Vor vier Jahren hat die Sparkasse Witten damit begonnen, sich damit zu beschäftigen, wie man die von zu Hause bekannte Internetwelt mit Flash, ActiveX & Co. auch an den Arbeitsplatz bringen und gleichzeitig den Anforderungen an einen sicheren IT-Betrieb gerecht werden kann.
Das Bundesamt für Sicherheit in der Informationstechnik hat zu diesem Szenario ein Konzept entwickelt. Es sieht vor, den Browser in denen die Website aufgerufen wird, in ein durch mehrere Firewalls getrenntes System zu verlagern, aus dem dann nur noch das Bild an den Arbeitsplatz-PC übertragen wird. Dieses Remote-Controlled Browser System (ReCoBs) ermöglicht somit den Webzugang durch eine speziell gesicherte Terminalserverstruktur außerhalb der eigentlichen Sparkassenumgebung. Eine solche Lösung bedeutet einen Bruch der Informationsverarbeitung. Die Ausführung und Darstellung aktiver Inhalte (mittels komprimierter Übertragung) sind voneinander getrennt.
Schnell kristallisieren sich neue Anforderungen heraus
Die stetig gewachsenen Browser-Einschränkungen der Vertriebsmitarbeiter sowie der Aufwand bei den Administratoren und IT-Sicherheitsverantwortlichen durch immer wieder aufkommende Diskussionen und Anforderungen weiterer DSL-Notebooks rechtfertigte aus unserer Sicht nun die zeitnahe Umsetzung. Anfang 2013 wurde eine Projektgruppe aus Mitarbeitern der Orga/IT, Revision und Vertrieb ins Leben gerufen. Dabei kristallisierten sich schnell die Hauptanforderungen an ein „neues Internet“ am Arbeitsplatz heraus. Das Lizenzmanagement soll vereinfacht werden, es sollen weniger Geräte im Einsatz sein, grundsätzlich soll jede Internetseite, auch die mit ActiveX und Flash, aufgerufen werden können (bis auf die Kategorien: Sex, Crime, Drugs …), das Drucken muss möglich sein, Dateien sollen nach dem Download möglich sein, Favoriten müssen zur Verfügung gestellt werden und auch im „DSL-Netz“ soll eine einzige Stelle der Protokollierung existieren.
System ist mehrfach abgesichert
Nun war es die Aufgabe der Orga/IT Mitarbeiter, diese Anforderungen umzusetzen. Da sie seither gut mit CITRIX-Terminalservern vertraut sind, dienen diese als Basis für das neue System (Terminalserver & Domänen Controller). Die Firewalls, welche den Verkehr zwischen Sparkassen-Netzwerk, dem Internet und dem ReCoBs filtern, sowie das Application-Layer-Gateway (hier findet URL-Kategorie- / Antivirenfilterung und Benutzerautorisierung statt) wurden ausgewählt und installiert. Durch entsprechende Gruppenrichtlinien und diverse manuelle Systemeinstellungen ist das System zusätzlich abgesichert. Neben dem Browser installierten wir noch eine Standardsoftwarepalette in der jeweils aktuellsten Version, u. a. PDF- und Office-Viewer. Um eine hohe Verfügbarkeit zu gewährleisten, ist die neue Infrastruktur auf zwei getrennte Standorte mit jeweils eigenem Internetzugang verteilt.
Kryptischen Link automatisch weiterleiten
Da die Hauptarbeit nun erledigt war, konnten wir uns weitere Gedanken zu den Themen Dateibereitstellung im Produktivsystem, Funktion der Zwischenablage und den geforderten Favoriten machen. Dateidownloads im ReCoBs-Browser sind ohne Einschränkung möglich. Die Dateien jedoch zwischen ReCoBs und Sparkassen-Netz direkt über das Netzwerk zu übertragen oder Drop-Box-Lösungen wurden infolge unserer Schutzbedarfsanalyse schnell verworfen. Durch eine Eigenlösung kann der Nutzer die Dateien nun aus dem ReCoBs an seinen Email-Account der Sparkasse übertragen. Dabei durchläuft die Datei alle vorhandenen Filter von Finanz-Informatik und Sparkasse. Die Zwischenablage wurde aus Sicherheitsgründen komplett deaktiviert. Technisch Versierte werden nun vielleicht fragen: „Wie soll ich einen kryptischen Link aus einer Email an den Browser übermitteln, ohne diesen manuell einzugeben?“ Zu diesem Zweck und zur Speicherung von Favoritenlinks, da es keine persönlichen Favoriten im Browser gibt, wurde eine kleine datenbankbasierte Webseite (ReCoBs-Linksystem) erstellt, auf der die Links / URLs der Fachbereiche getrennt dargestellt werden können. E-Mails aus dem Sparkassen-Netz können unproblematisch an eine gesonderte E-Mailadresse des ReCoBs-Systems weitergeleitet werden (z.B. um Links aus Newslettern aufzurufen). Die somit im „Internet“ (fremder Webserver) abgelegten Daten werden arbeitstäglich automatisiert gelöscht, sind dort aber verschlüsselt abgelegt.
Kein automatischer Abgleich beider Domänen
Das für die Benutzerverwaltung im ReCoBs eingerichtete Active Directory (AD) enthält alle Benutzer des Sparkassen-AD. Auf einen automatischen Abgleich beider Domänen haben wir bewusst, wieder aus Sicherheitsgründen, verzichtet. Die UserIDs im ReCoBs sind nicht gleichlautend mit denen im Sparkassen-Netzwerk. Mittels Umrechnung der „echten“ UserID stellen wir sicher, dass kein Rückschluss auf die ursprüngliche User-ID erfolgen kann. Dieses Vorgehen hat den Vorteil, dass das vom Gateway erzeugte Internet-Logfile von nahezu jedem Mitarbeiter der Sparkasse eingesehen werden könnte, ohne das sich daraus Rückschlüsse auf den eigentlichen Benutzer ziehen lassen.
Zufriedenheit der Mitarbeiter spricht für sich
Nachdem alle ursprünglichen Anforderungen des Projektteams erfüllt werden konnten, wurde das Konzept inkl. ausführlicher Dokumentation bei unserem Rechenzentrum geprüft und freigegeben. Der vorhandene Internetzugang im Sparkassennetzwerk wurde mittels Whitelist eingeschränkt, um nur noch zwingend notwendige Seiten (z.B. Extranet) aufrufen zu können. Dieser kann jedoch durch Aufhebung der Filter jederzeit wieder als vollwertiger Internetzugang bzw. als Backup genutzt werden. Bestehende Betriebsvereinbarungen mussten nicht geändert werden, lediglich das Organisationshandbuch wurde angepasst. Einer Nutzerschulung bedurfte es nicht, da mittels Betriebsinformation auf den neuen Programmaufruf im ReCoBs-Browser und den Umgang mit der ReCoBs-Linkliste hingewiesen wurde. Abschließend lässt sich sagen, dass die Umsetzung ohne Probleme verlief, die erwünschten Synergieeffekte wie z. B. Lizenzeinsparung, Reduzierung der Endgeräte, Abschaltung diverser Systeme eingetreten sind und alle Mitarbeiter mit dem Ergebnis zufrieden sind.Der nächste Schritt wird die VPN-Verbindung von externen Bürostandorten (Revision, Medialer Vertrieb) mit dem der Rechenzentren sein, um auch deren Internetaktivitäten im Logfile des Systems zu protokollieren. Seit der Einführung in unserer Sparkasse erhalten wir nun vermehrt Anfragen von anderen Sparkassen, da wir die ReCoBs-Browser-Lösung auch als Dienstleistung können.
