Sicherheitslösung für mobiles Arbeiten

Im Zuge der Ausrollung des kompletten Sicherheitskonzeptes im Januar 2004 beschloss die Würth HandelsgesmbH, den neuen Microsoft ISA Server 2004 im Unternehmen zu implementieren. Der Komplettanbieter für Befestigungstechnik hatte bis zu diesem Zeitpunkt eine Checkpoint Firewall im Einsatz, die aus mehreren Gründen nicht mehr zeitgemäß war, weiß Hewlett-Packard (HP) Senior Consultant Reinhard Merle: "Bis zur Entscheidung und Umsetzung des neuen Microsoft Internet and Acceleration Server 2004 hatte Würth unter anderem keinen Schutz vor Angriffen auf Applikationsebene. Die frühere Lösung war außerdem eher kostspielig in der Wartung, schlecht skalierbar, und der Support war auch nicht mehr ausreichend. Daher suchte Würth eine Möglichkeit, den heutigen Anforderungen bezüglich Sicherheit entsprechend Rechnung tragen zu können."

Als primäres Ziel wurde seitens Würth vor allem das hochverfügbare, sichere mobile Arbeiten für den Außendienst des Unternehmens beziehungsweise für diverse Home-Arbeitsplätze mittels VPN definiert. Dieter Bruch, technischer Leiter bei Würth, präzisiert: "Wir haben als Ziele definiert, einerseits Outlook WebAccess über den neuen ISA Server 2004 nutzen zu können, Proxy-Funktionalität zu erhalten und die Möglichkeiten des Microsoft Outlook vollständig über Remotezugriff ausschöpfen zu können. Zudem wollten wir außerdem sowohl einen Microsoft Office SharePoint Portal Server 2003 als Web Server als auch einen FTP-Server veröffentlichen."

Umstellung auf Microsoft ISA Server 2004

Reinhard Merle berichtet, dass die Sicherheitsthematik gleich im Zuge eines Migrationsprojektes von Windows Server 2000 und Exchange 2000 Server auf Windows Server 2003 und Exchange Server 2003 miteinbezogen wurde. "Die Umstellung auf den neuen Microsoft ISA Server 2004 erfolgte zwischen März und Mai dieses Jahres, wobei bis zur Installation der finalen Version eine Betaversion im Einsatz war. Die finale Version ist schließlich erfolgreich am 13. August 2004 in Betrieb gegangen."

Zuvor, so Merle weiter, habe Würth bereits die Vorgängerversion im Testbetrieb gehabt und sei äußerst zufrieden gewesen. "Weil der ISA Server die bei Würth im Einsatz befindlichen Microsoft Produkte, wie beispielsweise Microsoft Exchange Server 2003 oder Microsoft SharePoint Portal Server 2003 optimal unterstützt - es gibt für diese Produkte Assistenten zum Einrichten von Firewall-Regeln - und außerdem mit den Windows eigenen VPN-Clients bestens harmoniert, war für Würth der Entschluss für den Microsoft ISA Server 2004 bald klar."

Redundant ausgeführt

Um die Ausfallsicherheit zu erhöhen, wurde der ISA Server in redundanter Ausführung installiert. Im laufenden Betrieb wird die Last auf beide Server aufgeteilt. Im Falle eines Serverstillstandes übernimmt der jeweils andere die komplette Last.

"Wenn der Server über das Netzwerk nicht mehr erreichbar ist, passiert dies automatisch und ohne Eingriff eines IT-Mitarbeiters" zeigt sich Dieter Bruch sehr zufrieden und ergänzt. "Wir haben das System deshalb redundant ausgeführt, weil wir gewährleisten mussten, dass die Aufträge, die von unseren 400 Außendienstmitarbeitern mittels Eingabe auf ihren mobilen Geräten einlangen, jederzeit entgegen genommen werden können. Denn gibt es keinen Zugriff auf das System, beispielsweise auf die Datenbanken des Firmennetzwerkes, kann nicht verkauft werden. Und damit verliert Würth Geld. Dies ist also absolut geschäftskritisch, deshalb wollten wir eine sichere, redundante Ausführung."

