Datensicherheit und Zugangskontrolle bei BMW
Der Schlüssel klemmt
"Hacker manipuliert Konstruktionsdaten" oder "E-Mail des Personalchefs verrät Firmeninterna": Das sind Schlagzeilen, die in keinem Unternehmen gern gelesen werden. Bei BMW geht deshalb nichts ohne elektronischen Firmenausweis. Schon beim Werkzutritt identifizieren sich die Mitarbeiter des bayerischen Autokonzerns mit einer Plastikkarte, die auch den Zutritt zu Gebäuden erlaubt oder verwehrt und als bargeldloses Zahlungsmittel in der Kantine fungiert. Seit 2002 sind die Ausweiskarten aller BMW-Mitarbeiter nun mit einem Chip versehen. Darauf gespeichert: eine digitale Signatur, ein persönlicher Identifikationsschlüssel.
Die technischen Möglichkeiten werden jedoch kaum ausgeschöpft. Eigentlich sollte eine flächendeckende Public Key Infrastructure entstehen. Individuelle Netznutzungsrechte hätten so zentral verwaltet, Daten verschlüsselt und signiert werden können. Ziel: ein Sicherheitsstandard für die digitale Kommunikation.
Hätte, wäre - bislang steckt das PKI-Projekt von BMW noch tief im Konjunktivischen. 50000 PKI-Nutzer hatte man im Visier, lediglich 1700 Mitarbeiter nutzen heute digitale PKI-Zertifikate. Doch der Reihe nach: Schon seit 1998 wird bei BMW darüber nachgedacht, wie digitale Prozesse gesichert werden können. Die Automobilbauer beschaffen Büro-, Reparatur- und Investitionsgüter online, Konstrukteure arbeiten auf drei Kontinenten gleichzeitig an neuen Modellen.
Bereits 1999 Maßnahmenkatalog definiert
Um Industriespionage zu verhindern, verschlüsseln seit 1998 gut 500 Anwender aus Top-Management und Entwicklung E-Mails mit dem von dem US-Sicherheitsexperten Phil Zimmermann entwickelten Programm Pretty Good Privacy (PGP). Doch das bei versierten Internetnutzern weit verbreitete System erfordert fünf Arbeitsschritte pro Digitalpostsendung und erschien BMW deshalb ungeeignet für den Unternehmenseinsatz.
Der Konzern wollte ohnehin mehr als eine reine Verschlüsselungslösung für E-Mails. Und die zuverlässige Authentifizierung im Unternehmensnetzwerk sowie für die internetgestützte Entwicklungsarbeit ließ sich eben nicht mit Zimmermanns Algorithmus bewerkstelligen. Nach einer Sicherheitsanalyse definierten die Projekt-verantwortlichen deshalb 1999 einen Maßnahmenkatalog zu der Frage, wie digitalisierte Prozesse zu schützen seien.