Einen Börsengang wagt schon seit drei Jahren kaum mehr ein Unternehmen. Zu den wenigen Mutigen, die ein "Going Public" hinter sich gebracht haben, gehört die Lantec AG. Zwar ging der IT-Dienstleister "nur" an die Wiener Börse, doch blieb der Aktienkurs seit der Emission vor drei Monaten relativ konstant bei über vier Euro stehen.
Das ist sicherlich nicht allein der Tatsache zu verdanken, dass im Aufsichtsrat der Lantec AG ein alter Hase der IT-Branche sitzt - der Ex-Vorstand von Computer 2000 (heute Tech Data) Walter von Szczytnicki. Vielmehr wächst das Unternehmen kontinuierlich, lediglich im Vorjahr gab es einen Dämpfer, und der Umsatz nahm von 11,86 Millionen Euro 2001 auf 9,78 Millionen Euro ab. Gleichzeitig sank aber auch der Verlust von 4,5 auf 2,6 Millionen Euro.
Seinen Umsatz bewerkstelligte der IT-Dienstleister nicht nur aus eigener Kraft: 2000 übernahm Lantec zwei andere kleinere Systemhäuser und firmiert seitdem als Aktiengesellschaft. Gleichzeitig fasste Lantec den Vertrieb und die Technik am neuen Standort in Neukirchen-Vluyn zusammen. Von dort deckt nun das Unternehmen die Ballungsräume Köln, Düsseldorf und Ruhrgebiet sowie darüber hinaus West- und Norddeutschland ab. Den Rest wickelt der Erstfirmensitz in Oberhaching bei München ab.
Zu einem der größten Kunden von Lantec im westdeutschen Raum zählen die Wirtschaftsbetriebe Duisburg. Zur Stadtverwaltung selbst unterhielt der Dienstleister bereits seit längerem Geschäftsbeziehungen. Vor etwa anderthalb Jahren verkaufte Lantec dort eine 3.000-User-Lizenz für die Antivirus-Option der "Borderware Mail Gateway". "Man hatte uns dort bestätigt, einen guten Job gemacht zu haben", erinnert sich Edgar Scholl, Projektleiter bei Lantec."Wir haben auch die anschließenden Schulungen durchgeführt."
In einer der nachfolgenden Ausschreibungen ging aber der Dienstleister leer aus, ein anderer bekam den Zuschlag. Nachdem aber dieser Wiederverkäufer kurze Zeit später den Gang zum Insolvenzrichter antreten musste, "erinnerte" sich die Stadt Duisburg wieder an die Lantec AG. Da hat auch der Borderware-Distributor Entrada ein gutes Wort für die Neukirchener eingelegt, woraufhin sie den Nachfolgeauftrag bekamen. Diesmal ging es um die Absicherung des E-Mail-Verkehrs in den Wirtschaftsbetrieben Duisburg.
Diese wurden 2001 gegründet aus den ehemaligen Entsorgungsbetrieben, Teilen des Amtes für Öffentliches Bauen und Grün sowie Teilen des Sportamtes. Mittlerweile beschäftigen die Wirtschaftbetriebe Duisburg rund 1.700 Mitarbeiter in 45 Außenstellen.
In diesen Niederlassungen existierten beispielsweise unterschiedliche Insellösungen zur elektronischen Zeiterfassung. Diese Systeme waren allerdings nicht untereinander vernetzt, sodass am Ende jeden Monats überall eine CD gebrannt und an die Zentrale weiter-geschickt werden musste.
Zwar waren die 45 Außenstellen über schlichte ISDN-Leitungen an die Hauptverwaltung angebunden. Doch bei dem wachsenden Kommunikationsvolumen war dies ein kostspieliges Unterfangen und nicht nur in Spitzenzeiten viel zu langsam. Es kam immer häufiger zu Leitungsstörungen, Überlastungen und Systemabbrüchen oder umgekehrt: Verbindungen mit einzelnen Rechnern wurden nicht in der üblichen Zeitspanne abgebrochen.
Das war nun wirklich nicht der "State of the Art", doch die 45 Niederlassungen sicher mit der Zentrale in der Stadtmitte zu verbinden gestaltete sich kompliziert. Zunächst konsultierten die Wirtschaftsbetriebe ihren Provider, die Deutsche Telekom. Aufgrund der geografischen Möglichkeiten - die Niederlassungen sind teilweise durch den Rhein geteilt - konnte der Carrier den Wirtschaftsbetrieben keine homogene Lösung zu vertretbaren Kosten anbieten.
Standleitung nicht bezahlbar
"Eine Standleitung wäre einfach zu teuer", so Wilfried Aps, Bereichsleiter Technische Informationsverarbeitung bei den Wirtschaftsbetrieben. So überlegte man sich gemeinsam mit Lantec eine andere, weit preiswertere Lösung. Ausgehend von der bereits bei der Stadt installierten Mail-Gateway-Lösung sollten die Außenstellen sinnvoll und kosteneffizient an die Zentrale angebunden werden. Die wichtigsten Kriterien waren ein schneller, weitgehend automatisierter Datenverkehr mit wenig Administrationsaufwand, dafür aber mit abhörsicherer Übermittlung von Personaldaten. Sensible Informationen aus den Zeiterfassungssystemen sollten in Form von verschlüsselten E-Mails via Internet an die Zentrale geleitet werden.
"Wir wollten einen schnellen und sicheren Datentransfer zwischen der Hauptverwaltung und den verschiedenen Außenstellen unter den spezifischen Bedingungen in der kommunalen Infrastruktur sicherstellen," kommentiert Michael Müller, Systemadministrator bei den Wirtschaftsbetrieben. "Ausgangslage und Zielrichtung waren klar definiert. Es ging darum, eine applikationsspezifische Lösung zu finden, die diesen Anforderungen auf der Basis der bereits installierten Hard- und Software optimal entsprechen würde", beschreibt Scholl das weitere Vorgehen von Lantec.
Bisher setzte die Stadt Duisburg Microsoft Exchange als E-Mail-Server und Outlook-Clients auf den PCs der Mitarbeiter ein - alles in allem keine allzu sichere Basis für eine vertrauliche Kommunikation via E-Mail. Denn eine Vielzahl von systeminhärenten Sicherheitsschwachstellen lädt zu Angriffen aus dem Internet ein, und in der Vergangenheit versuchte man mit unterschiedlichen Methoden des Problems Herr zu werden. Dies war meist mit komplexen Konfigurationen am Proxy verbunden. Der Server war nach wie vor aus dem Internet erreichbar und damit angreifbar. Auch der Sicherheitsstatus des Mail-Servers ist unter Umständen nicht auf dem aktuellen Stand. Zudem laufen, wie auch bei den Wirtschaftsbetrieben Duisburg, die meisten Mail-Produkte unter Windows - und dieses Betriebssystem erfüllt nun einmal nicht die allerhöchsten Ansprüche in puncto Sicherheit. Ursprünglich als reine Client-Plattform geplant, bleiben Windows und darauf arbeitende Server-Applikationen verwundbar, wie man es von Microsoft Exchange oder dem Internet-Information-Server immer wieder hört.
Dennoch ging am Internet-basierenden Zugang auf das E-Mail-Konto kein Weg vorbei. Es ist nun mal günstiger, nur bei Bedarf auf die Daten via Internet zuzugreifen, als permanent eine ISDN-Leitung offen zu halten. Als Internet-Service-Provider fungiert bei den Wirtschaftsbetrieben Via Networks.
Ihre E-Mails riefen die externen Mitarbeiter der Duisburger Stadtwerke bis dahin via Microsoft Outlook innerhalb ihres Webbrowsers ab. Damit war zwar keine Client-Installation notwendig, doch bezüglich der Sicherheitsrichtlinien sah sich der Kunde einer Herausforderung gegenübergestellt. Er benötigte nun eine applikationsspezifische Lösung, die eine direkte und vertrauliche Verbindung zum Internet schafft und den internen Server zuverlässig absichert. Gleichzeitig sollten die unternehmensweiten Firewall-Applikationen so wenig wie möglich tangiert werden. In einem intensiven Beratungsprozess auf der Basis der bestehenden Netzwerktopologie entschieden sich die Duisburger gemeinsam mit Lantec für die "Mxtreme Mail Firewall" von Borderware Technologies.
Zuerst bekam der Kunde die "Mxtreme 800" zu Testzwecken zur Verfügung gestellt. Dieser Probelauf verlief ausgesprochen positiv. Bereits nach vier Wochen entschlossen sich die Wirtschaftsbetriebe zur Integration der MailFirewall in ihr bestehendes Netzwerk. Die eigentliche Installation war innerhalb kurzer Zeit abgeschlossen, eine Zeitverzögerung ergab sich lediglich durch die noch nicht im selben Tempo frei geschalteten Leitungen.
