Karriere
Instagram Linkedin

Transport

Doppelte Authentifizierung: Mehr Sicherheit beim Zugriff, ohne die Nutzung zu beeinträchtigen

15

Tage / Jahr

1

Experte für Identitäts- und Zugangssicherung / DevOps

Der Schutz kritischer Anwendungen ist nicht mehr nur eine Vorsichtsmassnahme, sondern eine strategische Notwendigkeit. Ein Schweizer Unternehmen aus dem Transportsektor muss den Zugriff auf eine sensible Geschäftsanwendung, die über ein Citrix-Portal zugänglich ist, besser absichern. Da diese Lösung sowohl von internen Mitarbeitern als auch von externen Dienstleistern genutzt wird, stellt sie hohe Anforderungen an die Identitätskontrolle und den reibungslosen Ablauf der Nutzung. Qim info antwortet auf diese Problematik mit einem massgeschneiderten System zur doppelten Authentifizierung, das Citrix, Red Hat SSO und Keycloak kombiniert.

Den Zugriff auf eine kritische Geschäftsanwendung sichern

In diesem Unternehmen aus der Transportbranche ist eine sensible Geschäftsanwendung, auf die über ein Citrix-Portal zugegriffen werden kann, ein Schlüsselinstrument für die tägliche Arbeit der Teams. Da sie sowohl von internen Mitarbeitern als auch von externen Dienstleistern genutzt wird, konzentriert sie kritische Daten und erfordert eine strenge Zugriffskontrolle.

Bis dahin hatten alle Nutzer über eine einmalige Authentifizierung auf die Anwendung zugegriffen, unabhängig von ihrem Hintergrund oder der Sicherheitsstufe. Diese Funktionsweise war zwar einfach zu verwalten, hatte aber mehrere Einschränkungen:

  • Eine grosse Anfälligkeit bei kompromittierten Benutzerkennungen,
  • Eine fehlende Unterscheidung zwischen internen und externen Benutzern,
  • Eine begrenzte Nachverfolgbarkeit der Verbindungen.

Um diesen Herausforderungen gerecht zu werden, beauftragte das Unternehmen Qim info mit der Entwicklung eines Systems zur Zwei-Faktor-Authentifizierung, das die Zugriffssicherheit erhöht, ohne die tägliche Nutzung noch komplizierter zu gestalten.

Ziele der Sicherheitsvorkehrungen festlegen

Die Organisation strebt daher eine Verbesserung der Sicherheit ihrer Geschäftsanwendungen bei gleichzeitiger Gewährleistung einer reibungslosen Benutzererfahrung für alle Anwender an. Das erwartete System muss mehrere Anforderungen erfüllen:

  • Anpassung des Authentifizierungsniveaus an interne und externe Profile,
  • Stärkung der Rückverfolgbarkeit der Verbindungen,
  • Zentralisierung der Identitätsverwaltung über interoperable Tools,
  • Nahtlose Integration in die bestehende technische Umgebung.

Qim info hat die Aufgabe, eine robuste Lösung zu entwickeln, die den unterschiedlichen Profilen gerecht wird und gleichzeitig einen sicheren und reibungslosen Zugang gewährleistet.

Technos

Eine massgeschneiderte Lösung mit Citrix, Red Hat SSO und Keycloak implementieren

Um das Projekt erfolgreich abzuschliessen, mobilisierte Qim info einen DevOps-Experten, der auf Identitätsmanagement und Zugriffssicherung spezialisiert war und 15 Tage pro Jahr damit beschäftigt war, das System zu steuern, zu warten und weiterzuentwickeln.

