Kantonales Steueramt schützt Fachapplikationen mit Nevis Security Suite
Ausgangslage
Während Mitarbeiter des KStA bereits seit längerem eine SmartCard mit elektronischem Zertifikat zur Authentisierung nutzen und so Zugriff auf die Web-Anwendungen des Steueramts erhalten, waren Mitarbeiter der Gemeinden bislang auf den vergleichsweise weniger sicheren Login mittels ID und Passwort angewiesen. Auch ihnen sollte jetzt ein sicherer und zudem passwortfreier Login für den Zugriff auf die Fachapplikationen ermöglicht werden. Mit der Umsetzung betraut wurden der Schweizer Marktführer für Identity- und Access Management Nevis und ihr Partner AdNovum, mit denen das Steueramt bereits seit 2005 eng zusammenarbeitet.
Der sichere Login für Gemeindemitarbeiter ordnet sich als neuer Bestandteil in die sukzessive seit 2013 aufgebaute eIAM-Infrastruktur ein, das zentrale Zugriffs- und Berechtigungssystem des Kantonalen Steueramts Zürich für Webapplikationen. eIAM umfasst neben nevisProxy und nevisAuth für die Authentisierung und Autorisierung zusätzlich auch nevisWF und eine Webapplikation (GUI) für den Unterhalt der Berechtigungen inklusive Bewilligungsprozess. Auf dieser Basis wurde entschieden, mit der Nevis Authentication Cloud und einer Access App eine 2FA Authentisierung für die Gemeindebenutzer einzuführen.
Lösung
Die Nevis Security Suite ist eine Kombination aus Identity Suite und Authentication Cloud, die sich flexibel an die unterschiedlichsten Anforderungen anpassen lässt. Die Suite wird der bestehenden Infrastruktur vorgeschaltet und fügt eine weitere Sicherheitsebene hinzu, indem sie den gesamten Benutzerzugriff auf die Fachapplikationen kontrolliert. Die Authentifizierung und Autorisierung bilden den Kern eines erfolgreichen Customer Identity und Access Managements. Nevis besteht aus dem Secure Entry Gateway, kombiniert mit einer Web Application Firewall und einem Authentifizierungsdienst.
Die FIDO-zertifizierte Nevis Authentication Cloud erweitert die Infrastruktur des KStA mit kennwortloser Authentifizierung und Transaktionssignierung als Service. Auf diese Weise können sich die Mitarbeiter ohne Passwort anmelden. Weil sie für die Multi-Faktor-Methode nur ihr Mobiltelefon mit einem Sicherheits-Chip benötigen, ist der Prozess komfortabler und sicherer als das alte Verfahren mit Username und Passwort.
Die gesamte Umsetzung und Implementierung der Lösung begann im Frühjahr 2020 und dauerte rund sechs Monate. Seit dem Go-live im August 2020 nutzen rund 350 Gemeindemitarbeiter die passwortlose Authentifizierung; gleichzeitig können die Mitarbeiter des KStA wie gewohnt den sicheren Login über ihre SmartCard mit Zertifikat nutzen.
