SOS Kinderdorf

SOS Kinderdorf

For
Durch die Einführung der Zwei-Faktor-Authentifizierung konnte der SOS-Kinderdorf e.V. seinen mobilen Mitarbeitern mehr Flexibilität und mehr Zuverlässigkeit bieten. Für Christian Boerner, IKT-Systembetreuer im Referat EDV bei SOS-Kinderdorf e.V. hat sich deshalb die Umstellung aus der Rückschau heraus bereits gelohnt: „Die Qualität und Zuverlässigkeit hat sich verbessert, es kommen deutlich weniger Beschwerden zur Handhabung unserer Mitarbeiter als vorher.“

Hintergrund

Seit 1955 engagiert sich der deutsche SOS-Kinderdorf-Verein für das Wohl von Kindern, Jugendlichen und Familien sowohl im Inland als auch in 36 anderen Ländern. Inzwischen umfasst die gemeinnützige Organisation insgesamt 3.500 Mitglieder in 41 verschiedenen Einrichtungen deutschlandweit, die 95.000 Menschen erreichen. Davon werden in 16 SOS-Kinderdörfern in Deutschland 660 Kinder betreut. Das Aufgabenfeld des Vereins hat sich im Laufe der Jahre deutlich vergrößert. Inzwischen unterhält die Organisation SOS-Jugendhilfeeinrichtungen, SOS-Beratungs- und Mütterzentren sowie SOS-Ausbildungs- und Beschäftigungszentren für sozial benachteiligte Jugendliche und Menschen mit Behinderung. International unterstützt SOS-Kinderdorf e.V. weitere 119 SOS-Einrichtungen in verschiedenen Ländern. Der SOS-Kinderdorf e.V. ist eine gemeinnützige, weltweit tätige Organisation und Träger der freien Jugendhilfe in Deutschland.

 

Die IT-Abteilung des SOS-Kinderdorf Vereins muss den Mitarbeitern rund um die Uhr den Zugriff auf Daten auch von außerhalb des Büros ermöglichen. Alle Einrichtungen sind über SSL-VPN an ein Netzwerk angeschlossen, so dass nur Mitarbeiter, die unterwegs sind oder aber von zu Hause auf das vertraute Netzwerk zugreifen, als Fernzugriffe definiert werden.

SMS als zweiter Faktor für den Fernzugriff

Zur Absicherung des Netzwerks und zur Vermeidung von Man-in-the-Middle-Attacken (MITM-Angriff), also Hacker-Angriffe von außen, hat sich Christian Boerner, IKT-Systembetreuer im Referat EDV bei SOS-Kinderdorf e.V. bereits vor einigen Jahren zur Einführung eines zweiten Faktors für die Authentifizierung, also Anmeldung der Mitarbeiter am Netzwerkserver des Vereins, entschieden. Bei einem MITM-Angriff versucht ein unbekannter Dritter in die Kommunikation zwischen dem Gerät des externen Mitarbeiters und dem Unternehmensserver einzudringen. Mit Hilfe von gezielten Phishing-E-Mails versucht er Schadsoftware auf dem Gerät des Mitarbeiters zu installieren, um dessen Anmeldedaten auszuspähen. Können sich Cyberkriminelle erst einmal am Server anmelden, steht ihnen der Zugriff auf alle dort gespeicherten Daten, auch personenbezogene, offen. Über die Zwei-Faktor-Authentifzierung nutzten die Mitarbeiter eine SMS auf ihrem dienstlichen Mobilfunkgerät, um sich über ein Citrix Netscaler Gateway an dem Netzwerk anzumelden. Boerner erklärt: „Eine Zwei-Faktor Authentifizierung ist eine gute Sache, denn heutzutage nutzt jeder ein Handy und jeder kennt vom Online-Banking die Eingabe eines über SMS übertragenen Pincodes in ein Browser-Fenster. Die Lösung, die wir bis 2015 eingesetzt hatten, hat über einige Jahre unsere Anforderungen erfüllt. Doch auf Grund der schnellen Veränderungen in diesem Bereich, war es notwendig geworden, das System anzupassen. Die Flexibilität und die Bedienung waren eingeschränkt und entsprachen nicht mehr den Sicherheits- und Stabilitätskriterien des Vereins.“ In Summe führten diese Hindernisse zu immer mehr Beschwerden durch die Mitarbeiter. SOS-Kinderdorf e.V. reagierte, um den hohen Sicherheitsanspuch der personenbezogenen Daten von Mitarbeitern und Schutz- bzw. Hilfsbedürftigen weiterhin zu garantieren, sowie gleichzeitig den Komfort in der Bedienung erhöhen.

