Von der Duschabtrennung über Wannen und Wellnessprodukte bis hin zum persönlichen Wunschbad – bei Duscholux findet man alles rund ums Badezimmer. Die international tätige Schweizer Firmengruppe mit Hauptsitz in Thun beschäftigt rund 500 Mitarbeitende und zählt auf eine funktionierende und moderne IT. Und damit sprichwörtlich niemand baden geht, wird auch das Thema Security gross geschrieben.
IT-Security komplett ausgelagert
«Security hat bei uns einen wichtigen Stellenwert und geniesst eine hohe Priorität», erklärt Peter Engeloch. Er ist IT-System-Administrator und verantwortlich für die Sicherheit der IT-Infrastruktur von Duscholux, wobei von Thun aus IT-mässig nur ein Teil der Gruppe abgedeckt wird. Fünf Standorte mit rund 200 PC-Arbeitsplätzen betreuen Engeloch und zwei weitere IT-Mitarbeiter. Die anderen Niederlassungen, beispielsweise in England, Thailand oder Dubai, kümmern sich selber um ihre Informatik.
Bezüglich IT-Security geht es bei Duscholux in erster Linie um eine möglichst hohe Ausfallsicherheit, aber auch um den Datenschutz und ganz konkret um das Abwehren von Angriffen aus dem Web sowie Spam- und Virenschutz. Industrie-Spionage ist auch ein Thema, wird aber momentan noch nicht so hoch gewichtet. «Es muss manchmal erst etwas passieren, damit man merkt, wie wichtig es eigentlich wäre», meint Engeloch.
Da Duscholux intern keine Security-Spezialisten hat, das Thema IT-Sicherheit jedoch einen hohen Stellenwert geniesst, hat man sich bereits im Jahr 2002 entschieden, den ganzen Bereich an einen Experten auszulagern. Man hat sich damals drei verschiedene Lösungen beziehungsweise Anbieter angeschaut und sich schliesslich für United Security Providers (USP) entschieden. Der Schweizer IT-Security-Spezialist kümmert sich im Rahmen eines Full-Outsourcings nun schon seit mehr als zehn Jahren um die Sicherheit der IT-Infrastruktur von Duscholux.
Da der Badspezialist einen sehr hohen Wert auf die Verfügbarkeit legt, handelt es sich bei diesem Outsourcing um eine hochstehende Lösung, die für ein Unternehmen dieser Grösse sonst nicht üblich ist, wie Cyril Marti, Product Manager Managed Security Services bei USP, erklärt. Speziell punkto Ausfallsicherheit ist beispielsweise, dass man im Bereich Mail-Security auf ein Active-Active-Setup setzt und ein Teil der Hardware in Thun und der andere in Luxemburg steht.
Qualität, Preis und Support
Das Outsourcing ist im Bereich Ausfallsicherheit also speziell auf Duscholux zugeschnitten. Ansonsten kommen laut Marti grösstenteils standardisierte Services zum Einsatz. Ohne diese standardisierten Teile könne man die Dienstleistung nicht zum aktuellen Preis anbieten. Aber man sei wie erwähnt durchaus bereit, spezielle Kundenbedürfnisse abzudecken.
Was Duscholux das Security-Outsourcing genau kostet, will das Unternehmen nicht Preis geben. «Eine Lösung, wie wir sie haben, ist sicher nicht günstig. Sie ist jedoch in Anbetracht dessen, dass ich mindestens zwei weitere Mitarbeitende haben müsste, wenn wir uns selber darum kümmern wollen, aber auch nicht extrem teuer», meint der IT-System-Administrator Engeloch, der es ausserdem schätzt, dass er einen Abopreis zahlt und damit fixe, budgetierbare Kosten hat.