Lantec simulierte nämlich den Zugriff von den Niederlassungen aus zu der Zentrale, und da gab es dann doch noch Verbesserungsbedarf. Einzelne Zweigstellen mussten mit neuen Routern nachgerüstet werden. Es ging da-rum, auch dort gewisse Firewall-Funktionalitäten einzubauen. Auch abgesicherte VPN-Verbindungen zur Zentrale galt es zu ermöglichen. Diese Arbeiten schreiten nun voran und sollen im Juni abgeschlossen werden.
Keine direkte Verbindung zum Internet mehr
Alle Verbindungen von außen über den Webbrowser werden nun komplett über den Proxy in der Zentrale abgewickelt, das heißt, es gibt keine direkte Verbindung aus dem Internet zum Exchange-Server. Dabei müssen sich die externen Anwender zweimal identifizieren: das erste Mal beim Starten des Outlook-Clients im Webbrowser und danach noch einmal beim Zugang zum E-Mail-Server-Proxy. Dabei bleiben keine Zugangsdaten am Client-Rechner hängen, das heißt, man könnte dieses Procedere auch bequem von jedem beliebigen Internet-Café aus durchführen. Nach Abbruch der Verbindung zum Proxy werden alle Zugangsdaten automatisch gelöscht. Das Ganze funktioniert, ohne Cookies und ohne verräterische Spuren im Cache-Speicher des Internet-Explorers auf dem Client-Rechner zu hinterlassen.
Damit sind auch die systeminhärenten Schwachstellen des Microsoft-E-Mail-Servers sowie externe Gefahren ausgeschaltet. Nach Beendigung der Internetverbindung wird der aktuelle Stand des Proxy mit dem des Exchange-Servers abgeglichen. Die sensitiven, personenbezogenen Daten aus den unterschiedlichen Zeiterfassungssystemen ungeschützt übers Internet zu übertragen wäre vom juristischen Standpunkt aus ohnehin nicht zu halten. Nun werden diese Informationen verschlüsselt übertragen, ferner garantiert die Web-basierende Lösung einen Schutz vor Zugriffen aus dem Internet.
Intern greifen die Mitarbeiter der Wirtschaftsbetriebe meist über einen "echten" Outlook-Client auf ihre E-Mails zu. Lediglich Angestellte mit häufig wechselnden Einsatzgebieten bevorzugen den OWA (Outlook Web Access). Dabei bekommen sie natürlich direkten Zugang zum eigentlichen Exchange-Server, aber hier besteht auch keine Gefahr der Angriffe von außen. Unberechtigte Nutzung von E-Mail-Konten ist ohnehin durch individuelle Zugangsdaten samt Passwort verhindert.
Der Kunde zeigt sich jedenfalls mit der Borderware-Lösung zufrieden: "Wir brauchten eine direkte und gleichzeitig sichere Verbindung zum Internet, um die konsequente Anbindung unserer Außenstellen an die Zentrale voranzutreiben", erinnert sich Müller von den Wirtschaftsbetrieben. Die Option "sichere Verbindung zum Internet" hörte sich für ihn zunächst wie ein Widerspruch in sich an. "Die Mxtreme hat es uns dann aber verhältnismäßig einfach gemacht", so der 29-Jährige.
Lantec installierte die Borderware-Appliance zwischen der Unternehmens-Firewall und dem Exchange-Server in der Zentrale. Der Proxy verrichtet nun seine Arbeit direkt auf der Mail-Firewall. Sonst waren keine Änderungen an der Konfiguration der bereits bestehenden Applikationen nötig. "Außer dem Sicherheitsaspekt verbesserte sich mit der "Mxtreme 800" auch deutlich die Performance des E-Mail-Zugriffs um den Faktor vier gegenüber dem Verfahren mit ISDN-Wählleitungen", beschreibt Müller die gegenwärtige Situation.
Dabei hatte die E-Mail-Firewall noch einen angenehmen Nebeneffekt: Die Anzahl der bei den Wirtschaftsbetrieben eingehenden Spam-E-Mails ging merklich zurück. "Über 99 Prozent der im laufenden Betrieb eingehenden unerwünschten Mails erkennt das System nun zuverlässig und macht sie sofort unschädlich", so der Systemadministrator. Vor der Installation der Borderware-Appliance hatte die dem Exchange-Server angegliederte Software lediglich 50 bis 60 Prozent der ankommenden Spam-Botschaften erkannt. Verbesserungen gab es aber auch zum Thema Sicherheit: "Durch die Kombination von traditionellen Filtermethoden mit Open-Source-Werkzeugen bei der Mxtreme bleiben wir beim Virenschutz jetzt wesentlich ruhiger", erklärt Müller.
