ACS: Schützen von vertraulichen Daten beim Outsourcing von Geschäftsprozessen

• Kundenprofil: Outsourcing von Geschäftsprozessen; 62.000 Mitarbeiter unterstützen Clientbetrieb in über 100 Ländern
• Ziele: Endpunkt-, Messaging- und Dateiübertragungssicherheit zum Schutz von vertraulichen Daten
• Lösung: PGP Universal™ Gateway Email; PGP® Whole Disk Encryption; PGP® NetShare; PGP® Command Line; PGP Universal™ Server; PGP® Desktop Email
• Bereitstellung: Im Budgetrahmen; termingerecht; mehrere Standorte
• Vorteile: Sicherheit; Einhaltung gesetzlicher Vorschriften; niedrigere Betriebskosten

ACS wählte die PGP® Encryption Platform, um Firmen- und Kundendaten im Ruhezustand und während der Übertragung zu schützen

Affiliated Computer Services, Inc. (ACS) ist ein globales Fortune®-500-Unternehmen mit über 62.000 Mitarbeitern, die Clientoperationen in über 100 Ländern unterstützen. Es bietet Kunden von Weltrang im privatwirtschaftlichen Sektor sowie Regierungsbehörden und staatlichen Organisationen Outsourcing von Geschäftsprozessen und IT-Lösungen an.

Die Aufgabe

Als Outsourcing-Anbieter für Geschäftsprozesse und Informationstechnologie verarbeitet ACS große Mengen an vertraulichen Firmen- und Kundendaten.

Daten im Ruhezustand und während der Übertragung schützen. ACS verarbeitet ein hohes Volumen an persönlich identifizierbaren Informationen (Personally Identifiable Information, PII), geschützten Gesundheitsinformationen (Protected Health Information, PHI) und anderen geschäftskritischen Daten. Das Unternehmen brauchte daher eine Lösung, um Daten während der Übertragung vor dem Abfangen zu schützen und den Diebstahl oder Verlust von auf mobilen Systemen gespeicherten Daten zu verhindern. Chris Leach, Chief Information Security Officer (CISO), und Wayne Scalf, Vizepräsident für den Bereich Endanwender, sind für das strategische Datenschutzprojekt des Unternehmens verantwortlich.

Den guten Ruf schützen. ACS verarbeitet Terabytes von Daten über seine Mitarbeiter und Kunden. „Unsere Mitarbeiter und Kunden haben die Gewissheit, dass ihre Daten in guten Händen sind. Der Schutz von Unternehmensdaten ist einfach unerlässlich“, erklärt Leach. Dank seines Best-Practice-Konzepts kann ACS nicht nur das Risiko einer Datenschutzverletzung, sondern auch der damit verbundenen Geschäftsausfälle und vor allem des Verlusts an Vertrauen in der Öffentlichkeit minimieren.

Rhonda Johnson, PGP Programm Direktor bei ACS, leitet das Programm für die Verschlüsselungsdienste. „Mit PGP®-Lösungen können unsere Mitarbeiter vertrauliche Daten schützen und so dazu beitragen, dass wir unseren exzellenten Ruf in der Branche erhalten können“, sagt sie.

Compliance sicherstellen. Für den CISO war die Sicherstellung von Compliance eine sekundäre Überlegung. „Das Best-Practice-Konzept war der Hauptanreiz für unsere Initiative. Die Einhaltung von gesetzlichen Vorschriften war sozusagen das 'Sahnehäubchen'“, meint Leach. ACS muss eine ganze Reihe unterschiedlichster Vorschriften erfüllen, darunter den Sarbanes-Oxley Act, HIPAA (Health Insurance Portability and Accountability Act), PCI DSS (Payment Card Industry Data Security Standard) und verschiedene Gesetze auf US-Bundesstaatenebene über die Meldung von Sicherheitsverletzungen.

