Mehr Freiheit durch noch mehr Sicherheit

Software - Der Ruf nach mehr IT-Sicherheit wird immer lauter. Zudem sollte die Software leicht verständlich und so konzipiert sein, dass mobile Mitarbeiter jederzeit auf das Firmennetzwerk zugreifen können.

14. September 2006

Lange suchte die IT-Abteilung des nordhessischen Kunststoffkomponenten-Herstellers Weber nach einer neuen Lösung, um den gestiegenen Anforderungen im Bereich Sicherheit Rechnung zu tragen. Diese sollte möglichst auf der bestehenden Plattform aufsetzen und sie so erweitern, dass mobile Mitarbeiter jederzeit sicher auf das Firmennetzwerk zugreifen können. Mehr Sicherheit ohne Einbußen bei der Anwenderfreundlichkeit lautete also die Vorgabe.

Mit rund 550 Mitarbeitern an zwei Standorten entwickelt und produziert Weber Kunststoffkomponenten, Module und Systeme sowie Spritzgießformen. Vor allem im Bereich der Kinematik von Fahrzeuginnenausstattungen. Matthias Kunz, IT-Leiter bei Weber, fasst die Firmenphilosophie so zusammen: »Auch als eher kleiner Automobilzulieferer müssen wir den Vorgaben der Großen begegnen können. Wir müssen genauso flexibel und innovativ sein wie die Konzerne - als Mittelständler vielleicht sogar noch ein bisschen mehr.« Dazu war es notwendig, die Schnelligkeit und Mobilität der Mitarbeiter zu fördern. So wurde vor wenigen Jahren ein Bürokonzept namens »Weber Mobile Office« entwickelt. Auf dessen Basis sind die Mitarbeiter nicht mehr länger fest an einen Büroarbeitsplatz gebunden, sondern können mit ihren Notebooks projektabhängig in verschiedenen Abteilungen zusammenarbeiten.

Mobile Sicherheit

Damit verbunden waren aber gleichzeitig die ersten Herausforderungen bei der Sicherheit. Was passiert, falls mobile Geräte gestohlen werden? Ebenfalls Sorge bereitete die herkömmliche Autorisierung durch Benutzernamen und Passwort. »Passwörter sind generell nicht sicher. Viele Anwender notieren sie auf einem Zettel und kleben ihn an den Monitor«, beschreibt Matthias Kunz seine Erfahrungen. »Der größte Knackpunkt war aber der externe Zugriff auf die Netzwerkressourcen.« Technisch funktionierte der Fernzugriff zwar, aber er war alles andere als anwenderfreundlich. Mitarbeiter etwa, die den externen Zugang einige Monate nicht genutzt hatten, benötigten aufgrund des komplexen Systems telefonische Unterstützung der internen Weber-Hotline. Ein Höchstmaß an Sicherheit und gleichzeitig eine einfachere Handhabung waren daher die Hauptanforderungen an den technischen Dienstleister Cellent AG, der Konzeption und Implementierung der neuen Infrastruktur übernehmen sollte. Darüber hinaus hatte Matthias Kunz konkrete Vorstellungen von den Eigenschaften einer neuen Lösung: Sie sollte sich ohne großen Aufwand in die bestehende EDV-Landschaft integrieren lassen, zukunftsfähig und anwenderfreundlich sein. Die Microsoft Windows-Plattform ist seit geraumer Zeit fester Bestandteil der IT-Strategie von Weber. »Wir kommen mit den Microsoft-Lösungen sehr gut zurecht. Für uns ist es wichtig, dass wir ein System haben, das wir auch selbst begreifen können«, fasst Kunz seine Erfahrungen zusammen. So bot Microsoft auch diesmal das schlüssigste Gesamtkonzept mit einer Public-Key-Infrastruktur (PKI) auf Basis von Microsoft Windows Server 2003. Die PKI nimmt die Authentifizierung der Anwender vor und erteilt ihnen nach erfolgreicher Anmeldung Zugriff auf die freigegebenen Ressourcen im Netzwerk; das gilt auch für den Fernzugriff. Dieser Vorgang läuft im Hintergrund ab und erfolgt für die Benutzer völlig transparent unter Einsatz eines Aladdin eToken, einer Smartcard in Form eines USB-Sticks. Sie ist daher denkbar einfach zu handhaben: Man benötigt kein separates Lesegerät, sondern steckt sie einfach in eine USB-Schnittstelle, über die alle heute gängigen PCs und Note­books verfügen. Da diese Smartcard die Anmeldeinformationen mittels einer internen Verschlüsselung verarbeitet, haben Hacker keine Chance.

