Projektinterview: Großprojekt zur IT-Sicherheit bei einem Weltkonzern

Friedrich Eltester ist nach vielen Jahren Berufserfahrung in der Telekommunikationsbranche vor rund zehn Jahren bei ComConsult eingestiegen. Im ComConsult Competence Center IT-Sicherheit hat er an verschiedenen Projekten zu IT-Sicherheitsthemen mitgearbeitet. Von einem großen Projekt bei einem weltweit agierenden deutschen Konzern, das über viele Jahre gewachsen ist, erzählt er in diesem Interview.

Friedrich, wie hat das Projekt für dich angefangen?

Für einzelne Lokationen und Arbeitsbereiche des Konzerns sollten bestimmte Sicherheitsvorgaben umgesetzt werden. Ich bin in dieses Projekt 2017 eingestiegen. Es bestand aus mehreren Einzelprojekten, mit denen wir nach und nach beauftragt wurden. Es sollten Sicherheitsgateways für den Internetzugriff (Proxies) in der Cloud eingesetzt werden. Damals war es noch relativ neu, Proxies – also Vermittler zwischen Anwendern und dem Internet, die Anfragen vom Client abfangen, filtern und entkoppeln können – in der Cloud zu betreiben. Typischerweise stehen Sicherheitsgateways in einer Sicherheitszone. Aus Kosten- und Netzwerkstrukturgründen wollte der Kunde dazu übergehen, diese in die Cloud zu verlegen. Das Unternehmen hatte sich für den Cloud-Proxy-Dienst einer der weltweit größten Cloud-Sicherheitsplattformen entschieden. Zu dieser Zeit war ich zwei Tage in der Woche mit anderen ComConsult-Kollegen beim Kunden vor Ort.

Was waren die ersten Schritte in dem Projekt?

Zunächst haben wir in einem kleinen Projekt eine Umfrage bei verschiedenen Standorten des Konzerns durchgeführt, um herauszufinden, wie das Vorhaben wahrgenommen wird. Wir haben von dem Dienstleister eine Teststellung erhalten, um mit diesem Proof of Concept die Performance zu messen, denn damals war noch unklar, ob sich der Internetverkehr verlangsamen würde. Mit dem Start des Testprojektes stieg meine Arbeitsauslastung beim Kunden auf sechzig und nachher auf neunzig Prozent.

Was wurde als nächstes getestet?

In einem weiteren Teilprojekt wurden von uns in einer Teststellung im Kunden-Labor verschiedene Anbindungsmöglichkeiten systematisch getestet – zum Beispiel, wie sich die Anwender in der Cloud authentisieren können. Ein wichtiger Aspekt war die Redundanz. Wir haben Netzelemente unterschiedlicher Hersteller aufgebaut und überprüft, wie die Redundanzmechanismen sind. Dazu haben wir ein Konzept und eine Testspezifikation geschrieben und dann gezielt verschiedene Ausfall-Szenarien im Test durchgeführt.
Am Ende hat der Kunde für die Anbindung an die Cloud Firewalls eines Herstellers im redundanten Paar angeschafft, um automatisch auf die zweite Firewall umzuschwenken, wenn die erste ausfällt. Nach Abschluss der Labor-Tests haben wir die Technologien im kleinen Maßstab auf das Netz des Kunden übertragen.

Ein weiteres Teilprojekt war die Auswertung und Regulierung des Internet-Traffics.

Genau. Der Konzern wollte ein Sicherheits-Tool einführen, um zum einen seinen Internet-Traffic zu regulieren und zum anderen eine neue, einheitliche Architektur für den Internetzugang der Benutzer zu schaffen. Dazu haben wir die Konzepte geschrieben. Diese mussten von der IT-Sicherheitsabteilung des Kunden abgenommen werden und auch die Auflagen der Abteilung für Datensicherheit sowie des Betriebsrats mussten erfüllt werden. Ebenso waren Abstimmungen mit der Betriebsabteilung notwendig, die die Lösung schlussendlich betreiben musste.

