Volkswagen Nutzfahrzeuge setzt auf Cyberark

Sicheres Passwortmanagement

Volkswagen Nutzfahrzeuge hat sein Passwortmanagement mit der Software „Enterprise Password Vault“ von Cyberark verbessert.

Volkswagen Nutzfahrzeuge

Die Verwaltung administrativer Accounts in komplexen IT-Umgebungen ist für jedes Unternehmen eine große Herausforderung. Die Passwörter der privilegierten Benutzerkonten von zahlreichen Servern, Datenbanken, Anwendungen oder Netzwerkkomponenten müssen einerseits geschützt und andererseits jederzeit verfügbar sein. Nur so lassen sich missbräuchliche Zugriffe ausschließen und gleichzeitig ungestörte Geschäftsabläufe ermöglichen. Diesem Thema widmete sich jüngst auch Volkswagen Nutzfahrzeuge in Hannover. Im Rahmen eines Security-Infrastrukturprojekts optimierte die Gesellschaft der Volkswagen AG ihr Passwortmanagement.

Die Ausgangslage dabei: Passwörter von lokalen administrativen Accounts wurden früher mit hohem Aufwand manuell gepflegt und geändert. Die Verwaltung der Passwörter fällt bei Volkswagen Nutzfahrzeuge zwei unterschiedlichen Gruppen zu. So verantwortet die Abteilung für zentrale IT-Services, die den Mitarbeitern Infrastruktur-, Applikations- und Device-Dienste bereitstellt einen Großteil der privilegierten Benutzerkonten. Doch nicht alle administrativen Verantwortlichkeiten sind in der zentralen IT angesiedelt. Auch in anderen Geschäftsbereichen finden sich viele Key User, die ihre Systeme selbst verwalten und dafür ebenfalls privilegierte Accounts nutzen. Verfügbarkeit und Sicherung der Passwörter sind dabei von zentraler Bedeutung. Kann nicht auf die nötigen Passwörter zugegriffen werden, steht im Extremfall die ganze Fertigung still.

Passwörter zentral vorhalten

„Die Ziele unseres Projekts waren es, die Verwaltung der nicht personalisierten Accounts zu vereinfachen, die Einhaltung einheitlicher Passwortrichtlinien sicherzustellen, das Handling zu automatisieren und die Passwörter zentral und nachvollziehbar vor Revisionen vorzuhalten“, sagt Juan Ramos Rincon, der als Mitarbeiter der Abteilung IT-Services von Volkswagen Nutzfahrzeuge unter anderem für die Planung neuer IT-Services zuständig ist. „Wir wollten diese Möglichkeit aber auch bereichsübergreifend den Kollegen in anderen Geschäftsbereichen als Dienst anbieten. Die Mitarbeiter, die dieses Angebot annehmen, sollen dabei ihre Verantwortlichkeiten behalten, aber bei ihren administrativen Tätigkeiten entlastet werden und mehr Sicherheit erhalten.“

Im Zuge einer Evaluierung machte man sich auf die Suche nach einer geeigneten Lösung für das Vorhaben. Die Wahl fiel schließlich auf die Lösung Enterprise Password Vault (EPV) des Sicherheitssoftware-Anbieters Cyberark. Ausschlaggebend für diese Entscheidung waren mehrere Gründe. Neben der Präsenz des Anbieters im europäischen Markt überzeugte vor allem die Integrierbarkeit der Software in die bestehenden Strukturen. Ebenfalls wichtig: „Der Anbieter konnte uns eine Out-of-the-Box-Lösung präsentieren“, so der technische Sachbearbeiter. „Zusätzlich hat die Lösung durchgängig eine Sicherheitsprüfung gut bestanden und bietet eine große Flexibilität für das gewünschte Design.“

Gehärteter Server mit mehreren Security-Layern

Die Lösung ist Bestandteil der PIM-Suite des Anbieters und besteht aus drei Komponenten: dem digitalen Datentresor (Vault), dem Central Policy Manager (CPM) und dem Password Vault Web Access (PVWA). Der Vault ist ein speziell gehärteter Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen auf die dort gespeicherten privilegierten Benutzerkennungen bietet. Innerhalb des Vaults lassen sich voneinander getrennte „Safes“ für einzelne User oder Nutzergruppen einrichten. Sie haben lediglich Zugriff auf „ihre“ Safes und können die anderen Safes weder sehen noch darauf zugreifen – außer sie erhalten die explizite Erlaubnis dazu.  

