Die Schweizerischen Bundesbahnen (SBB) gehören zu den drei pünktlichsten Eisenbahnen der Welt. Gegründet im Jahr 1902, umfasst das Kerngeschäft der SBB den Personenverkehr sowie Immobilien, Güterverkehr und Infrastruktur. Mit einem Durchschnitt von fast 34’000 Mitarbeitenden ist sie zudem eine der grössten Arbeitgeberinnen der Schweiz. Jeden Tag befördert die SBB fast eine Million Menschen sicher, zuverlässig und pünktlich von A nach B. Die SBB durchquert die gesamte Schweiz und verbindet das Land über den Gotthard-Basistunnel in den Alpen – den längsten und tiefsten Eisenbahntunnel der Welt – mit Europa.
Das Schienennetz der SBB ist weitreichend, beliebt und pünktlich. Täglich verkehren 11’260 Züge auf diesem Netz, wovon 91,9 % der Fälle innerhalb von drei Minuten nach Fahrplan ankommen und abfahren. Um diese beeindruckende Leistung aufrechtzuerhalten, ein flexibleres Kundenerlebnis zu ermöglichen und die CO2-Emissionen zu reduzieren, hat die SBB auf der Grundlage ihrer Strategie 2030 einen digitalen Transformationsprozess eingeleitet – einen viergliedrigen Plan zur Verbesserung des robusten Bahnbetriebs.
Vault ist widerstandsfähig, stabil und hochverfügbar. Es ist wie ein Schweizer Taschenmesser für das Secrets Management und bietet viele sofort einsatzbereite Integrationen mit einer dynamischen Roadmap.
Andreas Meister | Engineering Team Leader und Security Architect bei SBB
Die Digitalisierungsstrategie der SBB zielt darauf ab, die Kundenorientierung des Unternehmens zu stärken, die Effizienz zu verbessern, das Kerngeschäft auszubauen und CO2-Neutralität zu erreichen. Um diese Ziele zu erreichen, ist eine stärkere Vernetzung des Bahnnetzes sowie dessen Komponenten und Systeme erforderlich. So beispielsweise zwischen Fahrkartenverkauf und Verkehrsmanagement, Kundeninformationssystemen, verschiedenen IoT-Geräten, der IT-Infrastruktur und vor allem den Kunden selbst. Jeder SBB-Zug ist im Grunde ein kleines Rechenzentrum auf Schienen.
Um diese Systeme zu aktualisieren und miteinander zu verbinden, benötigte das SBB-Entwicklerteam eine sichere Authentifizierung für alle Tools. Zertifikate, Tokens oder Anmeldedaten (sogenannte “Secrets”) mussten zugreifbar, aber gleichzeitig vor unbefugtem Zugriff geschützt werden. Robuste Authentifizierung erfordert ein skalierbares, zuverlässiges und funktionsreiches Secrets Management. Für das Gelingen der Digitalisierung musste jede Lösung zudem die Sicherheitslage verbessern, indem sie hart codierte oder im Klartext gespeicherte Secrets eliminierte und Security Automation für kritische IT-Systeme etabliert wurde.
Die IT-Abteilung der SBB benötigte eine Lösung mit einem Developer-first-Ansatz.
Das hochkomplexe 24/7-Bahnsystem der SBB erfordert eine Secrets-Management-Plattform mit den besten Bedingungen und flexiblen Optionen für Hochverfügbarkeit.
Eine zukunftsorientierte Digitalisierung erfordert gut integrierte Lösungen. Secrets-Management-Tools müssen vielseitig sein und zu einer dynamischen Roadmap passen.
Eine Plattform, egal wie gut sie auch sein mag, bringt dem Unternehmen nichts, wenn sie nicht genutzt wird. Deshalb haben wir in die Schulung und Sensibilisierung der Entwicklerinnen und Entwickler, aber auch in die Automatisierung investiert.
Andreas Meister | Engineering Team Leader und Security Architect bei SBB
Andreas Meister, Engineering Team Leader und Sicherheitsarchitekt, war massgeblich an der Digitalisierung des Unternehmens beteiligt. Bereits im März 2019 erhielt er interne Anfragen zum Thema Secrets Management. Die sichere Verwaltung von Zugangsdaten wurde zu einem zentralen Schwerpunkt der Transformation.
Meister und seine Teams sammelten Anforderungen für eine potenzielle Secrets-Management-Lösung. Die gesuchte Plattform musste Secrets korrekt speichern, den Zugriff optimieren und dabei das Unternehmensrisiko minimieren. Basierend auf den Anforderungen wurde schnell klar, dass HashiCorp Vault die Anforderungen der SBB am besten erfüllte.
