Damit unsere Energieversorgung ­sicher ist, müssen Gebäude und ­Anlagen der Energieversorger sicher sein. Zutrittskontrollsysteme sind jedoch nur so gut wie die ­Verwaltung von Berechtigungen und Ausweisen. Automatisiertes Identity- und Access-Management (IAM) kann Fehlerquellen und unverhältnismäßigen Administrations­aufwand ausschließen. Bei Ontras Gastransport in Leipzig hat man ­gemeinsam mit den IAM-Spezialisten von Peak Solution eine beispielgebende Lösung implementiert.

Ontras ist die 2006 gegründete Tochter der VNG - Verbundnetz Gas AG - damals gab der Gesetzgeber die gesellschaftsrechtliche Trennung von Gashandel und -transport vor. Die Einführung eines Identity- und Access-Managements bei Ontras beginnt bei der Muttergesellschaft VNG. 2011 waren hier veraltete Barcode-Ausweise und Magnetstreifenkarten durch moderne Smartcards abgelöst worden. Die eingeführte Ausweislösung für rund 1 600 Mitarbeiter war sehr komplex, weil hier Zutrittskontrolle, Zeiterfassung und Kantinenbezahlung sowie die Authentisierung gegenüber IT-Systemen auf einer Karte vereint wurden.

2011 begannen Planungen zur Weiterführung der gesellschaftsrechtlichen Trennung der beiden Unternehmen. Mit den erforderlichen strukturellen Anpassungen ergab sich der Umzug zahlreicher Mitarbeiter in das Mietobjekt der Ontras in der Maximilianallee 4. Verbunden mit diesen Umzügen war die bauliche Erweiterung und sicherheitstechnische Ausstattung der Mietbereiche. Mit der Einführung eines neuen Zutrittskontrollsystems ergab sich das Erfordernis der Einführung neuer Ausweise. Die Aufgabe dabei war, mit einem neuen Ausweissystem eine ähnlich hohe Flexibilität und Funktionalität wie bei der VNG zu erreichen. Die Verantwortlichen für die Planung dieses Prozesses konnten aus den Erfahrungen der VNG die Dimension und Risiken des Projektes bereits einschätzen. Dazu war es hilfreich einen Dienstleister zu nutzen, der sich bewährt hatte. So reisten die IAM-Experten der Nürnberger Peak Solution erneut nach Leipzig, um die Einführung einer Ausweislösung bei Ontras vorzubereiten.

Wer soll was dürfen
Ontras betreibt ein Ferngasnetz mit über 7.200 Kilometer Leitungslänge und dezentralen Standorten in den fünf östlichen Bundesländern. Das zentrale Anliegen des Sicherheitsmanagements im Gastransportunternehmen ist die Zugangskontrolle zu den vorgenannten Einrichtungen. Auch in den Verwaltungsgebäuden waren klare Regeln zur Organisation des Zutritts und Ausweise für weitere variable Anwendungen gefragt. Ontras entschied sich, die Verwaltung der unterschiedlichen Personengruppen und Ausweistypen wie Mitarbeiterausweise, Dienstleisterausweise, Gästeausweise, Besucherausweise etc. über ein zentrales Ausweismanagementsystem zu organisieren.

Das Projekt begann mit Workshops aller am Projekt beteiligten Nutzergruppen. Ein vorbereitender Aufwand, der sich aber über den Verlauf und in der Qualität des Projektes rechnet. Zum einen mussten die Berechtigungsobjekte kategorisiert und Berechtigungsgruppen definiert werden. Zugleich galt es, die praktischen Bedürfnisse der Anwender in verschiedenen Anwendungsfällen (Use Cases) zu definieren.

Aus diesen Kriterien war dann konkret abzuleiten, welche Sicherheitsanforderungen es gibt, wo die Verantwortlichkeiten liegen, wer beteiligt ist und welches Ergebnis erreicht werden soll. Die exakte Beschreibung der Anwendungsfälle und die Verbindungen zwischen den Use Cases war die Basis für eine Teilautomatisierung der Administration. Hierzu wurde festgelegt, welche Workflows sich elektronisch abbilden lassen und welche Rollenmodelle abgeleitet werden können, die den Großteil der Nutzerprofile reflektieren.

