von Redaktion IT-A…
Lesezeit
3 Minuten
Zugangskontrolle über mehrere Standorte hinweg
Die Siempelkamp-Gruppe aus Krefeld ist Technologieausrüster für den Maschinen- und Anlagenbau, die Gusstechnik und die Nukleartechnik. Im Unternehmen war ein veraltetes System für Netzwerkzugangskontrolle im Einsatz. Nach einem einjährigen Testlauf in einer Tochterfirma startete der sukzessive Rollout eines neuen Werkzeugs für Network Access Control im gesamten Unternehmen. Der Anwenderbericht zeigt, wie es heute auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland betrieben wird.
Die Siempelkamp-Gruppe ist Systemlieferant von Pressenstraßen und kompletten Anlagen für die Holzwerkstoffindustrie, die Metallumformung sowie die Composite- und die Gummiindustrie. Mit einer der größten Handformgießereien fertigt Siempelkamp am Standort Krefeld Großgussteile mit einem Gesamtgewicht von 320 Tonnen Stückgewicht. Das Unternehmen liefert zudem Transport- und Lagerbehälter für radioaktive Abfälle und ist auf den Rückbau nukleartechnischer Anlagen spezialisiert.
Im Unternehmensnetzwerk befindet sich eine Fülle an wertvollem Ingenieurswissen, Firmengeheimnissen und sensiblen Kundeninformationen. Diese geschäftskritischen Informationen gilt es, bestmöglich gegen Cyberangriffe, Datenlecks und Industriespionage zu schützen.
Bestandswerkzeug wurde ersetzt
Nach einem einjährigen Testlauf in einer Tochterfirma der Gruppe samt Datenübernahme, startete der sukzessive Rollout im gesamten Unternehmen. Aufgrund der intuitiven Bedienung von macmon NAC waren die Administratoren nach wenigen Schulungen in der Lage, die Inbetriebnahme im restlichen Konzern völlig selbstständig weiter zu führen.
Vollständige Netzwerkübersicht
Administratoren gewinnen mit macmon NAC eine vollständige Netzwerkübersicht. Die gesamte Infrastruktur mit allen Endgeräten wird als Live-Bestandsmanagement erfasst. Das NAC-Werkzeug läuft auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland. Davon sind circa 400 Server, der Rest Clients. Außerdem werden rund 300 aktive Netzwerkkomponenten (Switche und Router) mit NAC verwaltet. Das entspricht einer derzeitigen Abdeckung von etwa 85 Prozent des gesamten Unternehmens.
Hardware- und Herstellerunabhängigkeit
Die eingängige Bedienoberfläche und einfache Administrierbarkeit erspart dem IT-Team viel Arbeitsaufwand. Vorfälle, die bislang in der Bearbeitung etwa fünf bis zehn Minuten in Anspruch nahmen, lassen sich jetzt in nur zwei Minuten erledigen.
Die Hardwareunabhängigkeit ermöglicht es zudem, die bisher voneinander getrennten Standorte, die zum Teil noch mit selbst geschriebenen NAC-Lösungen arbeiteten, zentral, umfassend und lückenlos auf einem einheitlich hohen Schutzniveau abzusichern. Die Herstellerunabhängigkeit deckt Netzwerke auch mit gemischten Komponenten unterschiedlicher Generationen ab. Hier spart die IT viel Zeit und Mühen bei der Verwaltung der einzelnen Standorte ein.
Weitere Schritte in Planung
Von den vielen verfügbaren Funktionen in macmon nutzt das Unternehmen momentan die ARP-Schnittstelle und VLAN-Konfiguration, um das Netzwerk einfach und schnell logisch zu segmentieren.
Für die Zukunft ist zudem die Einführung des Gästeportal- und VLAN-Management-Moduls geplant, sowie der vom BSI empfohlene und in macmon vollständig unterstützte Betrieb gemäß IEEE-Standard 802.1X für ein noch höheres Sicherheitsniveau. Bei Bedarf ist auch ein Mischbetrieb aus SNMP und 802.1X möglich.
Fazit
Das Thema Netzwerksicherheit hat beim deutschen Mittelstand in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Bei der Auswahl eines geeigneten, zuverlässigen NAC hat sich Siempelkamp für ein Best-of-Breed-Produkt entschieden. In der Testphase konnte die einfache Implementierung überzeugen, weitere Kriterien für einen unternehmensweiten Roll-out waren die Verfügbarkeit weiterer intelligenter Module für Spezialthemen, die kontinuierliche Weiterentwicklung durch das deutsche Entwicklungsteam und ein kompetenter Service. Im Tagesgeschäft erzielte die neue Lösung schnell eine deutliche Reduzierung des administrativen Aufwands. Einen wichtigen Plus-Punkt stellte nicht zuletzt die Schnittstellenfähigkeit zur Integrationen mit bereits existierenden Security-Anwendungen im Unternehmen dar.
ln/Sabine Kuch, Corporate Communications, macmon secure GmbH
Im Unternehmensnetzwerk befindet sich eine Fülle an wertvollem Ingenieurswissen, Firmengeheimnissen und sensiblen Kundeninformationen. Diese geschäftskritischen Informationen gilt es, bestmöglich gegen Cyberangriffe, Datenlecks und Industriespionage zu schützen.
