Étude de cas - expert Warenvertrieb GmbH

Auf mehr Sicherheit umgeswitched

Herausforderung

Die expert Warenvertrieb GmbH verantwortet als eigenständige Tochtergesellschaft innerhalb des Handelsverbunds für Consumer Electronics, Informationstechnologie, Telekommunikation, Entertainment und Elektrohaushaltsgeräte – expert SE – das Dienstleistungsangebot und Lagergeschäft der gesamten Gruppe. Als Rückgrat des zweitgrößten Elektronikfachhändlers in Deutschland ist sie nicht zuletzt dafür verantwortlich, dass IT-seitig alles rund läuft. Neben der Steuerung der externen Dienstleistungspartner für den IT-Betrieb gehört zum Aufgabenspektrum ebenso die Verwaltung der internen IT-Strukturen, die die insgesamt 490 Mitarbeiter der expert Warenvertrieb GmbH tagtäglich nutzen. Da der Datentransfer im Netzwerk bis dato über ein in die Jahre gekommenes, nicht-redundantes Core-Switch lief, musste das IT-Team 2016 handeln. „Das von diesem Single-Point-of-Failure ausgehende Risiko war einfach zu hoch“, so Oliver Rebock, Abteilungsleiter IT-Betrieb bei der expert Warenvertrieb GmbH. „Es stellte sich in der Situation nur die grundsätzliche Frage, ob wir im Zuge der Modernisierung auf neue Switches umsteigen oder gleich ein Routing auf Firewall-Ebene umsetzen.
Die Segmentierung einzelner Bereiche gab es bereits, es fehlten jedoch Security-Scans zwischen den einzelnen VLANs (Virtual Local Area Network).“ Letztendlich setzte sich die Idee des Firewall-Routings
durch.

Lösung

In der Konzeptphase kam es darauf an, die Logik der Netzwerkinfrastruktur auf Firewall-Ebene abzubilden und dem Wechsel vom Layer-3-Switch zum Layer-3-Firewall-Routing den Weg zu ebnen. In dem Zusammenhang musste auch das richtige Modell der Hardware gefunden werden. Zur Ist-Analyse, bei der die Funktionalität der bisher eingesetzten Switches exakt aufgeschlüsselt wurde, gehörte daher gleichzeitig die Identifizierung der zugrunde liegenden Performance-Anforderungen. Schließlich galt es zu gewährleisten, dass die gewählte Hardware hinsichtlich der Bandbreite über ausreichend Luft nach oben verfügt und nicht so bald an ihre Grenzen stößt. Im anschließenden Soll-Konzept stand die exakte schematische Darstellung der erforderlichen Verknüpfungen an. „Dadurch wurde die gesamte Struktur inklusive der künftigen Redundanz greifbar, was uns die weitere Arbeit enorm erleichterte“, erklärt der IT-Verantwortliche. Bereits wenige Wochen nach dem ersten Kick-off nahm das Firewall-Cluster, welches das bestehende Routing-Schema abbildete, seinen Dienst auf. Innerhalb von zwei Stunden waren die bekannten Datenaustauschprozesse vom Switch auf die beiden Plattformen vom Typ Firebox M5600, die im Sinne der Ausfallsicherheit auf zwei Rechenzentren verteilt wurden, umgestellt. Die bekannte Segmentierung über VLANs wurde genauso beibehalten – mit entscheidendem Mehrwert: Denn der zwischen den einzelnen VLANs stattfindende Datenverkehr durchläuft seitdem zusätzliche Prüfungen zur Identifizierung von schadhaftem Code. Hierfür wurden sukzessive weitere Sicherheitsmechanismen im Rahmen der Total Security Suite von WatchGuard netzwerkübergreifend ausgerollt. Den Abschluss des Projekts bildete die Ablösung des bestehenden externen Dienstleisters, der bis dahin die Absicherung des gesamten Netzwerks nach außen verantwortete. Die dabei gültigen Firewall-Einstellungen konnten passgenau übernommen werden.

Ergebnis

Die Absicherung des Netzwerks läuft reibungslos, wie Rebock unterstreicht: „Ich glaube, wir haben an dieser Stelle jetzt weniger Aufwand als früher. Sollte es wirklich mal Handlungsbedarf hinsichtlich der Sicherheitsfunktionalität geben, ist das ruckzuck in den eigenen Reihen erledigt. Da hat es vorher zum Teil länger gedauert, dem Dienstleister die Mail mit der Problemschilderung zu schreiben und ein Serviceticket anzufordern.“ Neben der verstärkten Sicherheit dank umfangreicher Security-Funktionalitäten möchte die IT-Abteilung die hinzugewonnene Transparenz beim Datenhandling nicht mehr missen. Bis heute gibt es keinerlei Probleme. Die Hardware läuft 24/7 und auch Software-Updates sind über das Aktiv-Passiv-Cluster schnell eingespielt. Der Funktionsumfang soll daher künftig noch ausgebaut werden. Die damalige Entscheidung, durch die gleich zwei Fliegen mit einer Klappe geschlagen werden konnten, hat keiner bereut. „Die veralteten Switches sind wir los. Der Datenverkehr erfolgt jetzt nicht nur einwandfrei – sondern auch umfassend abgesichert“, so Rebock abschließend.