Zu den jüngsten Projekten seines Teams zählt die Entwicklung einer globalen Public Key Infrastructure (PKI) für die Credit Suisse Group. Dazu Gardener-Smith:«Das Projekt ist aus früheren Arbeiten an Enterprise Directory-Systemen bzw. aus der Zugangskontrolle für unsere Host-Systeme heraus entstanden.» Natürlich waren auch unternehmensspezifische Aspekte ausschlaggebend. «Die Kommunikation zwischen unseren Mitarbeitern erfolgt weitgehend per e-Mail – dabei darf jedoch ein grosser Teil der internen Korrespondenz nicht nach draussen dringen. Im Sinne der Geheimhaltungs- und Codierungsphilosophie (Corporate Encryption Policy) unseres Hauses muss diese unternehmensinterne Kommunikation in jedem Fall mit sicheren e-Mails erfolgen», erklärt Gardiner-Smith. Rechtliche Argumente spielten ebenfalls eine Rolle: «Wir sahen den Moment auf uns zukommen, an dem die Kunden ihre Transaktionen mit uns mittels elektronischer Signaturen tätigen wollen.»
Was ist «Public Key Infrastructure» (PKI)?
Sicherheit im Internet ist noch immer ein Problem. An digitalen Signaturen und Public Key Infrastructure führt deshalb auf Dauer kein Weg vorbei. PKI kombiniert Software und Services für die Ausgabe, Verwaltung, Verifizierung und Beglaubigung von elektronischen Schlüsseln (Public/Private Key) und Zertifikaten. Dies ermöglicht den Einsatz digitaler Signaturen und einen vertraulichen Datenaustausch in ungesicherten Netzwerken. Dadurch bietet die PKI die Grundlage für sicheres und zuverlässiges e-Business. Nur Unternehmen, denen es mit PKI gelingt, das Vertrauen in die Sicherheit ihrer Applikationen bei Geschäftspartnern und Internetkonsumenten aufzubauen, werden mit e-Business langfristig Erfolg haben.
Die Herausforderungen
Gardiner-Smith erkannte, dass die Entwicklung einer PKI weitaus mehr umfasst als die Wahl der richtigen Technologie: «Das Einsetzen einer Zertifizierungsstelle (Certification Authority) ist nur ein winziger Mosaikstein im ganzen Projekt. Zu berücksichtigen sind auch Strategien und Vorgehensweisen, Entwicklungsrichtlinien und Dienstleistungsgrade. Sich all diesen verschiedenen Problemen zu stellen, war eine echte Herausforderung.» Zunächst galt es, eine Projektdefinition zu formulieren. «Wir begriffen, dass wir Unterstützung brauchen würden», erklärt Gardiner-Smith. «Zwar kannten wir die Abläufe im Unternehmen genau. Auch hatten wir Mitarbeiter mit fundierten Fachkenntnissen – dennoch fehlten uns Antworten auf wichtige Fragen zum Trust-Modell oder den verschiedenen Vertrauens-Stufen. «Wir realisierten zudem, dass die üblichen Elemente einer Projektdefinition – Vorteile, Kosten und Erfolgskriterien – bei einem so komplizierten Projekt wie diesem nicht ausreichen würden», so Gardiner-Smith. «Also beschlossen wir, bestimmte Bereiche wie Management und Nutzungsarchitekturen zu etablieren sowie zu klären, wie wir das Trust-Modell konstruieren können und was das Einrichten von Application Programming Interfaces (API’s) für die Entwicklungsteams bedeuten würde. Damit brachten wir das Projekt um einiges weiter voran als ursprünglich gedacht – anderenfalls hätten wir keine hinreichend genauen Prognosen über die Vorteile und die dadurch entstehenden Kosten erhalten.»
Die Unterstützung durch Unisys
Nachdem feststand, dass die Credit Suisse Group Unterstützung benötigte, kam für Gardiner-Smith nur ein Partner für Anwendungslösungen in Betracht: «Ich glaube nicht, dass wir trotz aller Bemühungen die Mitarbeiter gefunden hätten, die wir brauchten.» Um den richtigen Partner zu finden, präzisierte sein Team die nötigte Unterstützung und nahm mit einigen Solution Providern Kontakt auf. «Schliesslich war klar, mit wem wir arbeiten würden – Unisys überzeugte durch die uns vorgestellten Mitarbeiter.»
