SECUDE Single SignOn für noch mehr Effizienz im Linzer Power Tower

Der verantwortungsvolle Umgang mit Energie ist das größte Anliegen des österreichischen Versorgungsunternehmens Energie AG. Aus dem Grunde setzt die neue Konzernzentrale im boomenden Bahnhofsviertel der oberösterreichischen Landeshauptstadt Linz nicht nur städtebauliche Akzente. Der sogenannte Power Tower ist ein Musterbeispiel für den effizienten Umgang mit Energie und somit das einzige Bürohochhaus der Welt, das in Passivhaustechnik errichtet wurde. Für die Heizung und Kühlung des Gebäudes wird vollkommen auf die Verwendung fossiler Energieträger und auch auf die Zuführung von Fernwärme verzichtet.

Dieser besondere Sinn für Effizienz spiegelt sich natürlich auch in vielen anderen Bereichen des Unternehmens wieder – zum Beispiel in der IT, für die die Business Services GmbH der Energie AG verantwortlich zeichnet. Die Authentifizierung per Smartcard gehörte bereits zu den Leistungen, die die Konzern-IT sämtlichen Einzelunternehmen der Holding zur Verfügung stellte. Dennoch bestand im SAP-Bereich Handlungsbedarf, da die Kommunikation der Systeme und somit auch die Übertragung von Authentifizierungen immer noch unverschlüsselt stattfand.  Außerdem mussten sich die Mitarbeiter immer noch mit Passwort anmelden, was nicht den geforderten Sicherheitsrichtlinien entsprach und eine aufwendige Passwort-Verwaltung notwendig machte.

Es war nicht der Umzug der Konzernzentrale, der den Start des Projektes auslöste, sondern die Umstellung auf Microsoft Vista, die auch eine neue Public-Key-Infrastructur (PKI) nötig machte. Da über 20 SAP Systeme bei der Umstellung berücksichtigt werden mussten, suchte man zunächst nach Unterstützung im Umfeld der SAP-Berater.

„Äußerst schwierig gestaltete sich die Suche nach einem SAP-Berater, der zusätzlich zur SAP-Kompetenz auch Kompetenz im Bereich von Kryptografie und PKI-Anwendungen aufweisen konnte“, stellte Mag. Bernhard Hofstetter, Teamleiter Konzern-IT Consulting Services, fest. Auch die Anmeldung mit dem gleichen Zertifikat am Web-Browser, die ebenfalls eingeführt werden sollte, stellte viele Berater vor eine unlösbare Aufgabe.

Also recherchierten die Projektverantwortlichen weiter, diesmal im Bereich der IT-Security Spezialisten. Unter anderem stieß man dabei auf die österreichische CPSD IT Services GmbH, die ihren Sitz praktischerweise ebenfalls in Linz hat. Das Dienstleistungsunternehmen deckt das gesamte Spektrum der IT-Sicherheit ab und ist Partner der Firma SECUDE International, die 1996 als Ergebnis einer Partnerschaft zwischen der SAP AG und dem Fraunhofer Institut in Darmstadt zur Entwicklung des SAP-Moduls Secure Network Communication (SNC) gegründet wurde.

„Nach der Kontaktaufnahme mit der CPSD konnten wir uns eine weitere Evaluierung sparen“, erklärt Roland Ott, Securitymanager der Business Services GmbH, „die Testphase überzeugte uns davon, dass die SECUDE-Lösungen praktisch außer Konkurrenz waren, da nahezu alle Anforderungen erfüllt werden konnten.“ Die Nähe der SECUDE zur SAP ist ein Pluspunkt in Projekten mit großen SAP-Landschaften. Die Lösungen werden schon bei der Entwicklung optimal auf SAP abgestimmt und anstehende Neuerungen frühzeitig berücksichtigt.

Das SECUDE Single Sign-On war bereits ohne Anpassungen mit dem verwendeten Smartcard-System kompatibel. Mit der gleichen Smartcard sollten sich die Mitarbeiter zukünftig nur noch einmal anmelden und dann gemäß der hinterlegten Berechtigungen auf sämtliche Systeme zugreifen können. Gleichzeitig sollte der Austausch der Daten sowohl server- als auch clientseitig verschlüsselt stattfinden und somit vor Zugriffen und daraus resultierenden Datenverlusten geschützt sein.

„Anpassungen waren lediglich im Bereich der SAP-Systeme nötig. Zunächst unterstützte uns dabei die CPSD, versetzte uns aber gleichzeitig in die Lage, zukünftige Anpassungen selbst vornehmen zu können, was wir zwischenzeitlich auch schon mehrfach erfolgreich durchgeführt haben“, lobt Friedrich Kastner von der Konzern-IT-Services die Zusammenarbeit mit dem Linzer SECUDE-Partner.

Ausgiebige Tests fanden im Oktober 2007 statt. Nach erfolgreichem Abschluss konnte dann zum Jahreswechsel der Pilot zunächst in der IT-Abteilung ausgerollt werden. Auch in der Pilotphase gab es keine nennenswerten Beanstandungen, so dass das System zusammen mit MS Vista und ein paar kleineren Applikationen im Frühjahr 2008 auf die 1.000 Clients ausgerollt werden konnte, die mit SAP GUI arbeiten.

„Meistens wird die Einführung von zusätzlichen Sicherheitssystemen von den Usern als neues Hemmnis in ihren Arbeitsabläufen angesehen“, erklärt uns Roland Ott, „das war dieses Mal ganz anders, da das Projekt einen bedeutenden und spürbaren Zugewinn an Schnelligkeit und Komfort brachte. Das wurde von den Benutzer auch entsprechend honoriert.“

Hofstetter fügt hinzu: „Die zusätzliche Sicherheit wird einfach als gegeben hingenommen und schränkt die Arbeit in keiner Weise ein. Was das Single Sign-On angeht, meldet unser Support, dass die Trouble Tickets, die aufgrund von Passwortproblemen eröffnet werden, seit der Einführung signifikant abgenommen haben.“

Investitionen in ein Sicherheitssystem lassen sich meist sehr schwer durchsetzen, da man hier auf hypothetische Argumentationen zurückgreifen muss -„… was könnte passieren wenn ….“ Viel lieber mögen die Investitionsentscheider Argumentationen, die Einsparpotentiale aufgrund von klaren Zahlen aufzeigen. Bei der Energie AG war die Projektfreigabe keine Schwierigkeit. „Den Zugewinn an Schnelligkeit und Komfort haben wir ganz klar in den Vordergrund gestellt“, erläutert Hofstetter die Investitionsargumentation,“ die zusätzliche Sicherheit wurde dann quasi als Sahnehäubchen mit verkauft, obwohl sie bei uns IT-lern natürlich den höheren Stellenwert hatte.“

Insgesamt sind ca. 5.000 Clients im Konzern vorhanden. Derzeit ist geplant, auch die SAP GUI-Nutzer in anderen Ländern an das System anzuschließen. Sicherlich wird Süddeutschland als nächstes integriert, gefolgt von Tschechien und Ungarn. Jedenfalls wird die Effizienz innerhalb des Konzerns mit jeder weiteren Anbindung steigen und somit der Unternehmensphilosophie weiter Rechnung getragen.