Der Preis war und ist für Duscholux zwar ein Faktor, aber nicht das ausschlaggebende Kriterium. «Nicht immer ist die teuerste Schokolade die beste. Qualität und Preis müssen für uns stimmen – und dass die Leute erreichbar sind, wenn etwas ist», erklärt Engeloch. Das ist laut ihm bei USP der Fall: «Ich habe schon einmal an einem Sonntagabend um 22.30 Uhr angerufen. Es hat zwei Mal geklingelt und ich hatte jemanden am Apparat, der mir weiterhelfen konnte – und das erst noch in Berndeutsch.»
E-Mail-Security aufgefrischt
Die komplexe Security-Infrastruktur, die USP für Duscholux betreibt, besteht einerseits aus einer Web-Security-Lösung, mit der das interne Netz geschützt und vom Internet getrennt wird. Dafür sorgen je zwei Firewall-Systeme pro Standort. Andererseits nutzt der Badhersteller auch eine E-Mail-Security-Lösung, inklusive Viren- und Spam-Schutz, und setzt dabei auf zwei zentralisierte Fortimail-Appliances von Fortinet (Modell 200D). Letztere wurden erst im Februar des letzten Jahres in Betrieb genommen und haben ältere, Linux-basierte Lösungen von USP abgelöst.
Der Wechsel von den alten auf die neuen E-Mail-Security-Appliances ging gemäss Peter Engeloch sehr schnell und ohne Probleme über die Bühne. «USP hat alles vorbereitet, so kam es nur zu einer Umschaltzeit von vielleicht 20 Minuten, in der die Ausfallsicherheit nicht sichergestellt war. Schlimmstenfalls hätten wir also nur ein paar Minuten keine E-Mails bekommen oder schicken können.» Soweit kam es aber nicht, der Anwender hat vom Wechsel angeblich nichts mitgekriegt.
Im Bereich Web-Security ist das letzte Update auch im vergangenen Jahr erfolgt. Kurz nach der Erneuerung der Mail-Appliances hat man in Luxemburg alte Firewalls, auch USP-Produkte, gegen neue Fortigate-Geräte (Modell 60C) getauscht. Auch dieser Wechsel ist gemäss den beiden Partnern problemlos über die Bühne gegangen.
Infrastruktur-Erneuerung ohne Kosten
Den Entscheid, auf Fortinet-Produkte zu wechseln, hat USP gefällt. Der Schweizer Security-Spezialist hat sich nämlich dazu entschlossen, im Bereich Web- und E-Mail-Security neu auf diesen Hersteller zu setzen. Für Fortinet spricht gemäss Cyril Marti vor allem die Tatsache, dass die anderen Firewall-Hersteller meist aus dem Netzwerk-Bereich kommen, Fortinet hingegen aus dem Security-Bereich. Zudem ist Fortinet seiner Ansicht nach in gewissen Bereichen wie den UTM-Funktionalitäten Marktführer. Neben Web- und E-Mail-Security hat USP für Duscholux in den Appliances denn auch einige UTM-Funktionen aktiviert, so zum Beispiel ein URL-Filtering am Perimeter. Ausserdem ist auch ein Virenschutz aktiv.
Durch den Wechsel ist das Security-Outsourcing für Duscholux nicht teurer, sondern eigentlich sogar günstiger geworden, wie Marti erklärt: «Duscholux zahlt einen monatlichen Betrag, in dem ist das Leasing der Security-Infrastruktur inbegriffen. Nun hat man eine neue Infrastruktur zum selben Preis. Und die ganze Umstellung war für den Kunden kostenneutral.»