Von zentraler Bedeutung innerhalb der Projektdefinition war, wie sich PKI-Standards in Zukunft weiterentwickeln würden. «Dies war wichtig für uns, mussten wir doch sicher sein, dass wir in die richtige Richtung arbeiteten», erinnert sich Gardiner-Smith. «Hier hat uns Unisys sehr geholfen – durch zeitaufwendige Analysen von Standards, Einschätzungen von Markttrends und Unterstützung bei der Prognose der künftigen technologischen Entwicklung. »
Auch bei der Entwicklung der PKI erwies sich Unisys mit seiner technischen Erfahrung als wertvoller Partner, stand doch die Credit Suisse Group vor Fragen wie der Anzahl benötigter Zertifizierungsstellen (Certification Authorities) oder der Positionierung der Directories. Hilfestellung war ebenfalls gefragt bei der Funktionstrennung der Registrierungs- und Zertifizierungsstellen, um den Unternehmenseinheiten die erforderlichen Kontroll-Stufen zuweisen zu können. «Auch bei der Einrichtung unseres technischen Labors stand uns Unisys hilfreich zur Seite – angefangen vom Interoperabilitäts-Nachweis der verschiedenen Produkte bis hin zur Überprüfung, welchen Einfluss die Zertifizierungs-Validierung auf unser Netzwerk haben wird», stellt Gardiner-Smith fest. Die Dokumentation erwies sich ebenfalls als Herausforderung. «Manche glauben, man bräuchte für eine Public Key Infrastructure lediglich Dokumente wie eine Certificate Policy oder ein Certification Practice Statement», so Gardiner-Smith. «Eines unserer Unternehmen wollte jedoch unsere Policy nicht an Kunden weitergeben, sondern dafür lieber etwas weniger Umfangreiches und Kompliziertes. Also erarbeitete ein Unisys-Consultant gemeinsam mit dem Unternehmen ein dessen Vorstellungen entsprechendes Subscriber Agreement.»
Gardener-Smith: «Unisys unterstützte uns ebenso bei der Dokumentation der Prozessabläufe für die Verwaltung und Nutzung der Public Key Infrastructure. Hierzu zählten auch präzise Spezifizierungen der damit verbundenen technischen und personellen Tätigkeiten, etwa beim Erstellen, Verlängern und Annulieren von Zertifikaten. Was die PKINutzung betrifft, haben wir ähnliche Beschreibungen erstellt, damit die Anwender ihre Echtheitsnachweise selbst vornehmen und e-Mails korrekt codieren oder unterzeichnen können.»
Der Kundenvorteil
«Einer der Hauptvorteile dieses Projekts besteht darin, dass wir eine Sicherheits-Infrastruktur erstellen werden, die uns einen hochwertigen e-Commerce-Betrieb ermöglicht», meint Gardener-Smith. «Und gleichzeitig haben wir auch noch ein sehr gutes Security-Toolkit erstellt – jeder kennt in Zukunft die für die Sicherheit seiner Anwendungen erforderlichen Massnahmen sehr genau.»
«Wir wurden von Unisys während der gesamten Projektdauer kontinuierlich betreut. Immer wenn wir fachlichen Rat oder qualifizierte Mitarbeiter brauchten, waren stets geeignete Mitarbeiter verfügbar. Ein Umstand, den wir nicht bei jeder Partnerfirma erleben durften», bestätigt Gardiner-Smith. So ist er denn mit Blick auf die Zukunft davon überzeugt, dass die Public Key Infrastructure der Credit Suisse Group neue Möglichkeiten eröffnen wird:
«Wir werden Leistungen anbieten können, wie es sie zuvor noch nicht gab. Erkennbar sind bereits neue Möglichkeiten in den Bereichen Zahlungssysteme, Abrechnungswesen sowie Statement Delivery. Auch bessere Online-Dienste für unsere Kundschaft rücken in greifbare Nähe.»
