Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

08.06.2006

Bayer organisiert Virenschutz global

08.06.2006
Von Ron Faber 
Beim Kampf gegen elektronische Schädlinge vertraut der Pharmakonzern auf eine für alle Niederlassungen zentral verwaltete Lösung.

Mit je einem Data-Center in Leverkusen, Pittsburgh und Singapur hält Bayer Business Services die geschäftskritischen IT-Funktionen für die Bayer AG und externe Kunden verfügbar. Dazu gehört auch der globale Virenschutz, den der interne Dienstleister für alle Teilkonzerne mit Lösungen von Trend Micro realisiert. Jeweils für ihre Region konfigurieren und aktualisieren die drei Data-Center die Virenschutztechnik.

Hier lesen Sie …

Mehr zum Thema

www.computerwoche.de/

575114: Virenschutz bleibt die Achillesferse;

572873: Studie: Viren verursachen die schlimmsten IT-Schäden;

572883: IT-Sicherheit hat höchste Priorität.

Projektsteckbrief

Zur Antivirenstrategie des Unternehmens gehört dabei, dass nicht nur sämtliche Desktops über eine Sicherheitslösung verfügen, sondern auch alle Server und Mail-Gateways durch entsprechende Produkte abgesichert sind. Der ein- und ausgehende HTTP- und FTP-Datenverkehr wird zurzeit nicht von einer dedizierten Gateway-Lösung geprüft, diese Aufgabe erledigen die Desktops dezentral. Für Bayer rechnet sich die Einführung einer zentralen Sicherheitslösung erst, wenn sich dadurch der Supportaufwand für die Endsysteme reduziert. Das trifft derzeit bei E-Mail zu, ist bei HTTP/FTP jedoch nicht der Fall.

Udo-Peter Meyer, seit 1994 Verantwortlicher für den Virenschutz im Unternehmen und Kopf hinter dem globalen Sicherheitskonzept der Bayer AG, entschied sich 1999 für den Einsatz von "Scanmail für Lotus Notes" von Trend Micro. Ausschlaggebend war dem Manager zufolge, dass die bis dahin eingesetzte Antivirenlösung - ein Komponentensystem mit Grabber und Kommandozeilen-Scanner - an ihre Leistungsgrenzen gestoßen war. "Darüber hinaus operierte der damalige Anbieter nur lokal, was dem Aufbau einer weltweit einheitlichen Infrastruktur natürlich entgegenstand", führt der Experteaus.

Leistungsgrenze erreicht

Wegen der Erfahrungen mit der Sicherheitslösung für Notes und aus Kostengründen entschied sich Bayer Business Services dann dafür, künftig den kompletten Virenschutz mit Produkten von Trend Micro zu realisieren. Dafür sprach auch das zentrale Management-Konzept, das die Integration der weltweit eingesetzten Produkte "Scanmail", "Officescan" und "Serverprotect" in eine übergreifende Infrastruktur erlaubte.

Heute verwaltet Bayer alle Officescan-Instanzen sowie die Scanmail- und Serverprotect-Installationen mit Hilfe der Software "Control Manager" von den drei Data-Centern aus. Rund 94000 Systeme weltweit für Bayer und weitere 13 000 Systeme für die Lanxess AG (eine Ausgründung der Bayer AG) lassen sich so zentral administrieren.

Bestandteil des Image

Die korrekte Installation der PCs stellt Bayer Business Services dabei überwiegend durch Verwendung eines "Golddisk"-Images sicher. Dieses bildet einen vollständig installierten und konfigurierten Bayer-Standard-PC ab und wird auf nahezu allen Systemen ab Werk installiert. Auch der Virenschutz ist ein Bestandteil dieses Images. Beim ersten Start gleicht sich jeder Desktop selbständig mit den regionalen Officescan-Servern ab.

"Die Verwendung von standardisierten Images bedeutet für Bayer große Kosten- und Sicherheitsvorteile", kommentiert Sicherheitsexperte Meyer. Möglich sei dies, weil der Multilanguage Support von Windows XP Sprachversionen für die einzelnen Regionen überflüssig mache und die zentrale Trend-Micro-Architektur für Administration und Aktualisierung dahinter stehe.

Mit diesem Grad der Zentralisierung ist das Virenschutzteam von Bayer aber noch nicht zufrieden. Schon seit einiger Zeit ist die Zusammenfassung der Control Manager unter einem weiteren "Master Control Manager" geplant, um in Leverkusen jederzeit den globalen Status quo abrufen und zum Beispiel Antiviren-Patterns international an alle Niederlassungen verteilen zu können.