www.mxtreme.com
ComputerPartner-Meinung
Trotz knapper Kassen der öffentlichen Hand sind auch mit dieser Kundschaft lukrative Projekte zu realisieren. Es gilt - wie natürlich auch in der Privatwirtschaft - zu eruieren, wo es Verbesserungsbedarf beim Kunden gibt. Wenn man etwa glaubhaft aufzeigen kann, dass E-Mails nun vier Mal so schnell abgerufen werden können oder dass teure Stand- beziehungsweise ISDN-Wählleitungen obsolet werden, dann ist der Kunde (fast) schon überzeugt. (rw)
Solution Snapshot
Kunde: Wirtschaftsbetriebe Duisburg, Königstraße 63-65, 47051 Duisburg, www.wb-duisburg.de; Bereichsleiter: Wilfried Aps, Tel.: 0203 283-4491; Fax: -4484, E-Mail: w.aps@wb-duisburg.de; Systemadministrator: Michael Müller, Tel. -2850, E-Mail: m.mueller@wb-duisburg.de
Problemstellung: Die 45 Außenstellen der Wirtschaftsbetriebe Duisburg (Betriebshöfe, Recyclinghöfe, Kläranlagen, Friedhöfe, Bäder) waren über teure, langsame und unzuverlässige ISDN-Leitungen an die Hauptverwaltung angebunden; eine Standleitung kam aus Kostengründen nicht in Frage; Außenstellen sollten preiswert mit der Zentrale verbunden sowie ein Online-Zeiterfassungssystems auf allen Betriebshöfen eingeführt werden; personenbezogenen Daten sollten verschlüsselt übers Internet übertragen werden; zusätzlicher Schutz vor unberechtigten Zugriffen war notwendig; durch den Einsatz zusätzlicher Software von SAP stieg der Bandbreitenbedarf an
Lösung: Software: Borderware Firewall Server 6.5 unlimitierte Lizenz; 5-User-Lizenz des IPSec-VPN-Clients; Hardware: Borderware Mail-Firewall-Appliance "Mxtreme 800 mit unlimitierter VPN-Lizenz in der Zentrale, Router mit Firewall- und VPN-Funktionalität in den Niederlassungen
Distributor: Entrada Kommunikations GmbH, Heidturmweg 64-66, 33100 Paderborn, www.entrada.de,Tel.: 05251 1456-0, Fax: 05251 1456-100, E-Mail: info@entrada.de
VAR: Lantec AG, Keplerstraße 1, 47506 Neukirchen-Vluyn, www.lantec.de; Ansprechpartner: Edgar Scholl, Tel.: 02845 294-108, Fax: 02845 294-294. E-Mail: info@lantec.de
Technologie-Lieferant: Borderware GmbH, Hopfenstraße 4, 69469 Weinheim, www.borderware.de; Vertriebsleiter: Sven Blasius, Tel.: 06201 901050, Fax: 06201 904529, E-Mail: sven@borderware.de
Netzwerk-Dienstleister: Via Networks Deutschland GmbH, Bismarckstraße 120, 47057 Duisburg, www.vianetworks.de; Tel.: 0203 3093-100, Fax: 0203-3093 112, E-Mail: info-du@vianetworks.de
Kontaktaufnahme: Stadt Duisburg war seit anderthalb Jahren Kunde von Lantec (Borderware Firewall)
Verhandlungsdauer: zwei Wochen + vier Wochen Teststellung
größte Herausforderung: sicherer E-Mail-Zugriff via Outlook im Webbrowser
Länger gedauert hat: Überprüfung der Niederlassungen auf ihre Tauglichkeit für die Datenkommunikation via Internet
Dauer des Projektes: geplantes Projektende Juni 2003
Arbeitsleistung des VARs: 15 Manntage
Kostenumfang des Projekts: rund 80.000 Euro
Schulung: Borderware Firewall- und Mxtreme-Schulungen, in Vertragsleistung inbegriffen
Benefit für Kunden: Leitungen sofort verfügbar; qualitative Verbesserungen beim Schutz vor unberechtigtem Zugriff; dauerhafte Anbindung an das Unternehmensnetz; sofortiger Einsatz der Online-Zeiterfassung unter hohen Sicherheitsstandards; über 99-prozentige Spam-Bekämpfung, Antivirenschutz
Benefit für VAR: Schulungen und Services im Anschluss; Know-how-Gewinn; Referenzkunde