Die Sicherheit führt ein Schattendasein unter den IT-Themen. Im Gegensatz zu CRM (Customer-Relationship-Management) oder EAI (Enterprise Application Integration) lassen sich Investitionen in den Schutz der Systeme nicht mit der Aussicht auf höhere Umsätze oder eine effektivere Infrastruktur rechtfertigen. Dennoch ist die Systemsicherheit ein Bereich, der mehr und mehr von Anwendern als geschäftskritisch wahrgenommen wird: Laut der IDC-Studie "European Cooperate Infrastructure Survey 2002" steigt der Anteil am IT-Budget, der für Sicherheitsfunktionen ausgegeben wird, signifikant an.
Der IT-Dienstleister der Bertelsmann AG, Arvato Systems, setzt sich mit dem Thema Sicherheit bereits seit längerem auseinander. Der Service-Provider mit Hauptsitz im westfälischen Gütersloh betreibt weltweit mehr als 200 Mail-Server auf Basis von Microsofts "Exchange". Die zentrale Administration erfolgt zum größten Teil über die Network Operation Center (NOC) in Gütersloh, Indianapolis und Shanghai.
Die Einführung der Messaging-Plattform von Microsoft begann 1997. Damals wurden der überwiegende Teil der bislang als Stand-alone-Lösung eingesetzten Mail-Systeme - MS Mail, Lotus Notes, cc:Mail und andere - durch das Redmonder Produkt ersetzt.
Entgegen der Firmenphilosophie
Zu Beginn nahm die Frage des Virenschutzes noch eine untergeordnete Stellung ein: "Am Anfang hatten wir den Ansatz, die Schutzfunktionen ausschließlich auf den PCs zu implementieren", erinnert sich Jesko Jacobs, Projekt-Manager bei Arvato Systems. Wenn alle Endgeräte rundum abgesichert seien, könne nichts passieren, so der Hintergedanke.
Ein zentral organisierter Virenschutz mit verbindlichen Vorgaben für alle Konzernfirmen widersprach laut Jacobs eigentlich der Unternehmensphilosophie der Bertelsmann AG. Bedingt durch die Zunahme des E-Mail-Verkehrs und der dadurch stärkeren Verteilung von Viren begann der IT-Dienstleister dennoch vor vier Jahren mit der Implementierung eines zentralen Virenschutzes für die 32500 Mail-User des Konzerns.
Bei der Suche nach einer geeigneten Software bezog Arvato Systems auch andere Firmen und Fachbereiche des Konzerns ein. Ziel dabei war es, "eine Entscheidung zu treffen, die von allen mitgetragen wird", so Senior Manager Alfons Opitz. Zum Beispiel wurden erste Produktivinstallationen nach der Laborevaluierung in den beteiligten Konzernfirmen in Betrieb genommen, um die Praxistauglichkeit der zur Wahl stehenden Virenschutzprodukte intensiv zu testen.
Die Entscheidung fiel schließlich zugunsten der Antivirensuite des Anbieters Trend Micro. Das ausschlaggebende Kriterium sei das Konzept einer zentralen Installation und Administration gewesen - bei den damals bereits 130 Servern, die weltweit verteilt waren, für Jacobs ein absolutes Muss: "Wir haben vorausgesetzt, dass alle namhaften Anbieter die wichtigen Viren finden. Daher waren für uns Fragen der effizienten Administrierbarkeit und der Möglichkeit, schnell von einem beliebigen Punkt aus eventuell notwendige Prozesse auf den weltweit verteilten Servern in Gang setzen zu können, von zentraler Bedeutung." Flexibel definierbare Gruppen waren gefordert, um zum Beispiel eine Änderung an allen Servern der asiatischen Standorte auf einmal vornehmen zu können.
Auf einen Integrator verzichtete Arvato Systems bewusst, der Lösungsanbieter unterstützte laut Jacobs durch "Hilfe zur Selbsthilfe". Das Unternehmen wollte das Know-how im eigenen Haus behalten: "Es kann nicht sein, dass wir im Problemfall erst einen externen Dienstleister rufen. Wir müssen schließlich in kürzester Zeit reagieren können."
Der Rollout des neuen Virenschutzes erfolgte nach den Labortests für alle Messaging-Server an nur einem Wochenende. Die Arvato-Systems-Mitarbeiter implementierten die Lösung direkt auf den Mail-Servern. Dedizierte Server für diese Aufgabe waren keine Option, da die Exchange-Systeme über genug Leistungsreserven verfügten. So konnte der Service-Provider die Kosten für zusätzliche Hardware vermeiden.
Schwierigkeiten entstanden erst im Betrieb, als die Lösung die ersten Bewährungsproben bestehen musste: Beim Ausbruch des "Loveletter"-Virus zeigte sich, dass die Kommunikationsprozesse und das Krisen-Management nicht klar genug definiert waren. Zwar ließ sich der angerichtete Schaden des "Liebesbriefs" auf ein für die Gesamtabläufe des Konzerns unkritisches Maß begrenzen. Durch ein strukturierteres Virenausbruchskonzept wäre aber wahrscheinlich noch weniger Schaden entstanden. "In diesem Bereich hätten wir im Nachhinein etwas mehr Hilfe vom Softwarehersteller bekommen können", bedauert Jacobs.
Die zu Beginn lückenhafte Organisation bei der Virenbekämpfung hatte Folgen: Daraus entwickelte sich ein kontinuierlicher Lernprozess, der aus Sicht der Verantwortlichen längst nicht abgeschlossen ist. Zuerst wurde eine prinzipielle Policy für den Virenschutz entwickelt. Gleichzeitig führte Arvato Systems Notfallszenarien zur Abwehr von Programmen mit zerstörerischer Wirkung ein. Mit Manöverkritiken nach Virenproblemen arbeitet das Team an der fortlaufenden Verbesserung der implementierten Abläufe.
Technische Probleme galt es bei der Implementierung eines neuen Release von "Server Protect" vor rund einem Jahr zu lösen: Auf den Servern des Unternehmens wollte die neue Produktversion nicht korrekt funktionieren, endlose Virenscans waren die Folge. Die Fehlfunktion trat zwar auf allen Servern auf, ließ sich jedoch unter Laborbedingungen nicht reproduzieren. Da der Fehler vom Hersteller nicht ohne weiteres zu beheben war, schickte er seinen Integrationspartner Ampeg GmbH vor Ort. Der konnte den Fehler mit einem Work-Around aus der Welt schaffen. Aus dieser positiven Erfahrung entwickelte sich in der Folge eine vertrauensvolle Zusammenarbeit.
Notfallpläne gegen akute Gefahr
Das Resümee nach einigen Jahren Virenabwehr bei Arvato Systems: Die Prozessdefinition ist ebenso wichtig wie die Auswahl der einzusetzenden Produkte - schon allein, weil neue Viren oft erst mit Zeitverzögerung von den Programmen erkannt werden können. Dann helfen nur gut eingespielte Notfallpläne, um mit Work-Arounds wie etwa Attachment-Blocking die akute Gefahr abzuwenden. "Wir haben gelernt, dass Virenschutz mehr ist, als eine Software einzuführen", lautet Jacobs Fazit. (rg)
*Jan Schulze ist freier Autor in Erding.