Schottische Behörde authentifiziert sich tokenlos in PSN

Das Vereinigte Königreich hat das Public Services Network (PSN) eingeführt, um Kosten für Kommunikations-Dienste der Regierungsorganisationen untereinander zu senken und neue, gemeinsame Services für die Bürger anbieten zu können.

Die schottische Behörde Shetland Island Council nutzt diese Plattform ausgiebig und benötigte dazu eine Remote-Access-Lösung, die den Zugriff auf das interne Netzwerk auf PSN-Standard brachte. Eine hochsichere Zwei-Faktor-Authentifizierung wurde gesucht. Mit SecurAccess entschied man sich für eine Software, die sichere Logins sogar ohne Token ermöglicht.

Der Bezirksrat der im Nordatlantik liegenden Shetlandinseln ist einer von 32 Councils in Schottland. Die rund 2.200 Mitarbeiter kümmern sich täglich um die Belange von 22.400 Bürgern. Dabei deckt die öffentliche Einrichtung die vier Bereiche Bildung und Familien, soziale Dienstleistungen, Umwelt und Transport sowie Entwicklung ab.

Mit Einführung des Public Services Network entstand beim Shetland Island Council der Bedarf nach einer sicheren Lösung für den Fernzugriff auf das Behördennetzwerk, das mit dem PSN verbunden ist. Alle britischen Regierungsbehörden waren von nun an verpflichtet, dieses Netzwerk als Kommunikationswerkzeug zu nutzen. Zum geschützten Einloggen erlaubt der Gesetzgeber ausschließlich die Methode der Zwei-Faktor-Authentifizierung.

Das Smartphone als Sicherheitsschlüssel
Daraufhin informierte sich das Shetland Island Council bei IT-Dienstleister Infosec Cloud über potenzielle Lösungen, die einfache und flexible Logins ermöglichen. Die Experten empfahlen den Verantwortlichen mit SecurAccess eine Software, bei der Mitarbeiter zur Zwei-Faktor-Authentifizierung keine kostspieligen Token benötigen.

Entwickler SecurEnvoy ersetzt bei seiner Methode herkömmliche physische Token durch etwas, dass jeder Mensch nahezu immer bei sich trägt: das Smartphone. Darüber erhalten Nutzer z.B. via SMS einen dynamisch generierten Code, den sie beim Login zusätzlich zu ihrem Benutzernamen und Passwort eingeben, um sich zu authentifizieren.

„Wir brauchten eine Lösung, die schnell zu installieren und einfach zu nutzen ist, sodass sie Teil der täglichen Login-Prozesse unserer Mitarbeiter werden kann. Die tokenlose Methode spart uns Kosten und bedeutet, dass wir keine zusätzlichen Token-Bestände managen müssen“, kommentiert Michael Marriott, ICT Team Leader beim Shetland Islands Council.

Schnell in den Arbeitsalltag integriert
Überzeugt vom SecurEnvoy-Konzept bestellte das Shetland Island Council 50 Lizenzen zum Testen. Nach einer kurzen Umgewöhnungsphase wussten die Mitarbeiter die Vorteile der Lösung zu schätzen. Kurz darauf erwarb das Council 1.300 SecurAccess-Lizenzen und verteilte diese auf die Mitarbeiter.

Die IT-Abteilung des Bezirksrats buchte die Lösung als Cloud-Service mit technischem Support bei Infosec Cloud. Die Installation führte das Council jedoch problemlos eigenständig durch und integrierte SecurAccess schnell in die vorhandene Infrastruktur, die hauptsächlich aus HP-Servern besteht. Innerhalb von zwei Monaten wurde die Lösung dann schrittweise auf alle Abteilungen migriert.

Die Mitarbeiter des Councils nutzen zum Einloggen in das Behördennetzwerk vorwiegend die SMS-Option der Software. Sie erhalten neben den herkömmlichen Anmeldedaten einen zur Zwei-Faktor-Authentifizierung benötigten Passcode per SMS auf ihr Smartphone. Mit Eingabe dieses Codes legitimieren sie sich remote im Netzwerk. Ähnlich unkompliziert funktioniert die Soft Token App von SecurEnvoy.

Behördenangestellte installieren die Applikation auf ihrem Smartphone oder Tablet und erhalten einen QR-Code. Dieser wird abschließend mittels Webcam am Rechner oder mobilem Endgerät gescannt. Auf diese Weise übermittelt die App Informationen, mit denen die Identität des Mitarbeiters zweifelsfrei nachgewiesen wird.

Das Shetland Island Council setzt damit auf eine Technologie, für die SecurEnvoy bereits mehrere Awards gewann, darunter z.B. die Auszeichnung in der Kategorie „Best Buy“ vom US-amerikanischen SC Magazine sowie der hochangesehene Queen’s Award for Enterprises vom britischen Königshaus.

IAVCworld per E-Mail folgen