Zum Inhalt springen
Übersicht

Eine große staatliche Behörde für IT-Dienstleistungen verwaltet die Identitäts- und Zugriffsverwaltung für mehr als 145.000 Nutzer in Dutzenden staatlicher Einrichtungen, darunter Strafverfolgungsbehörden, deren Systeme strenge Sicherheitsanforderungen der Criminal Justice Information Services (CJIS) erfüllen müssen.  

Als langjähriger RSA-Kunde vertraute die Behörde seit Jahren auf RSA SecurID und den Authentication Manager, um ihre lokale Umgebung zu schützen. Was sie als Nächstes benötigte, war ein Weg in die Zukunft: eine Möglichkeit, diese bewährte Grundlage auf eine „Cloud-first“-Umgebung mit Microsoft auszuweiten, die mit der wachsenden Nutzerzahl gestiegene Belastung des Helpdesks zu beseitigen und die für ihre Zero-Trust-Strategie erforderliche, phishingresistente und passwortlose Authentifizierung zu etablieren. 

Die Behörde hat diesen Weg mit RSA gefunden. Anstatt ihre bestehende Lösung zu ersetzen, modernisierte die Behörde ihre Kapazitäten: Sie erweiterte ihre bestehende RSA-Plattform mit RSA ID Plus in die Cloud, fügte mit RSA ID Plus Prime Self-Service-Funktionen und Lebenszyklus-Automatisierung hinzu und setzte RSA Help Desk Live Verify ein, um eine der am häufigsten ausgenutzten Schwachstellen in großen Organisationen zu schließen: den Helpdesk selbst. Das Ergebnis ist eine FedRAMP-zugelassene, FIPS 140-3-konforme und CJIS-kompatible Identitätsplattform, die mit Microsoft Entra Identity zusammenarbeitet und Cloud-, Hybrid- sowie lokale Ressourcen über eine einzige, einheitliche Konsole schützt. 

Die Gelegenheit

IT-Organisationen der Landesregierung arbeiten in einem Umfang, der die Modernisierung der Identitätsverwaltung sowohl dringend als auch komplex macht. Allein diese Behörde verwaltet über 145.000 Benutzeridentitäten, die sich auf Dutzende von Einheiten verteilen, von denen jede unterschiedliche Risikoprofile, Compliance-Verpflichtungen und Authentifizierungsanforderungen aufweist. Die Microsoft-Umgebung, die das Herzstück ihrer Infrastruktur bildet, war erheblich gewachsen, wobei Microsoft 365 und Microsoft Entra Identity nun den Zugriff auf cloudbasierte Workloads im gesamten Unternehmen regeln. Gleichzeitig blieben lokale Systeme, der mit RADIUS verbundene Netzwerkzugang, Legacy-Anwendungen und Hochsicherheitsumgebungen, die nicht in die Cloud verlagert werden konnten, für den täglichen Betrieb unverzichtbar. 

Microsoft bietet innerhalb seines eigenen Ökosystems leistungsstarke Identitätsfunktionen, doch gerade in den Bereichen, in denen Entra Einschränkungen aufweist, konzentrierten sich auch die Risiken dieser Behörde: hybride und lokal betriebene Workloads, Legacy-Anwendungen, die eine Authentifizierung per Hardware-Token erfordern, Air-Gapped-Umgebungen oder RADIUS-abhängige Umgebungen sowie Anwendungsfälle mit hohen Sicherheitsanforderungen und FIPS- sowie CJIS-Konformitätsanforderungen. Um diese Sicherheitslücken zu schließen, war eine Plattform erforderlich, die speziell dafür entwickelt wurde, dort anzusetzen, wo Microsoft an seine Grenzen stößt. RSA ID Plus war als FedRAMP-zugelassene Ergänzung zu Microsoft Entra genau diese Plattform. 

Die Herausforderung

Die bestehende Identitätsinfrastruktur der Behörde basierte auf einer älteren Version einer lokal installierten RSA-Authentifizierungslösung. Diese ältere Lösung unterstützte etwa 109.000 Software-Token und 36.000 Hardware-Token. Und obwohl das System bisher zuverlässig funktioniert hatte, reichte es nicht mehr aus, um den wachsenden Anforderungen der Behörde gerecht zu werden. Es waren mehrere geschäftskritische Probleme aufgetreten: 

