Schluss mit Sisyphos
Die VolkswagenStiftung setzt auf elegante Netzwerksicherheit made in Germany
Die VolkswagenStiftung macht mit macmon Network Access Control (NAC) ihr Netzwerk lückenlos bereit für aktuelle und kommende Sicherheitsanforderungen. Gleichzeitig werden die IT-Mitarbeiter durch intelligente Automatisierung entlastet.
Die VolkswagenStiftung ist eine eigenständige, gemeinnützige Stiftung privaten Rechts mit Sitz in Hannover. Mit einem Fördervolumen von insgesamt etwa 150 Millionen Euro pro Jahr ist sie die größte private deutsche wissenschaftsfördernde Stiftung und eine der größten Stiftungen hierzulande überhaupt. Ihre Mittel vergibt sie ausschließlich an wissenschaftliche Einrichtungen. In den mehr als 50 Jahren ihres Bestehens hat die VolkswagenStiftung rund 30.000 Projekte mit insgesamt mehr als 4,7 Milliarden Euro gefördert.
Key-Facts zu Anwenderbericht VW Stiftung
Größte Herausforderungen:
- Überholung der bestehenden NAC-Lösung
- Erfüllung gesetzlicher Anforderungen
Gründe für macmon NAC:
- Intuitive Bedienung
- In Deutschland ansässiger Support
- Hardwareunabhängigkeit
Erfolge durch macmon NAC:
- Reduzierung des administrativen Aufwands
- Schaffung einer zentralen, zukunftssicheren und komfortablen Sicherheitsinstanz des Netzwerks
Alte Systeme zu starr und komplex
Mit ihren etwas über 200 Endgeräten – Drucker, Desktop-PCs und Laptops – für 105 Mitarbeiter, ist die VolkswagenStiftung ein relativ kleines Unternehmen.
Als wichtiger Förderer von Ausbildung, Wissenschaft und Technik in Forschung und Lehre trägt sie jedoch eine große gesellschaftliche und auch finanzielle Verantwortung – und bedarf deshalb auch des bestmöglichen Schutzes vor unerwünschten Zugriffen.
Zur Absicherung seines Netzwerkzugangs, der ersten und wichtigsten Verteidigungslinie zum Schutz ihrer Daten, hatte die Stiftung zwar bereits die Lösung eines Anbieters aus den USA für Netzwerkzugangskontrolle in Betrieb. Allerdings band sie das IT-Team in gewisser Weise an diesen Anbieter, sodass es schwierig war,
die Infrastruktur flexibel an neue Aufgaben anzupassen und zu modernisieren. Zudem waren die Wege bei Support-Anfragen lang und umständlich, da es vor Ort in
Deutschland kein lokales Service-Team gab, das direkt kontaktiert werden konnte.
Ein weiteres Problem mit der alten Lösung war ihre zeitraubende Bedienung und hohe Komplexität, die für die relativ überschaubare Infrastruktur viel zu überladen war. Eigentlich kleine Änderungen bedeuteten dadurch viel Aufwand, alleine das Management der Lösung be anspruchte einen großen Anteil der Zeit der beiden Netzwerk-Administratoren im Haus.
VolkswagenStiftung„Die Bedienung ist so intuitiv und selbsterklärend, dass wir keinerlei Trainings brauchten. Man merkt sofort, dass macmon bei der Entwicklung seiner Lösung sehr eng mit seinen Kunden zusammenarbeitet, denn als Admin findet man sich sofort zurecht und alles, was man braucht, ist genau dort, wo man es erwartet.“
Einfach. Sicher. In nur vier Wochen.
Mit der Umstellung der Infrastruktur von VDX- auf ICX-Switche eröffnete sich für die VolkswagenStiftung die Möglichkeit, aus dem Korsett des bisherigen NAC-Anbieters auszubrechen. Diese sind nämlich, neben dem Großteil anderer Switche, mit der komplett herstellerunabhängigen macmon NAC-Lösung kompatibel, so dass sich die Chance zum einfachen Wechsel auf die weitaus komfortablere Lösung aus Deutschland ergab. Die Hardwareunabhängigkeit der Lösung des Berliner Technologieführers eröffnete dem IT-Team der VolkswagenStiftung die Wahl, ihre Umgebung völlig frei aus Best-of-breed-Lösungen bei Hard- und Software zusammenzustellen, um den für sie optimal passenden Schutz zu realisieren. Neben den funktionalen Mehrwerten war die Tatsache, dass macmon komplett in Deutschland entwickelt wird und dadurch keine Risiken für versteckte Backdoors, durch die Dritte unbemerkt die Sicherheitsmaßnahmen umgehen können, bestehen, ein entscheidendes Kriterium.