400 Außendienstmitarbeiter gewinnen Sicherheit

Von den insgesamt 400 Würth-Mitarbeitern im Außendienst werden täglich Aufträge entgegen genommen und im System erfasst. Diese, genauso wie sämtliche IT-Mitarbeiter und die Mitglieder der Geschäftsleitung, nutzen das System über Outlook WebAccess auch für ihre Heimarbeitsplätze, berichtet Dieter Bruch von den Anforderungen an die Sicherheit bei Würth. "Es wird einfach jegliche Datenkommunikation über den sicheren Zugang des Microsoft ISA Server 2004 abgewickelt." Dabei integriert sich der Microsoft ISA Server 2004 ins Active Directory, wodurch auch die unterschiedlichen Berechtigungen verschiedener Mitarbeitergruppen umgesetzt sind. So haben zum Beispiel die Mitglieder der Geschäftsleitung und die IT-Mitarbeiter mittels VPN den vollen Zugriff auf sämtliche Ressourcen des Firmennetzwerkes, während die Außendienstmitarbeiter das eingeschränkte Recht haben, über VPN nur ihre Aufträge zu übertragen.

Eine andere wesentliche Eigenschaft kommt gleichfalls den hohen Anforderungen sehr entgegen. So ist gerade für Würth, deren Mitarbeiter täglich das Internet nutzen, das im Microsoft ISA Server 2004 integrierte so genannte "Application Layer Filtering" eine nützliche, weil hochsichere Funktion. Beim Application Layer Filtering wird der Datenstrom einer Anwendung, zum Beispiel einer Web-Applikation, untersucht, erklärt HP-Mann Reinhard Merle: "Wenn man beispielsweise im Webbrowser auf einen Link klickt, erwartet man, dass eine Webseite angezeigt wird. Dafür ist das HTTP-Protokoll verantwortlich. Nun gibt es aber findige Virenschreiber, die dieses HTTP-Protokoll missbrauchen, um bösartige Programmcodes mit zu übertragen. Auf diese Weise kann sich leider ein Benutzer nicht nur die Webseite, sondern auch einen Virus auf seinen Rechner herunter laden." Mit der Funktion "Application Layer Filtering" im neuen Microsoft ISA Server 2004 wird genau dies verhindert, denn hier werden die Protokolle HTTP, SMTP (Email), DNS (Namensauflösung), POP3 (E-Mail Download), RPC und FTP auf bösartige Codes durchforstet, so Merle.

Auch Fremdfirmen können sicher zugreifen

Auch Fremdfirmen können heute unbedenklich auf das Firmennetzwerk von Würth zugreifen. Über die Funktion Web Server Publishing wurde ein Microsoft SharePoint Portal Server freigegeben, um Projekte mit externen Firmen abwickeln zu können.

Als Beispiele nennt Dieter Bruch Speditionsfirmen, mit denen via Microsoft BizTalk Server 2002 der Datenaustausch sicher über den Microsoft ISA Server 2004 funktioniert, sowie sämtliche Marketing- und Werbungsdaten, die via FTP-Server übertragen werden.

Alle Ziele erfüllt

Dieter Bruch betont zum Schluss nochmals seine Zufriedenheit mit dem neuen Microsoft ISA Server 2004: "Wir konnten die verhältnismäßig teure alte Lösung erfolgreich ablösen und dabei alle unsere Ziele erreichen. Der neue Microsoft ISA Server 2004 spielt hervorragend mit allen unseren Systemen zusammen. Insgesamt funktionierte außerdem die Zusammenarbeit mit HP hervorragend."

www.microsoft.at

Würth HandelsgesmbH, Österreich

Als Komplettanbieter für Befestigungstechnik verfügt Würth Österreich über ein Liefersortiment von mehr als 18.000 Produkten. Seit 1990 ist das Unternehmen in drei Divisionen gegliedert und deckt die Marktbereiche Automotive, Wood und Metal ab. Der Firmenphilosophie entsprechend steht den Kunden innerhalb Österreichs ein flächendeckendes Versorgungs- und Servicenetz mit insgesamt sechs Kundencentern in ebenso vielen Bundesländern zur Verfügung. Würth Österreich ist ein Unternehmen der Würth International-Unternehmensgruppe, die Tochtergesellschaften in weltweit 80 Ländern unterhält.