Die Aarsleff Rohrsanierung GmbH ist der Generaldienstleister in der grabenlosen Rohr- und Kanalsanierung mit ca. 230 Mitarbeitern. Neben sechs Niederlassungen, fünf Zweigniederlassungen und einem Produktionsstandort in Deutschland hat das Unternehmen auch Tochtergesellschaften in der Slowakei und Ungarn. Die Hauptverwaltung befindet sich in Röthenbach/Pegnitz.

Das Projekt

Damit die Mitarbeiter jederzeit ohne Sicherheitsrisiko mit ihren eigenen Geräten auf die Terminalserverfarm des Unternehmen zugreifen können, installierte netlogix bei Aarsleff in Röthenbach sms|passcode als Authentifizierungslösung. Der Zugriff erfolg über ein Citrix Access Gateway, das eine sichere Verbindung zum Terminalserver zur Verfügung stellt.

Materialschonende Inversion mittels Förderband

Im Gespräch mit Andreas Pehnelt, dem IT-Leiter der Aarsleff Rohrsanierung GmbH, erfuhr die Redaktion des netlogix-Magazins, wie sich mit sms|passcode Sicherheitsanforderungen der IT und Flexibilitätswünsche der Anwender mit einer Lösung erfüllen lassen – als Mehrwert im Zuge einer sowieso nötigen Netzwerkerneuerung.

Sie haben die Authentifizierung und den Remotezugriff geändert. Wie war das vorher geregelt?
Wir haben es nicht geändert, sondern es kam als Mehrwert zu der bestehenden VPN-Lösung hinzu. Wir möchten unseren Mitarbeitern so viel Flexibilität wie möglich geben. Bisher wurde die VPN-Verbindung ins Firmennetzwerk über einen Software-VPN-Client auf den Laptops
realisiert. Dabei war der Benutzer aber auf das firmeneigene Gerät angewiesen. Um noch flexibler zu sein und den Zugriff von jedem Endgerät aus zu ermöglichen, sind wir zu dieser Lösung gekommen.

Eine Authentifizierung gab es bisher nicht?
Doch, Authentifizierung gab es. Die Authentifizierung am VPN-Client ist an das normale Active-Directory-Kennwort gekoppelt, das immer wieder abläuft und eine gewisse Komplexität verlangt, aber es gab keine Tokens oder dergleichen. Wir wussten ja, woher die Leute kommen, nämlich von unserem eigenen Gerät, wo sie keine Administratorrechte haben und durch eine Endpoint-Security-Software geschützt sind, so dass wir die Gefahr von Keyloggern oder Ähnlichem als ziemlich gering einschätzen. sms|passcode kam erst dann zum Tragen, als sich die Anwender von Rechnern, die wir nicht unter Kontrolle haben, verbinden wollten. Deshalb war es uns wichtig, den Zugriff noch an einen weiteren Sicherheitsfaktor zu binden.

Und das war auch der Grund, warum Sie sich für sms|passcode entschieden haben. Stand noch ein anderes Produkt zur Auswahl?
Man kennt natürlich Tokens, das ist seit Jahren gängige Sicherheitstechnik, aber die erschienen uns zu unflexibel. Man muss wieder etwas mitnehmen, das kaputtgehen kann, das eine Batterie hat etc. Ein Handy hat jeder immer und überall dabei, und daher schien es uns die beste Lösung, dem Anwender nicht noch ein weiteres Gerät zuzumuten, das wir natürlich von der IT auch administrieren müssen.

Haben Sie vorher mit Herrn Griebel einen Termin gehabt, an dem er Ihnen das Produkt vorgestellt hat, oder mit dem Hersteller selber?
Ich kannte das Produkt bereits, da netlogix es seit langem z.B. auf Hausmessen vorstellt. In Ihrem Magazin war auch schon mal ein Beitrag darüber. Weil ich also schon wusste, was das Produkt kann und was es für andere Lösungen auf dem Markt gibt, musste ich nicht groß nach Alternativen suchen. Außerdem war die Aussage Ihrer Techniker, dass die Implementierung in Citrix sehr gut ist. Wir wollten keine neue Hürde schaffen, die dazu führt, dass das Log-in aufgrund von inkompatibler Software nicht funktioniert, sondern die Systeme sollten im Idealfall nahtlos ineinandergreifen.

Wie viele User bzw. Geräte nutzen sms|passcode derzeit bei Ihnen?
Angefangen haben wir mit 55 Lizenzen. 

Wäre eine Erweiterung jederzeit ohne größeren Aufwand möglich?
Völlig problemlos. Man braucht nur ein GSM-Modem, das die SMS automatisch verschickt. Dafür bräuchte man erst eine Erweiterung, wenn plötzlich deutlich mehr Log-ins pro Stunde anfallen würden. Aber davon sind wir derzeit weit entfernt.

Im Moment sind es also 55 Lizenzen?
Ja. Nicht jeder Bau- bzw. Niederlassungsleiter hat diese Möglichkeit angenommen, da das Anwenderverhalten sehr unterschiedlich ist. Auf der einen Seite junge Studienabgänger, die froh sind über alles Technische, womit sie ihren Arbeitsalltag flexibler bewältigen können. Auf der anderen Seite langjährige Kollegen, die es gewohnt sind, ihre Arbeit am Stück am Firmenarbeitsplatz zu erledigen. Deswegen müssen die Anwender den Zugang bei der IT-Abteilung beantragen.

So läuft das also: Wer es braucht, beantragt es.
Und wird zeitnah freigeschaltet. Natürlich erhält er auch noch die Information, dass es sich hierbei um einen kostenpflichtigen Dienst handelt. Falls dieser dann doch nicht genutzt wird, melden wir den Kollegen wieder ab. So fahren wir momentan ganz gut.

Grabenlose Kanalsanierung: minimale Einschränkung für Verkehr und Anwohner

Wie ist das gemeint, dass der Dienst etwas kostet? Bezahlen Sie, wenn jemand darüber ins Internet geht?
Nein, die Kosten entstehen für die sms|passcode-Lizenzen. Diese müssten wir ggf. aufstocken, denn jede Lizenz ist an einen Benutzernamen gebunden. Ob jemand sie nutz oder nicht, sie ist für ihn vergeben. 

Aber man könnte sie sozusagen wieder austragen und jemand anderen dafür eintragen?
Genau. Es geht darum, das Bewusstsein zu stärken, dass Software beschafft werden muss und Kosten verursacht. Deshalb schalten wir es nicht automatisch für alle Mitarbeiter frei, denn dann wären wir bei einer Größenordnung von 150 Lizenzen, und wie wir sehen, reichen aktuell 55 – allerdings mit steigender Tendenz.

Im Zuge des Projekts wurde auch ein Citrix Acces Gateway installiert. Wozu dient das CAG?
Das war das eigentliche Projekt. Wir habe uns nicht für sms|passcode entschieden, weil wir sms|passcode brauchen, sondern wir haben das CAG benötigt. Und um das CAG sicher zu machen, wurde sms|passcode installiert. Was ist das CAG? Wir haben hier in der Hauptverwaltung unsere Serverfarm, auf die die Niederlassungen deutschlandweit zugreifen – ohne über das Internet gehen zu müssen, da sie direkt mit uns vernetzt sind. Oder es wird mit dem angesprochenen VPN-Client eine gesicherte Verbindung durch einen Tunnel aufgebaut, so dass der Laptop in unserer geschützten Zone, im leichen LAN wie die Terminalserver ist. Dieser Weg ist aber nur mit einem Firmenlaptop möglich. Wir lassen nicht zu, dass auf einem privaten Laptop der VPN-Client installiert wird, nur weil jemand seinen Laptop nicht immer mitnehmen will, da er zu Hause auch einen hat. Aber der Anwender sollte die Flexibilität haben, nicht ausschließlich das Firmengerät nutzen zu müssen, sondern jedes beliebige. 

Das CAG ist dabei quasi das „Sicherheitstor“: Nur das CAG steht immer im Internet und „unterhält“ sich mit den Terminalservern. Und hier gibt es jetzt die Wahl der Authentifizierung: Die Anmeldung kann wie gewohnt mit Benutzernamen und Kennwort erfolgen. Weil wir aber nicht wissen, von welchem Client die Benutzer kommen – wird hier mitgesniffert, ist ein Keylogger aktiv –, sind wir zu der Überzeugung gelangt, wir brauchen eine weitere Authentifizierungsebene, gebunden an eine Session und ein Gerät.

Das war auch eine strategische Entscheidung. Es gibt immer mehr Geräte bzw. Betriebssysteme, die nur schwer in unsere bestehenden Sicherheitskonzepte einzubinden sind. Jetzt können beliebige Geräte genutzt werden, der Anwender hat Adminrechte und kann sich jederzeit in die Firma verbinden. Und für uns als IT-Abteilung entsteht kein Mehraufwand.

