20080304x Microsoft Windows Server 2008 SDI

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Sicherheitslösungen bei SDI

Höhere Sicherheit beim Datenaustausch mit mobilen Geräten

Geschäftsleitung, Vertrieb und Bereichsleiter sind geschäftlich viel unterwegs. Beim Fernzugriff auf die IT-Systeme konnte die Einhaltung der Unternehmensrichtlinien aber bisher nicht überprüft werden, außerdem gab es keine Möglichkeit, die Benutzung von USB-Sticks zu steuern. Jetzt schützt Microsoft Windows Server 2008 Standard/Enterprise mit Network Access Protection (NAP) das Netzwerk vor unsicher konfigurierten Laptops und PCs. Über Gruppenrichtlinien lässt sich der Einsatz von Wechseldatenträgern gezielt steuern.

 

D

ie SDI GmbH & Co. KG versorgt europaweit große Discounter mit Mineralwasser sowie Frucht- und Erfrischungsgetränken. Neben der Firmenzentrale in Erftstadt gibt es einen zweiten Standort im niederländischen Heerlen, etwa 80 Kilometer entfernt. Verschärfungen beim Lebensmittelgesetz hatten dazu geführt, dass die SDI ihre IT-Systeme an einigen Stellen zusätzlich absichern musste. Dabei ging es vor allem um die Einhaltung der unternehmensweiten IT-Richtlinien durch mobile Nutzer sowie um die Verbesserung der Datensicherheit am niederländischen Standort. Durch die Umstellung auf eine neue Plattform gelang es der SDI, alle Anforderungen zu erfüllen und gleichzeitig sogar den Administrationsaufwand zu straffen: Die Vor-Ort-Einsätze konnten halbiert und auch die anderen Helpdesk-Anfragen drastisch gesenkt werden. Die benötigte Servicezeit für die mobilen Mitarbeiter ist seither sogar um 80 Prozent gesunken.

Das Bild vom typisch deutschen Biertrinker passt immer weniger. Der Grund: Nach aktuellen Verbrauchszahlen lassen Deutsche den Gerstensaft vermehrt links liegen und greifen zu alkoholfreien Erfrischungsgetränken. Und genau in diesem Bereich ist die SDI (Soft Drink International) GmbH & Co. KG aktiv. Aus rund 270 Metern Tiefe sprudelt im nordrhein-westfälischen Erftstadt die Umsatzquelle der Firma. Pro Stunde liefern zwei Brunnen je rund 50.000 Liter Wasser. In der Aufbereitungsanlage wird es veredelt und danach in Flaschen abgefüllt. Neben klassischem Mineralwasser stellt die SDI auch etwa 180 Frucht- und Erfrischungsgetränke her. Kunden sind in erster Linie Discounter, die von der Muttergesellschaft MAY Holding GmbH & Co. KG beliefert werden. Die SDI befindet sich auf stetigem Wachstumskurs und beschäftigt derzeit rund 250 Mitarbeiter.

Unsicher beim mobilen Zugriff

Kundenservice wird bei der SDI großgeschrieben. Geschäftsleitung, Vertrieb und auch Bereichsleiter sind aus diesem Grund viel unterwegs und betreuen die Kunden vor Ort. Die IT-Systeme sind für diesen Fall schon lange gerüstet. Den Zugriff von unterwegs auf Unternehmensdaten und -anwendungen regelt Microsoft Internet Security & Acceleration (ISA) Server 2006 Standard. Technisch gesehen, handelt es sich bei dem Server um eine Kombination aus Firewall und Webcache, die den einfachen Internetzugang für die Mitarbeiter sowie den Fernzugriff auf das Unternehmensnetzwerk unterwegs erlaubt. Die ISA Server-Software lief bei der SDI jeweils auf Windows Server 2003 R2 Standard Edition, ein Server steht in der Zentrale, ein zweiter am niederländischen Standort Heerlen. Die in Windows Server integrierte Firewall wird vom ISA Server durch eine Firewall mit Stateful-Inspection und Application Layer Inspection ersetzt, außerdem bietet der Server VPN-Funktionen für die Ferneinwahl. Auf diese Weise haben auch die reisenden

Auf diese Weise haben auch die reisenden Mitarbeiter jederzeit Zugriff auf den heimischen Exchange Server und können in den Projektteams unter Nutzung von Microsoft Office SharePoint Server 2007 Standard mitarbeiten. Doch nicht alles lief perfekt. ISA Server führt zwar eine dynamische Prüfung des Datenflusses und eine Filterung der unterschiedlichen Netzwerkprotokolle auf Anwendungsebene durch und schützt so vor vielen Formen von Netzangriffen; bisher war es jedoch nicht möglich, dabei die Durchsetzung von Unternehmensrichtlinien zu prüfen beziehungsweise den Zu- griff davon abhängig zu machen. »Die Sicherheitsanforderungen sind in den letzten Jahren insbesondere wegen immer schärferer Gesetze für die Lebensmittelbranche erheblich gestiegen«, erklärt Jörg Vogel, IT-Leiter bei der SDI. So schreibt der International Food Standard eine Verschlüsselungspflicht für Notebook-Nutzer bei der SDI vor. »Außerdem gab es für uns keine Möglichkeit, die Nutzung von USB- Sticks zu steuern und gegebenenfalls zu verhindern«, so Vogel weiter. Dadurch bestand immer die Gefahr, dass Mitarbeiter Daten unerlaubt aus der Firma entfernen könnten, auch wenn bisher kein solcher Fall bei der SDI eingetreten ist. Nachdem klar war, dass die Sicherheit beim Fernzugriff sowie die Zugriffssteuerung per USB verbessert werden mussten, kam noch eine zusätzliche Anforderung ins Spiel. »Unsere Server am zweiten Produktionsstandort Heerlen sind physisch nicht besonders gut geschützt. Daher bestand immer die Gefahr, dass bei einem Diebstahl unternehmenskritische Daten verloren gehen oder in falsche Hände geraten«, beschreibt Vogel die zweite Sicherheitslücke, die ihm schon lange ein Dorn im Auge war.

