Von der E-Mail zum komplexen Internet-System

Dr. Oetker: Online zwischen Sicherheit und Komfort

10.11.2000
Internet-Sicherheit sieht der Bielefelder Lebensmittelproduzent Dr. Oetker unter drei Aspekten: Betriebssicherheit, Schutz vor äußeren Angriffen und im Ernstfall die Deliquentenverfolgung. Rolf Bastian* hat sich das Konzept genauer angesehen.

"Qualität ist das beste Rezept." Kein Zweifel: Dieser Slogan, mit dem die Dr. August Oetker Nahrungsmittel KG für ihre Produkte wirbt, findet sich im Unternehmen weithin eingesetzt. Auch bei Frank Pickert kommen Schnellschüsse nicht vor. Der Leiter der Abteilung Bürokommunikation im Bereich Organisation/Systementwicklung folgt vielmehr einem bewährten Rezept: An einfachen "Gerichten" die Grundregeln lernen, bevor man sich an komplexe Kreationen heranwagt. Bürokommunikation stand wie in den meisten Unternehmen am Anfang der Unternehmens-DV. Mittlerweile ist Pickerts Team in der Bielefelder Zentrale für die gesamte Integration von Internet-Prozessen verantwortlich.

Seit 1996 kommuniziert man bei Dr. Oetker auf elektronischer Basis. Die technischen Zutaten sind "Lotus Notes" und Zusatzprodukte dort, wo die Sicherheitsmechanismen des Basissystems nicht ausreichen. "Mit die stabilsten bei der E-Mail-Filterung und -Kontrolle", so Pickert, "sind dabei die seit Anfang 1998 verwendeten Tools der Group GmbH & Co. KG aus Karlsruhe: Watch Dog, Chinese Wall und Elma." Watch Dog zerlegt die Mails und Dokumente und führt die Anhänge dem Virenprüfer zu, der dann seine Arbeit verrichten kann. Auch lassen sich bestimmte Typen von Anhängen anhand von Bitmustern identifizieren und vom Versand ausschließen. Zum anderen kann man mit diesen Tools E-Mails ziel- und quellenabhängig einschränken und elektronische Post mit Limits belegen.

Vor dem Hintergrund steigender Teilnehmerzahlen - mittlerweile rund 1000 Intranet- und 400 Internet-Benutzer - muss die Freiheit der Mitarbeiter, etwa was die E-Mail-Kommunikation betrifft, beschnitten werden. So darf die Größe der Dateianhänge bei ein- und ausgehenden Mails 2 MB nicht überschreiten. Außerdem wurden die Berechtigungen zum File-Transfer eingegrenzt und weitere gruppen- und personenbezogene Restriktionen eingeführt.

Mit den Limitierungen erreicht Pickert vier Effekte, wie er berichtet: "Erstens schufen wir eine intelligente Filterung gegen Spam-Mails und andere Attacken. Zweitens ging die Anzahl der,Junk-Mails'' - wie der Austausch von Bildern vom Betriebsfest - deutlich zurück. Drittens befassten sich viele Mitarbeiter erst-mals mit Methoden der effizienten Speicherung, was dem Überlaufen unserer Mailserver entgegenwirkt und so der Betriebssicherheit dient. Und viertens haben sich alle Mitarbeiter bei uns beschwert."

Gerade in Bereichen mit intensivem Außenkontakt wie im Marketing und Verkauf gab es heftige Reaktionen darauf, dass etwa auch der Versand einer Powerpoint-Datei nur eingeschränkt oder gar nicht mehr möglich war. Als Reaktion auf die Proteste definierte jede Hauptabteilung einen "Champion", der Mails unbegrenzter Größe verschicken darf. An ihn wenden sich die Mitarbeiter in wichtigen Fällen.

Als weitere, mittlerweile selbstverständliche technische Sicherheitskomponente bei den Basisdiensten nennt Pickert die Firewall. Sie sei nicht als Produkt, sondern unbedingt als Projekt anzusehen, betont er. Da sie permanent an die Entwicklung angepasst und neu parametrisiert werden müsse, erfordere sie viel Betreuung und Pflege.

Eine ebenso zwingende Grundfunktion für Internet-Sicherheit ist für Pickert das Customizing des Browsers. Bei Dr. Oetker wurde etwa die im Internet Explorer verwendete Active-X-Komponente deaktiviert. Sie stellte aus Pickerts Sicht ein erhebliches Sicherheitsrisiko dar. Mit ihr sei ein Durchgriff auf alle Systemfunktionen des Clients wie Schreiben, Lesen von der Festplatte, Lesen oder die Manipulation der Registry möglich. Von einer Ausweitung dieser Vorsichtsmaßnahme auf Java Script sah man nach langer Diskussion jedoch ab, da dies die Navigation zu sehr eingeschränkt hätte.

