Mission possible: Ein Grossprojekt der SBB

Michael Liebi ist CEO der United Security Providers AG

Bei so entscheidenden Projekten wie dem Schutz der eigenen Netzinfrastruktur will sich kein CIO die Finger verbrennen. Damit aus den bekannten TCOs (Total Cost of Ownership) keine TCEPs (Total Cost of Empty Promises) werden, sollten sich die Projektverantwortlichen und -entscheider, die angebotenen Technologien und IT-Dienstleister schon ganz genau anschauen. So aussagekräftig Analystenaussagen und Marktdaten auch sein mögen, ein noch überzeugenderes inländisches Signal für die Akzeptanz einer Technologie sind konkrete Grossprojekte wie das der Schweizerischen Bundesbahnen SBB.

Startschuss WTO-Ausschreibung

Bereits 2005 wurde im Rahmen einer WTO-Ausschreibung ein System für eine unternehmensweite Netzwerkzugangssteuerung (Network Access Control) gesucht. Projektverantwortlich war die Abteilung Telecom SBB, welche die gesamte SBB mit Kommunikations-Dienstleistungen versorgt. Der Auslöser war laut Marc Pauli, Plattformmanager Data & Security bei Telecom SBB: «Verschiedene Vorfälle in der Vergangenheit, hervorgerufen durch Viren oder fehlerhafte Netzwerkzugriffe, die eine Beeinträchtigung des produktiven Betriebs zur Folge gehabt hatten.»

Im Juni 2006 erhielt das Schweizer Unternehmen United Security Providers mit seinem USP Network Authentication System (NAS) den Zuschlag, und schon im August ging es mit dem Projekt los. Die SBB hatte sich für ein zentrales Out-of-Band-System entschieden, das einen geregelten Zugang auf das Netzwerk sicher stellt, und den Netzwerkzugriff durch unbefugte Endgeräte unterbindet. Detektion und Autorisierung der Endgeräte geschehen dabei in Echtzeit. So lassen sich die Weisungen des ICT-Security Frameworks der SBB konsequent umsetzen und auf sämtliche am Netz angeschlossenen Geräte anwenden.

Grossprojekt nach Mass

Von Anfang an war klar, dass es für eine Infrastruktur vom Kaliber einer SBB keine simple Out-of-the-Box-Installation gibt. Die Standard-Features des gewählten NAS boten eine breite und solide Basis, doch die grosse Heterogenität verlangte auch ein gewisses Mass an Customizing. Der Individualisierungsanteil hängt unter anderem mit der Notwendigkeit zusammen, die verschiedenen Um- bzw. Inventarsysteme in einem Multi-Provider-Umfeld zu integrieren. Beim Datennetzwerk (LAN/WAN) ist bis 2009 Parallelbetrieb angesagt (Nortel bestehend, Cisco neu).

Auch grundsätzlich war und ist die Vielfalt der zu berücksichtigenden Client-Systeme bei der SBB beeindruckend, denn sie reicht vom klassischen PC über Weichenheizungen und VoIP-Telefone bis zum Billettautomaten. Einige wenige Eckwerte lassen die grundsätzlichen Dimensionen erahnen: 2600 km Glasfaserkabel, ungefähr 2000 Switches, etwa 1300 Router und rund 50000 installierte LAN-Ports! Aktuell sind rund 500 Router und 3600 Switches ins System eingebunden.

Beim eigentlichen NAC-Projekt waren gemäss Plattformmanager Marc Pauli die Hauptherausforderungen auf der Inventar- und der Prozessebene angesiedelt: «Das NAC-System ist darauf angewiesen, dass alle legitimierten Geräte bekannt und mit einer eindeutigen Geräteadresse, der sogenannten MAC-Adresse, versehen sind. Ein unternehmensweites, einheitliches Geräte-Inventar war aber nicht vorhanden». Es musste also ein entsprechender Aufwand betrieben werden, mehrere verschiedene Inventarquellen an NAC anzubinden und sicherzustellen, dass in den Inventaren auch die MAC-Adresse gepflegt wird.

Die zweite Herausforderung sind die Prozesse. Es kann kein Gerät an das Netz angeschlossen werden, bevor es nicht inventarisiert worden ist und im NAC-System bekannt ist. Davon betroffen sind neben dem Installationsprozess auch die Prozesse für Reparatur oder Austausch von Geräten, welche entsprechend angepasst werden müssen.