"ARP-Guard" schützt das Netzwerk von Wincor Nixdorf

Sicherheitslücken sind keine Option - 20.000 Arbeitsplätze müssen sicher sein

(14.03.11) - Die stetige Weiterentwicklung einer den Geschäftsprozessen entsprechenden und angemessenen IT-Sicherheit spielt eine maßgebliche Rolle in der Strategie von Wincor Nixdorf. Damit reagiert das Unternehmen auch auf die sich ständig verändernden Bedrohungen vor allem aus dem Internet.

"Durch den zunehmenden Erfolg unserer 'Outsourcing'- und 'Managed Services'-Aktivitäten haben wir erkannt, dass wir den erhöhten Anforderungen an Informationssicherheit in diesen Geschäfts-feldern Rechnung tragen müssen", erläutert Hannes Merli, Projektmanager bei Wincor Nixdorf. Das Unternehmen ist laut eigenen Angaben weltweit die Nummer zwei bei ausgelieferten Geldauto-maten. Bei programmierbaren elektronischen Kassensystemen (EPOS) in Europa ist Wincor Nixdorf sogar die Nummer eins und mittlerweile in etwa 100 Ländern präsent, davon in 41 mit eigenen Tochtergesellschaften. Deshalb müssen die Mitarbeiter auch vor Ort via PC, Laptop oder Smartphone Zugriff auf das Unternehmensnetzwerk haben.

Gut 20.000 Arbeitsplätze müssen also sicher sein, und trotz dieser Menge an angeschlossenen Geräten ist eine Unterscheidung über "gut" und potenziell "böse" Pflicht. Neben bereits vorhandenen Firewall-Lösungen sollten deshalb, unabhängig vom Gerät oder Betriebssystem, neu angeschlossene oder nicht konforme IT-Systeme im Netzwerk sichtbar sein und entsprechend behandelt werden können. Diese Identifikation von Fremdgeräten galt es, vom angeschlossenen Netzwerkgerät sowie vom Betriebssystem unabhängig, campusweit (weltweites Konzernnetzwerk) und ohne Erneuerung der schon bestehenden LAN-Infrastruktur (Local Area Network) zu gewähr-leisten.

Beim Proof-of-Concept stellte der Systemintegrator und IT-Dienstleister Controlware, der den "ARP-Guard" bei Wincor Nixdorf eingeführt hat, zudem fest, dass eine dynamische VLAN-Verwaltung notwendig war. Dieses Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks; diese Struktur stellt also quasi eine weitere Schutzebene dar.

ARP-Guard schützt nun lückenlos das Netzwerk. Es tritt als flexibles und aktives Schutzschild gegen fremde Geräte auf. Der Guard durchsucht selbsttätig das Netzwerk nach Geräten, indem er mit den darin enthaltenen Routern und Switches kommuniziert. Administratoren erhalten schnell einen Überblick über sämtliche Geräte, und der Guard verwehrt dabei den nicht zugelassenen Geräten den Zutritt zum Netzwerk. Im Detail bedeutet das, dass bei Wincor Nixdorf weltweit 30 der ARP-Guard-Sensoren im Einsatz sind. Tritt dann beispielsweise der Fall ein, dass die Verbindung zur zentralen Administration der "Wächter" in der Firmenzentrale in Paderborn gekappt wird, so ist immer noch ein hohes Maß an Sicherheit gewährleistet: Der ARP-Guard-Sensor in der Nieder-lassung Singapur etwa greift in diesem Fall auf eine im Cache gespeicherte Liste der erlaubten Geräte zurück, der Mitarbeiter kann sich mit seinem Laptop weiter im Unternehmensnetzwerk bewegen, die Produktivität ist nicht gefährdet. Steht die Verbindung dann wieder, läuft die Kontrolle in Echtzeit über das zentrale System in Paderborn weiter. Das System fungiert also als eine zentrale Sensor-Management-Struktur, die auf diese Weise auch große Entfernungen überbrückbar macht.

Flexibilität bedeutet aber auch, dass der ARP-Guard verschiedenste Betriebsmodi unterstützt, sei es Radius, SNMP oder den neuen Standard 802.1X, auf den so manches Unternehmen dieser Tage umrüstet. "Teil unseres Sicherheitskonzeptes war es auch, dass der ARP-Guard als Sensor nur Lese- und keine Schreibrechte eingeräumt bekommen sollte, die unsere Netzwerkstruktur hätten verändern können", sagt Hannes Merli, "aber das war kein Problem, ebenso wie die Administration der Sensoren." So versendet der Konzern neue Laptops oder PCs zentral aus Paderborn, wo sie auch "betankt", sprich mit der entsprechenden Software ausgerüstet, werden. Ohne zusätzlichen Aufwand werden die Geräte dabei vom ARP-Guard automatisch erfasst und als legitim deklariert. Die althergebrachte Listenverwaltung entfällt. Ganz egal, wo sich der Mitarbeiter beispielsweise mit seinem neu zugelassenen Laptop in das Unternehmensnetz einloggt - die Sicherheit ist gewähr-leistet, der ARP-Guard erkennt den Rechner sofort. Würde er hingegen ein nicht zugelassenes Gerät mitbringen, so wäre das Wincor-Nixdorf-Netz für ihn tabu. (ISL: ma)