MG Technologies hieß früher einmal Metallgesellschaft. Das klang sehr deutsch, eher wie eine mittelständische Firma und vermittelte somit einen völlig falschen Eindruck: 450 Einzelunternehmen tummeln sich mittlerweile unter dem Dach des Konzerns. 32000 Mitarbeiter erwirtschaften 8,6 Milliarden Euro Umsatz. Mehr als 1000 VPN (Virtual Private Networks) -Tunnel verbinden die weltweiten Niederlassungen. Und es werden ständig mehr, denn noch sind erst 140 Standorte an das sichere Wide Area Network (WAN, Weitverkehrsnetz) angeschlossen. Der Sicherheitsdienstleister Symantec arbeitet noch daran, von Berlin aus kleinere Standorte insbesondere im Ausland in das "MG Secure WAN" einzubinden. Etwa fünf Millionen Euro lässt sich MG Technologies das konzernweite WAN jährlich kosten - inklusive Telekommunikationsgebühren sowie interner und externer Kosten.
Zunehmende Kollaboration
Die Lösung bringt neben dem hohen Sicherheitsstandard eine Reihe weiterer Vorteile. Zentrale Rufnummern, die auch das Ausland einschließen, erlauben nicht nur einen sicheren Remote-Zugang zum Unternehmensnetz, sondern auch Einsparungen bei den Kosten für die Telekommunikation. Die Anzahl der Remote User hat sich auf mehr als 1000 verdoppelt, seit der Konzern das Netz Anfang vergangenen Jahres in Betrieb genommen hat. "Sichere Verbindungen zum Unternehmensnetz werden für reisende Mitarbeiter immer wichtiger", sagt Joachim Mahr, Konzern-CIO bei MG Technologies. "Vor allem im Großanlagenbau gewinnt die Kollaboration zunehmend an Bedeutung."
Der Konzern-CIO lobt auch den deutlichen Zeitvorteil, den die zentrale Administration des Netzmanagements bietet: "Früher dauerte es sechs bis acht Wochen, bis eine zusätzliche Verbindung zwischen Konzernstandorten definiert und freigeschaltet war und zum Beispiel zentrale Anwendungen übergreifend genutzt werden konnten", erklärt Mahr. Jetzt sei lediglich ein zentraler Eintrag notwendig, um innerhalb des MG-WAN einen neuen Standort anzuschließen. "Es existieren ja auch kleinere Niederlassungen ohne eine eigene IT-Abteilung", gibt der CIO zu bedenken. "Durch die ausgelagerte, zentrale Administration können wir trotzdem sicherstellen, dass keine Sicherheitslücken entstehen, weil etwa an einem Standort das Einspielen eines Patch vergessen wird."
Zentrales Gateway zum Internet
Die nationalen Standorte sind über ein von Symantec betriebenes, zentrales Gateway mit den ausländischen Niederlassungen und dem Internet verbunden. Firewalls mit Virenscannern und inhaltsbezogenen Webblockern durchleuchten hier den gesamten Datenverkehr. In Deutschland arbeitet MG Technologies mit Arcor als Netzbetreiber zusammen, international sind es drei Carrier, die die Backbones des WAN betreiben. Der Austausch der Daten findet ausschließlich über TCP/IP statt, jeder Standort hat nur noch eine Anbindung an das Backbone, das die früheren Standleitungen ersetzt. Kleinere Standorte im Ausland können trotzdem mit regionalen Providern kooperieren, wenn diese die Servicequalität nach den vorgegebenen MG-Standards erfüllen. Die standardisierten Firewalls und VPN-Tunnel zum Gateway gewährleisten auch dann die Sicherheit der Datenverbindungen.
Reibungspunkte deutlich reduziert
Ferner kommt hinzu, dass bei vielen Carriern und einem Security Provider immer wieder Konflikte vorprogrammiert sind. Zwar wurden anfängliche Reibungspunkte zwischen dem Carrier Arcor und dem Security Provider Symantec inzwischen deutlich reduziert. Im weltweiten Datenverkehr sind jedoch immer noch sehr unterschiedliche Carrier involviert. In einer MG-Arbeitsgruppe wird zurzeit intensiv darüber nachgedacht, ob sich die Zahl - ähnlich wie bei den Backbone-Betreibern - reduzieren lässt, um die Komplexität einzuschränken. Damit ließe sich noch ein weiteres Problem einkreisen: "Symantec bietet als internationales Unternehmen weltweiten Service an; aber in Amerika decken sich die Dienste noch nicht mit denen in Deutschland", so Mahr.
Eine Arbeitsgruppe aus den CIOs und IT-Leitern der Konzerntöchter unter Vorsitz des Dynamit-Nobel-CIOs Udo Haarhaus sucht inzwischen nach Möglichkeiten, das WAN besser mit dem Thema Sicherheit zu verknüpfen. Grundlage ist die Anfang des Jahres begonnene Einführung einer globalen IT-Security-Policy auf Basis der vierstufigen BS-7799-Norm. Damit legt der Konzern weltweit verbindliche Standards für die IT-Sicherheit fest, die abhängig von der Klassifizierung der Sicherheitsbedürfnisse der einzelnen Standorte lokal definiert und umgesetzt werden. Daraus ergeben sich dann auch unterschiedliche Anforderungen für die Sicherheit der Datenkommunikation. Das bisher starre, auf maximale Sicherheit ausgelegte Konzept passt sich an die tatsächlichen Sicherheitsbedürfnisse der Niederlassungen an.
Zum Ende des Jahres ist eine Neuausschreibung des WAN geplant - der Ausgang ist offen. CIO Mahr könnte sich auch wieder von den jetzigen Providern trennen, so wie er sich überhaupt unterschiedliche Lösungen vorstellen kann: Ein weltweiter Carrier, der auch die Sicherheits-Features übernimmt, ist für ihn ebenso denkbar, wie eine Flexibilisierung des jetzigen Konzepts, wenn es die tatsächlichen Sicherheitsbedürfnisse der einzelnen Standorte berücksichtigt. Ganz sicher ist sich der Konzern-CIO jedoch, dass er eine solche Entscheidung nicht allein treffen will: "Das wird Bottom-up entschieden", erklärt Mahr. "Die Arbeitsgruppe der IT-leiter und CIOs ist sicher das richtige Forum, um die beste Lösung für den Konzern zu finden - die dann aber lokal verbindlich umzusetzen ist."