Von der Entscheidung für macmon NAC Version 5.3.0 bis zur vollkommenen Ablösung der Alt-Lösung vergingen lediglich vier Wochen. Nach der Implementierung wurde macmon parallel zur alten Lösung im Lesemodus betrieben. Neben dem Basis-NAC-Modul wurden auch das VLAN-Management-Modul und die Grafische Topologie zum Einsatz gebracht.
Während dieser ersten Test-Phase konnten sich die Mitarbeiter mit den Funktionen und der einfachen Bedienung vertraut machen. Dabei wurde dem IT-Team schnell klar, dass macmon nichts von der Umständlichkeit der alten Lösung besitzt und exakt auf die Bedürfnisse der VolkswagenStiftung zugeschnitten ist. Die Topologische Darstellung bietet eine lückenlose Übersicht sowie eine Vielzahl intuitiver Verwaltungsoptionen aller im Netzwerk befindlichen Netzwerkgeräte. Weiterhin überzeugte das dynamische VLAN-Management mit einem hohen Automatisierungsgrad und vordefiniertem Regelwerk, sodass nur einmalig eine einzige zusätzliche Regel geschrieben werden musste.
Im Rahmen der Umstellung wurden sukzessive weitere Verteiler zugeschaltet, bis macmon die alte Lösung nach nur vier Wochen schließlich komplett ablösen konnte. Wegen der vorangegangenen Lese- und Lern-Phase waren sämtliche Geräte in macmon bereits klassifiziert, sodass quasi nur noch der Schalter umgelegt werden musste, um das neue NAC in den Produktionsbetrieb zu überführen.
VolkswagenStiftung„Bisher gab es noch keinen Grund für uns, den macmon-Support zu kontaktieren – die Lösung läuft fehlerlos. Sollte das aber doch einmal nötig sein, sind wir uns sicher, dass uns schnell und kompetent geholfen wird. Schließlich betreibt macmon seinen Kundenservice komplett aus seinem Hauptsitz in Berlin heraus, sodass die Wege kurz und die richtigen Fachleute auch bei komplexen Anliegen immer greifbar sind.“
VolkswagenStiftung
„Da wir den hohen Qualitätsstandard von macmon kennen und die Lösung komplett in Deutschland entwickelt wird, sind wir optimal für aktuelle und kommende Sicherheits und Datenschutz-Anforderungen bezüglich des Netzwerks gewappnet.“
Rundum-Schutz mit Zukunft
Mit macmon wurden fast alle manuellen Verwaltungsaufgaben der IT-Mitarbeiter automatisiert, sodass sie sich seither ganz auf produktive Aufgaben konzentrieren können, während die NAC-Lösung im Hintergrund das Netzwerk überwacht. Versucht ein unbekanntes Gerät sich Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sofort entsprechende Maßnahmen ergriffen werden können.
Hardware-Neuanschaffungen, um die Infrastruktur auf dem Stand der Technik – der unter anderem zur Einhaltung der neuen Datenschutzgrundverordnung (DSGVO) eine zentrale Rolle spielt – zu halten, sind aufgrund der Herstellerunabhängigkeit kein Problem mehr. Komponenten können nun allein aufgrund der Anforderungen,
Qualität und des Budgets angeschafft werden, ohne von der Preispolitik Dritter abhängig zu sein. Dies gewährt auch die Freiheit, nach oben und in die Breite zu skalieren, sollte die Stiftung in Zukunft wachsen.
Die intelligenten Management-Funktionen ermöglichen es dem IT-Team, schnell und einfach Redundanzen einzurichten, damit im Ernstfall ein Netzwerkausfall ermieden wird. Um noch effektivere Sicherheit zu gewährleisten, führte die VolkswagenStiftung in ihrem Netzwerk die Authentifizierung der Geräte mit dem IEEE Standard 802.1X über einen RADIUS-Server ein. Dabei wird auf Basis verschiedener Kriterien wie MAC Adresse, Benutzername/Passwort oder Zertifikat die Entscheidung über das Gewähren des Zugangs getroffen.
Das Zertifikat ist dabei die höchste Authentifizierungsstufe. Da der Zugang zum Netzwerk durch den Switch erst nach erfolgter Bestätigung durch den RADIUS-Server erfolgt, gibt es keine ungenutzten oder unsicheren Ports, wie es auch vom BSI empfohlen wird. Die einfache Bedienung der Lösung ermöglichte eine sehr schnelle Inbetriebnahme und bietet auch die Möglichkeit, einfach zum Mischbetrieb mit und ohne 802.1X zu wechseln, sollte das nötig werden. Mit macmon verwandelte die Volkswagen-Stiftung ihre Netzwerkzugangskontrolle von einer lästigen, ungelenken Sisyphos-Aufgabe, die wertvolle IT-Ressourcen von produktiven Aufgaben abhielt, in eine zentrale, zukunftssichere und komfortable Sicherheits-Instanz des Netzwerks.