Dreistufiger Virenschutz
Die IT-Security-Infrastruktur von Duscholux ist also auf dem neuesten Stand. Trotzdem kommen zwischendurch noch E-Mails rein, die nicht rein sollten, wie Peter Engeloch offen zugibt. Die Mitarbeiter sollen aber entsprechend geschult sein, dass sie E-Mails, die von Leuten kommen, die sie nicht kennen, gleich löschen, entsprechende Anhänge nicht öffnen und keine Links anklicken. Das funktioniert laut dem System-Administrator in der Regel recht zuverlässig. Ab und zu kommt es aber trotz dreistufigem Virenschutz – auf der Mail-Appliance, auf dem Domino-Server und auf dem Client – vor, dass ein Virus installiert wird. Dann nimmt man den PC sofort vom Netz und setzt ihn in der Regel gleich neu auf. Das war allerdings schon länger nicht mehr nötig. Engeloch glaubt, dass dies auch Lotus Notes zu verdanken ist. Duscholux setzt schon seit vielen Jahren auf die Exchange-Alternative von IBM, die gemäss Marti durchaus noch oft anzutreffen ist und die ganze E-Mail-Security nicht komplizierter macht – im Gegenteil.
Die E-Mail-Security-Lösung von Duscholux prüft aber nicht nur eingehende E-Mails, es werden auch die ausgehenden Nachrichten kontrolliert. Wenn also unbemerkt eine Infektion im internen Netz erfolgen sollte und der Rechner dann selbstständig Mails verschicken will, dann gehen diese nicht raus. Signiert werden die Mails derweil nicht, obwohl es möglich wäre. Man hat keinen Bedarf, weil es in dieser Hinsicht noch keine Probleme gegeben hat. Dafür bietet die E-Mail-Security-Lösung gemäss Engeloch einen interessanten Nebeneffekt: Das Unternehmen beziehungsweise dessen Mitarbeiter sparen bei einem Spam-Anteil von 90 bis 95 Prozent viel Zeit, weil sie deutlich weniger E-Mails durchgehen müssen. Rund 70 Prozent werden laut Marti gar nicht mehr zugestellt und direkt abgewiesen. Die übrigen, ungefährlichen maximal 25 Prozent werden getaggt, also als Spam markiert. Bei bis zu 6000 E-Mails pro Tag ist das eine durchaus beachtliche Zahl. Zudem spart man so natürlich auch viel Speicherplatz.
Zentralisierung der Firewalls
Das Spam-Aufkommen bei Duscholux ist insgesamt rückläufig. Das Rad steht, insbesondere im Bereich IT-Security, aber nicht still. Angriffe aus dem Web und Spam werden immer differenzierter und heimtückischer, weiss Security-Spezialist Cyril Marti: «Es wird immer schwerer, Schritt zu halten. Längst reicht es nicht mehr aus, nur bestimmte Wörter zu blocken, es braucht etwa auch Muster oder Heuristiken.» Seiner Ansicht nach geht die Tendenz darum immer mehr zu gemanagten Firewalls. «Es braucht in dem Bereich einfach Spezialisten», ist sich auch Peter Engeloch sicher, «denn wenn man Administrator eines Netzwerks und einer Infrastruktur ist und sich zusätzlich noch mit dieser schnelllebigen Security-Thematik auseinandersetzen muss, kommt das eine oder andere automatisch zu kurz oder wird nicht mehr so gut gepflegt, wie man es eigentlich pflegen sollte.»
Web- und E-Mail-Security gibt es unterdessen auch aus der Cloud (siehe Marktübersicht ab Seite 48). Für einige Unternehmen dürfte dieser Lösungsweg ganz sicher interessant sein. Für Duscholux ist Sicherheit aus der Wolke momentan kein Thema. «Mit der aktuellen Lösung hat das Unternehmen sicher mehr Flexibilität, als wenn es eine Cloud-Lösung nutzen würde, weil man auch auf individuelle Bedürfnisse eingehen kann», erklärt USP-Mann Marti. Zudem gibt es für international verteilte Unternehmen wie Duscholux angeblich noch einige andere, heikle Themen, wie beispielsweise den Speicherort der Daten. Dafür denkt man beim Badhersteller derzeit über einen Ausbau der zentralen Firewalls nach. Wie und wann dieser erfolgen wird, ist jedoch noch offen.
(mv)