Ein Sicherheitsdispositiv einsetzen, das den geschäftlichen Herausforderungen angepasst ist

Die Intervention beruht auf fünf Schwerpunkten, die mit den vom Unternehmen geäusserten Bedürfnissen vollkommen übereinstimmen:

  1. Zugriffsfilterung: Einrichtung einer granularen Zugriffskontrolle auf die Zielanwendung über Citrix Gateway, gestützt auf Red Hat SSO, das in SAML als Identity Provider (IdP) konfiguriert ist.
  2. Rechteverbreitung: Definition von Zugriffsregeln auf der Grundlage von Active Directory-Gruppen, mit Synchronisierung über Red Hat SSO, um eine automatische Berechtigungsvergabe zu gewährleisten.
  3. Multi-Faktor-Authentifizierung (MFA): Obligatorische Aktivierung der MFA für externe Dienstleister, um die sensibelsten Zugriffe zu sichern und gleichzeitig eine reibungslose Erfahrung für interne Mitarbeiter aufrechtzuerhalten.
  4. Einsatz der Lösung: Produktionsstart in den Zielumgebungen mit benutzerdefinierten Konnektoren, die unter Keycloak entwickelt wurden, einer Open-Source-Lösung, die sich dem Identitäts- und Zugriffsmanagement widmet.
  5. Kompetenztransfer und Support: Begleitung der internen Teams durch gezielte Schulungen, ergänzt durch einen Level-3-Support, der sich auf die Behandlung komplexer Vorfälle und die erweiterte Wartung der SSO-Komponenten konzentriert.

Den Authentifizierungsweg mit Citrix, Red Hat SSO und Keycloak verstehen

Das System basiert auf einer flüssigen und strukturierten Authentifizierungskette, die darauf ausgelegt ist, das Sicherheitsniveau an das Profil jedes Nutzers anzupassen. Hier sind die wichtigsten Schritte im Ablauf:

1. Citrix-Portal

Der Benutzer, sei es ein interner Mitarbeiter oder ein externer Dienstleister, greift zunächst auf ein sicheres Citrix-Portal zu. Dieser Einstiegspunkt ist die erste Kontrollschranke zur Zielanwendung.

2. Umleitung zu Red Hat SSO

Citrix leitet den Benutzer automatisch zu Red Hat SSO um, das als Identity Provider (IdP) im SAML-Modus konfiguriert ist. Dieser Dienst sorgt für eine zentrale, den Sicherheitsstandards entsprechende Authentifizierung.

3. Active Directory-Verzeichnis

Red Hat SSO fragt das Active Directory (AD) ab, um die Identität des Benutzers zu validieren und seine Attribute abzurufen: Gruppenmitgliedschaft, Rolle, interner oder externer Status.

4. Anpassung des Authentifizierungsniveaus

Je nach erkanntem Profil werden zwei Wege ausgelöst:

  • Interne Mitarbeiter greifen über eine Standardauthentifizierung auf die Anwendung zu.
  • Externe Dienstleister müssen sich mit einem zweiten Faktor authentifizieren, z. B. mit einem Einmalcode oder einer mobilen Anwendung.

5. Rechteverwaltung mit Keycloak

Zugriffsberechtigungen werden anhand von Regeln überprüft, die in Keycloak definiert sind. Diese werden automatisch mit den Active Directory-Gruppen synchronisiert, um eine konsistente Rechtevergabe zu gewährleisten.

6. Endgültiger Zugriff auf die Anwendung

Wenn alle Prüfungen validiert sind, greift der Benutzer auf die Geschäftsanwendung in einem sicheren, unterbrechungs- und reibungslosen Rahmen zu, der den internen Sicherheitsrichtlinien entspricht.

Die Vorteile der Zwei-Faktor-Authentifizierung messen

In der von Qim info implementierten Lösung wird die Multi-Faktor-Authentifizierung (MFA) speziell auf externe Dienstleister angewendet, um die Zugriffssicherheit für diese Nutzer zu erhöhen. Dieser Mechanismus beruht auf der Kombination mehrerer Identifikationsfaktoren, wie z. B. einem Passwort in Verbindung mit einem temporären Code oder einer mobilen Anwendung. Interne Mitarbeiter hingegen profitieren von einem reibungslosen Zugriffsweg, der den Sicherheitsrichtlinien des Unternehmens entspricht.

