Passwortfreier Zugang zu Fachapplikationen: Kantonales Steueramt setzt auf Nevis Security Suite
Das Steuerwesen ist beim Datenaustausch zwischen öffentlicher Hand und Steuerpflichtigen in besonderem Maße auf Vertraulichkeit und verlässliche Prozesse angewiesen. Das Kantonale Steueramt Zürich (KStA) ist verantwortlich für den Bezug der Steuern des Bundes, des Kantons und der Gemeinden und stellt den Gemeindesteuerämtern Fachapplikationen für ihre Aufgaben im Steuererhebungsprozess zur Verfügung.
Während Mitarbeiter des KStA bereits seit längerem eine SmartCard mit elektronischem Zeritifkat zur Authentisierung nutzen und so Zugriff auf die Web-Anwendungen des Steueramts erhalten, waren Mitarbeiter der Gemeinden bislang auf den vergleichsweise weniger sicheren Login mittels ID und Passwort angewiesen. Um auch ihnen einen sicheren und zudem passwortfreien Login für den Zugriff auf die Fachapplikationen zu ermöglichen, hat die Behörde mit Unterstützung des Schweizer Marktführers für Identity und Access Management Nevis und seinem Partner AdNovum die Nevis Security Suite implementiert. Die Lösung für den Bereich Enterprise Identity und Access Management (EIAM) ist seit August 2020 im Einsatz. Das Ergebnis: Die Sicherheit bei der Benutzerauthentifikation wurde signifikant verbessert.
Die Zusammenarbeit des Kantonalen Steueramts mit AdNovum begann im Jahr 2005 mit der Entwicklung einer Softwarelösung zur Erfassung und Verwaltung von Steuerdossiers im Zuge der Zentralisierung der Behörde. Bis zum Jahr 2013 hatte das Steueramt bereits mehrere Fachapplikationen mit eigener Benutzerverwaltung im Einsatz. Die dadurch hervorgerufene Silo-Situation verhinderte zum einen die klare Übersicht über die Berechtigungsverhältnisse und zum anderen entstand ein enormer manueller Aufwand für die Benutzerpflege aller Systeme. Hinzu kam der dringende Bedarf nach einer zentralen Steuereinheit mit dem Ziel, die Sicherheit zu erhöhen. Darüber hinaus bestand der Wille, eine zukunftssichere Plattform zu schaffen, in der sich neue Applikationen einfach und standardisiert integrieren und bedienen lassen.
Der sichere Login für Gemeindemitarbeiter ordnet sich als neuer Bestandteil in die sukzessive seit 2013 aufgebaute eIAM-Infrastruktur ein, das zentrale Zugriffs- und Berechtigungssystem des Kantonalen Steueramts Zürich für Webapplikationen. eIAM umfasst neben nevisProxy und nevisAuth für die Authentisierung und Autorisierung zusätzlich auch nevisWF und eine Webapplikation (GUI) für den Unterhalt der Berechtigungen inklusive Bewilligungsprozess. „Auf dieser Basis wurde dann entschieden, mit der Nevis Authentication Cloud und einer Access App eine 2FA Authentisierung auch für die Gemeindebenutzer einzuführen“, erklärt Martin Schlatter, Principal IT-Consultant bei AdNovum. Die Umsetzung erfolgte in Partnerschaft von AdNovum mit der Nevis Security AG, die 2020 als AdNovum-Ausgründung entstand.
Anpassungsfähiges Sicherheitspaket mit Cloud-Anbindung
Die Nevis Security Suite ist eine Kombination von Identity Suite und Authentication Cloud. Dank ihres modularen Aufbaus und der offenen Schnittstellen lässt sich die moderne Lösung für effizientes Identitäts- und Zugriffsmanagement flexibel an die unterschiedlichsten Anforderungen anpassen. Die Suite wird der bestehenden Infrastruktur vorgeschaltet und fügt eine weitere Sicherheitsebene hinzu, indem sie den gesamten Benutzerzugriff auf die Fachapplikationen kontrolliert. Die Authentifizierung und Autorisierung bilden den Kern eines erfolgreichen Customer Identity und Access Managements. Nevis besteht aus dem Secure Entry Gateway, kombiniert mit einer Web Application Firewall und einem Authentifizierungsdienst.