Kontrollierte Updates

Aufgrund der hochsensiblen pharmazeutischen Systeme im Netz von Bayer unterliegt das Unternehmen auch im Virenschutz rechtlichen Auflagen, wie sie zum Beispiel durch die US-amerikanische Food and Drug Administration (FDA) gestellt und überprüft werden. Die Unbedenklichkeit aller Systemänderungen ist minutiös nachzuweisen - das betrifft auch die Updates der Antivirenlösung. Aktualisierungen der Produktversion, Engines und Patterns testen die Profis daher in einem Qualitätsüberwachungs-Netz, bevor sie sie freigeben.

In diesem Netz ist die Bayer-Umgebung mittels realer Systeme exemplarisch abgebildet, so dass sich Unregelmäßigkeiten frühzeitig aufspüren lassen. Nur der Control Manager des Quality-Assurance- (QA-)Netzes ist direkt mit der Update-Seite des Herstellers verbunden und lädt dort die entsprechenden Aktualisierungen herunter. Skript-gestützt laufen anschließend automatisch die Unbedenklichkeitsprüfungen ab. Erst nach erfolgreichem Abschluss wird das Update in einem gesonderten Bereich abgelegt, den die produktiven Control Manager in kurzem Abstand abrufen. Dadurch ergibt sich eine Verzögerung von ein bis zwei Stunden.

Bis zu vier Wochen Test

Updates der Scan Engine, bei denen es sich um ausführbaren Code handelt, müssen darüber hinaus Tests von bis zu einer Woche durchlaufen, bevor sie auf Servern mit mehreren Terabyte Daten eingespielt werden können. Bei komplett neuen Produktversionen ist der Test noch aufwändiger und dauert bis zu vier Wochen. Darauf folgt eine Pilotphase, in der zunächst nur kontrollierte Teilbereiche der Bayer-Infrastruktur umgestellt werden.

"Da der Virenschutz auch Systeme umfasst, die zum Beispiel die Wirkstoffkonzentration von Medikamenten kontrollieren, müssen wir die Balance zwischen Update-Geschwindigkeit und Zuverlässigkeit halten", erläutert Sicherheits-Manager Meyer. "Im Falle eines akuten Virenangriffs haben wir aber jederzeit die Möglichkeit, die produktiven Control Manager direkt auf die Update-Seite zu lenken."

Die Notwendigkeit besonderer Sicherheitsvorkehrungen hat unter anderem auch dazu geführt, dass die Bayer AG heute eine europaweite Vorreiterrolle beim Einsatz von Trend Micros "Network Viruswall" hat. Der Hersteller hat die Appliance konzipiert, um die immer häufiger auftretenden Netzviren zu identifizieren und zu blockieren. An der Schnittstelle zwischen einzelnen Netzsegmenten implementiert, kontrolliert das Gerät Datenströme auf verdächtige Aktivitäten. Bereits kurz nach der Produkteinführung hat Bayer 25 Network-Viruswall-Appliances angeschafft, die heute in Labornetzen ("Network Viruswall 1200") und den Data-Centern ("Network Viruswall 2500") ihren Dienst tun.

Hohe Einsparungen

Ein derart umfassendes Schutzkonzept zahlt sich aus, denn es verhindert Vireninfektionen, die durch Ausfallzeiten und Bereinigungskosten selbst bei konservativer Rechnung schnell teuer kommen können. "Wir gehen davon aus, dass die Bayer AG durch unsere Antivirenarchitektur allein in Deutschland pro Jahr mehrere Millionen Euro spart", bilanziert Meyer.

Die nächste Herausforderung in Sachen Sicherheit zeichnet sich bereits ab: Blackberrys, Palms und Windows-CE-Handhelds vermehren sich auch bei Bayer sprunghaft. Dazu Meyer: "Virenprogrammierer haben sich in der Vergangenheit immer auf neue Plattformen gestürzt, das wird angesichts der wachsenden Verbreitung von Mobile Devices diesmal nicht anders sein." Um ein tragfähiges Konzept parat zu haben, sobald ein kritischer Bedrohungsgrad erreicht wird, beteiligt sich der Konzern am Betatest von Trend Micros "Mobile Security 2.0". (ave)