Dieser differenzierte Ansatz ermöglicht es, die Sicherheit zu erhöhen, ohne die Ergonomie zu beeinträchtigen oder unnötige Hindernisse zu schaffen. Das System erfüllt somit die Anforderungen an Sicherheit, Compliance und Effizienz.

Laut einer von Microsoft Research im Jahr 2023 veröffentlichten Studie reduziert die Implementierung von MFA das Risiko der Kompromittierung von Konten um bis zu 99,22% und selbst im Falle eines Passwortlecks um bis zu 98,56%. Diese Zahlen bestätigen die konkrete Wirksamkeit dieser Art von Vorkehrungen in einer Umgebung mit hohem Sicherheitsrisiko.

Die betrieblichen Vorteile sind vielfältig:

  • Ein verstärkter Schutz sensibler Zugänge,
  • Eine bessere Nachverfolgbarkeit der Verbindungen,
  • Eine Zentralisierung der Zugriffsregeln,
  • Eine Harmonisierung der Sicherheitspraktiken über alle Profile hinweg.

Das gesamte System lässt sich auf natürliche Weise in die bereits vorhandenen Tools integrieren, ohne dass die Anwendungsumgebung neu gestaltet werden muss.

Um die Gesamtwirksamkeit der Sicherheitsstrategie zu erhöhen, ist es unerlässlich, diese technischen Vorkehrungen durch einen menschlichen Ansatz zu ergänzen. Lesen Sie unseren Artikel: Sensibilisierung Ihrer Teams für Cybersicherheit, um zu erfahren, wie Sie Ihre Teams effizient schulen können, um Risiken durch menschliches Versagen zu reduzieren und eine gemeinsame Sicherheitskultur zu schaffen.

Nutzen Sie die Fachkenntnisse von Qim info in den Bereichen Cloud & DevOps

In seiner Cloud & DevOps-Abteilung entwickelt Qim info robuste Cybersicherheitsmassnahmen, die auf die tatsächlichen Anforderungen von Organisationen abgestimmt sind. Von der Zugangssicherung bis zum Identitätsmanagement: Unsere Experten arbeiten an kritischen Projekten und setzen dabei auf bewährte Technologien.

Dieser Ansatz vereint technische Anforderungen, Einhaltung gesetzlicher Vorschriften und Benutzerfreundlichkeit für sichere und leistungsfähige Anwendungsumgebungen. Qim info ist in Genf, Lausanne, Zürich, Basel, Annecy und Lyon vertreten und bietet skalierbare, massgeschneiderte und marktkonforme Lösungen für Cybersicherheit.

Möchten Sie Ihre sensiblen Zugänge besser schützen? Unsere Cloud- und DevOps-Spezialisten helfen Ihnen dabei, eine massgeschneiderte Lösung zu finden. Um die mobilisierten Kompetenzen besser zu verstehen, lesen Sie unseren Artikel: Alles über den Beruf des Ingenieurs für Cybersicherheit.

Entdecken Sie unsere Abteilung Cloud & DevOps Solutions

Entwickeln Sie Ihre Infrastruktur mit agilen und sicheren Cloud-Lösungen weiter, die auf Ihre geschäftlichen Herausforderungen zugeschnitten sind.

Mit einem Cloud & DevOps-Experten sprechen

GENF Carouge

Rue du Tunnel, 15-17
1227 Carouge – CH
+41 (0) 22 304 15 00

GENF Petit-Lancy

Route de Chancy, 59
1213 Petit-Lancy – CH
+41 (0) 22 304 15 00

LAUSANNE

Place Bel-Air 1
1003 Lausanne – CH
+41 (0) 21 341 15 00

ZÜRICH

Dreikönigstrasse 55
8002 Zürich – CH
+41 (0) 44 201 01 34

BASEL

Schützengraben 7,
4051 Basel – CH
+41 (0) 61 723 01 88

ANNECY

7 Av. du Pré Félin
74940 Annecy – FR
+33 (0) 4 56 67 49 91

© Qim info – Design : WeAreBandits – Growth : Nexoka
Instagram Linkedin
Instagram Linkedin