Schnelle und sichere Lösung

Im Laufe der Zusammenarbeit mit dem Microsoft Gold Certified Partner Utilitas GmbH war schnell klar, dass die Nutzung der Microsoft-Plattform konsequent weitergeführt werden sollte. Die IT-Systeme erfüllten schon fast alle Anforderungen, aber eben nur fast. Keine einfache Aufgabe für Vogel und sein Team: »Wir wollten die IT-Landschaft nicht groß umbauen, nur an den sicherheitskritischen Stellen ergänzen und natürlich nicht zu viel Zeit und Geld investieren«, erklärt der IT-Chef. Die Utilitas GmbH gab schließlich den entscheidenden Anstoß, schon frühzeitig zu Windows Server 2008 zu wechseln. »Im Dialog mit der SDI haben wir rasch erkannt, dass Windows Server 2008 genau die kleinen Lücken in den bestehenden Systemen schließt«, erklärt Utilitas-Chef Peter Haupt. Eine Lösung, die an beiden Standorten zum Einsatz kam: In Heerlen wurde Windows Server 2008 als Read-Only Domain Controller (RODC) eingerichtet. Der Vorteil dabei: So wird lediglich eine Nur-Lese-Kopie der Active-Directory-Datenbank vor Ort aufbewahrt. Die Umstellung auf Windows Server 2008 konnte von nur zwei Mitarbeitern binnen 14 Tagen durchgeführt werden. Und auch die Zentrale in Erftstadt stellte auf Windows Server 2008 um. Hier setzte die SDI vor allem auf die eingebaute Network Access Protection (NAP). Sie gewährt lediglich solchen Geräten den Zugang, die bestimmte Sicherheitsrichtlinien erfüllen. Nur wenn alle aktuellen Patches aufgespielt sind, ein Virenscanner vorhanden und mit neuen Signaturen versehen ist, klappt der Zugriff.

Alle Richtlinien erfüllt

Die Umstellung auf Windows Server 2008 hat die Datensicherheit am Standort Heerlen erheblich verbessert. Jetzt haben Diebe und Hacker keine Chance mehr, über einen RODC die im Active Directory des Unternehmens gespeicherten Daten zu verändern. Positiv beurteilt Vogel auch die eingebaute Verschlüsselungsfunktion: »Die Bitlocker-Technologie von Windows Server 2008 verschlüsselt die Daten auf den Servern sicher, ein weiteres Plus, wenn es doch einmal zu einem Diebstahl kommt.« Außerdem hat die SDI mit der Umstellung die Serveradministration gestrafft: »Mit Windows PowerShell lassen sich die Server in Heerlen jetzt wesentlich besser verwalten«, sagt Vogel. Systemnahe Wartungsarbeiten an dem entfernten Domain-Controller kann die IT-Abteilung in Erftstadt durch das gezielte Anhalten und den anschließenden Neustart des Verzeichnisdiensts (Restartable Active Directory) ausführen: Die übrigen auf dem Server laufenden Dienste sind davon nicht betroffen und stehen den Mitarbeitern in der Niederlassung weiterhin zur Verfügung. Auch die Sicherheitslücken in der Zentrale in Erftstadt konnten geschlossen werden. Dank NAP wird das Netzwerk jetzt wirksam vor Gefahren geschützt, die von unsicher konfigurierten Laptops und PCs ausgehen, denn NAP setzt auf einfache Weise die Sicherheitsrichtlinien der SDI auch für mobile Mitarbeiter um. Notebooks, die diese Richtlinien nicht einhalten, müssen draußen bleiben. Damit erfüllen die IT-Systeme heute nicht mehr nur »fast alle Anforderungen«, sondern decken 100 Prozent der geforderten IT-Richtlinien ab. Doch nicht nur die Sicherheit konnte verbessert werden. Die einfachere Wartung via PowerShell sorgte gleichzeitig für geringere Administrationskosten. »Wir konnten mit Windows Server 2008 die Zahl der Vor-Ort-Einsätze in Heerlen halbieren, das spart uns neben der Servicezeit selbst auch die An- und Abreise von jeweils 80 Kilometern«, berichtet Vogel. Und auch bei der Wartung der Mitarbeiter-Notebooks konnte die SDI mächtig sparen – 80 Prozent weniger Serviceeinsätze. Hinzu kommt ein verbessertes Zusammenspiel von Server und Clients: »Erst Windows Server 2008 und Windows Vista als Team erlauben die einfache Nutzung von Bitlocker und die Zugriffsbeschränkung bei Wechseldatenträgern über Gruppenrichtlinien«, beschreibt der IT-Leiter die Situation. Die SDI kann somit ihre gesamte IT-Sicherheit noch einmal langfristig erhöhen. »Und auch die Mitarbeiter sind zufrieden«, erzählt Vogel, »denn den reibungslosen Betrieb haben wir trotz höherer Sicherheitsstandards beibehalten können.« Die SDI GmbH & Co. KG plant den Einsatz von Windows Server 2008 jetzt auf allen Servern. Die entsprechenden Lizenzen sind bereits vorhanden, und als Nächstes werden Print- und Fileserver sowie der Domänencontroller in der Zentrale umgestellt.

n

»Durch Windows Server 2008 konnten wir die Anzahl der Vor-Ort-Einsätze am entfernten Standort senken und die Administrationskosten halbieren.«

Peter Haupt, Geschäftsführer, Utilitas GmbH

 

 

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH