computerwoche.de

Archiv

Kundendaten dürfen nicht in fremde Hände gelangen

Autozulieferer Webasto betreibt weltweites VPN

16.06.2000
MÜNCHEN (sra) - Konstruktionspläne für ein neues Modell, zum Beispiel von Daimler-Chrysler, dürfen auf keinen Fall in die Hände der Konkurrenz gelangen. Deswegen braucht Webasto als Produzent von Schiebedächern, Standheizungen und Klimaanlagen für verschiedene Automobilkonzerne, unbedingt eine sichere Lösung für die Kommunikation mit anderen Standorten. Ein globales Virtual Private Network (VPN) soll das Risiko einschränken.

Erst als sich die Automobilindustrie grundlegend änderte, hielt Webasto es für nötig, die bis dahin vorhandene (heterogene) Lösung für die Kommunikation zu überdenken. Zunächst kochte jede Landesgesellschaft ihr eigenes Süppchen, weil sie nur die Kunden im eigenen Land zu bearbeiten hatte - beispielsweise die Franzosen Renault, Citroën und Peugeot, die Briten Rover. Jede dieser Gesellschaften hatte eine eigene Infrastruktur. Doch dann brachten Fusionen (wie die zwischen Daimler-Benz und Chrysler) und Geschäftsverlegungen (etwa japanischer Firmen nach Europa) Bewegung in die Branche. Plötzlich war Zusammenarbeit über Ländergrenzen hinweg nötig. Die Webasto Informationssysteme GmbH aus Stockdorf, die IT- Ausgründung des Automobilzulieferers, stand vor einer Herausforderung.

Prinzipiell gab es zwei Möglichkeiten, damit umzugehen. Entweder kann die Zentrale den Niederlassungen bei der Auswahl der IT-Komponenten weiterhin freie Hand lassen und hinterher zusehen, wie die verschiedenen Ansätze unter einen Hut zu bekommen sind (dezentrale Strategie). Oder sie schreibt allen eine einheitliche Lösung vor und nimmt dabei Widerstände bei der Durchsetzung in Kauf (zentrale Strategie). Webasto entschied sich aus Gründen der Praktikabilität für die zweite Variante.

"Die Ausgangsbasis war nicht schlecht", bilanziert Bruno Wenzel, Leiter Service und Kommunikationstechnik bei Webasto. Überwiegend wurden TCP/IP, Windows NT und Microsoft Office eingesetzt. Lediglich die Amerikaner scherten mit "Groupwise" von Novell für den E-Mail-Austausch aus. Daneben standen noch Altlasten wie das Protokoll IPX/SPX oder Token Ring auf der Abschussliste. Bei der Einführung zentral definierter Unternehmensstandards packten die Stockdorfer das Übel an der Wurzel: Sie gingen sogar so weit, fertig konfigurierte Hard- und Software an die Bestimmungsorte zu verschicken. Selbst die Installation vor Ort - und danach die (Fern-)Administration - übernahmen Mitarbeiter aus der Zentrale.

Für die Kommunikation zwischen den Standorten setzt Webasto auf ein weltweites VPN. Festverbindungen schieden aus Kostengründen aus. Auch die wachsende Bedeutung des Internet bestärkte den Zulieferer in der Entscheidung.

Eine zentrale Rolle spielt die Sicherheit: Für den Zulieferer wäre es der GAU, wenn Wettbewerber aus der Autoindustrie aus dem Webasto-Netz Informationen über Kunden erführen. Die Verschlüsselung sollte daher automatisch erfolgen und keinesfalls voraussetzen, dass der Endnutzer zusätzliche Schritte ausführen muss (wie etwa bei PGP). Durchsatz und Administrierbarkeit gehören ebenfalls zu den Kriterien, die Webasto angelegt hat. Die Verbindung zwischen zwei lokalen Netzen an verschiedenen Standorten erfordert lediglich zwei Firewalls als Brückenköpfe. Eine Client-Software benötigen nur mobile Mitarbeiter, die mit einem Laptop unterwegs sind.

Nach der prinzipiellen Entscheidung für ein VPN waren weitere Fragen zu klären: Soll die Lösung auf Hardware oder/und auf Software basieren? Kann die vorhandene Firewall dafür verwendet werden? "Wir hatten damals eine mehrstufige Firewall mit Paketfilter auf Linux-Basis", erläutert Wenzel. Lange hätten sie überlegt, ob sie das VPN auf dieser Basis aufbauen sollten. Schließlich rückten sie jedoch wieder von dieser Idee ab und entschieden sich stattdessen für eine softwarebasierte Lösung von Axent Technologies.

"Das System integriert VPN- und Firewall-Modul in einem. Eine Softwarelösung bietet zudem eine größere Flexibilität als eine hardwarebasierende", argumentiert Masud Farid, Systemberater bei Webasto. Dass die eigene Firewall ausgemustert wurde, hing teilweise mit der Durchsetzbarkeit im Unternehmen zusammen. "Es macht einen Unterschied, ob wir weltweit einen internationalen Hersteller oder eine selbstgestrickte Lösung zum Standard erheben", weiß Wenzel.

Ein weiterer Grund: In der Automobilbranche werden die Zulieferer regelmäßig von den Kunden zertifiziert. Neben der Organisationsstruktur überprüfen die Autohersteller auch die Sicherheit ihrer Geschäftspartner. Wer sich auf Produkte eines namhaften Anbieters verlässt, ist hier im Vorteil: "Kunden lehnen eine hausintern erarbeitete Lösung nicht prinzipiell ab - aber genauer hinsehen würden sie schon", führt Josef Richter, Geschäftsführer von Webasto Informationssysteme, aus.