Übergreifende Prozesse für ­verschiedene Anwendungsfälle
Die Herausforderung bestand darin, systemübergreifende Prozesse für verschiedene Anwendungsfälle zu definieren und auf Basis leistungsstarker Standardsysteme zu implementieren. Die RFID-Chips der Ausweise sollten Funktionen der Zutrittskontrolle und der Zeiterfassung vereinen. Zudem war geplant, die Smartcards auch für die Authentisierung an IT-Systemen zu nutzen. Die dazu nötige Einrichtung einer Public-Key-Infrastruktur wurde zwar noch ausgeklammert, aber gleichwohl folgte das Unternehmen der Empfehlung, die geplante Funktion durch die Ausgabe von Smartcards mit integriertem Crypto-Chip bereits vorzubereiten. Denn - so folgte man den Erfahrungen der Peak Solution - der unternehmensweite Austausch von Ausweisen ist ein Aufwand, den man nicht häufiger als nötig treiben sollte. Immerhin geht es bei dem Gastransporteur um circa 900 interne und externe Ausweisinhaber.

Für jede Benutzergruppe galt es, eine ganze Reihe von Abläufen zu definieren: Beantragung und Genehmigung, die Erstellung und Personalisierung von Ausweisen, Ausgabe und Verwaltung von Ersatzausweisen. Die Anwendung der Authentisierung an IT-Systemen wurde mit Abläufen für die Codierung und Initialisierung von Crypto-Chips sowie Ausgabe und Versand von PIN/PUK-Briefen vorbereitet. Um den Verwaltungsaufwand beim Rollout der PKI-Anwendung von vorneherein zu begrenzen, wurde ein User Self Service für die Beschaffung der digitalen Zertifikate vorgesehen.

Inklusive Ad-hoc-Sperrung
Ontras wählte Smartcards mit einem RFID-Chip vom Typ Mifare und als Technologie für den Crypto-Chip den offenen Standard JCOP (Java Card OpenPlatform). Als Smartcard-Managementsystem führte Peak Solution ID Expert Pro Act der Firma VPS Nexus ein. In diesem System wurden ein Regelwerk für die verschiedenen Ausweistypen, die erforderlichen Drucklayouts und Kodierbeschreibungen für die Erstellung der Ausweise hinterlegt. Zentrales Bindeglied der Lösung ist der Novell Identity Manager der Firma Net IQ. Diese Software sorgt dafür, dass ID Expert Pro Act über Synchronisationsmechanismen mit allen erforderlichen Mitarbeiterstammdaten aus dem Personalabrechnungssystem versorgt wird. Umgekehrt werden die relevanten Karteninformationen aus dem Ausweisverwaltungssystem an die erforderlichen Zielsysteme geliefert. Für die Registrierung von Rechten ist das Microsoft Active Directory zuständig, das ebenfalls an den Novell Identity Manager angeschlossen wurde. Jetzt können im Novell Identity Manager über die Provisionierung des Ausweisstatus aus ID Expert einzelne Karten im Bosch-Zutrittskontrollsystem automatisch aktiviert und bei Bedarf (Verlust, Ausscheiden der Mitarbeiter, Wechsel der Dienstleister) ad hoc deaktiviert werden.

Effizient und weitgehend automatisiert
Peak Solution erweiterte ID Expert mit speziellen Funktionen für die Besucherverwaltung, um die Ausstellung temporärer Ausweise zu erleichtern. Das System der Verwaltung digitaler Identitäten und der Ausgabe entsprechender Ausweise ist heute komplett automatisiert. Lediglich Fremdmitarbeiter müssen, da sie nicht Teil der Datenbasis sind, vom Werkschutz manuell im System angelegt werden. Christian Spröte, der Projektverantwortliche bei Ontras resümiert: „Die umfangreiche Erfahrung, die Peak Solution aus vergleichbaren Projekten einbringen konnte, war für uns der Garant, dass wir unser Vorhaben erfolgreich umsetzen konnten. Neben den rein technischen Fragen, wie Schnittstellen, hat uns Peak Solution insbesondere dabei geholfen, eine transparente und umfassende Organisation der Berechtigungen zu definieren und das System mit seinen Prozessen optimal zu konfigurieren."