DRV: Mit ARS zum BSI-geprüften Identity Management

Hin­ter­grund

Das alte System der DSRV zur Authentifikation und Administration der Nutzer wurde den zunehmend komplexeren Anforderungen der DRV und ihrer externen Partner nicht mehr gerecht. Jede Änderung konnte nur unter aufwendiger Anpassung des Quellcodes unternommen werden. Die DSRV war daher auf der Suche nach einer Administrationslösung, die ausreichende Flexibilität bietet, um die komplexe Struktur der Nutzerrechte abbilden und verwalten zu können. Zugleich muss die Lösung ausfallsicher und performant einer täglichen Auslastung von derzeit bis zu 100.000 Nutzern standhalten, wobei die Nutzerzahl in den nächsten Jahren voraussichtlich auf über 150.000 steigen wird.

ARS als erster Ansprechpartner

ARS beriet die DSRV rund um Identitätsprüfung und Nutzerverwaltung. Den Anforderungen der DRV entsprechend wurde ein flexibles Authentifikationssystem in Verbindung mit einer hierarchisch strukturierten und zugleich dezentral steuerbaren Verwaltung der Nutzerrechte entwickelt und implementiert. Die bestehende IT-Architektur wurde angepasst, um den abgeschotteten Login-Cluster (das eLogin-System) sicher in die IT-Landschaft zu integrieren. Zudem übernahm ARS eine Phase der internen Sicherheitsprüfung des Systems und schulte Mitarbeiter entsprechend des Train-the-trainer-Prinzips.

Flexibilisierte und BSI-geprüfte Authentifikation dank des eLogin-Systems

Die Identitätsprüfung der Nutzer kann entweder klassisch über User-ID und Passwort oder anhand von Personalausweis bzw. Signaturkarte erfolgen. Dafür muss der Ausweis bzw. die Karte im System registriert und ein entsprechendes Kartenlesegerät in den Computern integriert sein. Auch der IBM Mainframe ist über das host-typische RACF-Anmeldeverfahren (Resource Access Control Facility) in das Authentifikationsverfahren integriert. Das eLogin-System bietet damit deutschlandweit ein ebenso ganzheitliches wie flexibilisiertes Authentifikationsverfahren für die Mitarbeiter der DRV und die externen zugelassenen Partner. Über die hausinternen Securitychecks hinaus war das Bundesamt für Sicherheit in der Informationstechnik (BSI) an der Prüfung des Sicherheitskonzepts beteiligt. Das hochperformante System hält derzeit Auslastungsspitzen von bis zu 100.000 Nutzern stand, von denen sich ein Großteil morgens gleichzeitig anmeldet.

Die Herausforderung: eine hierarchische und zugleich dezentrale Vergabe der Anwenderrechte

Die besondere Herausforderung der Anwenderverwaltung ergab sich aus der Anforderung der DSRV, eine hierarchische und zugleich dezentral steuerbare Administration zu ermöglichen (Projekt NoVa). Nicht nur die Administrationsrechte, sondern die Rechtevergabe selbst kann dabei weiter vererbt und delegiert werden. So kann bspw. der Leiter einer regionalen Filiale selbstständig bestimmte Administrationsrechte an seine Mitarbeiter vergeben.
Die Administrationsrechte der Mitarbeiter werden in einer zentralen Datenbank hinterlegt und geräteunabhängig bei jeder Nutzeranmeldung über einen LDAP-Server abgefragt. Durch das Clustering der Systeme (Datenbank, Lightweight Directory Access Protocol, WebSphere Application Server) wird die Hochverfügbarkeit des eLogin-Systems erreicht.

Eine nachhaltige Lösung, die überzeugt:

Über die DSRV und die Deutsche Rentenversicherung Bund

Die DSRV übernimmt für die Träger der Rentenversicherung die Aufgabe als Datendrehschreibe zu den externen Partnern (Bundesagentur für Arbeit, Krankenkassen, Arbeitgeber etc.) und Authentifizierungsstelle. Sie wird von der Deutschen Rentenversicherung Bund (DRV) verwaltet. Die DRV ist europaweit der größte gesetzliche Rentenversicherer. 15.000 Mitarbeiterinnen und Mitarbeiter kümmern sich um 25 Millionen Versicherte, acht Millionen Rentnerinnen und Rentner sowie drei Millionen Arbeitgeber im In- und Ausland.