Für die regelmäßige und automatische Änderung der Passwörter auf den Zielsystemen wie Server, Datenbanken oder Anwendungen sorgt der Central Policy Manager. Komplexität und Änderungszyklus lassen sich dabei beliebig festlegen. Der CPM meldet sich direkt mit dem zu verwaltenden Benutzer am Zielsystem an, führt die Änderung des Passworts durch, verifiziert diese durch eine erneute Anmeldung und hinterlegt anschließend das neue Passwort als ab sofort gültiges im Vault. Der dritte Bestandteil der Lösung – der Password Vault Web Access – ist ein Webfrontend für die intuitive und schnelle Abfrage sowie Verwendung eines Passworts.

Einrichtung verschiedener Rollen

Zunächst pilotierte und implementierte die IT-Services-Abteilung von Volkswagen Nutzfahrzeuge bei sich selbst. Als größte Herausforderung erwies sich dabei die Definition, Einrichtung und das Testen passender Rollen für die unterschiedlichen Verantwortlichkeiten und Aufgaben der Anwender. Außerdem wurden die Cyberark-Administratoren von den PIM-Anwendern entkoppelt, so dass sie deren Safes oder Safe-Inhalte nicht verändern können. Am eigentlichen Produkt musste nichts verändert werden, die unterschiedlichen Rollen ließen sich mit den Bordmitteln der Software einrichten. Nach der erfolgreichen Inbetriebnahme wird die Lösung allen  Geschäftsbereichen als zentraler IT-Service angeboten. Bei der Implementierung und der Integration in die Infrastruktur der Volkswagen Nutzfahrzeuge unterstützt der Cyberark-Partner Computacenter. Der IT-Dienstleister übernimmt ebenso die Anbindung neuer Systeme oder die Einweisungen der Mitarbeiter.

Die konkrete Installation des Systems bei Volkswagen Nutzfahrzeuge zeichnet sich unter anderem durch ihre Hochverfügbarkeit aus. Ein Master- und ein Disaster-Recovery-Vault an unterschiedlichen Standorten replizieren sich gegenseitig, mit einer Backup-Funktion erfolgt außerdem eine zusätzliche Sicherung über weitere Server.  Der Policy Manager wurde so konfiguriert, dass er den Anwendern ein Set an vorgefertigten Policies zur Auswahl anbietet. Sie sind an die Anforderungen der jeweiligen Systeme angepasst und bilden standardisiert die Security-Vorgaben ab.

Für den Zugriff auf das System via Web-Frontend können verschiedenartige Zugriffe (wie beispielsweise PKI oder Active Directory) genutzt werden. Je nach ihrer Rolle haben die Anwender beim Zugriff verschiedene Möglichkeiten. Die Verantwortlichen können beispielsweise als Safe-Administratoren die in ihren Bereich fallenden Accounts anlegen und verwalten. Temporäre Nutzer – beispielsweise externe Dienstleister, die für begrenzte Zeit Programmierarbeiten durchführen – erhalten ausschließlich nach dem Vier-Augen-Prinzip Zugriff.

In seiner derzeitigen ersten Ausbaustufe ist das System an die Server von Volkswagen Nutzfahrzeuge mit verschiedenen Betriebssystemen wie Windows, Unix oder Linux angebunden. Die Erweiterung auf weitere Zielsysteme ist aber bereits fest eingeplant. So werden noch in diesem Jahr die Datenbanken folgen, außerdem soll die Lösung in Zukunft auch auf virtuelle Systeme und Dienstkonten sowie die Fertigungssysteme ausgeweitet werden. „Die geplante Zahl von 1.000 Zielsystemen und 300 Usern für die erste Ausbaustufe wird in naher Zukunft erreicht. Wir werden das System sicher erweitern“, sagt Helge Röhrbein, in der Abteilung IT-Services für den Betrieb des Infrastrukturservices PIM verantwortlich und damit auch für die Sicherstellung  des Cyberark-Service in den Geschäftsbereichen zuständig. „Das liegt aber nicht nur daran, dass immer mehr Arten von Zielsystemen dazukommen, sondern auch an der guten Akzeptanz, die das System in unseren Fachbereichen erfährt. Immer mehr Verantwortliche dort nehmen unser Angebot an.“

Das Potential der Lösung bei Volkswagen Nutzfahrzeuge ist damit aber noch längst nicht ausgeschöpft. Die Hannoveraner planen eine weitere Komponente der PIM-Suite einzuführen: den Privileged Session Manager (PSM). Mit diesem Werkzeug kann der Automobilhersteller Remote-Zugänge exakt kanalisieren. Externe Dienstleister beispielsweise können dann ausschließlich auf die Ressourcen zugreifen, die sie betreuen sollen.

www.volkswagen-nutzfahrzeuge.de

www.cyberark.com

www.computacenter.de


Bildquelle: Cyberark

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok