Software von Check Point sichert die IT von drei norddeutschen Grossisten

Großhandel und Security

29.10.2007
Die Hannoversche Gesellschaft für Datenverarbeitung (GDV) agiert als IT-Dienstleister für den norddeutschen Presse-Großhandel. Die bei GDV werkelnde Security Appliance war aber im Betrieb zu teuer.

Von Dr. Ronald Wiltscheck

Nicht immer muss eine Security-Appliance das Firmennetzwerk absichern. Die Gesellschaft für Datenverarbeitung (GDV) entschied sich ganz bewusst für eine reine Softwarelösung. Ausschlaggebend dafür war eine Ende 2006 nicht mehr leistungsfähige Security Appliance.

"Diese Lösung war an zu hohe Wartungskosten gekoppelt", erinnert sich GDV-Geschäftsführer Friedrich Stöckel. "Das System konnte mühsam in Eigenregie, meist nur durch Zukauf von externer Manpower betrieben und verwaltet werden. Das war uns einerseits zu unflexibel und teuer, andererseits zu wenig transparent." Außerdem stieß diese Appliance an ihre Leistungsgrenzen und erschien dem Kunden als zu komplex in der täglichen Handhabung.

Da GDV als externer IT-Dienstleister für drei norddeutsche Pressegrossisten fungiert, ist es unbedingt notwendig, das GDV-Netzwerk so abzusichern, dass keiner der Großhändler an die Daten seines Wettbewerbers gelangen kann. Hierfür haben die Hannoveraner ihr Netzwerk in mehrere Segmente unterteilt.

Aber es ging nicht nur darum, die sensitiven Geschäftsdaten der Grossisten gegeneinander abzugrenzen, Kundenwunsch war außerdem, in den verschiedenen Netzwerksegmenten unterschiedlich stark ausgeprägte Sicherheitsrichtlinien einzuführen und einzuhalten. Deswegen war für GDV eine zentral installierte und zentral managebare Security-Lösung unabdingbar.

Seminar gab den Ausschlag

Zum Jahresende 2006, als die bei GDV im Einsatz befindliche Security-Lösung am Ende ihrer Kräfte war, nahmen die dortigen IT-Verantwortlichen gerade an einem Seminar der Anders & Rodewyk GmbH teil. Dieses ebenfalls in Hannover ansässige Systemhaus präsentierte dort gerade Einsatz-szenarien für die UTM-Appliances (Unified Threat Management) von Check Point. Die IT-Verantwortlichen von GDV waren anschließend so sehr von der Kompetenz des Systemhauses überzeugt, dass sie sich sofort entschlossen, das System von Check Point genauer unter die Lupe zu nehmen.

Der gute Eindruck von Anders & Rodewyk hat sich in dem nur einwöchigen Projekt bestätigt. Dem gingen noch vier Wochen für vorbereitende Arbeiten voraus; während dieser Zeit wurde auch der Rahmen für die Umstellung festgelegt. So brauchte es auch keine Pilotphase im eigentlichen Sinne des Wortes, denn die vom Kunden gewünschte Funktionalität war im Detail klar und stand bereits vor Projektbeginn fest.

So war es auch von vornherein klar, dass die bei GDV vorhandene Systemstruktur mit den oben erwähnten Segmenten beibehalten werden sollte. Die Fachleute von Anders & Rodewyk sollten "lediglich" das alte Appliance-Produkt gegen die Check-Point-Lösung austauschen. Dies bedeutete, dass sich an der Netzwerkkonfiguration selbst nichts ändern sollte, es galt eben, "nur" die Security-Umgebung technisch neu aufzusetzen.

Das hieß: Der bei GDV bestehende Cluster sollte mit der Check-Point-Lösung geschützt werden. Denn der IT-Dienstleister verfügt über zwei autark arbeitende aktive Rechenzentren in zwei physisch voneinander getrennten Serverräumen, die über Glasfaser miteinander in Verbindung stehen. Diese Redundanz stellt sicher, dass die jeweils angebotene Anwendung auch im Störungsfall umschaltfrei weiterlaufen kann. Dieses Netz zu schützen war nun die Aufgabe der neu angeschafften VPN-1-UTM-Gateways von Check Point.