Vertragliche Verpflichtungen erfüllen. Nach Aussagen von Scalf verlangen manche ACS-Kunden ausdrücklich ein bestimmtes Sicherheitslevel. „Für manche unserer Outsourcing-Kunden müssen wir Verschlüsselung von Daten im Ruhezustand und bei der Übertragung gewährleisten“, erklärt er. „ACS engagiert sich stark für die Schaffung von "Best-Practices" für die Datensicherheit, da dies ein zusätzliches Unterscheidungsmerkmal darstellt und unsere führende Position in der Technologie beweist.“

Risiko managen. Leach sieht in der Eindämmung des Risikos von Datendiebstahl einen Vorteil für das Unternehmen. „Auf ACS könnten infolge von Meldungen über Sicherheitsverletzungen und der anschließenden Gerichtsverfahren erhebliche Kosten zukommen. Außerdem könnten sich solche Zwischenfälle negativ auf unsere Leistungsvereinbarungen, Vertragsverlängerungen und Geschäftschancen auswirken“, so Leach. Wie Scalf jedoch betont, „hat die umfassende PGP-Lösung ACS ermöglicht, sich als einen der Branchenführer im Bereich Risikomanagement und Datenschutz zu etablieren“.

Risiko quantifizieren. Das Unternehmen hat eine Kosten-Nutzen-Analyse durchgeführt, bevor es vollständige Laufwerksverschlüsselung einführte. Johnson wog das Risiko einer nicht realisierten Bereitstellung gegen die Kosten der Bereitstellung ab. Sie erkannte, dass die Anzahl der neuen Datenschutzgesetze in Verbindung mit der Zunahme an Identitätsdiebstählen die Wahrscheinlichkeit eines Zwischenfalls erhöhte. Nachdem sie Kosten und Nutzen analysiert hatte, fiel die Wahl leicht. „Unser gesamtes Verschlüsselungsprogramm ist wesentlich kostengünstiger als die Folgen einer einzigen Datensicherheitsverletzung, die noch dazu unseren Ruf und den Ruf unserer Kunden schädigen würde. Diese Entscheidung war für uns klar.“

Unterstützung vom Management gewinnen. Leach und Scalf waren die Haupt-Projektsponsoren, doch das PGP-Projekt wurde auch von vielen anderen Führungskräften unterstützt: Marianne Bennett, Chief Privacy Officer, Tom Burlin, Chief Operating Officer, Derrell James, Senior Managing Director of IT Outsourcing Solutions, und Karen Wilson, Chief Compliance Officer. „Das Verschlüsselungsprojekt wurde von jeder Abteilung gefördert und von unseren Compliance-, Sicherheits-, Audit- und Managementgruppen unternehmensweit unterstützt“, erzählt Scalf.

Die Lösung

Scalf unterstützt eine hochkomplexe IT-Umgebung. „Je nach Abteilung oder Projekt sind die Systeme entweder Eigentum von ACS oder von unseren Kunden. Deshalb müssen alle Lösungen sehr flexibel sein“, erklärt er. „Außerdem müssen wir mit jedem Geschäftspartner sicher kommunizieren können. Daher suchten wir eine in der Branche bewährte Rahmenstruktur auf der Basis von offenen Standards.“

Umfassende Lösung. Johnson beschreibt die Kriterien für die Lösung: „Es kam nicht in Frage, mehrere nicht zusammenhängende Endpunkt-Sicherheitslösungen zu installieren, da ein solches Modell die Betriebskosten erhöht und die Infrastruktur noch komplizierter gemacht hätte. Wir brauchten eine einzige umfassende Lösung, die Daten im Ruhezustand und bei der Übertragung schützt und es uns ermöglicht, eine reproduzierbare Outsourcing-Lösung zu bieten.“

Transparent und benutzerfreundlich. Scalf war auf der Suche nach einer transparenten, benutzerfreundlichen Software mit möglichst geringen Auswirkungen auf den Helpdesk. „Wir haben eine stark verteilte Infrastruktur, und viele Desktop-PCs und Laptops werden remote verwaltet“, sagt er. „Alle diese Systeme zurückzurufen, nur um eine Verschlüsselungslösung darauf zu installieren, war nicht praktikabel. Deshalb suchten wir nach einer Software, die wir mit minimalem Aufwand für die Anwender über das Netzwerk installieren konnten. Um unsere firmeninternen Sicherheitsrichtlinien umzusetzen und kostspielige Schulungen für Tausende von Anwendern zu vermeiden, brauchten wir zudem eine zentralisierte Richtlinienverwaltung.“