  • Belastung des Helpdesks: Das Zurücksetzen von Zugangsdaten und Onboarding-Anfragen führten monatlich zu rund 2.500 Helpdesk-Anrufen. Die mit der Altsystemlösung verbundene Self-Service-Funktion bot nur begrenzte Anpassungsmöglichkeiten und keine Möglichkeit, dieses Volumen zu reduzieren. Schlimmer noch: Der Helpdesk selbst stellte ein Sicherheitsrisiko dar: Social-Engineering-Angriffe, bei denen sich Angreifer als legitime Benutzer ausgaben, um über Supportkanäle Zugriff zu erlangen, waren ein unberücksichtigtes Risiko. 
  • Zero Trust und Phishing-resistente MFA: Die „Zero Trust“-Initiative der Behörde erforderte eine Phishing-resistente Authentifizierung in allen Umgebungen, nicht nur in Cloud-nativen Systemen. Herkömmliche OTP- und passwortbasierte Verfahren konnten diese Anforderung nicht erfüllen, und die Behörde musste auf Push-Benachrichtigungen, Biometrie, QR-Codes sowie FIDO2- und FIDO-zertifizierte Hardware-Authentifikatoren umsteigen, ohne dabei ihre bestehenden Investitionen in Token zu gefährden. 
  • Einhaltung von Vorschriften und Zertifizierung: Die Strafverfolgungsbehörden innerhalb der Behörde benötigten eine CJIS-konforme Authentifizierung mit zentralisierten Prüfpfaden und Echtzeit-Berichterstattung. Die Anforderungen zur Angleichung an Bundesvorschriften deuteten auf FedRAMP-zugelassene Lösungen hin. Anwendungsfälle mit hohen Sicherheitsanforderungen erforderten FIPS 140-3-zertifizierte Hardware-Authentifikatoren.
  • Berichterstattung und Unternehmensführung: Die manuelle, auf Tabellenkalkulationen basierende Berichterstellung ließ sich nicht so skalieren, dass sie den Anforderungen an die Rechnungsprüfung und die Einhaltung von Vorschriften in allen Bereichen gerecht wurde. 145.000 Nutzer. Die Behörde benötigte einen automatisierten Echtzeit-Überblick über Authentifizierungsvorgänge, den Status des Token-Lebenszyklus und die Benutzeraktivitäten. 

Bei der Modernisierung mussten all diese Aspekte gleichzeitig berücksichtigt werden, und zwar ohne eine vollständige Erneuerung, die zu Störungen bei einer Belegschaft von 145.000 Nutzer bereits mit der RSA-Authentifizierung vertraut sind. 

Warum RSA

RSA ID Plus ist FedRAMP-zertifiziert und wurde speziell für folgende Zwecke entwickelt: äußerst komplex Hybridumgebungen. Es lässt sich in Microsoft Entra integrieren Identität über SAML und OpenID Connect, wodurch eine einheitliche Authentifizierungsrichtlinie für Microsoft 365, in der Cloud gehostete Anwendungen und lokale Systeme gewährleistet wirdohne die Microsoft-Identitätsschicht zu ersetzen oder die Behörde dazu zu verpflichten, zwei separate Konsolen zu verwalten. Während Entra die Microsoft-Cloud abdeckt, deckt RSA alles andere ab: RADIUS, Legacy-Anwendungen, Air-Gapped-Umgebungen und Workloads, die ein höheres Sicherheitsniveau erfordern, als es cloudnative Tools bieten. 

“Die Behörde musste sich nicht zwischen dem Schutz ihrer Microsoft-Umgebung und der Erhaltung ihrer Investition in RSA entscheiden. RSA ID Plus ermöglichte beides gleichzeitig.”

RSA bot zudem etwas, was keine Einzellösung leisten konnte: eine umfassende Lösung für das Helpdesk-Problem. RSA Help Desk Live Verify (zum Patent angemeldet) bietet eine bidirektionale, passwortlose Identitätsüberprüfung für Helpdesk-Interaktionen und ermöglicht es Helpdesk-Mitarbeitern und Benutzern, die Identität des jeweils anderen zu überprüfen – ohne PINs, gemeinsame Geheimnisse oder wissensbasierte Fragen, die recherchiert oder durch Social Engineering erlangt werden können. Für eine Behörde, die 145.000 Nutzer Help Desk Live Verify hat in Dutzenden von Unternehmen eine systemische Schwachstelle behoben, die durch den Ausbau der MFA allein nicht hätte beseitigt werden können. 

Für die Anwendungsfälle der Behörde mit höchsten Sicherheitsanforderungen, für CJIS-regulierte Umgebungen, Strafverfolgungssysteme und Aufgabenbereiche, die FIPS-zertifizierte Hardware erfordern, bot RSA die RSA iShield Key 2-Serie an: FIDO2-zertifizierte Hardware-Authentifikatoren mit FIPS 140-3 Level 3-Zertifizierung, die eine phishing-resistente, passwortlose Authentifizierung unterstützen und die Anforderungen der Executive Order 14028 sowie der OMB-Richtlinien M-22-09 und M-24-14 erfüllen. Kein anderer Anbieter in der Bewertung konnte dieses Maß an Hardware-Sicherheit in Verbindung mit der von RSA gebotenen hybriden Bandbreite bieten. 