Eine Woche Projektlaufzeit

Da es aber keine Pilotphase gegeben hatte, mussten die Spezialisten von Anders & Rodewyk den neuen Security-Cluster auf Basis des vorgeschriebenen Regelwerks parallel aufbauen und testen. Für den Übergang des Check-Point-System in den Produktivbetrieb wurde ein Umschaltzeitpunkt an einem normalen Werktag definiert. Für den Notfall war ein Schwenk auf die alte Lösung vorgesehen. Der Umstieg verlief praktisch reibungslos. Beim Stresstest für den Katastrophenfall kam es allerdings zu Kommunikationsstörungen innerhalb des Clusters, deren Ursache jedoch im Netzwerk selbst lag. Das Problem behob der Check-Point-Partner durch die Tunnelung der Kommunikation über ein eigenes VLAN. Danach setzten die Fachleute von Anders & Rodewyk die Security-Umgebung technisch neu auf, und es funktionierte, wobei sie noch kleinere Unstimmigkeiten mit dem Windows-Cluster bereinigen mussten. Das Ganze nahm insgesamt nur eine Woche in Anspruch und kostete gerade mal 38 Arbeitsstunden.

"Das war schon eine Herausforderung", erinnert sich Niko Rickens, Projektleiter von Anders & Rodewyk. Immerhin ging es darum, ein bestehendes Security-System mit vollem Funktionsumfang in einer komplexen Umgebung zu ersetzen. "VPN-1 UTM ist aber so flexibel und bietet so viele Möglichkeiten, dass diese Aufgabe ohne Schwierigkeiten zu meistern war", so Rickens weiter.

Dabei haben die Experten von Anders & Rodewyk die Check-Point-Software auf zwei HP-Servern aus der "DL 380"-Reihe installiert, je einmal in beiden GDV-Rechenzentren. Die Software enthält eine Firewall, ein Intrusion-Prevention-System, eine Antivirus- und Anti-Spyware-Komponente, eine Web-Application-Firewall und sowohl IPSec- als auch SSL-basiertes VPN auf einer einzigen Plattform. All diese Funktionen lassen sich in Echtzeit zentral überwachen und auf den neuesten Stand bringen. Bei GDV kontrolliert das Check-Point-Gateway über 150 vordefinierte Applikationen, Services und Protokolle. So stellt die Lösung zum Beispiel sicher, dass von tendenziell risikoreichen Applikationen wie VoIP-, Instant Messaging- oder P2P-Anwendungen keine Sicherheitsrisiken für das Unternehmensnetzwerk ausgehen, da diese Applikationen die Firewall nicht passieren dürfen.

So verfügt heute die GDV über eine zentral installierte Lösung, die die Kommunikation im Intranet überwacht, die ein- und ausgehenden E-Mails checkt und natürlich für den Schutz des Internetzugangs sorgt. Die Software von Check Point prüft also sowohl den gesamten internen Datenkommunikation als auch den Datenaustausch mit den GDV-Geschäftspartnern auf Herz und Nieren. Hierfür hat der Kunde interne Netzwerksegmente gebildet und auf Basis der Check-Point-Technologie abteilungsübergreifende Kontrollebenen eingebaut, sodass er in puncto Zugriffsrechte auch einzelne Abteilungen überprüfen kann.

Die Zugriffsrechte auf einzelne Netzwerksegmente können nämlich individuell geregelt werden, weil sie auch einzeln adressierbar sind. Die unterschiedlichen Sicherheitsebenen in den einzelnen Netzwerksegmenten waren notwendig, weil dort nicht nur die internen Mitarbeiter mit den entsprechenden Rechten zugreifen, sondern auch externe Dienstleister und die Presse-Grossisten. So sind die dazugehörigen Daten in verschiedenen Netzwerksegmenten hinterlegt, und die GDV kann, wenn erforderlich, auf diesen einzelnen Ebenen gezielt mit ihrem Sicherheitsregelwerk eingreifen. Dies ist nicht nur auf Unternehmens- und Abteilungsebene von Bedeutung, sondern vor allem auf Betriebsebene, sodass auch externe Dienstleister bei Bedarf Zugang ins Intranet erhalten. Auf die bei GDV gehosteten Anwendungen können die Presse-Großhändler im Prinzip von jedem PC aus via Webbrowser zugreifen. Zusätzlich abgesichert ist eine derartige Kommunikation durch Einmal-Passwörter.

