computerwoche.de

Archiv

Internet-Sicherheit/Weltweit einheitliche Daten für Mitarbeiter und Kunden

Burgmann dichtet sein Intranet mit einem Virtual Private Network ab

30.07.1999
MÜNCHEN (CW) - Die Feodor Burgmann Dichtungswerke GmbH & Co., einer der führenden Anbieter von Dichtungstechnik, setzt auf Internet-Technologie zur sicheren Anbindung der weltweiten Niederlassungen an die Firmenzentrale. Zusammen mit dem Outsourcing-Partner IQ-Products wird derzeit ein mehrstufiges Virtual Private Network (VPN) realisiert.

Das Wolfratshausener Familienunternehmen Burgmann liefert mit über 2700 Mitarbeitern weltweit hochqualitative Dichtungen für den Einsatz in Pumpen, Kompressoren, Rührern, Mischern und einer Vielzahl anderer Maschinen in praktisch allen Industriebereichen. Mit 18 Werkbüros in Deutschland, mehr als 40 internationalen Tochterfirmen, Joint-ventures und Beteiligungsgesellschaften bietet Burgmann seinen Kunden ein dichtes Servicenetz. Ziel des VPN-Projekts ist es, Informationen für die eigenen Mitarbeiter wie für die Kunden eindeutig und aktuell zur Verfügung zu stellen - bei einem weltweit tätigen Unternehmen kein leichtes Unterfangen.

Die Kernfrage war zunächst einmal: Welche Technik erlaubt weltweit die Anbindung der Mitarbeiter an die zentralen Systeme (Lagerverwaltung, PPS, Marktdatenbank, Buchhaltung) und bietet dabei nicht nur den Zugriff auf Lagerbestände, Preise sowie Konstruktionszeichnungen, sondern zudem die Möglichkeit, diese Daten auch zu bearbeiten? Nicht zuletzt aufgrund der bewährten preiswerten und systemunabhängigen Internet-Technologie TCP/IP fiel die Wahl auf ein VPN. Da sich die Mitarbeiter jeweils über einen lokalen Internet-Service-Provider (ISP) einwählen, erfolgt die Datenübertragung zum Ortstarif. Zwischen dem Provider und dem Übergang ins firmeninterne Netz wird die IP-Tunneling-Technik (siehe Kasten "So funktioniert ein VPN") eingesetzt, die den Datenverkehr gegen das Internet als Transportmedium abschottet. Die Sicherheit dieser Kommunikation wird durch den Einsatz von Firewalls, Authentisierung und Verschlüsselung erhöht.

Die Projektleitung wurde der Stabsstelle IT-Koordination übertragen. Diese Abteilung, mit vier Mitarbeitern direkt der Geschäftsleitung unterstellt, gibt nicht nur einheitliche Richtlinien für Rechner, Betriebssysteme und Anwendungen in den Geschäftsstellen vor und überprüft deren Einhaltung, sondern definiert und steuert auch globale Projekte. Daneben sind jedoch noch andere Abteilungen in das Vorhaben involviert: Marketing und Grafik erarbeiten Rahmen, Navigation und Inhalte für einen einheitlichen Auftritt, die einzelnen Abteilungen liefern Inhalte, und externe Programmierer realisieren die technische Umsetzung. In enger Zusammenarbeit zwischen Burgmann und dem Outsourcing-Partner IQ-Products aus Dornach bei München wurde schließlich innerhalb eines Monats ein Konzept erstellt, das die Durchführung des VPN-Projekts in drei Phasen vorsah:

1. Installation einer zentralen Hochverfügbarkeits-Firewall-Lösung als Schnittstelle zum VPN,

2. Anbindung der Außenstellen über vorkonfigurierte Systeme,

3. Ausweitung der Internet-Sicherheit.

In einem ersten Schritt sollte eine sichere Internet-Anbindung des zentralen Firmennetzwerks mit 480 Rechnern implementiert werden, um die Anbindung der weltweit verteilten Außenstellen per Virtual Private Network zuverlässig vorzubereiten. Sicherheit mußte hier in doppeltem Sinn gegeben sein: gegen unerlaubten Zugriff und für die Verfügbarkeit rund um die Uhr. Zu diesem Zweck wurden Firewall, Web- und Datenbank-Server - die wichtigsten Komponenten des Konzepts - mit einer Hochverfügbarkeits-Lösung beziehungsweise mit gespiegelten Rechnern im automatischen Stand-by aufgesetzt.