Die Lösung

Die Zusammenarbeit wurde ermöglicht durch ThunderCat-Technologie als Wiederverkäufer der Lösung und Carahsoft Technology Corp. als Vertriebspartner, die beide umfassende Erfahrung im Bereich der öffentlichen Beschaffung in das Programm einbrachten. RSA Professional Services stellte zwölf Monate lang einen engagierten, halbtags tätigen Berater zur Verfügung, der direkt in die Arbeitsumgebung der Behörde eingebunden war und während des gesamten Projekts für die Konzeption, Umsetzung und den Wissenstransfer verantwortlich war. 

Die Einführung erfolgte in zwei Phasen. In der ersten Phase wurde RSA ID Plus in einem Hybrid-Cloud-Modell bereitgestellt, wobei die bestehende RSA-Authentifizierungslösung der Behörde über integrierte Identity Router mit der RSA-Cloud-Plattform verbunden wurde. Bestehende Hardware- und Software-Token wurden ohne erneute Registrierung übernommen. Microsoft Active Directory und LDAP wurden als Identitätsquellen integriert. Die Authentifizierungsrichtlinien wurden über SAML und OIDC auf Microsoft Entra und Microsoft 365 ausgeweitet. Neben den bestehenden Token wurde die gesamte Palette moderner Authentifizierungsmethoden – Push-Benachrichtigungen, Biometrie, QR-Codes sowie FIDO2- und FIDO-zertifizierte Hardware – aktiviert. Die Behörde stellte ihr erstes Single-Sign-On-Portal (SSO) bereit.  

In der zweiten Phase wurde RSA ID Plus Prime auf die Plattform aufgesetzt. Das Self-Service-Portal von Prime ersetzte die bisherige Authentication Manager-Konsole und wurde so konfiguriert, dass es die bestehenden Arbeitsabläufe widerspiegelte, sodass für die Umstellung nur ein minimaler Schulungsaufwand erforderlich war. Das Helpdesk-Verwaltungsportal bot den Supportmitarbeitern eine eigene Benutzeroberfläche, während RSA Help Desk Live Verify diese Interaktionen vor Social-Engineering-Angriffen schützte. Das Prime AMIS-Integrationsframework ersetzte die manuelle Berichterstellung durch automatisierte Echtzeit-Funktionen für APIs, Workflows und Audits. Die Identitätsprüfung über das „Prime Identity Verification Portal“ als Frontend für „Socure ID Proofing“ (die bestehende Identitätsprüfungslösung der Behörde) sicherte und optimierte die Workflows für die Einarbeitung neuer Benutzer und die Wiederherstellung von Zugangsdaten, ohne dass ein intensiver IT-Eingriff bei den Endbenutzern erforderlich war. 

Ergebnisse und Auswirkungen auf das Geschäft

Die Modernisierung führte zu Ergebnissen in drei Bereichen: Sicherheitslage, betriebliche Effizienz und Compliance-Bereitschaft. 

Sicherheit und Compliance 

  • Phishing-resistente MFA im gesamten Unternehmen: Die Behörde stellte von herkömmlichen Einmalpasswörtern (OTP) auf eine umfassende Palette phishing-resistenter Authentifizierungsmethoden um, darunter Push-Benachrichtigungen, biometrische Verfahren, QR-Codes, FIDO2 sowie FIPS 140-3-zertifizierte Hardware, die über eine einzige Konsole hinweg in Cloud-, Hybrid- und lokalen Umgebungen verwaltet wird. Damit wurden die Zero-Trust-Vorgaben erfüllt und die CJIS-Anforderungen an eine hochsichere Authentifizierung in Strafverfolgungssystemen erfüllt.
  • Anpassung an FedRAMP und FIPS: Die FedRAMP-Zulassung des RSA ID Plus bot die von der Behörde geforderte Compliance-Grundlage für den Bundesbereich. Für Anwendungsfälle mit höchsten Sicherheitsanforderungen erfüllte die FIPS-140-3-Zertifizierung der Stufe 3 des RSA iShield Key 2 die Anforderungen gemäß EO 14028 und OMB M-22-09, wobei das native Toolset von Microsoft keine gleichwertige Lösung bot. 
  • Risiko durch Social Engineering beim Helpdesk beseitigt: RSA Help Desk Live Verify hat den Angriffsvektor „Helpdesk“ geschlossen, indem die wissensbasierte Verifizierung durch eine bidirektionale, passwortlose Identitätsüberprüfung ersetzt wurde. Dadurch wird sichergestellt, dass weder Benutzer noch Support-Mitarbeiter durch Social Engineering dazu gebracht werden können, ihre Zugangsdaten preiszugeben. 