Bestandswerkzeug wurde ersetzt
Nach außen ist das über mehrere Standorte weit verzweigte Netzwerk bereits sehr gut durch Security-Produkte wie modernste Firewalls oder Virenscanner abgesichert. Für den Schutz von innen war eine Lösung für Netzwerkzugangskontrolle (Network Access Control, NAC) im Einsatz.
Es stellte sich jedoch in der Praxis heraus, dass das bestehende
Werkzeug nicht weiterentwickelt wurde, und so nicht ohne weiteres mit
den stets neuen Angriffsvektoren mithalten konnte. Zudem offenbarten
sich immer mehr Fehler in der Software, die vorhandene Lösung war
generell zu langsam und die Umsetzung von Änderungen dauerte sehr lange.
Zusammenfassend war das bisherige NAC nicht mehr geeignet, den hohen
Sicherheitsstandard zu gewährleisten und die Verwaltung beanspruchte zu
viel Zeit und Ressourcen des IT-Teams, das unter anderem mit der
Netzwerkadministration betraut ist.
Testlauf in Tochterunternehmen
Im Zuge der Suche nach einer neuen Lösung wurden die Verantwortlichen auf das hardwareunabhängige, da SNMP-basierte, macmon NAC aufmerksam und nahmen es mit in die engere Auswahl. Im Vergleich zu den anderen Kandidaten stellte sich schnell heraus, dass die Lösung die spezifischen Herausforderungen von Siempelkamp am besten abdeckt.Nach einem einjährigen Testlauf in einer Tochterfirma der Gruppe samt Datenübernahme, startete der sukzessive Rollout im gesamten Unternehmen. Aufgrund der intuitiven Bedienung von macmon NAC waren die Administratoren nach wenigen Schulungen in der Lage, die Inbetriebnahme im restlichen Konzern völlig selbstständig weiter zu führen.
Vollständige Netzwerkübersicht
Administratoren gewinnen mit macmon NAC eine vollständige Netzwerkübersicht. Die gesamte Infrastruktur mit allen Endgeräten wird als Live-Bestandsmanagement erfasst. Das NAC-Werkzeug läuft auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland. Davon sind circa 400 Server, der Rest Clients. Außerdem werden rund 300 aktive Netzwerkkomponenten (Switche und Router) mit NAC verwaltet. Das entspricht einer derzeitigen Abdeckung von etwa 85 Prozent des gesamten Unternehmens.
Mit der neuen IT-Sicherheitslösung blockiert das IT-Team sämtliche nicht autorisierten Geräte, sodass nur berechtigte User Zugriff auf die hochsensiblen Informationen im Netz der Gruppe haben. Somit ließen sich manuelle Verwaltungsaufgaben der IT-Mitarbeiter automatisieren, die Überwachung des Netzwerks erfolgt quasi im Hintergrund. Versucht sich ein unbekanntes Gerät Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sich sofort entsprechende Maßnahmen ergreifen lassen.
| Diese Ereignisse im Netzwerk erkennt NAC | |
|
Die eingängige Bedienoberfläche und einfache Administrierbarkeit erspart dem IT-Team viel Arbeitsaufwand. Vorfälle, die bislang in der Bearbeitung etwa fünf bis zehn Minuten in Anspruch nahmen, lassen sich jetzt in nur zwei Minuten erledigen.
Die Hardwareunabhängigkeit ermöglicht es zudem, die bisher voneinander getrennten Standorte, die zum Teil noch mit selbst geschriebenen NAC-Lösungen arbeiteten, zentral, umfassend und lückenlos auf einem einheitlich hohen Schutzniveau abzusichern. Die Herstellerunabhängigkeit deckt Netzwerke auch mit gemischten Komponenten unterschiedlicher Generationen ab. Hier spart die IT viel Zeit und Mühen bei der Verwaltung der einzelnen Standorte ein.
Weitere Schritte in Planung
Von den vielen verfügbaren Funktionen in macmon nutzt das Unternehmen momentan die ARP-Schnittstelle und VLAN-Konfiguration, um das Netzwerk einfach und schnell logisch zu segmentieren.
Für die Zukunft ist zudem die Einführung des Gästeportal- und VLAN-Management-Moduls geplant, sowie der vom BSI empfohlene und in macmon vollständig unterstützte Betrieb gemäß IEEE-Standard 802.1X für ein noch höheres Sicherheitsniveau. Bei Bedarf ist auch ein Mischbetrieb aus SNMP und 802.1X möglich.
Fazit
Das Thema Netzwerksicherheit hat beim deutschen Mittelstand in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Bei der Auswahl eines geeigneten, zuverlässigen NAC hat sich Siempelkamp für ein Best-of-Breed-Produkt entschieden. In der Testphase konnte die einfache Implementierung überzeugen, weitere Kriterien für einen unternehmensweiten Roll-out waren die Verfügbarkeit weiterer intelligenter Module für Spezialthemen, die kontinuierliche Weiterentwicklung durch das deutsche Entwicklungsteam und ein kompetenter Service. Im Tagesgeschäft erzielte die neue Lösung schnell eine deutliche Reduzierung des administrativen Aufwands. Einen wichtigen Plus-Punkt stellte nicht zuletzt die Schnittstellenfähigkeit zur Integrationen mit bereits existierenden Security-Anwendungen im Unternehmen dar.
ln/Sabine Kuch, Corporate Communications, macmon secure GmbH
