Geschützter Daten - und Systemzugriff an jedem Ort
Die IKN GmbH aus Neustadt bei Hannover ist als mittelständisches Ingenieurbüro seit 1982 erfolgreich im internationalen Zementanlagenbau tätig. Die Kernkompetenzen liegen in den Brenn- und Kühlungsprozessen von Klinker. Mit über 650 Installationen weltweit gehört das Unternehmen zu den Marktführern, wenn es um die Ausrüstung von Neuanlagen mit Komponenten aus dem umfangreichen Portfolio, Modernisierungsprojekte und Umbauten entlang der gesamten Produktionskette der Zementherstellung – vom Preheater bis zum Kühler – geht. Zum Angebot gehören dabei auch entsprechende Wartungsservices. Um die Zugriffe auf die Systemsteuerung der einzelnen Anlagen im Rahmen der Fernwartung bestmöglich abzusichern, setzt IKN auf die Sicherheitslösungen von WatchGuard Technologies. Diese spielen für den Ausrüster von Zementwerken jedoch nicht zuletzt auch als „Security-to-go“-Option auf Baustellen sowie im eigenen Rechenzentrum ihre Stärken aus.
„Unsere Systeme sind auf der ganzen Welt zu finden, von Algerien bis Vietnam. Daher mussten wir uns im Rahmen der Wartung etwas einfallen lassen“, berichtet René Clausing, IT-Leiter bei IKN. Bisher erfolgte diese via Modem-Einwahl. Da analoge Telefonanschlüsse jedoch weltweit am Aussterben sind, ging die Suche nach einer sinnvollen Alternative los. „Seit etwa einem Jahr arbeiten wir hier über VPN-Tunnel, die über eine Firebox-Appliance von WatchGuard entsprechend gesichert sind. Diese ermöglicht uns den Zugriff auf die Anlagen beim Kunden, Zutrittskontrolle inklusive. Hierfür stellt uns entweder der Kunde einen Internetzugang zur Verfügung oder wir greifen – wenn die erste Option ausfällt – über einen LTE-Router auf Mobilfunk zurück“, so Clausing. Inzwischen sind etwa 15 der roten WatchGuard T10-Boxen auf Kundenseite im Einsatz, Tendenz steigend. „Eine entsprechende Absicherung ist heute fester Bestandteil bei jedem Projekt, egal ob es sich um einen Neu- bzw. Umbau oder ein Modernisierungsvorhaben handelt. Jedes Angebot beinhaltet die Firebox-Option, mit der wir bisher nur gute Erfahrungen gemacht haben“, zeigt sich Clausing erfreut. Die Appliance wird einfach mit im Schaltschrank vor Ort angebracht und ermöglicht IKN einen sicheren Fernwartungszugang zu den Steuerungssystemen der Maschinen. Über spezielle Regeln wird gewährleistet, dass ausschließlich autorisierte Mitarbeiter via VPN auf die Anlagensteuerung zugreifen können. „Ein entsprechender Zugang ist nur klar definierten Nutzergruppen im Active Directory möglich“, erklärt der IT-Leiter: „Wir haben hier sehr gezielte Konfigurationen vorgenommen, schließlich hat die Sicherheit der Anlagen absolute Priorität. Selbstverständlich sind die Support-Tunnel in beide Richtungen gegen unberechtigten Zugriff gesichert.“
Schnelle Inbetriebnahme
Im Zuge des weltweiten Einsatzes ist die Funktionalität „RapidDeploy“, die WatchGuard für alle Plattformen bietet, für IKN von besonderem Mehrwert: Denn die jeweiligen Konfigurationseinstellungen werden zentral in Neustadt bearbeitet und vorgehalten. Die Firebox-Hardware kann dann an jeden Ort der Welt verschickt werden. Sobald die Appliance mit Strom versorgt wird, konfiguriert sich diese entsprechend der in Neustadt hinterlegten Regeln von selbst. „Das spielt uns absolut in die Karten. In einem Zementwerk gibt es für gewöhnlich keinen IT-Administrator. Dank WatchGuard können wir hier einfach auf einen der Werkstechniker vor Ort zurückgreifen. Schließlich kommt es nur darauf an, Strom- und Netzwerkkabel richtig einzustöpseln, alles andere passiert automatisch bzw. kann von unseren eigenen Mitarbeitern in Neustadt gesteuert werden“, erklärt Clausing. Selbst wenn einmal eine Appliance ausfällt, muss nur die Hardware erneuert werden. „RapidDeploy spart uns in diesem Zusammenhang viel zeitlichen und finanziellen Aufwand. Zum Austausch einer Firewall muss sich in der Regel keiner unserer Mitarbeiter ins Flugzeug setzen und um den halben Erdball reisen. Der zentrale Konfigurationsansatz ist für uns optimal und hat bisher keinerlei Schwächen gezeigt.“ Aus diesem Grund verwundert es nicht, dass inzwischen auch in den Vertriebsniederlassungen der IKN und sogar in Home Offices die Fireboxen zum Einsatz kommen, um den Datenaustausch einzelner Mitarbeiter und Büros mit dem zentralen Firmennetzwerk abzusichern. „Klar gelten hierbei andere Sicherheitseinstellungen als bei den Plattformen auf Kundenseite. Es geht funktionsseitig in erster Linie um den Schutz von Datei-Laufwerken oder das Thema abhörsichere und störungsfreie Internettelefonie. Aber die Inbetriebnahme der UTM-Appliances erfolgt genauso einfach und erfordert keinerlei tiefere IT-Kenntnisse vor Ort“, erläutert Clausing.
