Sicherheit über drei Kontinente hinweg: Globales Sicherheitskonzept für ein globales Unternehmen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


20.10.2010 pi/Edmund E. Lindau

Sicherheit über drei Kontinente hinweg: Globales Sicherheitskonzept für ein globales Unternehmen

Der Beschlägehersteller Julius Blum hat in nur sechs Wochen seine weltweite IT-Sicherheit auf Endpoint Protection umgestellt. Das Roll-out erfolgte für weltweit 4.500 Clients. Das Ergebnis war eine Punktlandung.

In Höchst im Vorarlberg sitzt ein Unternehmen, das nach der perfekten Bewegung sucht: Die Scharniere, Klappen und Schubladenauszüge der Julius Blum GmbH erleichtern das Öffnen und Schließen von Küchenmöbeln auf der ganzen Welt. Dafür sorgen rund 5.000 Mitarbeiter an zehn Produktionsstandorten in Österreich, Polen, Brasilien und den USA sowie einem globalen Vertriebsnetz. Die Kontrolle über die häufig kritischen Daten eines Unternehmens fällt jedoch gerade in global aufgestellten Organisationen nicht leicht. Jedes angeschlossene Speichermedium stellt ein Sicherheitsrisiko dar. Beim Ablösen der bestehenden Antivirensoftware entschloss sich Julis Blum daher für eine umfassende Endpoint-Protection-Lösung KAUM SCHUTZ VOR DATENDIEBSTAHL Ende 2009 machten sich die Verantwortlichen bei Blum auf die Suche nach einer Lösung, die auch bei der IT-Sicherheit dem Anspruch an Perfektion möglichst nahe kam. Die bestehende Antivirensoftware weiterzuverwenden, kam dabei nicht in Frage. »Wir waren sehr unzufrieden mit dem Support«, erinnert sich Andreas Hagen, Systemadministrator bei Blum. Außerdem deckte die bisherige Lösung nur einen Teil moderner Sicherheitsanforderungen ab. »Wir hatten kaum Schutz vor einem Datendiebstahl«, beschreibt Hagen das Problem. »Hätte jemand einen externen Speicher angeschlossen, hätten wir das nicht einmal mitbekommen.« Geräte- und Anwendungssteuerung standen daher ganz oben auf der Anforderungsliste für die neue Sicherheitssoftware. Fündig wurden Hagen und sein Team in einer vom Wiener Unternehmen HelpLine IT Solutions gestalteten Endpoint-Protection-Lösung. Dabei lag eine besondere Herausforderung in der Zeit, die für den Roll-out auf die weltweit 4.500 Clients zur Verfügung stand: Die vorhandene Antivirensoftware musste innerhalb von sechs Wochen abgelöst sein, da der eigentliche Lizenzzeitraum bereits abgelaufen war und sich Blum in einer sogenannten »Grace Period« befand. Vier Locations sorgen für Sicherheit Um diesen Zeitplan zu halten, entwarfen die Partner ein Design, das maximalen Schutz auf allen Bedrohungsebenen bot und sich gleichzeitig ohne großen Lokalisierungsaufwand umsetzen ließ. Den Auftakt machte ein eintägiges Assessment Anfang Dezember, in dem die Informationen zu IT-Infrastruktur, Administrations- und Support-Ressourcen verdichtetet und mit den Projektzielen in Verbindung gebracht wurden. Auf dieser Basis fiel die Entscheidung, alle Sicherheitsrichtlinien der Blum-IT an vier sogenannten »Locations« zu verankern. Alle Clients werden anhand der Art ihrer Verbindung zum Firmennetzwerk in eine dieser Locations eingeteilt. Das ist vor allem für die zunehmende Zahl an mobilen Endgeräten von Vorteil, da bei diesen die Zugangsart wechselt und sie sich damit in unterschiedlichen Sicherheitszonen befinden können. Die vier Locations bei Blum gliedern die Netzwerkverbindungen nach ihrer Anfälligkeit für Angriffe und jeder Endpunkt prüft regelmäßig, welche Verbindung vorliegt. Dazu sendet die Maschine eine Anfrage an die Blum-Server. Je nach Antwort, wechselt die Endpoint-Protection-Software in die entsprechende Location. Als Standard ist bei Blum die Einstellung für eine ungeschützte Internetverbindung