Datensicherheit und Zugangskontrolle bei BMW

Der Schlüssel klemmt

06.10.2003
Von 
Reppesgaard studierte in Hannover und arbeitete danach als Reporter und Moderator bei Hörfunk von Radio Bremen zu innen- und jugendpolitischen Themen und in den Bereichen Technologie und Wissenschaft. Seit dem Jahr 2000 lebt er in Hamburg, seit 2001 arbeitet er mit Christoph Lixenfeld im druckreif Redaktionsbüro zusammen.
Weitere Artikel des Autors
Eine Public Key Infrastructure (PKI) sollte bei BMW für umfassende Daten- und Zugangssicherheit sorgen. Doch bei der Einführung klemmte es gewaltig. Jetzt ist zumindest eine abgespeckte Variante des Projekts fertig.

"Hacker manipuliert Konstruktionsdaten" oder "E-Mail des Personalchefs verrät Firmeninterna": Das sind Schlagzeilen, die in keinem Unternehmen gern gelesen werden. Bei BMW geht deshalb nichts ohne elektronischen Firmenausweis. Schon beim Werkzutritt identifizieren sich die Mitarbeiter des bayerischen Autokonzerns mit einer Plastikkarte, die auch den Zutritt zu Gebäuden erlaubt oder verwehrt und als bargeldloses Zahlungsmittel in der Kantine fungiert. Seit 2002 sind die Ausweiskarten aller BMW-Mitarbeiter nun mit einem Chip versehen. Darauf gespeichert: eine digitale Signatur, ein persönlicher Identifikationsschlüssel.

Die technischen Möglichkeiten werden jedoch kaum ausgeschöpft. Eigentlich sollte eine flächendeckende Public Key Infrastructure entstehen. Individuelle Netznutzungsrechte hätten so zentral verwaltet, Daten verschlüsselt und signiert werden können. Ziel: ein Sicherheitsstandard für die digitale Kommunikation.

Hätte, wäre - bislang steckt das PKI-Projekt von BMW noch tief im Konjunktivischen. 50000 PKI-Nutzer hatte man im Visier, lediglich 1700 Mitarbeiter nutzen heute digitale PKI-Zertifikate. Doch der Reihe nach: Schon seit 1998 wird bei BMW darüber nachgedacht, wie digitale Prozesse gesichert werden können. Die Automobilbauer beschaffen Büro-, Reparatur- und Investitionsgüter online, Konstrukteure arbeiten auf drei Kontinenten gleichzeitig an neuen Modellen.

Bereits 1999 Maßnahmenkatalog definiert

Um Industriespionage zu verhindern, verschlüsseln seit 1998 gut 500 Anwender aus Top-Management und Entwicklung E-Mails mit dem von dem US-Sicherheitsexperten Phil Zimmermann entwickelten Programm Pretty Good Privacy (PGP). Doch das bei versierten Internetnutzern weit verbreitete System erfordert fünf Arbeitsschritte pro Digitalpostsendung und erschien BMW deshalb ungeeignet für den Unternehmenseinsatz.

Der Konzern wollte ohnehin mehr als eine reine Verschlüsselungslösung für E-Mails. Und die zuverlässige Authentifizierung im Unternehmensnetzwerk sowie für die internetgestützte Entwicklungsarbeit ließ sich eben nicht mit Zimmermanns Algorithmus bewerkstelligen. Nach einer Sicherheitsanalyse definierten die Projekt-verantwortlichen deshalb 1999 einen Maßnahmenkatalog zu der Frage, wie digitalisierte Prozesse zu schützen seien.

Zur Startseite