Über einen bereits vorhandenen Microsoft Internet Security & Acceleration (ISA) Server 2004, der das Netz vor externen Angriffen schützt und eine verschlüsselte Verbindung (VPN) erlaubt, ließ sich rasch eine Mailkommunikation mit Mi­crosoft Outlook Web Access realisieren. Diese Komponente ermöglicht es den Anwendern, über das Internet mit ihrer vertrauten Outlook-Umgebung zu arbeiten. Ebenfalls auf Basis der Microsoft-PKI werden die Zugriffe der Mitarbeiter auf die über Citrix-Systeme veröffentlichten Applikationen gesichert.

Individuelle Freiheiten

Das positive Feedback gab das Startsignal für den breiten Einsatz im Unternehmen. Während der verschiedenen Projektphasen konnten die Mitarbeiter ohne Ausfälle weiterarbeiten. »Vor zwei Monaten haben wir den letzten Anwender mit Heimarbeitsplatz auf die neue Lösung umgestellt«, so Kunz. Damit können nun alle die Vorteile der neuen Plattform nutzen - unabhängig davon, ob sie intern oder extern zugreifen, Dateien bearbeiten, E-Mails lesen oder nur Informationen aus dem Intranet abrufen wollen. Auch Zeiterfassung und Zutrittskontrolle wurden integriert. Somit sind heute keine separaten Medien in Form von Checkkarten für jedes System notwendig. Durch die Kombination der RFID-Funkchips in den USB-Token funktionieren Zeiterfassung und Zutrittskontrolle berührungslos durch einfaches Halten des Token an das Lesegerät. Die Funkchips arbeiten mit der RFID-Technologie (Radiofrequenz-Identifikation), die eine eindeutige und kontaktlose Identifizierung erlaubt. Diese Technologie wird auch im BDE- und MDE-Bereich (Betriebs­daten-, Maschinendatenerfassung) verwendet, damit die Mitarbeiter Aufträge und Statusmeldungen bestätigen können. An diesen beiden kombinierten Systemen werden Fertigungsaufträge ausgewählt und betriebswirtschaftliche Daten erfasst (Zeit, Stückzahlen), die dann anschließend zurück an SAP R/3 gesendet werden, woher die Aufträge auch ursprünglich stammten.

Das im Jahr 2005 eingeführte Informationsmanagement-System greift ebenfalls auf die Microsoft-PKI-Struktur zurück. Dahinter verbergen sich Dokumentenmanagement, Archivierung, Workflow und Wissensmanagement - alles mit digitaler Unterschrift versehen. Durch die leichte Integration in die vorhandene Microsoft-Infrastruktur sind Zukunfts- und Investitionssicherheit der Lösung gewährleistet.

Noch mehr Kommunikation

Matthias Kunz will sich aber keineswegs auf dem bereits Erreichten ausruhen: »Wir haben erneut Kontakt zur Cellent AG aufgenommen, weil wir nun noch mobile Geräte wie Pocket-PCs und Smartphones einbinden möchten. Bislang sprachen allerdings Sicherheitsaspekte gegen die Nutzung dieser Geräte.« Mit der Verfügbarkeit von Microsoft Windows Mobile 5 und den implementierten Push-Technologien im Microsoft Exchange Server 2003 eröffnen sich aber neue Möglichkeiten. Denn warum sollte ein Außendienstmitarbeiter erst sein Note­book hochfahren und nach einem Internetzugang suchen müssen, wenn er auch über sein Handy wichtige E-Mails abrufen kann? »Leute, die vorher diese Technologie nicht genutzt haben, weil sie nicht damit zurechtgekommen sind, loben uns heute dafür, dass wir ihnen ein System geliefert haben, das sie verstehen und das funktioniert«, gibt Matthias Kunz die Stimmung unter den Anwendern wieder und fügt noch hinzu: »Die Mitarbeiter sind begeistert, dass sie jetzt so viel mehr an Arbeitskomfort gewonnen haben.«

Thomas Rieske

Erschienen in Ausgabe: 06/2006