Wir testeten dann systematisch, ob die User alle Internetseiten und Dienste intern und extern erreichen konnten und ob kritische Seiten blockiert wurden. Diese Testphase erstreckte sich über mehrere Monate. Als das Tool in den realen Netzwerkbetrieb der Konzernzentrale integriert werden sollte, probierten wir zusammen mit der Projektleitung des Kunden zunächst nur mit Testanwendern aus, ob auch wirklich alles so funktionierte, wie wir uns das vorgestellt hatten. Wir besserten zusammen mit dem Dienstleister nach, wo noch etwas fehlte oder Fehler auftraten. Schritt für Schritt nahmen wir immer mehr User auf. Im realen Betrieb war es nicht nur wichtig, dass alles technisch korrekt war, sondern vor allem auch, dass alles so betrieben werden konnte, ohne dass jemand bei der Arbeit gestört wurde.

Welche Schwierigkeiten traten auf?

Der Konzern hat durch die Gewerkschaft und den Betriebsrat Regularien, die nicht durchbrochen werden dürfen. Den Mitarbeitern ist es erlaubt, das Internet privat zu nutzen. Dadurch stellten sich Fragen zum Datenschutz, die wir beachten mussten und wir passten mit dem Dienstleister die Einstellungen hinsichtlich der Authentisierungs- und Verschlüsselungsmechanismen weiter an. Auch der Zugriff auf das Firmennetz aus dem Homeoffice stellte eine komplexe Herausforderung dar, die wir lösen mussten. Für die Authentisierung der Mitarbeiter bei Office-Anwendungen wie Teams und Outlook hatte der Kunde die Vorgabe, dies über eine VPN-Verbindung zu regeln. Dafür mussten wir eine eigene Konfiguration einstellen.

Sollte die Cloud-Sicherheitslösung auch an anderen Standorten zum Einsatz kommen?

Ja. Es folgten weitere Projekte, in denen wir bei Zweigstellen und Tochterunternehmen unseres Kunden die neue Sicherheitslösung eingeführt und die User sukzessive eingerichtet haben. Je mehr Firmen die neue Lösung verwendeten und sich an die neue gemeinsame Sicherheitslösung anpassten, desto größer war der Vorteil für den Kunden.

Anfangs waren es acht weitere Lokationen. Neben den Vorteilen, die der Zugriff auf eine einheitliche Cloud-Lösung mit sich bringt, ergaben sich hier auch Schwierigkeiten. Ein Problem war zum Beispiel die Authentisierung, denn es konnten nur die Standorte das neue Tool nutzen, die dieselbe Authentisierungsmethode und denselben Authentisierungsserver wie die Konzernzentrale verwendeten. Eine weitere Herausforderung stellte das Routing dar, da bei diesem Prozess verschiedene Wege gewählt werden können, während bei einer Cloud-Lösung nur eine einheitliche Routingmethode zulässig ist. Wir haben eine Dokumentation verfasst, in der wir die Regeln, die für alle Lokationen gelten, als Orientierungshilfe beschrieben haben. Nicht alle Lokationen konnten in die Cloud-Lösung eingebunden werden. So hatte zum Beispiel ein Standort in Übersee komplexe Anforderungen an die Zugriffsregelungen für die verschiedenen Chefetagen und musste deshalb mit dem Dienstleister eine eigene individuelle Konfiguration erstellen und selbst betreiben.

Im Laufe der Jahre sind immer mehr Lokationen dazu gekommen. Die neuesten liegen in Südostasien. Heute sind es rund dreißig Gesellschaften des Konzerns, die die gemeinsame Cloud-Lösung nutzen. Es wurden über 100.000 Lizenzen angeschafft.

Was sind aktuell eure Aufgaben?

Durch die vielen Teil-Projekte in der Vergangenheit, in denen wir unsere Zuverlässigkeit und gute Arbeit unter Beweis stellen konnten, haben wir jetzt einen Rahmenvertrag mit dem Kunden.

Während die Grundfunktionen des Internetzugriffs nun eingeführt und in den Betriebsablauf integriert sind, entwickeln die Hersteller neue Funktionen zur Verbesserung und zur Erweiterung des Funktionsumfanges der Lösung. Wurden anfangs lediglich Zugriffe von Anwendern auf Internetfunktionen unterstützt, so ermöglichen neue Funktionen inzwischen auch den umgekehrten Weg: Der Anwender kann – gesteuert durch ein komplexes Regelwerk – aus dem Internet auf Funktionen im Firmennetz zugreifen. Diese Lösung ist besser kontrollierbar als ein klassisches VPN. So kann der Kunde sein Sicherheitskonzept schrittweise vereinheitlichen und dem Anwender gleichzeitig mehr Sicherheit sowie neue Funktionen bieten.