Eine einzige Lösung. Das Unternehmen kam zu dem Schluss, dass die PGP Encryption Platform die beste Lösung sei. „Wir wollten eine einzige Plattform für alle unsere Anforderungen“, erklärt Johnson. „Mit den PGP-Lösungen konnten wir unsere vorhandene Infrastruktur maximal nutzen. Die PGP Encryption Platform bietet darüber hinaus ein höheres Maß an Konsistenz, da sie eine Standardrahmenstruktur ist. Damit ist sie für unsere Anforderungen in idealer Weise geeignet.“

Vollständige Laufwerksverschlüsselung. Scalf gibt der Verschlüsselung der gesamten Festplatte eindeutig den Vorzug vor alternativen Mechanismen. „Vollständige Laufwerksverschlüsselung ist die beste Methode zum Schutz von Daten auf Desktop-PCs und Laptops, da diese Technologie vollkommen transparent und einfach zu verwenden ist und nicht einmal während des ersten Verschlüsselungsprozesses zu Unterbrechungen bei den Anwendern führt. Wir meinen, dass PGP Whole Disk Encryption eine hervorragende Lösung ist“, bekräftigt er. Da ACS ein globales Unternehmen ist, fand er auch die Unterstützung für internationale Sprachen und Tastaturen unerlässlich.

Gatewayverschlüsselung. ACS wählte PGP Universal Gateway Email zur Verschlüsselung von E-Mail-Nachrichten auf dem Server. „Diese Methode war für die Anwender besonders transparent. Außerdem konnten wir die Software an einem zentralen Speicherort installieren, anstatt sie auf jedes Desktopsystem verteilen zu müssen“, sagt Johnson. „Was uns besonders gefiel, war, dass wir diese Lösung für Kunden und Geschäftspartner auf der ganzen Welt einsetzen konnten, unabhängig davon, ob diese ein auf Standards basierendes Produkt verwenden oder nicht. PGP Universal Gateway Email ist inzwischen die akzeptierte, bewährte Unternehmenslösung.“

Kommunikation zwischen Servern. Auch bei der Dateiübertragung zwischen Servern war zusätzliche Sicherheit gefordert. „Wir haben PGP Command Line-Lizenzen für 150 Server erworben, um die Kommunikation zwischen den Systemen zu schützen“, erklärt Johnson. „Besonders bei heterogenen oder älteren Systemen ist der Dateitransfer immer noch die einfachste Methode des Datenaustauschs. Die Protokolle für den Dateitransfer wurden jedoch entwickelt, bevor Sicherheit zu einem so kritischen Thema wurde. Deshalb ist es wichtig, diese zusätzliche Sicherheitsschicht zu implementieren.®

Zentrale Berichterstellung. Das Herzstück der PGP Encryption Platform ist PGP Universal Server. Diese Software verwaltet Benutzer, Schlüssel und Richtlinien für mehrere Verschlüsselungsanwendungen. „Eine Funktion, die wir inzwischen sehr schätzen, ist die zentrale Berichterstellung in PGP Universal Server für alle Verschlüsselungsanwendungen“, fügt Scalf hinzu.

Die Ergebnisse

„Die PGP Encryption Platform ist eine robuste Technologie mit offener Architektur, die von Branchenexperten eingehend geprüft wurde“, fasst Leach zusammen. „Sie genießt einen ausgezeichneten Ruf und erfüllt alle unsere Anforderungen.“

Ein zuverlässiger Partner. „Die PGP Corporation bietet eine umfassende Unternehmenslösung mit einer äußerst robusten zentralen Schlüsselverwaltung“, erklärt Scalf. „Für uns ist die PGP Corporation ein flexibler, verlässlicher Partner, der uns und unseren Kunden Lösungen bietet, die für jede Branche geeignet sind. Wichtig war zudem, dass die PGP Corporation über ein stabiles finanzielles Fundament verfügt, denn einige unserer Outsourcing-Verträge haben eine Laufzeit von zehn Jahren.“

