Alle Endgeräte im Griff

Der Beschlägehersteller Julius Blum stellt in nur sechs Wochen seine weltweite IT-Sicherheit auf Symantec Endpoint Protection um

Die Kontrolle über die häufig kritischen Daten eines Unternehmens fällt gerade in global aufgestellten Organisationen nicht leicht. Jedes angeschlossene Speichermedium stellt ein Sicherheitsrisiko dar. Beim Ablösen der bestehenden Antivirensoftware entschloss sich Julius Blum daher für eine umfassende Endpoint Protection Lösung. Das Design dazu entwickelte helpLine IT solutions, ein Unternehmen der PMCS.helpLine Software Gruppe.

In Höchst in Vorarlberg sitzt ein Unternehmen, das nach der perfekten Bewegung sucht: Die Scharniere, Klappen und Schubladenauszüge der Julius Blum GmbH erleichtern das Öffnen und Schließen von Küchenmöbeln auf der ganzen Welt. Dafür sorgen rund 6.300 Mitarbeiter an zehn Produktionsstandorten in Österreich, Polen, Brasilien und den USA sowie einem globalen Vertriebsnetz. Die Verantwortlichen bei Blum machten sich auf die Suche nach einer Lösung, die auch bei der IT-Sicherheit dem Anspruch an Perfektion möglichst nahe kam. Die bestehende Antivirensoftware weiterzuverwenden, kam dabei nicht in Frage.

„Wir waren sehr unzufrieden mit dem Support“, erinnert sich Andreas Hagen, Systemadministrator bei Blum. Außerdem deckte die bisherige Lösung nur einen Teil moderner Sicherheitsanforderungen ab. „Wir hatten kaum Schutz vor einem Datendiebstahl“, beschreibt Hagen das Problem. „Hätte jemand einen externen Speicher angeschlossen, hätten wir das nicht einmal mitbekommen.“ Geräte- und Anwendungssteuerung standen daher ganz oben auf der Anforderungsliste für die neue Sicherheitssoftware. Fündig wurden Hagen und sein Team in einer von der helpLine IT solutions gestalteten Endpoint Protection Lösung von Symantec. Dabei lag eine besondere Herausforderung in der Zeit, die für den Rollout auf die weltweit 4.500 Clients zur Verfügung stand: Die vorhandene Antivirensoftware musste innerhalb von sechs Wochen abgelöst sein, da der eigentliche Lizenzzeitraum bereits abgelaufen war und sich Blum in einer sogenannten „Grace Period“ befand.

Vier Locations sorgen für Sicherheit

helpline IT solutions entwarf daher ein Design, das maximalen Schutz auf allen Bedrohungsebenen bot und sich gleichzeitig ohne großen Lokalisierungsaufwand umsetzen ließ. Dazu griff das Unternehmen auf den gruppenübergreifenden Consultant-Pool zu. Den Auftakt machte ein Assessment, in dem die Partner Informationen zu IT-Infrastruktur, Administrations- und Support-Ressourcen verdichteten und mit den Projektzielen in Verbindung brachten. Auf dieser Basis fiel die Entscheidung, alle Sicherheitsrichtlinien der Blum IT an vier sogenannten „Locations“ zu verankern. Alle Clients werden anhand ihrer Verbindung zum Firmennetzwerk in eine dieser Locations eingeteilt. Das ist vor allem für die mobilen Endgeräte von Vorteil, da bei diesen die Zugangsart wechselt und sie sich damit in unterschiedlichen Sicherheitszonen befinden können. Die vier Locations bei Blum gliedern die Netzwerkverbindungen nach ihrer Anfälligkeit für Angriffe und jeder Endpunkt prüft regelmäßig, welche Verbindung vorliegt. Dazu sendet die Maschine eine Anfrage an die Blum-Server. Je nach Antwort wechselt die Symantec Endpoint Protection Software in die entsprechende Location. Als Standard ist bei Blum die Einstellung für eine ungeschützte Internetverbindung vorgegeben, bei der die strengsten Sicherheitsrichtlinien greifen. Dadurch ist gewährleistet, dass auch bei Verbindungsproblemen oder Konflikten der maximale Schutz aktiviert ist. Eine Ausnahme bildet eine Location, die auf besonderen Wunsch von Blum eingerichtet wurde und immer nur für wenige Augenblicke aktiv ist. Sie verhindert, dass gleichzeitig zwei separate Verbindungen zum Netzwerk aufgebaut werden – beispielsweise über Kabel und UMTS. Da dadurch eine gravierende Sicherheitslücke entstehen könnte, deaktiviert die Gerätesteuerung (Device Control) der Symantec Endpoint Protection Lösung in einem solchen Fall die Netzwerkkarte innerhalb von Sekunden. Nach dem Abschalten wechselt der Client in eine der drei verbleibenden Locations.

