cryptovision-Lösung verwaltet 70.000 Smarttoken bei E.ON

Die Herausforderung

Wenn ein großes Unternehmen von Passwörtern auf Smartcards umstellt, sind auch scheinbar nebensächliche Dinge wichtig. Schon der kleinste Fehler kann unangenehme Folgen haben, wenn er bei Zehntausenden von Benutzern auftritt. Eine Smartcard-Lösung muss daher nicht nur sicher sein, sondern auch und vor allem reibungslos funktionieren.

Wie wichtig die Details einer Smartcard-Lösung sein können, zeigt ein Projekt, das cryptovision für den deutschen Energieversorger E.ON durchgeführt hat. Der Essener Energieriese wollte die praktisch überall im Unternehmen eingesetzten Passwörter durch eine sicherere Authentifizierung ersetzen. Dazu stattete E.ON 70.000 IT-Anwender mit Smarttoken aus, die wie Smartcards funktionieren, aber eine andere Form haben.

Die Smarttoken, für die sich E.ON entschieden hatte, galten als sicher. Sicherheit war jedoch bei weitem nicht die einzige Anforderung, die E.ON stellte. Besonderes Augenmerk legte das Unternehmen auf die Benutzerfreundlichkeit. Man wusste: Selbst wenn nur ein Prozent der 70.000 Smartcard-Nutzer Probleme mit ihren Karten haben würde, würde dies zu einem Chaos und einem Verlust der Benutzerakzeptanz führen. Außerdem hätte ein solcher Zwischenfall zur Folge gehabt, dass 700 Mitarbeiter nicht mehr in der Lage sind, ihre Arbeit zu erledigen, während der Helpdesk mit 700 Support-Anrufen überschwemmt wird. Zudem war die Verifikationszeit für E.ON ein wichtiger Punkt. Wenn ein Anmeldeprozess nur fünf Sekunden länger dauert als notwendig und sich jeder Mitarbeiter zweimal täglich einloggt, verschwenden 70.000 Mitarbeiter zusammen 700.000 Sekunden (oder 24 Arbeitstage) täglich. Das summiert sich zu über 5000 Arbeitstagen pro Jahr.

Um derartige Probleme von vornherein zu vermeiden, sind viele Kunden bereit, in eine hochwertige Chipkartenlösung zu investieren, auch wenn es meist billigere Alternativen gibt. Darüber hinaus sind oft Software-Anpassungen sinnvoll, die den Einsatz einer Smartcard-Lösung erleichtern. Angesichts der hohen Nutzerzahlen amortisieren sie sich in der Regel schnell.

Als E.ON nach einigen Jahren die Nutzung ihres Smarttoken-Systems analysierte, wurde deutlich, dass die Token-Middleware (d.h. die Software, die die Token mit dem Programm verbindet) eine Anzahl von Fehlern aufwies, die unnötigen Helpdesk-Verkehr verursachten. Darüber hinaus stellte man fest, dass auf dem Markt eine preisgünstigere Tokenlösung mit besserer Qualität (einschließlich kürzerer Verifikationszeit) zur Verfügung stand. Deshalb beschloss E.ON, die bestehende Chipkarten-Lösung abzuschaffen und auf eine neue zu migrieren.

Die Lösung

Als neue Token-Middleware wählte E.ON sc/interface von cryptovision. sc/interface hat sich in mehr als einem Jahrzehnt bei zahlreichen Kunden als robuste und anwenderfreundliche Lösung bewährt und unterstützt über 80 Token-Typen sowie -Profile auf allen gängigen Plattformen. Alle bei E.ON eingesetzten Token werden von cryptovision (über T-Systems) geliefert.

Bereits für die alte Tokenlösung hatte E.ON mehrere Software-Komponenten entwickelt, die deren Einsatz im E.ON-Umfeld vereinfachten (aufgrund der zahlreichen Nutzer lohnte sich diese Investition). Damit auch sc/interface diese Programme unterstützt, musste cryptovision einige Anpassungen daran vornehmen.

Da E.ON seinen Mitarbeitern die Nutzung eigener Geräte („Bring your own device“) ermöglicht, müssen die verwendeten Token auf verschiedenen Plattformen verfügbar sein – vor allem auf Windows, Linux und Mac OS. Diese Anforderung war einfach zu erfüllen, da sc/interface auf all diesen Plattformen lauffähig ist. cryptovision stellte sogar eine Lösung zur Verfügung, die automatisch einen zertifizierten MiniDriver in der Windows-Umgebung eines Benutzers installiert.

Zusätzlich richtete E.ON einen Self-Service-Registrierungsprozess ein. Eine Person, die ein E.ON-Token beantragen will, erhält zuerst ein leeres Token und meldet sich dann online an. Anschließend muss ein Kollege die Identität dieser Person mit seinem eigenen Token bestätigen.

Da die ursprünglich verwendete Zertifizierungsstelle (CA) ihren Betrieb einstellte, musste E.ON eine neue finden. D-Trust, die CA der Bundesdruckerei, erwies sich als beste Wahl. Für verschiedene E.ON-spezifische Prozesse waren weitere Anpassungen erforderlich.

Nachdem die neue Lösung nun schon seit Jahren reibungslos läuft, kann man die Migration guten Gewissens als sinnvoll und gelungen bezeichnen. Neben den geringeren Kosten ist vor allem die höhere Benutzerfreundlichkeit (inklusive einer kürzeren Verifikationszeit) ein Pluspunkt. Zudem gab es bisher keine nennenswerten Sicherheitsprobleme. Dies hatte E.ON jedoch ohnehin vorausgesetzt.

Verwendete Produkte

Weitere Informationen

Weitere Informationen über das E.ON-Smarttoken-Projekt gibt es in der Ausgabe 1-2017 des Bundesdruckerei-Magazins Dig:ID.

Weitere Referenzen aus der Branche