vorgegeben, bei der die strengsten Sicherheitsrichtlinien greifen. Dadurch ist gewährleistet, dass auch bei Verbindungsproblemen oder Konflikten der maximale Schutz aktiviert ist. Mehr als nur Virenschutz Eine Ausnahme bildet eine Location, die auf besonderen Wunsch von Blum eingerichtet wurde und immer nur für wenige Augenblicke aktiv ist. Sie verhindert, dass gleichzeitig zwei separate Verbindungen zum Netzwerk aufgebaut werden – beispielsweise über Kabel und UMTS. Da dadurch eine gravierende Sicherheitslücke entstehen könnte, deaktiviert die Gerätesteuerung (Device Control) der Endpoint-Protection-Lösung in einem solchen Fall die Netzwerkkarte innerhalb von Sekunden. Nach dem Abschalten wechselt der Client in eine der drei verbleibenden Locations. Neben der Geräte- und Anwendungskontrolle verfügt die Blum-IT mit der Lösung außerdem über einen ständig aktualisierten Virenschutz, Anti-Spyware, eine Firewall sowie Intrusion Prevention. Die Sicherheitsrichtlinien aller dieser Module bauen auf den Locations auf, was flexible und bedarfsgerechte Einstellungen ermöglicht. Beispielsweise gelten für die Firewall unterschiedliche Klassen: Clients, die über eine ungeschützte Internetverbindung auf das Netzwerk zugreifen, lassen nur ausgehenden Traffic zu. Dadurch können zwar E-Mails problemlos verschickt werden, ein Zugriff von außen auf den Client wird jedoch verhindert. VPN-Verbindungen haben diese Einschränkung nicht, da sie über eigene Sicherheitsmechanismen verfügen. So kann der IT-Support bei Problemen remote auch auf die VPN-Maschinen zugreifen. Bei der Intrusion Prevention wiederum gelten für VPN-Verbindungen die gleichen strengen Sicherheitsrichtlinien wie für den ungeschützten Zugriff, die auch ein Aufspüren von Portscans und das Blockieren der IP-Adresse eines Angreifers einschließt. Alle diese Sicherheitsfunktionen sind in einer Anwendung gebündelt. »Die Administration über eine zentrale Konsole ist für uns sehr einfach zu handhaben«, erklärt Hagen. Das Design testete HelpLine IT Solutions vor Ort beim Kunden in einem ausführlichen Machbarkeitsnachweis (Proof of Concept). Dabei wurden zwei hochverfügbare Server installiert, sogenannte Endpoint Protection Manager, die Datenbank eingerichtet und die Locations mit den Richtlinien angelegt. Zur Vorbereitung des Rollouts prüften die Beteiligten außerdem die Installation der Client-Agenten – manuell und skriptgesteuert. rollout und support Auch bei der Deinstallation der alten Virenschutzsoftware bekamen die IT-Verantwortlichen bei Blum Unterstützung. Die eigentliche Migration verlief dadurch weitgehend reibungslos, so dass Ende 2009 alle Clients geschützt waren. »Es war eine Punktlandung«, fasst Hagen zusammen. »Aufgrund der guten Vorbereitung konnten wir unser ehrgeiziges Ziel voll erreichen.« Auch beim Support ist Blum mit der neuen Lösung breiter aufgestellt: Neben dem Hersteller kann sich die IT auch direkt an HelpLine IT Solutions wenden, die einen eigenen Support mit einer Standarderreichbarkeit von Montag bis Freitag zwischen sieben und zwanzig Uhr bietet. Als nächsten Schritt will Systemadministrator Hagen die Datensicherheit im Netzwerk von Julius Blum weiter erhöhen und die Geräte- und Anwendungssteuerung von Symantec Endpoint Protection stärker nutzen. »Jetzt können wir bereits bestehende Unternehmensrichtlinien auch softwareseitig verankern. Wir planen darüber hinaus, nur durch uns autorisierte Datenspeicher und Applikationen auf den Endgeräten zuzulassen.« Bald schon werden die Mitarbeiter bei Blum Daten weltweit nur noch auf vom zentralen IT-Einkauf freigegebenen USB-Sticks sichern können.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: