warum dem so ist, ob alle Sicherheitsaspekte abgedeckt und die Com­pliance-Anforderungen erfüllt sind“, unterstreicht Katrin Butze die Abkehr von der an­gestrebten Vorgehensweise. Ohne vollständige Dokumentation hätte das System letztlich keiner Prüfung standgehalten, geschwei­ge denn die Genehmigung des Betriebsrats oder des Datenschutzbeauftragten erhalten. Zu guter Letzt gab es auch keine Kompatibi­litätsgarantie seitens SAP, dass zukünftige Releases die Lösung angemessen unterstützen würden. Damit war diese Möglichkeit vom Tisch und der Weg frei, sich genauer mit der SAP-Lösung SAP NetWeaver Single Sign-On zu beschäftigen.

Entscheidung ohne Beauty-Contest

Das Produkt machte bei der Präsentation durch den beauftragten Dienstleister eine derart gute Figur, dass auf einen „Beauty-Contest“ mit weiteren Alternativen verzichtet wurde. Ein Vorteil der Lösung: Bei SAP NetWeaver Single Sign-On konnten die Verantwortlichen unter mehreren Verschlüsselungsvarianten auswählen – und entschieden sich, Zertifikate für die Authentifizierung ein­zusetzen. Dafür bedarf es eines Servers, der die Zertifikate ausstellt und an die entsprechenden Arbeitsstationen über ein spezielles Verfahren mit privaten und öffentlichen Schlüs­seln weiterleitet. Die benötigte Hardware war in Gestalt eines Microsoft-Zertifikat-Servers (PKI) bereits vorhanden, wodurch sich eine zusätzliche Investition erübrigte. Außerdem: „Der Vorteil des gewählten Ansatzes besteht darin, dass die Verschlüsselung zwischen dem User-Interface als Front­end und dem Backend-Server nicht nur beim Anmeldevorgang selbst, sondern wäh­rend der gesamten Datenkommunikation be­stehen bleibt“, fasst Oliver Veth zusammen. Das heißt konkret: die Verbindung ist nicht abhörbar. Wohingegen bei der unverschlüsselten Datenkommunikation der Datenstrom theoretisch im Netzwerk abgefangen, mitgeschnitten und sensible Informationen herausgezogen werden können.

Sensible Daten fördern Schutzinstinkt

Die Entscheidung pro Single Sign-On wurde im Vorfeld dem Betriebsrat vorgestellt, in dem auch Kollegen vertreten sind, die mit SAP arbeiten. Diese waren von der Idee generell begeistert, weil sie die Erleich­terung sehr zu schätzen wussten, nicht mehr drei verschiedene Passwörter, sondern nur noch ein einziges eingeben zu müssen. Aber es gab auch Diskussionsbedarf, da es im HR-Portal dem jeweiligen Anwender möglich ist, seine Personalakte im Self-Service vollumfänglich aufzurufen und entsprechen­de Formulare auszudrucken, inklusive der Ge­haltsabrechnung, Sozialversicherungs- und Jahreslohnsteuerbescheinigung. „Bei der Einführung des HR-Portals wurde zwischen Unternehmen und Betriebsrat explizit vereinbart, dass dieser Bereich nicht mit Single Sign-On abgedeckt werden darf“, beschreibt Oliver Veth die Ausgangslage.

Seither war nun etwas Zeit ins Land gegangen und mit einer gehörigen Portion Über­zeu­gungsarbeit gelang es, den Betriebsrat zum Einlenken zu bewegen. Bieten doch ge­rade die sensiblen Daten einen großen Anreiz für die Anwender, ihre Arbeitsstationen zu sperren. Dies war laut einer zentralen Sicher­heitsanweisung auch bisher schon Pflicht gewesen. Darüber hinaus waren eine Anmel­dung und ein Passwort erforderlich, das einer gewissen Komplexitätsregel folgt und alle 90 Tage geändert werden muss. „Das wird von den Anwendern hin und wieder mal ver­­gessen, darum sperrte sich das System bislang nach 15 Minuten ohne Aktivität automatisch, um den unbefugten Zugriff auf per­sonenbezogene oder sensible Daten zu ver­hindern“, erläutert Katrin Butze.

