Gerade beim Umgang mit vertraulichen Steuerdaten muss Sicherheit höchste Priorität haben. Im Schweizer Kanton Zürich ist das Kantonale Steueramt Zürich (KStA) für die Erhebung der Steuern des Bundes, des Kantons sowie der Gemeinden zuständig und nutzt im Rahmen dessen diverse Fachapplikationen. Um den Zugriff auf diese Fachapplikationen für die Beschäftigten der Gemeindesteuerämter zu erleichtern, setzt das KStA seit 2020 auf die Nevis Security Suite. Damit können die Mitarbeitenden der Gemeindesteuerämter sich passwortfrei in die Applikationen einloggen – ein enormes Plus für die Sicherheit in Sachen Authentifizierung.
Die Zusammenarbeit mit dem Kantonalen Steueramt Zürich begann bereits im Jahr 2005. Damals entwickelte der Nevis-Partner Adnovum eine Softwarelösung für die Behörde, um Steuerdossiers zu erfassen und zu verwalten.
2013 schliesslich waren beim Steueramt mehrere Fachapplikationen mit eigener Benutzerverwaltung im Einsatz, wodurch eine Silo-Situation entstanden war. Gleichzeitig reifte unter anderem der Wunsch nach einer besseren Übersicht über die Berechtigungsverhältnisse und einer effizienteren Benutzerpflege für die im Einsatz befindlichen Benutzerapplikationen. Zudem sollte die Sicherheit erhöht und eine zukunftssichere Plattform entstehen, in die neue Applikationen standardisiert integriert werden konnten.
Daher wurde seit 2013 sukzessive eine eIAM-Infrastruktur aufgebaut. Dahinter verbirgt sich ein zentrales Zugriffs- und Berechtigungssystem des Kantonalen Steueramts Zürich. eIAM nutzt unter anderem nevisProxy und nevisAuth für die Authentisierung und Autorisierung. Die sichere Login-Lösung für die Mitarbeitenden der Gemeindesteuerämter ordnet sich als neuer Bestandteil in diese eIAM-Struktur ein.
2FA Authentisierung für Gemeindebenutzer
Um sie zu realisieren, entschieden sich die Verantwortlichen im KStA dafür, mit der Nevis Authentication Cloud sowie einer Access App auch für die Benutzer in den Gemeindesteuerämtern eine 2FA Authentisierung einzuführen. Bis dato loggten diese sich mittels Benutzername und Passwort ein, während die KStA-Mitarbeiter bereits ein elektronisches Zertifikat zur Authentisierung nutzten.
Für die Umsetzung holte Adnovum Nevis mit ins Boot. Die implementierte Nevis Security Suite kombiniert die Vorteile der Nevis Identity Suite mit denen der Nevis Authentication Cloud. Mit ihrem modularen Aufbau und den offenen Schnittstellen kann sie flexibel an die unterschiedlichsten Voraussetzungen angepasst sowie jeder bestehenden Infrastruktur vorgeschaltet werden. Somit lässt sich wie im Fall des KStA der gesamte Zugriff auf die Fachapplikationen kontrollieren und eine zusätzliche Sicherheitsebene schaffen.
Auf Authentifizierung kommt es an
Der Erfolg eines Customer Identity and Access Managements steht und fällt mit der Art der Authentifizierung und der Autorisierung. Die Identity Suite kombiniert deshalb ein Secure Entry Gateway mit einer Web Application Firewall und einem Authentifizierungsdienst.
Die FIDO-zertifizierte Nevis Authentication Cloud erweitert die Infrastruktur des KStA durch eine passwortfreie Authentifizierung sowie Transaktionssignierung. Die Mitarbeiter benötigen für die Multi-Faktor Authentifizierung lediglich ihr Mobiltelefon mit einem Sicherheits-Chip. So wird der Prozess komfortabler, zuverlässiger und sicherer als das bisherige Verfahren. Der gesamte Umsetzungs- und Implementierungsprozess dauerte rund sechs Monate. Dabei spielte Teamwork eine grosse Rolle: Gemeinsam mit dem KStA installierte Adnovum in einem ersten Schritt die Lösung in seiner Integrationsumgebung. Anschliessend erfolgten die Integration und Tests beim KStA. Für den Einsatz bei den Gemeindemitarbeitern war keine besondere Anpassung an die Gegebenheiten vor Ort erforderlich. Als Teilnehmer des Programms „Early Adopter – Nevis Mobile Authentication Cloud Solution“ verwendet das KStA die Branded Access App.
Seit dem Go-live im August 2020 können sich nun rund 350 Beschäftigte der Gemeindesteuerämter passwortlos und somit komfortabler sowie sicherer als in der Vergangenheit in die Fachapplikationen des KStA einloggen.