Die neue, tragende Rolle als Schnittstelle zwischen Internet und Firmennetzwerk übernimmt Check Points "Firewall-1" in Kombination mit der Hochverfügbarkeitslösung "Stonebeat" von Stonesoft aus Espoo in Finnland auf zwei Sun-Enterprise-250-Servern. Bei dieser Konfiguration wird die Firewall-Hardware an zwei parallelgeschalteten Gateways mit der Stonebeat-Software doppelt ausgelegt. Die Schnittstellen am zweiten Gateway sind so lange deaktiviert, bis ein Fehler auftritt. Dann werden sie in weniger als einer Sekunde hochgefahren. Dieses rasche Umschalten ist auch bei Wartungsarbeiten von großem Nutzen.

Alle Anfragen aus dem Internet werden über die bei Burgmann installierten Web-Server auf Compaq-Proliant-Rechnern unter Windows NT bedient. Diese allein kommunizieren mit dem Firmennetz, so daß in keinem Fall eine direkte Verbindung zwischen Client und Local Area Network (LAN) entsteht. Der gesamte E-Mail-Verkehr wird durch das "Virus Control System" von Trend Micro mit durchgängigem, mehrstufigem Schutz in puncto Viren und anderen schädlichen Codes auf einer "Ultra 5"-Workstation von Sun geprüft, bevor er in das interne Netz von Burgmann weitergeleitet wird. Das System läßt sich so konfigurieren, daß ein täglicher Abgleich der aktuell bekannten Viren automatisch erfolgt. Der Außendienst greift via Authentisierung durch User-ID, Paßwort oder Software-/Hardware-Token mit Hilfe von Check Points "Secu-Remote" verschlüsselt auf das Firmennetz zu.

Die Sicherheitspolitik wurde in enger Zusammenarbeit zwischen Burgmann und dem externen Systemintegrator erstellt. Viele Unternehmen, die ähnliche Sicherheitskonzepte planen, befinden sich in einem Zwiespalt: Einerseits wollen sie sensible firmeninterne Informationen keinem Externen anvertrauen, andererseits brauchen sie gerade bei einem solchen Projekt oft das Know-how und die Erfahrung eines spezialisierten Dienstleisters. Elmar Baur, Vorsitzender der Geschäftsführung bei Burgmann: "Die Entscheidung war nicht einfach, diesen Weg mit einem externen Systemintegrator zu gehen. Deshalb legen wir größten Wert auf die organisatorische Sicherheit. Vertrauen ist gut - Kontrolle jedoch auch hier besser." Deshalb verbleibt das komplette Nutzer-Management, etwa die Aktualisierung der IP-Adressen, bei Burgmann. Der Systemintegrator übernimmt lediglich die Firewall-Administration mit der detaillierten Auswertung der Log-Dateien und sorgt durch regelmäßige Überprüfung für die Aktualität der gemeinsam aufgesetzten Sicherheitspolitik. Dabei kommen die Produkte der Firma Internet Security Services (ISS) zum Einsatz.

In der zweiten Phase des VPN-Projekts sollen 16 außereuropäische Zweigstellen des Dichtungsherstellers an das Firmennetz angebunden werden. Zwischen den europäischen Filialen existieren bereits seit mehreren Jahren Frame-Relay-Leitungen. Aus Kostengründen wird zumindest über eine teilweise Ablösung zu einem späteren Zeitpunkt nachgedacht. Um die Anbindung der außereuropäischen Dependancen kostengünstig und effizient durchzuführen, wird ein Plug-and-play-Konzept verwendet: "VPN 1 Appliance"-Systeme von Check Point werden mit Firewall und Betriebssystem vorkonfiguriert und an die Außenstellen geschickt. Vor Ort müssen diese nur noch von einem Mitarbeiter angeschlossen werden. Inbetriebnahme und Wartung laufen dann per Remote-Konfiguration über einen GUI-Client beim Systemintegrator, der verschlüsselt mit der Management-Station im Firmennetz von Burgmann verbunden ist. Voraussetzung für die Realisierung eines solchen Konzepts ist ein strenges Regelwerk.

Die einheitliche Struktur der internen Netzwerke, Definitionen der IP-Adressen und Regeln zwischen Zentrale, Zweigstelle und Systemintegrator müssen detailliert festgeschrieben werden. "Pilotfiliale wird unsere türkische Außenstelle in Izmir sein", erklärt Rudolf Sperl, Leiter IT-Koordination bei Burgmann, "Hier wird die Standardkonfiguration, die dann für die weiteren Standorte maßgeblich ist, ausführlich getestet." Dieser Projektschritt ist mit etwa fünf Manntagen veranschlagt, die Vorinstallation der Systeme nimmt zirka zwei Wochen in Anspruch.

