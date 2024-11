"Ein Ticket für alles". Unter diesem Motto stellen die SBB ihren Kunden ein integriertes Mobilitätsangebot zur Verfügung. Diese können über eine zentrale Plattform nicht nur Zugfahrkarten kaufen, sondern auch Tickets für Wellness-Resorts, Seilbahnen und öffentliche Nahverkehrsmittel.

Diese Services stellen mehr als 260 Partner der SBB zur Verfügung. Ein solches digitales Ökosystem hat in Bezug auf die IT-SicherheitIT-Sicherheit hohe Herausforderungen. So müssen unterschiedliche Vertriebsorganisationen mit eigenen Shop-Systemen und einer heterogenen Applikationslandschaft gemanagt werden. Das gilt auch für den Schutz vor Missbrauch, den Umgang mit sensiblen Kundendaten und Finanztransaktionen.

Techniken: Zero Trust, Token und IAM

Deshalb nutzt die SBB das vorgelagerte IAM-System Airlock (Identity and Access Management, IAM) des Züricher IT-Unternehmen Ergon Informatik. Es vereint mehrere IT-Security-Konzepte: Zero Trust, Token Exchange und IAM. Dadurch steht eine standardisierte Lösung zur Verfügung, die sich skalieren lässt und als zentrale Authentifizierungsplattform dient.

Mit Zero Trust stellen die IT-Fachleute der SBB sicher, dass die Identität und Berechtigungen der User ständig überprüft werden, um Sicherheitsrisiken zu minimieren. Token Exchange wiederum ermöglicht den sicheren Austausch von Zugriffstoken zwischen unterschiedlichen Vertrauensbereichen.

Token überprüfen die Identität und Autorisierung eines Benutzers, ohne die eigentlichen Anmeldeinformationen preiszugeben. Token Exchange erleichtert somit die Integration von Anwendungen zwischen unterschiedlichen Organisationen, etwa der SBB und seiner Partner.

Segmentierung erhöht Sicherheit

Um die Sicherheit zu optimieren, nutzt Airlock eine Segmentierung. So kann ein Frontend-Server zwar ein Backend-System in einer anderen Sicherheitszone kontaktieren. Verfügt jede Zone über eigene Zugriffstoken, ist das Frontend-System jedoch nicht in der Lage, das vorhandene Token weiterleiten, sondern muss es beim Autorisierungsserver in ein neues umtauschen. Diese Segmentierung verhindert, dass ein Angreifer beim OAuth 2.0 Token Exchange von einem kompromittierten System auf weitere ServerServer zugreift.

"Als Schweizer Qualitätsanbieter ist Airlock ein bewährter Partner unseres Unternehmens. So passt das Airlock IAM perfekt in unsere IT-Landschaft", fasst Michael Gerber, der verantwortliche IT-Architekt bei der SBB, zusammen. "Gerade die unkomplizierte Integration hat uns überzeugt, sowohl bei der Anwendung über mehrere Instanzen als auch beim schnellen Deployment."

