"Hacker manipuliert Konstruktionsdaten" oder "E-Mail des Personalchefs verrät Firmeninterna": Das sind Schlagzeilen, die in keinem Unternehmen gern gelesen werden. Bei BMW geht deshalb nichts ohne elektronischen Firmenausweis. Schon beim Werkzutritt identifizieren sich die Mitarbeiter des bayerischen Autokonzerns mit einer Plastikkarte, die auch den Zutritt zu Gebäuden erlaubt oder verwehrt und als bargeldloses Zahlungsmittel in der Kantine fungiert. Seit 2002 sind die Ausweiskarten aller BMW-Mitarbeiter nun mit einem Chip versehen. Darauf gespeichert: eine digitale Signatur, ein persönlicher Identifikationsschlüssel.
Die technischen Möglichkeiten werden jedoch kaum ausgeschöpft. Eigentlich sollte eine flächendeckende Public Key Infrastructure entstehen. Individuelle Netznutzungsrechte hätten so zentral verwaltet, Daten verschlüsselt und signiert werden können. Ziel: ein Sicherheitsstandard für die digitale Kommunikation.
Hätte, wäre - bislang steckt das PKI-Projekt von BMW noch tief im Konjunktivischen. 50000 PKI-Nutzer hatte man im Visier, lediglich 1700 Mitarbeiter nutzen heute digitale PKI-Zertifikate. Doch der Reihe nach: Schon seit 1998 wird bei BMW darüber nachgedacht, wie digitale Prozesse gesichert werden können. Die Automobilbauer beschaffen Büro-, Reparatur- und Investitionsgüter online, Konstrukteure arbeiten auf drei Kontinenten gleichzeitig an neuen Modellen.
Bereits 1999 Maßnahmenkatalog definiert
Um Industriespionage zu verhindern, verschlüsseln seit 1998 gut 500 Anwender aus Top-Management und Entwicklung E-Mails mit dem von dem US-Sicherheitsexperten Phil Zimmermann entwickelten Programm Pretty Good Privacy (PGP). Doch das bei versierten Internetnutzern weit verbreitete System erfordert fünf Arbeitsschritte pro Digitalpostsendung und erschien BMW deshalb ungeeignet für den Unternehmenseinsatz.
Der Konzern wollte ohnehin mehr als eine reine Verschlüsselungslösung für E-Mails. Und die zuverlässige Authentifizierung im Unternehmensnetzwerk sowie für die internetgestützte Entwicklungsarbeit ließ sich eben nicht mit Zimmermanns Algorithmus bewerkstelligen. Nach einer Sicherheitsanalyse definierten die Projekt-verantwortlichen deshalb 1999 einen Maßnahmenkatalog zu der Frage, wie digitalisierte Prozesse zu schützen seien.
Eine PKI sollte jedem Mitarbeiter die Möglichkeit geben, alle für seinen Job notwendigen digitalen Anwendungen sicher nutzen zu können. Mithilfe von Zertifikaten ließe sich in der digitalen Welt jeder so zuverlässig erkennen wie anhand eines Personalausweises. Emsig entwarfen die BMW-Planer für alle Mitarbeitergruppen Rollenkonzepte und definierten, wer mit welcher Identifikation im Netz welche Rechte haben sollte.
Doch während das Rollout-Team in Arbeit versank, nutzten nur wenige der zertifizierten Anwender überhaupt neue Kartenfunktionen wie die Authentifizierung. Grund: Die Entwicklung PKI-fähiger Anwendungen verlief weitaus langsamer als von der Industrie angekündigt. Vielfach hielt die Middleware zur Verbindung zwischen Sicherheitsarchitektur und Anwendungssoftware nicht, was die Hersteller versprochen hatten. Schwache Systemleistungen frustrierten diejenigen, die sich früh auf das Abenteuer PKI eingelassen hatten.
Zudem verbreiteten sich sicherere Standards - etwa X509 zur Authentifizierung bei verschlüsselter Datenübertragung -, auf die BMW gesetzt hatte, außerhalb des Konzerns nicht in dem Maße, wie vom PKI-Team erhofft. Eric Muir, Leiter Benutzer- und Zugriffsmanagement bei der BMW Group: "Wir haben noch immer 1500 Mitarbeiter, die kryptographische Verfahren nutzen. PGP ist der De-facto-Standard beim Datenaustausch; X509 hat sich nicht durchgesetzt." Während die PKI in der ursprünglichen Konzeption andere Sicherheitslösungen überflüssig machen sollte, fahren die Automobilisten nun mehrspurig: PGP und PKI existieren nebeneinander.
Betriebsrat nicht rechtzeitig informiert
Ende vergangenen Jahres hat dann der Betriebsrat von dem Projekt Wind bekommen und pochte nun auf sein Mitspracherecht. Fahrlässigerweise hatte man zuvor im Konzern schlichtweg vergessen, das mitbestimmungspflichtige Thema mit den Arbeitnehmervertretern zu besprechen. Diese fragten sich nun, ob das Mehr an Sicherheit auch Nachteile für die Mitarbeiter bergen könne. Beispiel Log-in: Hat diese Form der Authentifizierung eine Umkehrung der Beweispflicht zu Ungunsten der Arbeitnehmer zur Folge, wenn es um den Missbrauch des Computernetzwerks geht?
Das Projektteam konnte diese und andere Bedenken im Dialog mit dem Betriebsrat zwar zerstreuen; eine unfreiwillige Projektpause ließ sich dennoch nicht vermeiden. BMW nutzte sie, um die Ziele neu zu definieren. Paul Kage, bei der BMW Group in München zuständig für Betriebsplanung, Betriebssteuerung und Anwenderdienste, räumt ein: "Nach ausführlichen Diskussionen war klar, dass es mit dem flächendeckenden Rollout nicht getan ist. Die eigentliche Frage für die Nutzer, in welcher Weise sie von der PKI profitieren, ist für viele nicht geklärt worden."
Statt Nutzer wie am Fließband zu zertifizieren, konzentrieren sich die PKI-Verantwortlichen nun auf die Anwendungsentwicklung. Erst wenn es eine neue Anwendung gibt, die für bestimmte Mitarbeiter interessant sein könnte, werden diese gezielt als Nutzer geworben.
Die Speerspitze der PKI-Anwender sind heute Berufsbereiche, für die es einen Vorteil durch die Sicherheitslösung gibt: Vor allem die IT-Mitarbeiter, die am meisten in den Netzwerken arbeiten, nutzen die PKI-Signaturen und die Möglichkeit, mit einem einzigen Log-in (Single Sign on) alle erforderlichem Systemteile zu erreichen. Bis mit dieser fokussierten Vorgehensweise die einst anvisierten 50000 PKI-Teilnehmer erreicht werden, dürften indes noch viele Autos die Produktionsbänder verlassen.
"Wir mussten eine Menge lernen. Das Projekt braucht viel internes Marketing", so Kage. "Der Aufwand für eine PKI ist hoch und führt trotzdem nicht zwingend zu großen Effekten." Um weitere Nutzer zertifizieren zu können, müsse man attraktive Anwendungen anbieten. Kage: "Was nützt Technik, wenn sie nicht angenommen wird?"