Kein Unternehmensnetz kommt heute mehr ohne Antivirenlösung und geregelte Patch-Prozesse aus. Der Zweckverband Abfallwirtschaft Kreis Bergstraße setzt dafür Lösungen von Norman ein. Diese hat der IT-Dienstleister SOTEC empfohlen, der das ZAKB-Netzwerk betreut. Den Dienstleister und das Anwenderunternehmen haben die Funktionalität und die Administrierbarkeit der Produkte und die Supportleistungen des Herstellers restlos überzeugt.
Sorgsamer Umgang mit Ressourcen ist für den Zweckverband Abfallwirtschaft Kreis Bergstraße (ZAKB) in Lampertheim Geschäftsgrundlage. Er sammelt, sortiert und verwertet jährlich rund 94.000 Tonnen an Abfällen und Wertstoffen von 16 angeschlossenen Städten und Gemeinden und beschäftigt zusammen mit zwei Tochtergesellschaften mehr als 140 Mitarbeiter. Mit der Ausweitung der Aufgabenbereiche wuchsen die Zahl der Mitarbeiter und infolgedessen auch das IT-Netz. Wie in vielen kleineren und mittelgroßen Unternehmen wurde der eine oder andere Erneuerungszyklus bei den Rechnern ausgelassen mit der Folge, dass der bestehende Virenschutz die Rechner verlangsamte. „Die CPU-Belastung war gigantisch“, sagt Siegfried Göpfert, Geschäftsleiter der SOTEC GmbH. „An manchen Tagen behinderten Scans und Updates die Arbeitsprozesse erheblich.“
Das IT-Systemhaus mit Sitz in Laudenbach auf halber Strecke zwischen Darmstadt und Heidelberg entwickelt maßgeschneiderte IT-Lösungen für mittelständische Unternehmen und betreut deren Infrastruktur, so auch das Unternehmensnetz des ZAKB.
Wenig Arbeit für Administratoren
Auf Empfehlung von SOTEC stieg der ZAKB für den Schutz der ca. 75 Clients und 15 Server auf die Lösung des norwegischen Herstellers Norman um. Neben der Zuverlässigkeit war das Entscheidungskriterium für Norman Endpoint Protection (NPRO) die schlanke Scan-Engine mit geringem Ressourcenbedarf. Die Lösung, die aus einer Client-Komponente und einer zentralen Managementkonsole besteht, ließ sich mit wenig Aufwand installieren. Zunächst wurde die Administrationskomponente auf dem Server eingerichtet, der als Distributionsrechner vorgesehen war, danach die Client-Komponente an die einzelnen Geräte verteilt. Bereits diesen Arbeitsgang erledigt die Konsole, und zwar mit Hilfe eines Sniffers, der das Netzwerk durchsucht und alle IP-Geräte an die Konsole meldet. Mit den Updates hat die Systemadministration ebenfalls nichts zu tun, die Konsole holt sie sich automatisch und verteilt sie eigenständig. Der Administrator muss nur die Gruppen und Regeln einrichten und ansonsten in regelmäßigen Abständen prüfen, ob alles in Ordnung ist.
Als im Jahr 2011 die Zahl der ausgenutzten Schwachstellen vor allem bei Drittanbieter-Software wie Java, Flash Player, Skype und anderen rasant anstieg, sollte die Verteilung der Patches professionalisiert werden. Dabei spielten Datenschutzanforderungen die Hauptrolle: „Der ZAKB verwaltet die Daten von sehr vielen Haushalten im Einzugsgebiet“, erläutert der SOTEC-Chef. „Mängel beim Patchen können zu Malware-Infektionen und diese zu datenschutz-relevanten Vorfällen führen, die der ZAKB im eigenen Interesse vermeiden will.“ Ursprünglich wurden Microsoft Windows Server Update Services für die Verteilung genutzt. Bei den Nicht-Microsoft-Anwendungen sorgten teilweise die Mitarbeiter selbst für die Aktualisierung. „Da Adobe-Patches häufig ausführbare Dateien sind, die von den Mitarbeitern nicht heruntergeladen werden dürfen, blieb uns dafür nur die Turnschuh-Administration, also von Rechner zu Rechner zu gehen und die Patches manuell einzuspielen“, sagt Göpfert. „Neben dem Zeitaufwand störte uns daran vor allem, dass wir keine Möglichkeit hatten, den Prozess unternehmensweit zu steuern und das Ergebnis zu überwachen und ggf. zu korrigieren.“
Keine Regel ohne Ausnahme