Reibungslose Bereitstellung. ACS hat bisher die Einführung von PGP Whole Disk Encryption auf 35.000 Laptops und Desktop-PCs abgeschlossen, derzeit wird die Verschlüsselungstechnologie auf 15.000 weiteren Computern implementiert. Das sind insgesamt 50.000 Computer. „Alles hat reibungslos und planmäßig funktioniert. Gegenwärtig stellen wir PGP Universal Gateway Email für 60.000 Endanwender bereit, und wir haben gerade angefangen, PGP Command Line für sichere Dateiübertragungen einzuführen“, berichtet Johnson. „Wir führen unsere 28 verteilten Clusterserver mit PGP Universal Server zu einem zentralisierten Cluster mit 15 Servern zusammen. Damit können wir mehr als 50.000 Systeme bei ACS und Tausende von Systemen bei unseren Kunden verwalten.“ Unter Ausnutzung der enormen Flexibilität der PGP Encryption Platform integrierte Johnson die Verwaltungstools von ACS in die PGP-Lösung, um die Bereitstellung optimal durchführen und überwachen zu können.

Großartige Teamleistung. Scalf schätzt die herausragende Teamleistung, die den erfolgreichen Abschluss des Projekts ermöglichte. „Der Schlüssel zum Erfolg lag bei diesem Projekt in der Zusammenarbeit“ unterstreicht er. „Der hervorragenden Arbeit des Projektmanagement-Teams, der Desktop- und der Messaging-Gruppe, der Helpdesk-Mitarbeiter und des Teams von PGP® Professional Services zolle ich höchste Anerkennung. Alle Teams haben intensiv miteinander kommuniziert und zusammengearbeitet, um die Lösung unternehmensweit bereitzustellen.“

Überragende Leistung. „PGP Universal Gateway Email und PGP Whole Disk Encryption bieten beide eine hervorragende Leistung. Die integrierten Berichte sind äußerst hilfreich, und die Verwaltung der Software ist denkbar einfach“, erklärt Johnson.

Wenig Anrufe beim Helpdesk. Scalf zeichnete die Anzahl der Anrufe beim Helpdesk auf: „Wir beobachteten einen leichten Anstieg der Helpdesk-Anfragen unmittelbar nach der Einführung. Dabei ging es aber überwiegend um vergessene Passwörter, insofern waren die Fragen einfach zu beantworten. Seitdem gehen nur wenig Anrufe ein.“

Zutreffende Schätzungen. Die Außendiensttechniker von PGP Corporation schätzten, wie viel Tage man für die Einführung der Lösung benötigen würde. „Der Plan von PGP Professional Services war detailliert genug, und die geschätzten und tatsächlichen Ausgaben stimmten überein“, berichtet Johnson.

Niedrige Betriebskosten. Scalf schätzt nicht zuletzt die Kosteneffizienz der PGP Encryption Platform: „Die Skalierbarkeit und die niedrigen Gesamtbetriebskosten machen die Bereitstellung der PGP-Lösungen und die langfristige Wartung sehr interessant für uns.“

Contentabhängige Verschlüsselung. In naher Zukunft wird Johnson die Verschlüsselung von E-Mail-Nachrichten noch einfacher machen. „Derzeit müssen unsere Anwender E-Mail-Nachrichten, die verschlüsselt werden sollen, aktiv kennzeichnen“, erklärt sie. „Wir werden aber schon bald automatische Verschlüsselung für bestimmte Empfängerdomänen aktivieren und die sichere Zustellung von Nachrichten als passwortgeschützte PDFs ermöglichen. Im nächsten Schritt wollen wir unseren E-Mail-Content-Filter IronPort in PGP Universal Gateway Email integrieren, sodass vertrauliche E-Mail-Nachrichten automatisch erkannt und verschlüsselt werden. Mit diesem Prozess werden wir unsere Sicherheitsrichtlinien effektiver umsetzen, und die Anwender können komfortabler arbeiten.“

Kundenfeedback willkommen. Scalf zufolge legt die Unternehmensleitung von PGP Corporation großen Wert darauf, dass Anliegen von Kunden gehört und aufgegriffen werden und die Geschäftspartner in die strategischen Planungsprozesse mit einbezogen werden. „Wir haben bisher sehr gute Erfahrungen gemacht, und unsere Entscheidung für PGP Corporation war definitiv der richtige Schritt für unser Unternehmen“, resümiert er.