Als Hauptzutaten seines Erfolgsrezepts betrachtet Beiersdorf die Nähe zum Kunden und das grundlegende Verständnis individueller Ansprüche. Für Marktnähe sorgen unter anderem lokale Gesellschaften an über 80 Standorten rund um den Globus. Die Hoheit über die globale IT-Infrastruktur hat die Beiersdorf Shared Services GmbH (BSS).

Der Schutz der Daten und die Aufrechterhaltung des IT-Betriebs sind dabei von zentraler Bedeutung. Mit der Einführung eines Monitoring-Systems für die IT-Sicherheitssysteme wurde nun die notwendige Transparenz geschaffen, um wirksam an der Qualität der IT-Sicherheit zu arbeiten.

Komplexes Netzwerk

Bis zum Jahr 2010 setzte BSS im Bereich Malware-Schutz durchgehend auf Produkte von McAfee. Danach wurde auf Microsoft-Forefront-Lösungen für Clients und Server umgestellt. Microsoft WSUS (Windows Server Update Services) ist seit vielen Jahren für das Patch-Management bei Servern zuständig. Vor Kurzem abgeschlossen wurde die Einführung von Microsoft SCCM (System Center Configuration Manager) für das Patch-Management auf den Clients.

Zu McAfee-Zeiten versorgte der "E-Policy Orchestrator" die Security-Spezialisten mit Informationen zum Sicherheitsstatus der Antivirus-geschützten Systeme. WSUS und SCCM zeigten den Patch-Status für die einzelnen Clients an. Berichte gingen an den Security Officer, der die IT-Sicherheit auch mit einem Nessus-Scanner prüfte.

Schwachstelle Intransparenz

Wie sich im Nachhinein herausstellte, waren ein paar Dinge übersehen worden. So waren übergreifende Auswertungen zur Sicherheitslage nicht machbar. War auf einem System die Installation des McAfee-Agenten fehlgeschlagen, so tauchte dieser in der Management-Konsole einfach nicht auf. Das Team hatte keine Möglichkeit zur unabhängigen Prüfung beziehungsweise Qualitätssicherung der Sicherheitssysteme.

Beim Patch-Management stellte sich die Situation ähnlich dar. Generell müssen Patches mit der Bewertung "critical" weltweit unverzüglich, andere wichtige Patches nach der Prüfung durch ein BSS-Gremium innerhalb von zwei Wochen ausgerollt sein. Doch die Einhaltung dieser Vorgaben ließ sich nur bei Systemen überprüfen, die WSUS beziehungsweise SCCM registriert hatte. Server oder Clients, die nicht an das Antivirus- oder Patch-Management angeschlossen waren, wurden zu blinden Flecken.

Konsolidierung der Informationen

Es konnte vorkommen, dass ein Rechner laut McAfee optimal geschützt, aber auf der Patch-Seite völlig offen war. Bei Angaben zum Security-Level oder bei Auswertungen zu einzelnen Rollouts war das Team nicht in der Lage, die Angaben der Sicherheitssysteme unabhängig zu prüfen.

Vor etwa drei Jahren entschied die 24-köpfige Abteilung Platforms and Infrastructure Applications deshalb, das unabhängige Nebenher der Sicherheitssysteme zu beenden. Auf einen Blick sollte erkennbar sein, wie es um den Sicherheitsstatus eines Systems, einer Systemgruppe oder des gesamten Netzwerks bestellt ist.

Die zentrale Anforderung war die Fähigkeit, übergreifende Auswertungen Web-basierend und in Echtzeit bereitzustellen. Die Mitarbeiter sollten sowohl von ihren Rechnern als auch mobil jederzeit darauf zugreifen und sich Statusberichte für Meetings ausgeben lassen können. Die Lösung sollte zudem keine Eigenentwicklungen erfordern und trotzdem flexibel genug sein. Ferner durfte der anvisierte Wechsel von McAfee auf Microsoft-Sicherheitslösungen keine Hürde darstellen.

Verlorene Systeme

BSS entschied sich für das System "Security Lighthouse" von Ampeg. Die Inbetriebnahme des Monitorings war nach einer Woche abgeschlossen. Das Projektteam setzte den Security-Lighthouse-Server auf und schloss mittels der "Kollektoren" des Systems die Management-Konsolen von McAfee, WSUS, SCCM und das Microsoft Active Directory an die Ampeg-Lösung an.

Schon beim ersten Lauf wurde der Wert der Lösung deutlich. Tatsächlich waren etwa zehn Prozent der Rechner weltweit nur an jeweils ein Sicherheitssystem angeschlossen. Laut Michael Hänsel, Projekt-Manager bei Ampeg, ist das noch ein sehr guter Wert. Aber immerhin jeder zehnte Rechner erhielt entweder Viren-Patterns oder Patches, aber nicht beides. Durch die Zusammenführung der Daten aus allen vier Systemen ließen sich diese Schwachstellen unmittelbar identifizieren. Und nach der Aktivierung des Security Lighthouse konnte das BSS-Team mit der Behebung der Schwachstellen beginnen.

Die Umstellung von McAfee auf Forefront Endpoint Protection im September 2010 beeinträchtigte den Betrieb nicht. Ampeg hatte den Forefront-Kollektor vorbereitet, so dass sofort Daten aus MS Forefront in das Monitoring-Tool fließen konnten.

Das Ende des Blindflugs

Ein Dashboard in Ampelfarben zeigt nun den korrelierten Sicherheitsstatus von Ländern, Standorten, definierten Systemgruppen oder Einzelsystemen. Die Farben ergeben sich aus den von BSS festgelegten Grenz- und Schwellenwerten.

Beim Patch-Management wird der Sicherheitsstatus eines Standorts nur dann grün angezeigt, wenn dort auf allen Systemen die Critical- und Security-Patches auch tatsächlich installiert wurden. Für Standorte, die mit gelb oder rot markiert sind, liefert die Lösung Detailinformationen mit Angaben über fehlende Patterns oder Patches.

Das nächste Projekt steht bereits ins Haus: die Identifizierung von Software, die sich Mitarbeiter selbst auf ihren Rechnern installiert haben und die Bedrohungen für die IT-Sicherheit mit sich bringen kann - nicht freigegebene Betriebssysteme oder Programme wie Apples iCloud und "Dropbox".

Für freigegebene Programme wirkt das Update-Management den Schwachstellen entgegen. Die Analyse des Software-Inventory mit dem "Security Lighthouse" hilft BSS, die nötige Transparenz für das Security-Level-Management herzustellen.

Status quo im grünen Bereich

Derzeit spricht das Projektteam wöchentlich mit dem Security Officer und sieht sich stichprobenartig die Auswertungen des Vulnerability-Scanners an. Überraschungen bleiben dabei aus: Die weltweite Gesamtsicht auf den Sicherheitsstatus ist wohl der wertvollste Aspekt des Projekts. (qua)