"Wo früher die halbe Nacht zur Verfügung stand, haben unsere Grossisten heute nur einen ganz engen Zeitrahmen zur Verfügung", erklärt GDV-Geschäftsführer Stöckel die Anforderungen seiner Kunden. Zeitungen und Zeitschriften verlassen die Lager der Presse-Großhändler etwa eine Stunde nach Einlieferung. In dieser kurzen Zeit muss der Lesestoff für die Einzelhändler individuell zusammengestellt werden. "Die Beeinträchtigung der IT hätte eklatante Auswirkungen auf diese Logistik", so der GDV-Chef.

Zwar war auch die bis Ende 2006 bei GDV werkelnde Security-Lösung Cluster-fähig, doch sie war bei Bedarf nicht so einfach erweiterbar. Auch die Administration ließ viel zu wünschen übrig: "Das war alles reine Expertenarbeit und selbst bei Kleinigkeiten nur durch den Zukauf teurer externer Dienstleistungen durchführbar", blickt Stöckel zurück. Heute verfügt GDV nicht nur über eine zentrale, geclusterte und einfach zu überwachende Security-Lösung, auch ein ausfallsicheres SAN (Storage Area Network) gehört dazu. Dort sind nicht nur die Händler der Grossisten gelistet, sondern auch deren tägliche Verkaufszahlen.

Damit unterliegt die GDV besonders strikten Compliance-Regeln und expliziten Sicherheitsvorschriften. "In Anders & Rodewyk haben wir einen kompetenten, im Mittelstand erfahrenen Partner gefunden, der unser ausgeprägte Sicherheitsbedürfnis gut versteht und all unsere Wünsche technisch umgesetzt hat", lobt GDV-Chef Stökel seinen IT-Partner.

"Wir haben dem Systemhaus vor die nicht gerade leichte Aufgabe gestellt, uns ein ähnliches Modell zu realisieren, wie wir es früher im Einsatz hatten. Es sollte nur im Betrieb deutlich günstiger sein, uns weitgehend unabhängig von externen Dienstleistern machen, hochgradig skalierbar sein und ein deutlich besseres Management und Reporting erlauben. Das ist, wie wir jetzt nach fast einem Jahr sagen können, gelungen", zieht Stöckel sein persönliches Resümee.

Bei einem Presse-Grossisten dauert es eine Stunde, bis die für einen Händler zusammengestellten Zeitungen und Zeitschriften fertig verpackt sind und weggeschickt werden.
Foto: Ronald Wiltscheck
Solution Snapshot

Kunde

GDV Gesellschaft für Datenverarbeitung mbH & Co. KG, Hannover

Problemstellung

Alte Security Appliance verursachte immense Folgekosten.

Lösung

Check-Point-VPN-1-UTM-Software auf HP-Servern (DL 380)

Dienstleister

Anders & Rodewyk; www.ar-hannover.de

Technologielieferant

Check Point Software Technologies GmbH; www.checkpoint.com

Kontaktaufnahme

ein Seminar des Dienstleisters

Verhandlungsdauer

vier Wochen

größte Herausforderung

hochverfügbare Security-Cluster-Lösung im Störungsfall

unerwartete Schwierigkeiten

Beim Stresstest für den Katastrophenfall kam es zu Störungen.

Implementierungsdauer

eine Woche

Arbeitsaufwand des Dienstleisters

38 Mannstunden

Kostenumfang des Projekts

50.000 Euro

Projektaufteilung

30 Prozent für Hardware; 40 Prozent für Softwarelizenzen; 30 Prozent für Dienstleistung

Service- und Wartungsverträge

jährlich, mit Anders & Rodewyk und Check Point

Schulung

innerhalb des Projektlaufzeit (eine Woche)

Benefit für den Kunden

VPN-1 UTM im Betrieb deutlich billiger als die alte Lösung

Benefit für den Dienstleister

neue Referenz; Nachfolgeprojekt beim Kunden in Sicht

Derzeit plant die GDV, einen eigenen Webshop in der Demilitarisierten Zone (DMZ) aufzubauen. Auch dabei will das Unternehmen auf die Dienste seines neu gewonnenen IT-Partners Anders & Rodewyk und die Technologie von Check Point zurückgreifen.

Meinung des Redakteurs

Die VPN-1-UTM-Gateway-Software von Check Point kann auf handelsüblichen PC-Servern installiert werden. Eine 25-User-Lizenz gibt es schon ab 2.000 Dollar. Eine derartige "All-in-One"-Lösung eignet sich insbesondere für Mittel-ständler. Auf jeden Fall hat hier der Reseller die Freiheit, das Ganze als "black box" (Appli-ance) oder als individuell konfiguriertes Security-System auszuliefern.