Datensicherheit und Zugangskontrolle bei BMW
Der Schlüssel klemmt
Eine PKI sollte jedem Mitarbeiter die Möglichkeit geben, alle für seinen Job notwendigen digitalen Anwendungen sicher nutzen zu können. Mithilfe von Zertifikaten ließe sich in der digitalen Welt jeder so zuverlässig erkennen wie anhand eines Personalausweises. Emsig entwarfen die BMW-Planer für alle Mitarbeitergruppen Rollenkonzepte und definierten, wer mit welcher Identifikation im Netz welche Rechte haben sollte.
Doch während das Rollout-Team in Arbeit versank, nutzten nur wenige der zertifizierten Anwender überhaupt neue Kartenfunktionen wie die Authentifizierung. Grund: Die Entwicklung PKI-fähiger Anwendungen verlief weitaus langsamer als von der IndustrieIndustrie angekündigt. Vielfach hielt die Middleware zur Verbindung zwischen Sicherheitsarchitektur und Anwendungssoftware nicht, was die Hersteller versprochen hatten. Schwache Systemleistungen frustrierten diejenigen, die sich früh auf das Abenteuer PKI eingelassen hatten. Top-Firmen der Branche Industrie
Zudem verbreiteten sich sicherere Standards - etwa X509 zur Authentifizierung bei verschlüsselter Datenübertragung -, auf die BMW gesetzt hatte, außerhalb des Konzerns nicht in dem Maße, wie vom PKI-Team erhofft. Eric Muir, Leiter Benutzer- und Zugriffsmanagement bei der BMW Group: "Wir haben noch immer 1500 Mitarbeiter, die kryptographische Verfahren nutzen. PGP ist der De-facto-Standard beim Datenaustausch; X509 hat sich nicht durchgesetzt." Während die PKI in der ursprünglichen Konzeption andere Sicherheitslösungen überflüssig machen sollte, fahren die Automobilisten nun mehrspurig: PGP und PKI existieren nebeneinander.
Betriebsrat nicht rechtzeitig informiert
Ende vergangenen Jahres hat dann der Betriebsrat von dem Projekt Wind bekommen und pochte nun auf sein Mitspracherecht. Fahrlässigerweise hatte man zuvor im Konzern schlichtweg vergessen, das mitbestimmungspflichtige Thema mit den Arbeitnehmervertretern zu besprechen. Diese fragten sich nun, ob das Mehr an Sicherheit auch Nachteile für die Mitarbeiter bergen könne. Beispiel Log-in: Hat diese Form der Authentifizierung eine Umkehrung der Beweispflicht zu Ungunsten der Arbeitnehmer zur Folge, wenn es um den Missbrauch des Computernetzwerks geht?
Das Projektteam konnte diese und andere Bedenken im Dialog mit dem Betriebsrat zwar zerstreuen; eine unfreiwillige Projektpause ließ sich dennoch nicht vermeiden. BMW nutzte sie, um die Ziele neu zu definieren. Paul Kage, bei der BMW Group in München zuständig für Betriebsplanung, Betriebssteuerung und Anwenderdienste, räumt ein: "Nach ausführlichen Diskussionen war klar, dass es mit dem flächendeckenden Rollout nicht getan ist. Die eigentliche Frage für die Nutzer, in welcher Weise sie von der PKI profitieren, ist für viele nicht geklärt worden."