Die Festo AG & Co. KG in Esslingen ist Spezialist für pneumatische und elektrische Antriebstechnik und zählt weltweit zu den führenden Automatisierungsunternehmen. Aufgabe ist es, industrielle Abläufe effizienter und produktiver zu gestalten.
In diesem hochtechnisierten, weltweiten Umfeld, das stark auf eine vernetzte Teamarbeit und damit Sicherheit angewiesen ist, hat Festo noch Microsoft Windows XP verwendet. "Der Einsatz unseres Client-Betriebssystems musste überdacht werden. Technische oder Performance-Probleme gab es zwar keine, aber wir wollten vor allem auch in Sicherheitsfragen auf dem neuesten Stand sein", sagt Matthias Schmidt, der bei Festo für den Computerbetrieb verantwortlich ist.
Ein Problem war die Verschlüsselung von Notebooks, Festplatten und USB-Sticks. Bislang kam ein 3rd-Party-Tool zum Einsatz, das nicht in das bestehende System von Festo integriert war und daher eine zusätzliche Managementumgebung erforderte. Dieses Tool war umständlich zu bedienen. "Wir konnten einfach nicht sicherstellen, dass alle unsere Notebooks verschlüsselt waren", berichtet Schmidt.
Sicherheit spielte damit die zentrale Rolle bei der Wahl des neuen Betriebssystems. Es sollte Notebooks und Wechseldatenträger unkompliziert und komfortabel verschlüsseln können. "Zudem läuft der Support für Windows XP in den nächsten Jahren aus", erläutert Schmidt. "Und in den kommenden ein, zwei Jahren wird es immer schwieriger, Treiber und Applikationen für Windows XP zu bekommen."
Festo ging es auch um Kontinuität. Die IT-Infrastruktur besteht überwiegend aus Microsoft-Lösungen wie Windows Server 2008 R2, Office 2007 und Office SharePoint 2007. "Wenn ein Unternehmen bereits Windows im Einsatz hat, sollte es sich überlegen, ob es sinnvoll ist, auf ein völlig anderes Betriebssystem umzusteigen", sagt Schmidt.
So begann Festo im Frühjahr 2009, Windows 7 Enterprise Edition zu prüfen. Ein dreimonatiger Test der Betaversion auf rund 30 Clients überzeugte das IT-Team. "Bereits in der Betaphase zeigte sich, dass Windows 7 mit sämtlichen integrierten Lösungen einen sehr hohen Reifegrad hat", so Schmidt. "Man merkte, dass den Kunden eine ausgereifte Version ohne nennenswerte Fehler ausgeliefert wurde."
Herausforderungen beim Rollout
Als Partner für die Migration kam Siemens IT Solutions and Services (SIS) zum Zuge. Aufgrund des Windows Technology Adoption Program hatte SIS bereits ein gutes Jahr Erfahrung mit Windows 7 und der Konzeption des Rollouts. Eine Herausforderung war das Redesign der Group-Policy. "Festo muss als weltweit agierendes Unternehmen mit zentral verwalteter Infrastruktur Hunderte Group-Policies managen", erläutert Helga Widmann von SIS. "Das reicht von den Sicherheitseinstellungen für Verschlüsselung oder Absicherung der USB-Schnittstellen bis hin zum Hintergrundbild."
SIS half dabei, diese Group-Policies zu optimieren, zu bereinigen und für Windows 7 neu aufzustellen. Lediglich der Wechsel der Softwareverteilung auf Microsoft System Center Configuration Manager 2007 R2 (SCCM) war nicht ganz einfach. Festo wollte seine DNS-Struktur weiter vereinfachen, wobei SIS mit Erfahrungswerten helfen konnte.
Knifflig war die Anpassung der internen Namenskonventionen der einzelnen Rechner: Im Rechnernamen waren unerwartet viele Abhängigkeiten versteckt – Abhängigkeiten von Software, vom Service und von anderen Produkten, die den Rechnernamen nutzen.
"Es reichte nicht, nur die neue Namenskonvention zu veröffentlichen", so Schmidt. "Wir mussten mit vielen Abteilungen diskutieren, bis die neuen Namen mit allen abgesprochen waren."
Ich hol mir mein neues Notebook
Mit dem User State Migration Tool 4.0 kann das IT-Team sämtliche Nutzereinstellungen der einzelnen Anwender beim Umstieg von XP auf Windows 7 übernehmen. Favoriten, Druckeroptionen, Zertifikate, Einstellungen für Microsoft Office inklusive Outlook lassen sich so einfach auf einen anderen Rechner übertragen. Die Konfiguration dafür läuft zentral auf Servern im Hintergrund und ist in Configuration Manager integriert.
Das ermöglicht eine weitere Neuerung bei Festo: das Abholkonzept für Clients. "Erhält ein Mitarbeiter ein neues Notebook, sichert er selbst am Abend zuvor alle Einstellungen seines alten Geräts auf einem zentralen Server. Dann wird über Nacht das neue Notebook mit den gleichen Einstellungen installiert", erklärt Schmidt.
Dafür muss der Administrator nicht einmal an den Arbeitsplatz des Mitarbeiters gehen. Am nächsten Morgen holt sich dann der Mitarbeiter an einem Service-Point den neuen Rechner ab und gibt den alten zurück. "Eine deutliche Zeiteinsparung", resümiert Schmidt.
Deutliche Einsparungen
Festo profitiert vor allem von der optimierten Sicherheit seiner Clients. "Die Verschlüsselung von Festplatten und USB-Sticks mit BitLocker ist für uns der größte Vorteil von Windows 7", betont Schmidt. Das Festplattenverschlüsselungs-Tool bietet Preboot-Authentification. Notebooks werden bei Festo automatisch während des Installationsvorgangs mit BitLocker verschlüsselt. Falls eines einmal verloren geht, können Daten nicht in falsche Hände geraten.
Mit AppLocker - ebenfalls Bestandteil von Windows 7 – kann festgelegt werden, welche Software im Firmennetzwerk erlaubt ist und welche nicht. Statt einer Erlaubnisliste nutzt Festo eine "schwarze Liste", die gut 30 Anwendungen umfasst.
"Mit den Sicherheitslösungen von Windows 7 betreiben wir unsere Clients effizienter und sicherer und sparen jedes Jahr zusätzlich noch Geld", berichtet Schmidt. Bei Festo entfallen vor allem die Wartungskosten für eine 3rd-Party-Software, da sie mit Windows 7 nicht mehr benötigt wird, um die Notebooks abzusichern. "Diese Kostenreduzierung ist speziell für mittelständische Firmen interessant", so Widmann.
Zusätzliches Potenzial liegt bei den Schulungen. "Durch den konsequenten Einsatz von Microsoft-Lösungen ist der Aufwand für die Schulung unserer Mitarbeiter deutlich geringer als beim Umstieg auf ein anderes System", sagt Schmidt.
Die Softwareverteilung erfolgte bislang mit einem 3rd Party Tool. "Das war immer eine Insel", erläutert Schmidt. "Mit System Center Configuration Manager 2007 (SCCM) haben wir die Installationshistorie endlich in einer Konsole." Festo verwaltet nun die gesamte Software in SCCM. "SCCM kann man zudem sehr gut automatisieren, was bei der Größe von Festo sehr wichtig ist", so Widmann.
Schließlich begann die Migration der weltweit etwa 10 000 Clients, die das ITTeam von Festo selbst durchführt. In Deutschland hat der Rollout im Mai 2010 begonnen, danach folgen Asien, Europa, zuletzt Nord- und Südamerika. Zusätzliche Pilotphasen sind nur in Spanien und China notwendig. Der Deployment-Prozess – von der ersten Kontaktaufnahme mit Microsoft bis zu dem Punkt, an dem Festo den ersten Mitarbeiter mit Windows 7 ausstatten konnte – dauerte lediglich neun Monate.
Um die Softwareverteilung weiter zu automatisieren, hat Festo Web-Tools entwickelt, mit denen ein Anwender seinen Rechner selbst konfigurieren kann. Beispielsweise hat er die Möglichkeit, seinem Rechner Adobe Acrobat zuzuweisen. Über dieses Portal ist es auch möglich, die Beschaffung eines neuen Clients zu beantragen, seinen alten Rechner zu entsorgen oder eine Verlustmeldung zu machen, wenn man sein Notebook verloren hat. (tö)