Neben den inhärenten Sicherheitsmechanismen der Systeme baut Pickert auf die Schutzwirkung der Architektur, die sich aus verschiedenen Komponenten zusammensetzt. Volle Integration, vom Anwender gewünscht und von vielen Herstellern propagiert, "ist unter Sicherheitsaspekten durchaus problematisch", so sein Kommentar. Pickerts Konzept lautet: Monolithische Strukturen vermeiden und stattdessen "Soll-Bruchstellen einbauen." Dabei werden Systeme durch eventgesteuerte, standardisierte Schnittstellen gekoppelt. Dies können im einfachsten Fall definierte ASCII-Schnittstellen sein - bis hin zu komplexeren Strukturen wie der Generierung von IDOC oder SAP BAPI aus Fremdsystemen.

Die erste Etappe der Backoffice-Integration bewältigte Dr. Oetker noch mit erprobten Mitteln. Das Feedback von den Internet-Frontends wurde in strukturierte E-Mails umgewandelt und dann weitergeleitet. "Diese Methode ist sicher, mit den vorhandenen Firewall- und Mail-Sicherungsfunktionen zu beherrschen, einfach zu implementieren und ebenso einfach zu bedienen", resümiert Michael Krischok, in der Abteilung Bürokommunikation verantwortlich für den Internet-Auftritt von Dr. Oetker. "Allerdings eignete sie sich weder für komplexe Massen- noch für Online-Verarbeitung. Ihre wesentliche Funktion war es, Erfahrungen mit der Backoffice-Integration zu sammeln."

Ende 1998 wagte sich Pickert an ein vollständig integriertes System auf Basis von Lotus Notes heran: eine Lösung zur Ausschreibung offener Stellen, die sowohl im Intranet als auch im Internet verfügbar ist. Dabei werden Medienbrüche vermieden. Doch bleiben interne und Internet-Daten strikt getrennt und werden lediglich über die Replikationsmechanismen von Lotus-Notes ausgetauscht.

Letztlich sind für Pickert Organisation und Anwenderkompetenz im Unternehmen mindestens ebenso wichtig wie die Sicherheitstechnik. Als wesentliche organisatorische Vorkehrungen dienen Passwortschutz, Trennung von Administration und Installation und ein sicheres Benutzer-Management.

Die Nutzer begreifen, dass E-Mails im Internet offener sind als Postkarten. Ziel ist es daher, dass alle Mitarbeiter an Bildschirmarbeitsplätzen eine entsprechende Schulung erhalten. In Workshops lernen sie den Umgang mit Passwörtern ebenso wie das Wissen um Verschlüsselungsmechanismen im Internet - und gewinnen die Einsicht, dass ein hochvertrauliches Dokument im Zweifel überhaupt nicht in die E-Mail gehört. Neue Mitarbeiter erhalten eine Sicherheits-Basisausbildung. Dabei setzt Pickert besonders auf Auszubildende und Trainees, die für diese Thematik meist offener sind und bei ihrem Einsatz in den verschiedenen Abteilungen als Multiplikatoren dienen.

*Rolf Bastian ist freier Autor in Wiesbaden.

Pudding und mehrWas 1891 in der Hinterstube einer Bielefelder Apotheke begann, ist heute eines der bekanntesten und größten Unternehmen der deutschen Ernährungsindustrie: Die Dr. August Oetker Nahrungsmittel KG, Bielefeld, beschäftigt in Deutschland rund 3000 Mitarbeiter. In den Regalen deutscher Supermärkte werden etwa 400 Produkte angeboten. 1999 erzielte das Unternehmen hier einen Bruttojahresumsatz von über einer Milliarde Mark. Trotzdem prägt die Gründerfamilie noch heute die Geschicke des Unternehmens: August Oetker, Urenkel des Firmengründers, ist seit 1980 persönlich haftender Gesellschafter der KG.

In der Bielefelder Zentrale wird auch die IT geplant und gesteuert. Der dafür verantwortliche Bereich Organisation/Systementwicklung umfasst 40 Mitarbeiter, von denen sich der größte Teil mit der Einführung, Weiterentwicklung und Betreuung von SAP-Systemen beschäftigt. Zu diesem Bereich gehört außerdem die Abteilung Bürokommunikation, deren vier Mitarbeiter die Themen Messaging, Groupware, Intranet und Internet betreuen.

Abb.1: Geplante Sicherheit

Sicherheit will umfassend geplant sein. Eine solche Planung schließt Technologie, Organisation und Geschäftsprozesse mit ein. Quelle: Arthur Andersen

Abb.2: :"Lose Kopplung" bei linearen Prozessen

Das Beispiel zeigt das Prinzip "Lose Kopplung" durch Event-gesteuerte, standardisierte Schnittstellen bei linearen Prozessen. Quelle: Bastian

Abb.3: Kommunikation in der Extranet-Anwendung

Das Extranet verbindet die Zentrale, den Außendienst und die Agenturen. Quelle: Bastian