Vor vier Jahren hat die Sparkasse Witten damit begonnen, sich damit zu beschรคftigen, wie man die von zu Hause bekannte Internetwelt mit Flash, ActiveX & Co. auch an den Arbeitsplatz bringen und gleichzeitig den Anforderungen an einen sicheren IT-Betrieb gerecht werden kann.
Das Bundesamt fรผr Sicherheit in der Informationstechnik hat zu diesem Szenario ein Konzept entwickelt. Es sieht vor, den Browser in denen die Website aufgerufen wird, in ein durch mehrere Firewalls getrenntes System zu verlagern, aus dem dann nur noch das Bild an den Arbeitsplatz-PC รผbertragen wird. Dieses Remote-Controlled Browser System (ReCoBs) ermรถglicht somit den Webzugang durch eine speziell gesicherte Terminalserverstruktur auรerhalb der eigentlichen Sparkassenumgebung. Eine solche Lรถsung bedeutet einen Bruch der Informationsverarbeitung. Die Ausfรผhrung und Darstellung aktiver Inhalte (mittels komprimierter รbertragung) sind voneinander getrennt.
Schnell kristallisieren sich neue Anforderungen heraus
Die stetig gewachsenen Browser-Einschrรคnkungen der Vertriebsmitarbeiter sowie der Aufwand bei den Administratoren und IT-Sicherheitsverantwortlichen durch immer wieder aufkommende Diskussionen und Anforderungen weiterer DSL-Notebooks rechtfertigte aus unserer Sicht nun die zeitnahe Umsetzung. Anfang 2013 wurde eine Projektgruppe aus Mitarbeitern der Orga/IT, Revision und Vertrieb ins Leben gerufen. Dabei kristallisierten sich schnell die Hauptanforderungen an ein โneues Internetโ am Arbeitsplatz heraus. Das Lizenzmanagement soll vereinfacht werden, es sollen weniger Gerรคte im Einsatz sein, grundsรคtzlich soll jede Internetseite, auch die mit ActiveX und Flash, aufgerufen werden kรถnnen (bis auf die Kategorien: Sex, Crime, Drugs …), das Drucken muss mรถglich sein, Dateien sollen nach dem Download mรถglich sein, Favoriten mรผssen zur Verfรผgung gestellt werden und auch im โDSL-Netzโ soll eine einzige Stelle der Protokollierung existieren.
System ist mehrfach abgesichert
Nun war es die Aufgabe der Orga/IT Mitarbeiter, diese Anforderungen umzusetzen. Da sie seither gut mit CITRIX-Terminalservern vertraut sind, dienen diese als Basis fรผr das neue System (Terminalserver & Domรคnen Controller). Die Firewalls, welche den Verkehr zwischen Sparkassen-Netzwerk, dem Internet und dem ReCoBs filtern, sowie das Application-Layer-Gateway (hier findet URL-Kategorie- / Antivirenfilterung und Benutzerautorisierung statt) wurden ausgewรคhlt und installiert. Durch entsprechende Gruppenrichtlinien und diverse manuelle Systemeinstellungen ist das System zusรคtzlich abgesichert. Neben dem Browser installierten wir noch eine Standardsoftwarepalette in der jeweils aktuellsten Version, u. a. PDF- und Office-Viewer. Um eine hohe Verfรผgbarkeit zu gewรคhrleisten, ist die neue Infrastruktur auf zwei getrennte Standorte mit jeweils eigenem Internetzugang verteilt.