Betriebliche Verbesserungen 

  • Rückgang des Helpdesk-Aufkommens: Über das „Prime Self-Service Portal“ konnten die Nutzer ihre Zugangsdaten selbst verwalten, Authentifizierungsgeräte registrieren und die Ersteinrichtung ohne Hilfe der IT-Abteilung abschließen. Die Behörde rechnet damit, dass dadurch monatlich 2.500 Helpdesk-Anrufe wegen identitätsbezogener Anfragen entfallen werden.
  • Echtzeit-Berichterstattung und Prüfungsbereitschaft: Die automatisierte Berichterstellung über das Prime AMIS-Framework ersetzte manuelle Prozesse und verschaffte den Compliance-Teams einen Echtzeit-Überblick über Authentifizierungsereignisse, den Status des Token-Lebenszyklus und die Benutzeraktivitäten – was für die CJIS-Prüfungsverpflichtungen in allen Strafverfolgungsbehörden der Behörde von entscheidender Bedeutung ist. 
  • Modernisierung ohne Unterbrechungen: Die 109.000 Software-Token und 36.000 Hardware-Token der Behörde wurden beibehalten und übernommen. Bei den 145.000 Benutzern war keine erneute Registrierung erforderlich. Das neue Self-Service-Portal wurde so konfiguriert, dass es die bestehenden Arbeitsabläufe widerspiegelte. Die Endbenutzer empfanden den Übergang als Verbesserung und nicht als Störung. 
  • Hohe Verfügbarkeit in großem Maßstab: Die hybride Hochverfügbarkeitsarchitektur gewährleistete Ausfallsicherheit über alle Authentifizierungspfade hinweg – in der Cloud, vor Ort und bei RADIUS –, ohne dass zusätzliche Infrastruktur erforderlich war. 

Microsoft-Umgebung gestärkt 

  • RSA als die Sicherheitsschicht, die Entra benötigte: RSA ID Plus erweiterte die Authentifizierungsrichtlinie über Microsoft 365, Azure-Workloads und lokale Systeme hinweg durch eine einzige Integration und sorgte so für die hybride Abdeckung, Hardware-Sicherheit und umfassende Compliance, die Microsoft Entra allein nicht bieten konnte. Durch die Integration der externen Authentifizierungsmethode (EAM) von RSA und Microsoft Entra blieben die bestehenden Investitionen in Microsoft erhalten, während gleichzeitig die Sicherheitsstandards in der gesamten kombinierten Umgebung angehoben wurden. 
  • Einheitliches Nutzererlebnis auf beiden Plattformen: Das RSA My Page SSO-Portal bot den Benutzern eine einheitliche Authentifizierungsoberfläche, unabhängig davon, ob sich ihre Workloads in Microsoft 365 oder in einem lokalen System befanden. Die Richtlinien galten für den Benutzer unabhängig von der Umgebung. 
Blick nach vorn

Die Plattform, die die Behörde nun betreibt, ist auf Wachstum ausgelegt. Die hybride Architektur kann neue Behörden, Nutzer und Anwendungsfälle aufnehmen, ohne dass eine Neugestaltung der Architektur erforderlich ist. FIDO2, Identitätsprüfung und FIPS-zertifizierte Hardwarefunktionen sind vorhanden, um die Vorgaben zur passwortlosen Authentifizierung zu unterstützen, die sich auf alle staatlichen Stellen ausweiten. Der im Rahmen des RSA Professional Services-Einsatzes integrierte Wissenstransfer stellt sicher, dass die eigenen Mitarbeiter der Behörde die Plattform selbstständig betreiben und erweitern können. 

Für eine staatliche Behörde, die seit Jahren auf RSA vertraute und eine Modernisierung ohne Neuanfang benötigte, führte der Weg in die Zukunft direkt über die bereits bestehende Partnerschaft und über eine Microsoft-Umgebung, die dadurch nun deutlich sicherer ist. 

Lösungspartner

Dieses Projekt wurde in Zusammenarbeit mit DonnerCunter Technology, ein führender Technologie-Wiederverkäufer für den öffentlichen Sektor, und Carahsoft Technology Corp, einer der größten IT-Distributoren für den öffentlichen Sektor in den Vereinigten Staaten. DonnerCunter und die Erfahrung von Carahsoft im Umgang mit den Beschaffungskanälen auf Bundes- und Landesebene trug dazu bei, dass dieses Modernisierungsprogramm effizient unter Vertrag gebracht werden konnteUnd ihr anhaltendes Engagement im RSA-Ökosystem unterstützt die laufenden Identitätsinitiativen des öffentlichen Sektors im ganzen Land. 

Sie könnten auch interessiert sein an...

Demo anfordern

Vielen Dank für Ihr Interesse an RSA.
Demo anfordern