Für eine Anforderung an die Patch-Lösung hatte der Virenschutz von Norman den Maßstab gesetzt: Sie sollte weitgehend automatisiert arbeiten und möglichst einfach zu administrieren sein. Ein Produkt, bei dem die Patch-Pakete inhouse zusammengestellt werden müssen, kam, so Göpfert, nicht in Frage. „Das kostet zu viel Zeit, die dann an anderer Stelle für die Systembetreuung fehlt.“ Die neue Lösung sollte neben Microsoft ein möglichst breites Spektrum an Anwendungen von Drittanbietern abdecken. Außerdem sollten sich die Regeln für die Verteilung der Patches bis auf Rechner-Ebene herunterbrechen lassen. „Java-Patches können beim ZAKB nicht flächendeckend ausgerollt werden“, führt Göpfert aus. „Auf zehn Rechnern läuft ein Chipkarten-System, über das ausgewählte ZAKB-Mitarbeiter Sondermüll-Transporte beauftragen. Dieses hat sehr spezielle Anforderungen an Java.“ Der Funktionsumfang von Norman Patch & Remediation deckte die Anforderungen des ZAKB vollständig ab; die guten Erfahrungen, die man mit der Bedienung des Virenschutzes und der Unterstützung durch Norman gemacht hatte, trugen ebenfalls zur Entscheidung für die Norman-Lösung bei. Ihre Installation verlief wie erwartet unauffällig. Norman Patch & Remediation arbeitet mit Agenten, die nach der Installation der Software auf dem Server manuell auf den Clients installiert wurden. Diese Aufgabe lässt sich über das Active Directory automatisieren. Nach der Installation melden sich die Agenten am Management-Server an und inventarisieren die Hard- und Softwarekomponenten auf den Rechnern. Die Liste wird an den Server gesendet und mit den bekannten Schwachstellen abgeglichen. In einem zweiten Suchlauf ermitteln die Agenten den Patch-Status der Clients. Die Patches werden automatisch zusammengestellt und jeweils gruppenweise an die Rechner mit identischer Ausstattung verteilt. Rechner, die neu in das Netz des ZAKB kommen, werden automatisch erfasst. Sie erhalten ebenfalls einen Agenten und werden auf den aktuellen Stand gebracht. „Die Gruppe der Rechner mit dem Chipkarten-System wird mit Ausnahme der Java-Patches behandelt wie alle anderen“, sagt Göpfert. „Die Rechner erhalten die Java-Patches erst, wenn wir sie getestet haben und wir davon ausgehen können, dass sie keine Störungen verursachen.“
Anruf genügt
Nun sind Patch-Management-Lösungen deutlich komplexer als Virenschutz-Produkte. Welche Funktion wo eingestellt werden muss und was genau sich hinter welcher Angabe verbirgt, erschließt sich dem Systemadministrator nicht immer intuitiv. Bei Unklarheiten ist der Support gefragt. „Der Kontakt mit Norman funktioniert in allen Bereichen sehr unbürokratisch“, sagt Göpfert. „Sind Lizenzen zu verlängern, reicht ein Telefonanruf. Wenn technische Probleme oder Fragen bei der Installation auftauchen, hilft der deutschsprachige Support. Meistens ist gleich der Norman-Mitarbeiter am Telefon, der das Produkt kennt und unmittelbar den richtigen Hinweis geben kann.“
Der Kontakt mit Norman funktioniert in allen Bereichen sehr unbürokratisch.
Seit 2012 verteilt Norman Patch & Remediation die Sicherheitsupdates auf die ZAKB-Rechner. Alle Clients sind optimal gepflegt. „Die Systemadministration hat die volle Kontrolle über den Zustand der Rechner“, sagt Göpfert. „Sie sieht, ob die Installation stattgefunden hat oder misslungen ist, beispielsweise weil der Zielrechner nicht genügend Speicherplatz hatte, oder ob ältere Patches entfernt oder überschrieben wurden. Bei solchen Unregelmäßigkeiten können wir manuell eingreifen und nachbessern.“ Auch die Arbeitsbelastung für die Administration ist deutlich gesunken. Während früher allein am Patch-Day zwei bis drei Mitarbeiter alle Hände voll zu tun hatten, beziffert Göpfert den Arbeitsaufwand jetzt auf lediglich zwei Manntage im Monat. Das Wichtigste: Die Systeme sind geschützt. „Seit der ZAKB mit den Norman-Produkten arbeitet, ist uns dort nicht ein System mit Virenbefall untergekommen“, bringt Göpfert den Projekterfolg auf den Punkt.
Ihr Ansprechpartner
Ralf Bopp
Tel.: 06201-4974-42
Fax 06201-4974-80
E-Mail: Ralf.Bopp@sotec.net