Dabei fallen Arbeiten für die Einführung und Integration an sowie Unterstützung der Anwendermigration für die neuen Funktionen. Ebenso gilt es, die alten Funktionen sowie die Daten, Regeln und Konfiguration, die die alten Funktionen unterstützt haben, systematisch abzubauen, ohne die Arbeitsfähigkeit der Anwender zu stören (Life Cycle Management).

Auf diese Art und Weise werden viele Aufgaben dem Betrieb übergeben, doch gleichzeitig entstehen durch die neuen Funktionen neue Aufgaben.

Du hattest während unseres Gesprächs einen Anruf vom Kunden. Was war sein Anliegen?

Wo viele Personen arbeiten, gibt es auch viele Probleme. Wenn ein Mitarbeiter zum Beispiel eine Webseite nicht mehr erreichen kann, wird ein Ticket erzeugt, und das Problem muss identifiziert und gelöst werden. Wenn es sich um ein Problem handelt, das es in der Form noch nie gegeben hat, sind wir als Planer für dessen Lösung zuständig. Wenn allerdings etwas, was vorher funktionierte, plötzlich nicht mehr läuft, kümmert sich das Betriebsteam des Kunden darum. Wir arbeiten mit diesem Team gut zusammen. Gerade gab es Performanceprobleme bei einem Standort in Frankreich. Das Betriebsteam bat mich um Hilfe. Da es ein Thema betraf, mit dem ich mich gut auskenne, konnte ich sofort identifizieren, wo der Fehler lag und somit das Problem schnell aus der Welt räumen.

Wie kann man eure Aufgaben in diesem Großprojekt zusammenfassen?

Lag in den Anfängen des Projektes mit seinen vielen Teilprojekten der Fokus auf dem Einrichten und der Inbetriebnahme der cloudbasierten Proxy- und Firewall-Anwendung, ging unsere Zuständigkeit im Laufe der Jahre weit über diese Aufgabe hinaus. Wir beschäftigen uns mit vielen Aspekten der IT-Sicherheit – nicht nur im Cloud-Umfeld – sowie mit den entstehenden Herausforderungen. Neben Änderungen bei der Authentisierung und dem Routing stehen nun auch Anpassungen der Berechtigungen und AD-Gruppen, Software-Upgrades sowie Besonderheiten bei Microsofts Team und Outlook an. In der Zusammenarbeit mit den Gesellschaften werden vermehrt Sonderlösungen in den Netzen an den Standard angepasst. Wir prüfen, wie die Netzwerke an den einzelnen Lokationen erweitert werden müssen, damit alles einwandfrei funktioniert. So nutzen zum Beispiel einige Standorte mittlerweile nicht mehr den von der Konzernzentrale bereitgestellten Internetzugang, was zu Änderungen in der Netzwerkstruktur geführt hat.

Ein weiteres Thema ist die Verbesserung der Betreibbarkeit. Meine Kollegin schreibt Instruktionen für den globalen Helpdesk des Kunden, sodass Fehler früher erkannt und gelöst werden können. Eine andere Kollegin überprüft zurzeit zusammen mit dem Kunden in einer großen Aufräumaktion, ob Lösungen, die wir vor einiger Zeit implementiert haben und die noch in Betrieb sind, weiterhin benötigt werden oder gegebenenfalls abgeschaltet werden können. Neben diesen Aufgaben ist das Bearbeiten größerer Problemfelder für mich das Spannendste an meiner Tätigkeit. Für mich ist die größte Herausforderung, Konzepte zu entwickeln und zu schreiben – zum Beispiel Regelwerke oder Anleitungen zur Verschaltung von Firewalls –, damit die Struktur der Lösung einfacher wird, ein Großausfall vermieden wird und der Internetzugang für die Anwender jederzeit gewährleistet bleibt. Wenn das Konzept dann besprochen wird und umgesetzt werden kann, ist das eine schöne runde Sache.