„Es gibt drei Hauptgründe, warum wir uns für Vault entschieden haben.“, verriet Meister. „Der Developer-First-Ansatz passt perfekt zur SBB IT: Vault ist robust, stabil und hochverfügbar. Es ist wie ein Schweizer Taschenmesser für das Secrets Management, das viele sofort einsatzbereite Integrationen mit einer schnelllebigen Roadmap bietet.“
„Für ein erfolgreiches Projekt müssen die richtigen Leute zusammenarbeiten“, betonte Meister. Die Zusammenarbeit war der Schlüssel für die gesamte Implementierung von Vault. Das Application Security Team arbeitete mit dem Identity & Access Management (IAM)-Team der SBB zusammen. Alle Beteiligten der SBB arbeiteten mit Adfinis zusammen, einem globalen Open-Source-Dienstleister, der sich auf die Planung, den Aufbau und den Betrieb von Cloud-nativen Lösungen spezialisiert hat.
Die Zusammenarbeit war sehr wichtig und stand im Mittelpunkt der Beziehung. Wir haben die Vault-Erfahrung von Anfang an bis zur Inbetriebnahme bereitgestellt.
Michael Hofer | CTO bei Adfinis
Adfinis begleitete die SBB entlang des gesamten Adoption Trails: Strategie, Architekturdesign, Engineering. Gleichzeitig wurde sichergestellt, dass die Site-Reliability-Engineers der SBB den Betrieb der Plattform selbst übernehmen können.
Gemeinsam implementierten SBB und Adfinis vier Vault-Cluster auf OpenShift-Plattformen der SBB. Die primären Cluster liefen auf AWS, die sekundären auf Swiss OTC, der Private-Cloud-Plattform von T-Systems.
„Beim Aufbau der Plattform legten wir grossen Wert auf automatisierte Prozesse. Die gesamte Konfiguration ist als Code hinterlegt und GitOps ist nicht einfach ein Buzzword. Das Team konnte eine komplette Migration von einer Cloud-Plattform auf eine andere innerhalb weniger Stunden durchführen.“, betonte Hofer.
Dank der Zusammenarbeit aller Beteiligten verlief die Inbetriebnahme von Vault schnell und reibungslos. „Es ist wirklich beeindruckend, wie schnell unsere Kollegen die Vault-Plattformen in weniger als sechs Monaten aufgebaut und bereits die ersten Kundinnen sowie Kunden onboardet haben“, sagte Meister.
Über die Implementierung von Vault hinaus organisierte das AppSec-Team der SBB verschiedene Präsentationen und Vault-Schulungen. Meisters Teams erstellten ausserdem eine umfassende Dokumentation mit Tutorials für Entwicklerinnen und Entwickler. Um den Zugang weiter zu vereinfachen, erweiterten sie das Developer Self-Service-Portal der SBB. Inzwischen können Entwicklerinnen und Entwickler Vault-Zugriffe und weitere Tools vollständig automatisiert bestellen, ohne dabei manuelle Prozesse auslösen zu müssen. Dies stellt eine starke Governance sicher und erzwingt Least-Privilege-Zugriff.
Höherer Automatisierungsgrad, der zu einer erhöhten IT-Agilität und einem geringeren Unternehmensrisiko durch sicher gespeicherte Secrets führte.
Deutlich verbesserte Sicherheitslage durch die Eliminierung von hart codierten oder im Klartext gespeicherten Secrets. Einführung einer Security Automation für kritische IT-Systeme der SBB-Flotte, um hohe Kundenerwartungen zu erfüllen und die Grundlage für zukünftige IoT-Verbesserungen zu schaffen.
Die Einrichtung von Vault war sicher, widerstandsfähig, einfach und fügte sich nahtlos in die Container-First- und Multi-Cloud-Strategie der SBB ein. Dank seiner zahlreichen sofort einsatzbereiten Integrationen erfüllte Vault die Anforderungen der SBB an Ausfallsicherheit und Zuverlässigkeit und trug dazu bei, dass die SBB weiterhin eine der pünktlichsten Bahnen der Welt bleibt.
Driving Secrets Management at Swiss Federal Railways (SBB)
In weniger als sechs Monaten gelang SBB der Sprung von Null auf Produktion mit HashiCorp Vault in einer OpenShift-Umgebung.
Speakers
Andreas Meister bei SBB
Michael Hofer bei Adfinis
HashiCorp Vault ist eine sichere Software zur Verwaltung von Secrets, Authentifizierungstokens und Keys für die Verschlüsselung. Sie bietet Zugangskontroll- und Auditfunktionen.