 

„Ich kam über unseren langjährigen Partner und Distributor ProSoft mit dem Hersteller für Sicherheitssoftware SecurEnvoy und derem regionalen Vertriebsleiter Fabian Guter in Kontakt. Für die Auswahl eines Nachfolgers für unsere bisherige Lösung hatte ich damals zwei zentrale Kriterien festgelegt, zum einen, dass die Lösung zuverlässig funktionieren muss und zum anderen einfach zu bedienen ist.“

Christian Boerner, IKT-Systembetreuer im Referat EDV bei SOS-Kinderdorf e.V.

 

Mit dem IT-Dienstleister ProSoft konnte SOS-Kinderdorf e.V. einen optimierten und ebenfalls bezogen auf den Datenschutz sicheren Zugang zum internen Netzwerk erarbeiten. „Ich kam über unseren langjährigen Partner und Distributor ProSoft mit dem Hersteller für Sicherheitssoftware SecurEnvoy und derem regionalen Vertriebsleiter Fabian Guter in Kontakt. Für die Auswahl eines Nachfolgers für unsere bisherige Lösung hatte ich damals zwei zentrale Kriterien festgelegt, zum einen, dass die Lösung zuverlässig funktionieren muss und zum anderen einfach zu bedienen ist,“ erinnert sich Boerner. Nach umfangreicher Analyse und einem intensiven Test einer Demo-Lizenz im November 2015 entschied er sich für die Umstellung auf die flexiblere Lösung. Im Februar 2016 wurden dann 100 Lizenzen angeschafft, um reisende Mitarbeiter sicher am Netzwerk authentifizieren zu können. Wartung und Support werden von der Magelan Gesellschaft für Informationstechnologie mbH bereitgestellt. „Bislang mussten wir den Dienstleister aber noch nicht anfordern“, freut sich Christian Börner, „denn der Einsatz der Lösung verläuft seit Installation reibungslos.“

Mehr Flexibilität für Netzwerkanmeldung Für den Wechsel der Authentifizierungslösung gab es auch einen technischen Kritikpunkt: Der Anschluss an einen SMS-Provider war bei der vorherig eingesetzten Lösung nicht möglich. Boerner erläutert: „Wir haben uns für mehr Flexibilität entschieden, denn unsere Mitarbeiter können nun ihr Smartphone nutzen, um sich sicher am Netzwerk anzumelden und können aus einer Vielzahl von Möglichkeiten wählen. Beispielsweise wie bisher durch die Übermittlung des sechsstelligen Passcodes per Flash-SMS oder aber über eine Soft-Token App, die auf dem Smartphone installiert wird und die dann über einen QR-Code den erforderlichen Passcode erzeugt.“ Bei der Übertragung des Passcodes über den QR-Code wird allerdings nur ein Teil vom Server auf das Smartphone übertragen. Hierbei ist keine Netzwerkverbindung nötig. Der zweite Teil des Passcodes wird durch das Smartphone erstellt, den der User dann auf der Registrierungswebseite eingeben muss. Danach ist für den Hersteller bestätigt, dass nur das zuvor genutzte Smartphone gültige Passcodes generieren darf. Wer sich dann von einem anderen Gerät aus in die Kommunikation zwischen dem Smartphone und dem Netzwerk des Vereins einzuwählen versucht, wird nicht zugelassen. Auch eine Doppelregistrierung oder Umleitung des Passcodes auf ein anderes Gerät wird hierdurch vermieden. Darüber hinaus nutzen die Mitarbeiter noch eine Ausweichlösung, wenn das Smartphone gerade nicht griffbereit ist. In diesem Fall wird über einen Service-Desk eine SMS für einen Tag an das Gerät geschickt und kann als One-Day-Ticket für die Einwahl ins Netzwerk genutzt werden. Bei allen Möglichkeiten werden die übertragenen Daten mit der starken 256-Bit-Verschlüsselung nach dem Advanced Encryption Standard (AES) geschützt.

Fazit

Durch die Einführung der Zwei-Faktor-Authentifizierung konnte der SOS-Kinderdorf e.V. seinen mobilen Mitarbeitern mehr Flexibilität und mehr Zuverlässigkeit bieten. Für Boerner hat sich deshalb die Umstellung aus der Rückschau heraus bereits gelohnt: „Die Qualität und Zuverlässigkeit hat sich verbessert, es kommen deutlich weniger Beschwerden zur Handhabung unserer Mitarbeiter als vorher.“