Mehr Sicherheit, weniger Supportbedarf

Mit Azure MFA realisierten die first frame networkers für die ÖKK eine unternehmensweit einheitliche Multi-Faktor-Authentifizierung (MFA) für heutige und zukünftige On-Premise- und Cloud-Applikationen. Die Anwender können zwischen verschiedenen Verifikationsmethoden wählen und auch das Passwort selbstständig zurücksetzen.

190'000 Kunden und 450 Mitarbeitende
ÖKK, ein Versicherungsunternehmen mit Sitz in Landquart und schweizweit 30 Agenturen, bietet umfassende Versicherungslösungen für Krankheit, Unfall, Erwerbsausfall und berufliche Vorsorge an. Zusammen mit Partnerfirmen deckt ÖKK auch die Bereiche Lebens-, Haftpflicht- und Sachversicherungen ab. Über 175'000 Privatkunden sowie rund 13’400 Firmen und öffentliche Institutionen vertrauen auf Produkte und Dienstleistungen von ÖKK. Das Unternehmen beschäftigt 435 Mitarbeitende und bildet 18 Lernende aus. Höchste Zufriedenheit der Kundinnen und Kunden ist eines der wichtigsten Ziele. Daher verfolgt ÖKK eine von Seriosität und Nachhaltigkeit geprägte Qualitätspolitik, bei der die Kundenbedürfnisse im Zentrum stehen. ÖKK gehört in der Schweiz zu den wettbewerbsfähigsten eigenständigen Versicherungsunternehmen.

Unternehmensweit einheitliche MFA-Lösung
Der externe Zugriff auf mit Citrix ADC bereitgestellte Applikationen wurde bereits durch eine Multifaktor-Authentifizierung (MFA) geschützt. Diese stand kurz vor einer Lizenzerneuerung mit entsprechender Kostenfolge. Daneben sind weitere Cloud-Applikationen von Drittherstellern in Nutzung, welche im lokalen Active Directory Federation Service (ADFS) als Relying Party Trust (RPT) mittels SAML-Authentifizierung eingebunden waren und auf die extern zugegriffen werden konnte. Diese sowie weitere Applikationen sollten in Zukunft ebenfalls mit MFA geschützt werden können. Die ÖKK ist lizenztechnisch dazu berechtigt, Azure AD Premium P2 mit Azure MFA für On-Premise-Szenarien ohne zusätzliche monatliche Kosten zu nutzen. Weiter ist Microsoft im Technologie-Stack als präferierter Hersteller definiert. Die vielfältigen Integrationsmöglichkeiten und Kostenvorteile von Azure MFA gegenüber der heutigen MFA-Lösung waren somit bloss zwei von vielen Gründen für den Einsatz der zukunftsorientierten und unternehmensweit einheitlichen MFA-Lösung mit Azure MFA.

Besserer Schutz bei externen Zugriffen
Aufgrund der guten Integrierbarkeit von Azure MFA in den On-Premise Active Directory Federation Service (ADFS) konnte sichergestellt werden, dass weiterhin keine Passwort-Hashes in der Cloud abgelegt werden und die Authentifizierung On-Premise erfolgt. Zudem konnte so erreicht werden, dass die bereits ins ADFS integrierten Cloud-Applikationen bei Zugriff aus externen Netzwerken mit der Zwei-Faktor-Authentifizierung von Azure MFA geschützt werden können. Die MFA-Integration weiterer Applikationen in die umgesetzte MFA-Lösungsarchitektur mit ADFS & MFA Adapter kann zukünftig mit wenig Aufwand erfolgen.

Produktiv und benutzerfreundlich
Durch die Einführung von SSPR konnte die Anzahl Support-Anfragen aufgrund vergessener Passwörter reduziert und das IT-Support-Personal somit entlastet werden. Weiter ergibt sich dadurch sowohl für den Service Desk als auch die Benutzerin oder den Benutzer ein Produktivitätsvorteil, da mehr Zeit für andere Aufgaben zur Verfügung steht. Das Portal für die kombinierte Registration von MFA- & SSPR-Verifikationsmethoden ermöglicht den Benutzern ein einfaches und benutzerfreundliches Onboarding, um gleichzeitig zwei Features, MFA und SSPR, zu aktivieren.

Die eingesetzten Produkte und Services:

• first care full – on premise
• first 365 monitoring
• first 365 backup – Cloud Connect
• Citrix ADC, Storefront, VDA & Federated Authentication Service (FAS)
• Microsoft Certification Authority (CA)
• Microsoft 365 mit Azure Active Directory Premium P1
• Azure Multifaktor-Authentifizierung (MFA) & Conditional Access
• Azure Self-Service Password Reset (SSPR)
• Active Directory
• Active Directory Federation Service (ADFS) mit MFA Adapter auf Basis von Windows Server 2016
• Microsoft Web Application Proxy (ADFS WAP)

Interview mit Wolfgang Vetsch, Leiter ICT-Betrieb, ÖKK, Landquart

«Wir konnten uns auf die Fachspezialistinnen und -spezialisten der first frame networkers ag verlassen. Das Projekt wurde gut und termingerecht umgesetzt.»

Herr Vetsch, was gab den Ausschlag, das Projekt mit der first frame networkers ag umzusetzen?
Mit der Einführung von Azure MFA wollten wir eine unternehmensweite, zukunftssichere und vereinheitlichte Lösung auf Basis von Microsoft-Technologie einführen, welche MFA für heutige und zukünftige On-Premise- und Cloud-Applikationen sicherstellen kann. Durch die Ablösung der aktuellen MFA-Lösung wollten wir wiederkehrende Lizenzkosten eliminieren und die Herstellervielfalt reduzieren.

Wie lief das Projekt für Sie als Auftraggeber ab?
Die gute und detaillierte Planung hat die Umsetzung des Projekts vereinfacht und uns als Auftraggeber stark entlastet. Darüber waren wir sehr froh, denn in der aktuellen Situation haben wir im täglichen ICT-Betrieb viele weitere Herausforderungen zu bewältigen.

Welchen Mehrwert haben die Anwender vom neuen System?
Die Anwender können sich einfach und sicher in den Systemen anmelden. Sie haben verschiedene Verifikationsmethoden, wie beispielsweise App-Benachrichtigung, Telefonanruf oder SMS-Code, zur Auswahl. Weiter ist das selbstständige Zurücksetzen des eigenen Passworts durch den Benutzer jetzt möglich. Der IT-Service Desk musste sich also nicht mehr täglich mit einfachen «Passwort vergessen»-Anfragen beschäftigen, was zu unnötigem Produktivitätsverlust führte. Dafür ist Microsofts Self-Service Passwort Reset (SSPR) Service die optimale Lösung.

Sind Sie mit der Unterstützung durch die first frame networkers ag zufrieden?
Ja, das Projekt wurde gut und termingerecht umgesetzt und die Kommunikation war stets transparent. Wir haben bereits eine längere Partnerschaft mit der first frame networkers ag und konnten auf die Unterstützung der Fachspezialistinnen und -spezialisten zählen.

Sie wollen auch mehr Sicherheit in Ihrem Unternehmen?

Nehmen Sie mit uns Kontakt auf, den Rest erledigen wir!