Bei der Einführung des HR-Portals wurde zwischen Unternehmen und Betriebsrat explizit vereinbart, dass dieser Bereich nicht mit Single Sign-On abgedeckt werden darf
Oliver Veth
ProSiebenSat1 Media AG

Anwender entscheiden aktiv

Für die SAP-Portallösung hatte es schon früher eine Vereinbarung zwischen Betriebs­rat und Personalabteilung gegeben, dass nach acht Minuten eine automatische Abmeldung vom HR-Portal stattfindet, sofern keine Eingabe durch den Benutzer erfolgt. So mussten im Rahmen der Single-Sign-On-Einführung „nur noch“ die fehlenden sieben Minuten zu den Windows-üblichen 15 Minuten diskutiert werden. Mit Erfolg! Für das FI-System und die übrigen Anwendungen gab es keine Bedenken und für das sensible Per­sonalwesen wurde den Anwendern letztlich eingeräumt, selbst zu entscheiden, ob sie Single Sign-On nutzen oder nicht. „Diese Mög­lichkeit haben wir mit dem sogenannten ‚Opt-in-Verfahren‘ geschaffen. Dabei ent­scheidet sich der Anwender aktiv, Single Sign-On zu nutzen, und bestätigt dies per Tastendruck oder Mausklick. Wird der Button aktiviert, erscheint auf dem Bildschirm eine mit dem Betriebsrat und dem Datenschutz abgestimmte kurze Belehrung, dass der Arbeitsplatz beim Verlassen gesperrt wer­den muss und welche Risiken sich erge­ben, falls dies nicht ge­schieht“, beschreibt Katrin Butze die eingebaute Siche­rung.

Es ging schneller als befürchtet

Aktive Resonanz auf das neue System von den eigentlichen Anwendern gab es so gut wie keine. Da war Eigeninitiative des Teams um Oliver Veth und Katrin Butze gefordert. „Wenn sich niemand beschwert, ist das immer ein Top-Ergebnis“, ordnet der Lei­ter SAP-Koordination das ausgebliebene Feed­back ein. „Doch auf unsere aktive Nach­frage wurde vor allem die Zeiterspar­nis durch die einmalige Anmeldung mit nur noch einem einzigen Passwort von den Anwendern hervorgehoben.“ Neben dem konkreten Nutzen für die Mitarbeiter haben sich auch für Oliver Veth und Katrin Butze wichtige Er­kenntnisse aus dem Projekt ergeben. Dazu gehört u. a., dass eine Single Sign-On-In­stallation über die SAP-Technik und damit auch über die SAP-Verantwortung hinausgehen kann, z. B. wenn ein Zertifikat-Server von Microsoft genutzt wird. In diesem Fall er­weist es sich als vorteilhaft, wenn der Implementierungspartner auf beiden Ge­bieten entsprechendes Know-how aufweisen kann. Außerdem ist aufgrund der verschiedenen technischen Varianten für das Single Sign-On eine gewisse Expertise unerlässlich, um die beste und sicherste Lösung für die jewei­lige Systemkonfiguration zu ermitteln. Werden diese Aspekte angemessen berücksich­tigt, könnten eventuell auch andere Unterneh­men zum gleichen Schluss wie Oliver Veth kommen: Die technische Implementierung ging viel schneller als befürchtet!

Bildnachweis: Header istockphoto, DSAG


0 Kommentar(e)
0
(0) Bewerten Sie diesen Artikel

2-13

Mitgliedermagazin
blaupause

Als DSAG-Mitglied erhalten Sie automatisch Zugang zum DSAG-Mitgliedermagazin blaupause. Ob in gedruckter Form und/oder als Online-Ausgabe. Legen Sie es ganz einfach selbst in Ihrem Mitgliederprofil im DSAGNet fest.

Zum Mitgliedermagazin