Use Case

Integrierte Sicherheit ohne Kompromisse

profine ist einer der weltweiten Hersteller von Kunststoffprofilen für Fenster und Haustüren. Die inhabergeführte Unternehmensgruppe mit Hauptsitz in Troisdorf liefert seine Produkte heute in mehr als 70 Länder. Die IT des Profilherstellers ist weitgehend zentral organsiert. profine stellt alle wichtigen Geschäftsanwendungen über Rechenzentren in Deutschland zur Verfügung und steuert von hier aus die globale IT-Strategie.

Über 3.000 Mitarbeiter an 29 Standorten erwirtschafteten zuletzt einen konsolidierten Jahresumsatz von rund 700 Millionen Euro. In Deutschland produziert profine in den Werken Berlin und Pirmasens, darüber hinaus verfügt das Unternehmen über Produktionsstandorte in Frankreich, Italien, Spanien, Russland, Ukraine, China, Indien und den USA.

Anzeige

Die Herausforderung

Für die Kommunikation zwischen den weltweiten Standorten baute die IT-Organisation von profine eine sichere Infrastruktur auf. Die deutschen Niederlassungen wurden durch ein MPLS-Netzwerk verbunden, alle internationalen Tochtergesellschaften erhielten via VPN Zugriff auf die zentralen IT-Ressourcen. Innerhalb des Firmennetzwerks richtete die IT-Abteilung zudem elf unterschiedliche Sicherheitszonen ein. „Unser Team setzte frühzeitig auf Netzwerksegmentierung, um zum Beispiel Steuerungsrechner oder Handscanner in der Produktion von anderen Geräten im Netzwerk abzuschotten“, sagt Hans-Günter Moser, Head of IT bei profine.

Durch die virtuelle und physische Trennung unterschiedlicher Bereiche erreichte profine ein sehr hohes Sicherheitsniveau. Allerdings verursachte die komplexe Infrastruktur auch enormen Wartungsaufwand. „Unsere Spezialisten steckten sehr viel Zeit in die laufende Administration und mussten alleine rund 1.000 unterschiedliche Sicherheitsregeln pflegen – und dies mit proprietärer Technologie“, so Hans-Günter Moser. „Wir waren dadurch immer abhängig vom Know-how unserer Mitarbeiter und konnten Ausfälle nur schwer kompensieren.“ profine sondierte den Markt daher nach einer einfacher verwaltbaren Security-Lösung, die alle Anforderungen des Unternehmens erfüllen konnte.

Die Lösung

Nach einem Vergleich unterschiedlicher Anbieter entschied sich profine, künftig auf eine umfassende Security Fabric-Architektur von Fortinet zu setzen. Die Fortinet Security Fabric vereint unterschiedliche Security-Technologien auf einer Plattform und kann unter anderem auch als VPN-Lösung eingesetzt werden. „Ausschlaggebend waren für uns der ganzheitliche Ansatz von Fortinet, die Leistungsfähigkeit der Hardware und auch das Preis-Leistungsverhältnis“, fasst Hans-Günter Moser zusammen.

Die Spezialisten vom Fortinet Partner VINTIN halfen profine, die passenden FortiGate Enterprise Firewalls für die weltweite Infrastruktur auszuwählen. Im Rechenzentrum in Pirmasens wurde ein hochverfügbares Cluster mit FortiGate 1200D Geräten eingerichtet und über 40 Gbit/s-Schnittstellen an die Datacenter-Switches von Extreme Networks angebunden. Die neue Lösung brachte damit sowohl die Ausfallsicherheit als auch die Leistungsfähigkeit mit, um die Kommunikation von profine innerhalb und außerhalb des Netzwerks zuverlässig und performant zu schützen.

Auch bei der Migration der rund 1.000 Sicherheitsregeln konnte profine auf die Technologie von Fortinet zurückgreifen. „Ohne den FortiAnalyzer wäre die Umstellung nicht so reibungslos umsetzbar gewesen“, sagt Michael Kochert, Netzwerk-Administrator im IT-Team von profine. „Wir können mit der Lösung sofort sehen, warum bestimmter Datenverkehr geblockt wird – auch noch nach mehreren Tagen. So waren wir in der Lage, Fehler schnell zu beheben und die Policies genau an unsere Anforderungen anzupassen.“

Der weltweite Rollout der Lösung wurde durch den FortiManager erleichtert. Die FortiGate-Systeme mussten vor Ort lediglich ans Netzwerk angeschlossen werden und holten sich dann über die zentrale Management-Plattform ihre jeweilige Konfiguration. Fachpersonal wurde dazu in den Niederlassungen nicht benötigt.

Im nächsten Schritt dehnte profine die Sicherheitsarchitektur von Fortinet auch auf die einzelnen Endgeräte aus. Für die Endpunktsicherheit setzt das Unternehmen heute flächendeckend den FortiClient ein. Dieser setzt die Sicherheitsregeln des Unternehmens auch auf Desktop-Rechnern und Firmen-Notebooks durch und dient gleichzeitig als VPN-Client für den Remote-Zugriff.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vorteile

„Wir können uns heute auf die Verfügbarkeit unserer Sicherheitsarchitektur jederzeit verlassen“, sagt Hans-Günter Moser. „Selbst wenn eine FortiGate-Appliance oder ein Switch ausfallen sollten, können die Anwender ohne Unterbrechung weiterarbeiten.“

Ein weiterer großer Vorteil aus Sicht des Head of IT ist der deutlich reduzierte Administrationsaufwand. Die IT-Spezialisten von profine müssen Änderungen an den Sicherheitsregeln nur noch einmal zentral konfigurieren – anschließend werden sie automatisch in der gesamten Infrastruktur umgesetzt. Auch spezifische Einstellungen für einzelne Niederlassungen lassen sich über die zentrale Plattform verwalten.

profine profitiert im Alltag heute zudem vom engen Zusammenspiel der einzelnen Fortinet-Komponenten. Vor kurzem meldete beispielsweise der FortiClient Unregelmäßigkeiten auf einem Endgerät in Italien. „Ein Anwender hatte sich einen bisher unbekannten Virus eingefangen“, berichtet Michael Kochert. „Wir konnten anschießend sofort über entsprechende FortiGate-Regeln das betroffene Netzwerksegment isolieren und den Datenverkehr aus Italien vorübergehend blocken. Im schlimmsten Fall hätte sonst eine einzelner infizierter Rechner unsere Produktion lahmlegen können.“

„Der integrierte Sicherheitsansatz von Fortinet bewährt sich in der Praxis hervorragend. Wir sind daher dabei, unsere Architektur Schritt für Schritt im Rahmen der Security Fabric weiterzuentwickeln. Nur mit schnellen Reaktionen und konzertierten Maßnahmen können wir mit den immer komplexeren Sicherheitsbedrohungen Schritt halten“, fasst Hans-Günter Moser zusammen.  

Autor: Holger Hespelein, freier Journalist, München

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.