Die Sicherheitsinfrastruktur hat die RAG Informatik in vier Bereiche aufgeteilt: Internet, eine öffentlichen und eine private "demilitarisierte Zone (DMZ) sowie die Ebene der konzerninterne Daten. Zweck der Zonen, die jeweils eine Firewall trennt: Daten und Anwendungen vor unbefugtem Zugriff sichern. So verhindert die erste Schutzmauer den Konzern vor fingierten Massenanfragen (Denial-of-Service-Attacks). Hat ein Mitarbeiter die Eingangstür durchschritten, meldet er sich am Portal in der öffentlichen DMZ an. In der IT-Architektur prüft nun ein Access-Manager die anhand des Mitarbeiterverzeichnisses, ob die Person tatsächlich Mitarbeiter des Konzerns ist, und authentifiziert ihn. Anschließend tritt der Anwender in die private DMZ ein und bekommt auf seinen Bildschirm alle Daten und Anwendungen, die in seinen Rollen- und Berechtigungskonzepten definiert sind.

Während in der privaten DMZ Anwendungen mit weniger sensiblen Daten stehen, befinden sich unternehmenskritische Daten und Anwendungen in der vierten Zone, der Datenebene. Bislang spielt sich die Anmeldung lediglich innerhalb des Konzerns ab. "Bis Ende 2004 sollen sich Mitarbeiter auch über das Web anmelden können. Dafür entwickeln wir gerade eine PKI-Policy (Public Key Infrastructure), so Pfaff.

Knackpunkt Single-Sign-On

Auf diese Sicherheitsstruktur setzt auch das Pilot-Portal beim Teilkonzern RAG Coal International auf. Dabei hat die Kohle-Tochter des Konzerns unter anderem 14 verschiedene SAP-Systeme, fünf Intranets, mehrere Domino-Datenbankserver sowie sechs Mail-Server an das Portal angeschlossen. Seit Februar arbeiten weltweit 120 Anwender in einem Test mit dem Portal, im Mai sollen 3500 Mitarbeiter auf die Plattform umsteigen. "Die Anmeldung via Single-Sign-On an die verteilten Anwendungen und von unterschiedlichen Orten des Konzerns aus stellt eine nicht ganz unerhebliche technische Aufgabe dar, berichtet Andreas Müller, Projektleiter bei RAG Coal International.

Dagegen ließen sich die Daten aus den verschiedenen Anwendungen einfach zusammenführen. So geben beispielsweise Mitarbeiter bei der Coal-Tochter RAG Trading den Kundennamen in eine Maske ein. Das Portal stellt dann die kundenspezifischen Daten aus einem SAP R/3, einem File-Server und dem Web zusammen und zeigt sie auf einer Seite im Portal an. Vorher mussten Mitarbeiter dafür mit sechs Masken arbeiten. "Die Programmierung dauerte nur 20 Manntage und kann jetzt im Konzern öfters eingesetzt werden", so Müller.