Also gibt es jetzt praktisch beide Möglichkeiten parallel? Anwender können sich entweder mit dem Firmenlaptop direkt über das VPN verbinden oder sie nehmen ihr eigenes Gerät und gehen dann über sms|passcode und das CAG?
Genau. Beim VPN-Client geht die Kommunikatio direkt zu den Terminalservern, als wäre der Anwender in einem unserer Standorte. Zusätzlich kann er jetzt aber auch z.B. über einen ungesicherten PC im Internetcafé im Urlaub auf das CAG zugreifen.

Wofür genau wird das jetzt eigentlich genutzt, für welche Zwecke oder an welchen Orten?
Home-Office, Urlaub, Veranstaltungen, Kundenbesuche, Baustellen – eigentlich überall. Es gab keine Problemstellung im eigentlichen Sinne, die wir mit sms|passcode gelöst bzw. abgelöst haben, es ist vielmehr etwas dazugekommen, ein Mehrwert entstanden. Wir wollten nicht mal schnell einen Standort mit zehn Leuten anbinden, sondern unsere Kollegen noch mehr unterstützen.
Was wir jetzt haben, ist maximale Flexibilität bei maximaler Sicherheit.
Weiterer Vorteil: Wir können lokale Ressource steuern. Wenn man sich mit dem Firmenlaptop von extern verbindet, werden z.B. USB-Sticks oder das Laufwerk C mitgemappt.

Das bedeutet, ich kann auf Dateien zugreifen, die auf dem PC vor Ort sind. Oder ich kann Daten vom Netzlaufwerk auf den USB-Stick vor Ort kopieren Wenn jemand aber über das CAG kommt, über sms|passcode, wissen wir, das ist ein PC, den wir nicht kennen, und dann werden lokale Ressourcen nicht mitverbunden. Der Anwender kann somit keine – möglicherweise verseuchten – Dateien einschleusen. Das lässt sich alles am CAG einstellen. Man kann auch definieren, nach welchem Zeitraum die Session beendet wird, wenn der Benutzer nicht mehr aktiv arbeitet.

Inversion des Aarsleff-Liners

Gab es noch eine Besonderheit bei diesem Projekt?
Wir haben ja mehr gemacht: einen Fileserver und neue Terminalserver. Das CAG-Projekt war lediglich der Mehrwert für die Anwender. Und das hat uns dann die Möglichkeit gegeben, mit ziemlich geringen Mehrinvestitionen – nämlich fü sms|passcode und das CAG – einen deutlichen Flexibilitätsvorteil zu liefern.

Das CAG war eigentlich „nur“ das kleine i-Tüpfelchen am Ende des Gesamtprojekts. Und genauso einfach war es auch realisiert und implementiert. Zum Vergleich: Für die Neuinstallation aller Terminalserver war Herr Rothgerber eine ganze Woche bei uns, während Herr Scheler und Herr Hoch für die Implementierung von CAG und sms|passcode nur einen halben Tag gebraucht haben.

Und auch vom täglichen Betrieb her ist es kein großer Mehraufwand?
Nein. Man muss sich einmal damit auseinandersetzen, um den Anwendern eine Bedienungsanleitung zu schreiben. Für den Internet Explorer und für den Firefox haben wir eine Schritt-für-Schritt-Anleitung erstellt, in der erklärt wird, wie der Citrix-Client installiert wird. Diese erhält der Anwender nach der Freischaltung. Das war das einzig wirklich Aufwändige, was wir gemacht haben.

Sie sind also zufrieden mit dem Projekt bzw. der Lösung?
Wir sind rundum zufrieden! Abgesehen davon, dass wir mit Ihren Technikern sehr konstruktiv zusammengearbeitet haben, haben auch unsere Anwender das Produkt bzw. die Möglichkeit, die wir geschaffen haben, sehr gern angenommen. Einen VPN-Client zu installieren ist kompliziert, während sms|passcode klar verständlich ist. Viele kennen das Prinzip von den TANs beim Online-Banking: Du bekommst eine Nummer, gibst sie ein und fertig. Wahrscheinlich sind unsere Kollegen sogar froh, sich nichts merken zu müssen, denn der Code wird ja zugeschickt Auch von der Bedienung, von der Oberfläche her, bekommt der Anwender gar nicht mit, dass noch ein Produkt vorgeschaltet ist.

Sie haben Fragen zum Thema Authentifizierung?

Kontaktieren Sie uns – wir rufen Sie schnellstmöglich zurück.

Bitte tragen Sie Ihren Namen ein.
Bitte tragen Sie Ihre E-Mail-Adresse ein.