Netzwerkzugriff Aus Der Box
Die Flexibilität der Sicherheitslösungen macht sich die IKN GmbH seit geraumer Zeit auch an anderer Stelle zunutze. Hierzu beschreibt René Clausing die Hintergründe: „Ursprünglich waren Firewall und UTM-Schutz ja ein klassisches Rechenzentrumsthema. Das heißt, es ging uns vor allem darum, unsere Infrastruktur in Neustadt bestmöglich abzusichern.“ Im Vordergrund steht dabei das unternehmensinterne PDM-System, in dem aktuell etwa 1,5 Millionen 3D-Modelle und Zeichnungen verwaltet werden. Der Schutz dieser Daten ist für IKN essenziell. Gleichzeitig gilt es jedoch zu gewährleisten, dass Mitarbeiter von unterschiedlichen Standorten gemeinsam an diesen Modellen arbeiten können. Insbesondere die Kollegen der IKN Czech benötigen Zugriff auf die Datenbank, wie Clausing an einem Beispiel verdeutlicht: „Im Rahmen der individuellen Planung von einzelnen Zementanlagen wird heutzutage mit Laserscans gearbeitet. Diese sind die Grundlage für eine exakte Planung, Fertigung sowie den Bau. Während die Mitarbeiter in Deutschland die Experten für die Kühlungssysteme sind, steuern die Konstrukteure auf tschechischer Seite ihre Expertise im Bereich der Pyroanlagen bei. Alle arbeiten im Rahmen von Projekten zusammen auf einem in Echtzeit replizierten Datenbestand. In dem Zusammenhang ist es natürlich sinnvoll, wenn auch die Ingenieure, die sich auf den Baustellen vor Ort befinden, Zugriff auf den aktuellen Planungsstatus haben.“ Hier geht die IKN inzwischen einen sehr innovativen Weg. „Jeder kennt die Technikkoffer, wie sie beispielsweise DJs verwenden. Diese nutzen wir jetzt auch, allerdings nicht mit Audiokomponenten“, so Clausing. Stattdessen sind die 19-Zoll-Koffer mit einem LTE-Router mit SIM-Karte, der WatchGuard Firebox T10-W mit integriertem WLAN und Authentifizierungsmöglichkeiten am Active Directory sowie Gäste-WLAN und eventuell einem verschlüsselten NAS (Network Attached Storage) als lokalem Speicher bestückt. So können die Ingenieure vor Ort – wo immer das auch ist – nach Autorisierung via VPN jederzeit auf den zentralen Server zugreifen. „Wir sprechen von einer kompletten Büroerweiterung für den Baucontainer“, so Clausing.
Volle Kontrolle
Wie vielfältig die WatchGuard-Produkte heute im Arbeitsalltag von IKN eingesetzt werden, war bei der Ablösung der alten Sicherheitsstrukturen im Jahr 2011 kaum absehbar. „Seinerzeit kam es mir vor allem darauf an, die Vorgänge rund um IT-Sicherheit wieder besser unter Kontrolle zu bekommen“, erinnert sich Clausing. Der Administrator kannte die WatchGuard-Produkte bereits aus der Vergangenheit und war von deren Benutzerfreundlichkeit überzeugt: „Früher brauchten wir aufgrund des mangelhaften Loggings und Reportings jedes Mal einen externen Dienstleister. Von einer intuitiven Bedienung wie jetzt bei WatchGuard war keine Rede. Mit der Umstellung 2011 konnten wir das Management selbst in die Hand nehmen und haben ein ganzes Stück Unabhängigkeit gewonnen, von den Einsparungen hinsichtlich der Servicekosten mal ganz abgesehen“. Der Wechsel lief seinerzeit problemlos. Die neue WatchGuard-Infrastruktur – zunächst ein UTM-Cluster zur Absicherung des Rechenzentrums in Neustadt sowie weitere Appliances in Tschechien und USA für den stabilen VPN-Zugriff mit minimalen Latenzzeiten – wurde innerhalb weniger Wochen aufgebaut und live geschaltet. Von Anfang an profitierte das vierköpfige IT-Team von den Möglichkeiten, die das integrierte Visualisierungs- und Reporting-Tool WatchGuard Dimension bietet. „Wir überwachen regelmäßig die Security-Dashboards in Dimension und sind daher immer im Bilde, was im Netzwerk vorgeht. Sowohl Angriffsversuche als auch die entsprechenden Gegenmaßnahmen sehen wir nahezu in Echtzeit“, so Clausing. „Gleichzeitig haben wir alle Regeln unter Kontrolle: Der Traffic Monitor zeigt an, welche Einstellung relevant war. Fehler im Regelwerk lassen sich einfach aufspüren und von den eigenen Mitarbeitern beheben – zentral für das gesamte Netzwerk.“ Zahlreiche UTM-Funktionen – vom APT Blocker über Data Loss Prevention, Intrusion Prevention Service, Spamblocker und Webblocker – garantieren dabei, dass der Datenverkehr umfangreich abgesichert ist. „IT-Sicherheit ist essenziell. Bei unserer Unternehmensausrichtung zählt aber auch Flexibilität, hier halten wir uns mit WatchGuard alle Möglichkeiten für die Zukunft offen“, resümiert Clausing.