Symantec Endpoint Protection bei Blum

Mehr als nur Virenschutz

Neben der Geräte- und Anwendungskontrolle verfügt die Blum-IT mit der neuen Lösung außerdem über einen ständig aktualisierten Virenschutz, Anti-Spyware, eine Firewall sowie Intrusion Prevention. Die Sicherheitsrichtlinien aller dieser Module bauen auf den Locations auf, was flexible und bedarfsgerechte Einstellungen ermöglicht. Beispielsweise gelten für die Firewall unterschiedliche Klassen: Clients, die über eine ungeschützte Internetverbindung auf das Netzwerk zugreifen, lassen nur ausgehenden Traffic zu. Dadurch können zwar E-Mails problemlos verschickt werden, ein Zugriff von außen wird jedoch verhindert. VPN-Verbindungen haben diese Einschränkung nicht, da sie über eigene Sicherheitsmechanismen verfügen. So kann der IT-Support bei Problemen per Remote auch auf die VPN-Maschinen zugreifen. Bei der Intrusion Prevention wiederum gelten für VPN-Verbindungen die gleichen strengen Sicherheitsrichtlinien wie für den ungeschützten Zugriff, die auch ein Aufspüren von Portscans und das Blockieren der IP-Adresse eines Angreifers einschließt. Alle diese Sicherheitsfunktionen sind bei Symantec Endpoint Protection in einer Anwendung gebündelt. „Die Administration über eine zentrale Konsole ist für uns sehr einfach zu handhaben“, erklärt Hagen.

Getestet und ausgerollt

Das Design testete helpLine IT solutions beim Kunden in einem ausführlichen Machbarkeitsnachweis (Proof of Concept). Dabei wurden zwei hochverfügbare Symantec Endpoint Protection Manager als Server installiert, die Datenbank eingerichtet und die Locations mit den Richtlinien angelegt. Zur Vorbereitung des Rollouts prüften die Beteiligten außerdem die Installation der Client Agenten – manuell und skriptgesteuert. Auch bei der Deinstallation der alten Virenschutzsoftware bekamen die IT-Verantwortlichen bei Blum Unterstützung. Die eigentliche Migration verlief dadurch weitgehend reibungslos, so dass bald alle Clients durch Symantec Endpoint Protection geschützt waren. „Es war eine Punktlandung“, fasst Hagen zusammen. „Aufgrund der guten Vorbereitung konnten wir unser ehrgeiziges Ziel voll erreichen.“ Auch beim Support ist Blum mit der neuen Lösung breiter aufgestellt: Neben dem Hersteller kann sich die IT auch direkt an helpLine IT solutions wenden, die einen eigenen Support Montag bis Freitag zwischen 7 und 20 Uhr ohne Zusatzkosten bietet. Als nächsten Schritt will Hagen die Datensicherheit im Netzwerk von Blum weiter erhöhen und die Geräte- und Anwendungssteuerung stärker nutzen. „Jetzt können wir bereits bestehende Unternehmensrichtlinien auch softwareseitig verankern. Wir planen, nur durch uns autorisierte Datenspeicher und Applikationen auf den Endgeräten zuzulassen.“ Bald schon werden die Mitarbeiter bei Blum Daten weltweit nur noch auf vom zentralen IT-Einkauf freigegebenen USB-Sticks sichern können.