Kryptischen Link automatisch weiterleiten
Da die Hauptarbeit nun erledigt war, konnten wir uns weitere Gedanken zu den Themen Dateibereitstellung im Produktivsystem, Funktion der Zwischenablage und den geforderten Favoriten machen. Dateidownloads im ReCoBs-Browser sind ohne Einschrรคnkung mรถglich. Die Dateien jedoch zwischen ReCoBs und Sparkassen-Netz direkt รผber das Netzwerk zu รผbertragen oder Drop-Box-Lรถsungen wurden infolge unserer Schutzbedarfsanalyse schnell verworfen. Durch eine Eigenlรถsung kann der Nutzer die Dateien nun aus dem ReCoBs an seinen Email-Account der Sparkasse รผbertragen. Dabei durchlรคuft die Datei alle vorhandenen Filter von Finanz-Informatik und Sparkasse. Die Zwischenablage wurde aus Sicherheitsgrรผnden komplett deaktiviert. Technisch Versierte werden nun vielleicht fragen: โWie soll ich einen kryptischen Link aus einer Email an den Browser รผbermitteln, ohne diesen manuell einzugeben?โ Zu diesem Zweck und zur Speicherung von Favoritenlinks, da es keine persรถnlichen Favoriten im Browser gibt, wurde eine kleine datenbankbasierte Webseite (ReCoBs-Linksystem) erstellt, auf der die Links / URLs der Fachbereiche getrennt dargestellt werden kรถnnen. E-Mails aus dem Sparkassen-Netz kรถnnen unproblematisch an eine gesonderte E-Mailadresse des ReCoBs-Systems weitergeleitet werden (z.B. um Links aus Newslettern aufzurufen). Die somit im โInternetโ (fremder Webserver) abgelegten Daten werden arbeitstรคglich automatisiert gelรถscht, sind dort aber verschlรผsselt abgelegt.
Kein automatischer Abgleich beider Domรคnen
Das fรผr die Benutzerverwaltung im ReCoBs eingerichtete Active Directory (AD) enthรคlt alle Benutzer des Sparkassen-AD. Auf einen automatischen Abgleich beider Domรคnen haben wir bewusst, wieder aus Sicherheitsgrรผnden, verzichtet. Die UserIDs im ReCoBs sind nicht gleichlautend mit denen im Sparkassen-Netzwerk. Mittels Umrechnung der โechtenโ UserID stellen wir sicher, dass kein Rรผckschluss auf die ursprรผngliche User-ID erfolgen kann. Dieses Vorgehen hat den Vorteil, dass das vom Gateway erzeugte Internet-Logfile von nahezu jedem Mitarbeiter der Sparkasse eingesehen werden kรถnnte, ohne das sich daraus Rรผckschlรผsse auf den eigentlichen Benutzer ziehen lassen.
Zufriedenheit der Mitarbeiter spricht fรผr sich
Nachdem alle ursprรผnglichen Anforderungen des Projektteams erfรผllt werden konnten, wurde das Konzept inkl. ausfรผhrlicher Dokumentation bei unserem Rechenzentrum geprรผft und freigegeben. Der vorhandene Internetzugang im Sparkassennetzwerk wurde mittels Whitelist eingeschrรคnkt, um nur noch zwingend notwendige Seiten (z.B. Extranet) aufrufen zu kรถnnen. Dieser kann jedoch durch Aufhebung der Filter jederzeit wieder als vollwertiger Internetzugang bzw. als Backup genutzt werden. Bestehende Betriebsvereinbarungen mussten nicht geรคndert werden, lediglich das Organisationshandbuch wurde angepasst. Einer Nutzerschulung bedurfte es nicht, da mittels Betriebsinformation auf den neuen Programmaufruf im ReCoBs-Browser und den Umgang mit der ReCoBs-Linkliste hingewiesen wurde. Abschlieรend lรคsst sich sagen, dass die Umsetzung ohne Probleme verlief, die erwรผnschten Synergieeffekte wie z. B. Lizenzeinsparung, Reduzierung der Endgerรคte, Abschaltung diverser Systeme eingetreten sind und alle Mitarbeiter mit dem Ergebnis zufrieden sind.Der nรคchste Schritt wird die VPN-Verbindung von externen Bรผrostandorten (Revision, Medialer Vertrieb) mit dem der Rechenzentren sein, um auch deren Internetaktivitรคten im Logfile des Systems zu protokollieren. Seit der Einfรผhrung in unserer Sparkasse erhalten wir nun vermehrt Anfragen von anderen Sparkassen, da wir die ReCoBs-Browser-Lรถsung auch als Dienstleistung kรถnnen.
Christian Schulze ist Leiter Organisation (IT, Betrieb / Prozesse, Verwaltung, Einkauf, Fuhrpark, Bau) bei der Sparkasse Witten.