Security als Instrument der Kundenbindung

Motto der dritten Phase schließlich ist "Skalierbare Sicherheit als oberstes Gebot". Wurde im ersten Schritt die Authentisierung über User-ID und Paßwort realisiert, so soll der autorisierte Zugang zu den zentralen Firmendaten letztendlich zusätzlich über Software-/Hardware-Token oder Smart-Cards gesichert werden. Burgmann weiß die erforderliche Ausstattung der Nutzer mit Chipkartenleser und Karte für sich zu nutzen: "Natürlich ist für uns in erster Linie das Plus an Sicherheit entscheidend. Wir betrachten dieses Equipment jedoch zusätzlich als Instrument der Kundenbindung und werden die Smart-Cards als eine Art Kundenkarte nutzen", erklärt Geschäftsleiter Baur. In einem weiteren Schritt wäre bei Burgmann auch der Aufbau einer eigenen Verschlüsselungsinfrastruktur denkbar. Das hätte den Vorteil, Kunden ein Höchstmaß an Sicherheit für Bestellungen und Zahlungen über das Internet bieten zu können und mögliche Vorbehalte gegen den elektronischen Handel zu entkräften.

Nach dem Abschluß der ersten Projektphase von "Burgmann Intern", dem weltweiten Intranet via VPN, freut sich IT-Leiter Sperl: "Der schnelle und direkte Zugriff auf die eindeutigen Informationen verbessert nicht nur die Zusammenarbeit innerhalb des Unternehmens, sondern auch die Zufriedenheit unserer Geschäftskunden.

So funktioniert ein VPN

Ein Virtual Private Network (VPN) ermöglicht sichere (private) Verbindungen für Netzapplikationen über ein öffentliches, unsicheres Medium wie das Internet. Als wichtigste Komponenten für die Sicherheit des VPN gelten Zugangskontrolle, Verschlüsselung sowie die Authentifizierung von Benutzern und Daten. Authentifizierung von Daten heißt: überprüfen, ob die Nachricht tatsächlich vom angegebenen Sender stammt und unterwegs nicht verändert wurde. Die Authentizität von Benutzern soll dagegen unautorisierten Personen den Zugang verwehren. Bekannte Verfahren sind die Eingabe von Benutzernamen und Paßwort oder die Identifizierung durch Chipkarte und Geheimzahl. Steht die Identität der Person fest, hat sie entsprechend ihrem Benutzerprofil Zugriff auf ganz bestimmte Dienste und Ressourcen (Zugangskontrolle). Die Verschlüsselung dient der Geheimhaltung der Daten auf dem Transportweg. Eine gute VPN-Lösung bietet die Möglichkeit, die Daten verschlüsselt oder im Klartext zu senden oder ganz zu blockieren. Sollen via Internet LANs verbunden werden, die nicht TCP/IP benutzen, kommt das Tunneling-Konzept zum Tragen. Darunter versteht man die Einbettung eines Protokolls in ein anderes. Im wesentlichen wird dabei jedem Datenpaket ein IP-Header vorangestellt, damit es sich über das Internet transportieren läßt.

Damit sich zwei VPN-Teilnehmer überhaupt verstehen, müssen beide dieselbe Sprache sprechen, das heißt, das gleiche VPN-Protokoll verwenden. Die Protokolle PPTP (Point-to-point Tunneling Protocol), L2F (Layer 2 Forwarding) und L2TP (Layer 2 Tunneling Protocol) packen zunächst Pakete der Ebene 3 in IP-Pakete ein, die dann mit Hilfe des Point-to-point-Protocol-(PPP-)Verfahrens über das Internet verschickt werden können. An einem Standard, der die Paketstruktur und die Security Association (SA) für die VPN-Kommunikation festlegt, feilt die Arbeitsgruppe IP Security (IP Sec) der Internet Engineering Task Force (IETF). Die standardisierte Paketstruktur enthält zwischen IP-Header und dem Originaldatenpaket ein weiteres Element, das vor allem die Datenintegrität sichern soll. Der IP-Sec-Standard schreibt außerdem vor, daß vor jeglichem Datenverkehr eine Security Association zwischen den beiden VPN-Knoten verhandelt werden muß, die alle Informationen über die Ausführung diverser Sicherheitsdienste enthält.

Angeklickt

Die Burgmann Dichtungswerke GmbH in Wolfratshausen bei München hat sich für den Aufbau eines Virtual Private Network (VPN) zur Vernetzung der in- und ausländischen Computerarbeitsplätze entschieden. Zusammen mit einem externen Dienstleister entwickelte die Firma ein dreistufiges Projekt, das eine zentrale Hochverfügbarkeits-Firewall-Lösung, eine Anbindung der Außenstellen über vorkonfigurierte Systeme sowie die Ausweitung der Sicherheitsstufen vorsieht.