Die FIDO-zertifizierte Nevis Authentication Cloud erweitert die Infrastruktur des KStA mit kennwortloser Authentifizierung und Transaktionssignierung als Service. Auf diese Weise können sich die Mitarbeiter ohne Passwort anmelden. Weil sie für die Multi-Faktor-Methode nur ihr Mobiltelefon mit einem Sicherheits-Chip benötigen, ist der Prozess komfortabler, zuverlässiger und sicherer als das alte Verfahren mit Username und Passwort. Basierend auf modernster Servertechnologie kann das System zudem zur Transaktionsbestätigung für besonders sensible Bereiche genutzt werden.
Bequemer Login per Smartphone-App
Bei den Anwendungen, die durch die Lösung von Nevis geschützt werden, handelt es sich um webbasierte Applikationen im Steuerfachbereich (Fachapplikationen) sowie steuerrelevante Personen- und Deklarationsdaten. Zum Einsatz kommen dabei Multi-Faktor Authentifizierung in Form von Client-Zertifikaten auf Smartcards und passwortlose Mobile Authentication sowie in manchen Bereichen auch weiterhin Single-Faktor Authentifizierung via Benutzername und Passwort.
Die gesamte Umsetzung und Implementierung der Lösung begann im Frühjahr 2020 und dauerte rund sechs Monate. Seit dem Go-live im August 2020 nutzen rund 350 Gemeindemitarbeiter die passwortlose Authentifizierung; gleichzeitig können die Mitarbeiter des KStA wie gewohnt den sicheren Login über ihre SmartCard mit Zertifikat nutzen. Besondere Herausforderungen bei der Umsetzung bestanden insbesondere in organisatorischer Hinsicht: Für die Behörde selbst war der Einsatz einer App eine echte Premiere. Daher musste der Umgang mit der Access App in den jeweiligen App-Stores von Apple und Google erst erarbeitet und entsprechende Erfahrungen gesammelt werden. Hinzu kam die Planung und Durchführung des Rollouts, der gestaffelt und in enger Verbindung mit der Erteilung von erweiterten Berechtigungen in einer Fachapplikation stand.
Mit geballter Expertise zur erfolgreichen Implementation
„Aus technischer Sicht bedurfte es einer Aktualisierung unserer Nevis-Infrastruktur, damit die Systemanforderungen erfüllt werden konnten“, erklärt Michael Sonderegger, IAM Verantwortlicher beim KStA. „AdNovum entwickelte die notwendigen AuthStates-Scripts, damit wir sie selbstständig bei uns einpflegen und die bestehenden Login-Abläufe entsprechend anpassen konnten.“ Bei dem Projekt stand Teamwork weit oben auf der Agenda: Gemeinsam mit dem KStA installierte AdNovum in einem ersten Schritt die Lösung in seiner Integrationsumgebung. Anschließend erfolgten die Integration und Tests beim KStA.
Für den Einsatz bei den Gemeindemitarbeitern war keine besondere Anpassung an die Gegebenheiten vor Ort erforderlich. Als Teilnehmer des Programms „Early Adopter – Nevis Mobile Authentication Cloud Solution“ verwendet das KStA die Branded Access App. Die Ergebnisse, die bereits nach wenigen Monaten Praxiseinsatz erzielt wurden, können sich sehen lassen: „Ganz klar konnten wir die Sicherheit bei der Benutzerauthentifikation erhöhen. Aus unserer Sicht erhalten die User mit der Lösung eine bequeme, einfache und sichere Art sich zu authentifizieren“, resümiert Sonderegger.