Eine Anforderung an den Firewall-Hersteller war, dass der in der Lage sein sollte, die Lösung weltweit zu supporten. Statt eines Paketfilters wollte Webasto lieber ein Application-Level-Gateway. Eine solche Firewall fungiert als Applikations-Server und tritt nach außen wie der Endnutzer auf, nach innen wie das Web. Sie packt alle Pakete aus und kann sie interpretieren. Last, but not least ist Axents "Raptor"-Firewall auch für das European Network Exchange (ENX) zertifiziert. "Wir sind mit den Firmen in Kontakt. Als großer Zulieferer kommt man ja nicht darum herum, daran teilzunehmen", ergänzt Richter.

Derzeit arbeitet Webasto noch mit dezentralen Internet-Service-Providern (ISPs) zusammen. Hintergrund ist, dass die Landesgesellschaften schon einen Internet-Zugang hatten und Kontakte zu lokalen ISPs pflegten. "Im Allgemeinen klappte das gut. Wir hatten aber auch Fälle, wo sich die Antwortzeiten plötzlich drastisch verschlechterten", wertet Richter. In so einem Fall sei es aufwändig gewesen, den richtigen Ansprechpartner zu finden. Deswegen sucht Webasto nun nach einem oder maximal zwei ISPs für die gesamte Gruppe. Richter hofft, mit dem größeren Volumen auch bessere Konditionen zu bekommen. Mit dem neuen ISP möchten die Stockdorfer dann auch Service-Level-Agreements (SLAs) abschließen, in denen Entstör-, Antwortzeiten und Verfügbarkeiten festgelegt werden.

Die Kosten für einen Internet-Zugang sind je nach Land, Provider und Umständen sehr unterschiedlich. "Ein VPN ist nicht immer die günstigste Lösung. Wir hatten schon Angebote, bei denen ein solches Netz teurer gekommen wäre als eine herkömmliche Festverbindung", weiß Richter. "Unser VPN ist im Schnitt 30 bis 40 Prozent billiger als eine Lösung mit Standleitungen."

Ins Reich der Märchen verweist der Geschäftsführer die Ansicht, über ein VPN könne man allenfalls E-Mail übertragen. Die Antwortzeiten lägen im Schnitt bei 70 Millisekunden für einen Ping innerhalb von Europa, bei 120 Millisekunden in den USA und schätzungsweise 220 Millisekunden im asiatischen Raum. "Das vertragen die meisten Client-Server-Applikationen", bekräftigt er. Praktisch laufen alle geschäftskritischen Anwendungen wie Auftragsabwicklung, Lager oder Wareneingang auf wenigen zentralen Servern.

Gesellschaften, die in großem Stil Entwicklung und Fertigung betreiben, benutzen das Workflow-System "Novamanage". Wird etwa ein Schiebedach in Deutschland entwickelt und in Großbritannien produziert, so schicken die Deutschen den Briten die Konstruktionspläne elektronisch. Welche Zulieferer auf der Insel involviert sind, bleibt den britischen Kollegen überlassen. Über das Workflow-System können die Deutschen sehen, wie weit die Briten mit der Arbeit sind. Weitere Anwendungen, die über das VPN betrieben werden, sind das ERP-Programm "MFG/pro", "Catia" für den CAD-Datenaustausch, "Exchange" für die E-Mail-Kommunikation und "Hyperion" für das Finanz-Reporting. Zunehmend nutzt Webasto auch zentrale und Teile-Datenbanken über das Netz. Fragen wie "Wo ist dies oder jenes Teil von einem Schiebedach schon einmal entwickelt worden?" lassen sich so schneller klären.

Als nächstes stehen verschiedene Vorhaben auf der Tages-ordnung der IT-Profis von Webasto: Eine internationale Policy soll erarbeitet werden - möglichst gemeinsam. Die Gesellschaften, die noch nicht im Netz sind, sind einzugliedern. Automatische Loganalysen und Backups sollen die zentrale Administration der Firewalls in Stockdorf erleichtern. Als Fernziel gilt, den E-Commerce auch auf Händler und Endkunden auszudehnen. Dafür sind dann noch ausgeklügeltere Sicherheitsmechanismen nötig als im internen Netz - etwa für die Authentisierung.

Das UnternehmenDer Name des Unternehmens geht auf den Gründer Wilhelm Baier zurück. Aus dessen Initialen W und Ba sowie dem Firmenstandort Stockdorf wurde der Kunstname Webasto. Die Firma produziert Zubehör für die Automobilindustrie. Sie umfasst die Produktbereiche Standheizungen, Schiebedächer, Klimaanlagen und Bustüren. Zu den Kunden gehören etwa Daimler-Chrysler und BMW. Webasto beschäftigt weltweit rund 4300 Mitarbeiter und erwirtschaftet einen Jahresumsatz von 1,8 Milliarden Mark. In Deutschland verfügt das Unternehmen außer der Zentrale in Stockdorf über drei weitere Produktionsstandorte. Produktionsstätten befinden sich auch in Großbritannien, Frankreich, Italien, den USA, Brasilien, Korea, Japan, der Türkei, in Ungarn und der Ukraine sowie in Südafrika.

Abb: Nicht nur E-mails schickt Webasto über das VPN, sondern auch Daten für das Workflow-System "Novamanage" oder die CAD-Software "Catia". Quelle: Webasto