Unternehmensdrehscheibe für das Security Level Management

Die weltweite IT-Infrastruktur von ZF zählt zusammen mit dem Bestand aus dem neu hin­zugekommenen Anteil von TRW rund 80.000 Endgeräte und 10.000 Server. Die Server­landschaft ist zu etwa 90 Prozent virtualisiert, bei den Clients handelt es sich um klassische Hardware. Wie viele Unternehmen im Bereich der industriellen Ferti­gung verfügt auch ZF über eine große Anzahl an Produktionsan­lagen mit bereits langfristig genutzten IT-Komponenten. Auch diese müssen gepflegt und von der IT-Sicherheit betreut werden, da die Systeme als Ganzes ihre geplante Lebensdauer bei weitem noch nicht erreicht haben.

Die gesamte IT des Unternehmens wird zentral von Deutschland aus gesteuert. Die am Hauptstandort entwickelten Vorgaben gelten weltweit und sollen der interna­tionalen Belegschaft auf faire und kooperative Weise vermittelt werden. Die Mitarbeiter sollen die Richtlinien und Standards verstehen und akzeptieren und bei der Umsetzung als Partner der IT-Leitung agieren.

Auch die Informationssicherheit ist zentral organisiert und operiert von Friedrichshafen aus. Die übergeordnete Kontrollfunktion übernimmt der Konzernbeauftragte für IT-Sicher­heit. Organisatorisch hat ZF die Security-Abteilung in die produktive IT eingebettet. „Der Vorteil dieses Modells ist, dass die IT-Sicherheit immer direkt an der Projektplanung der IT teilnimmt“, erklärt Michael Schrank, Head of IT Security bei ZF. „IT und IT-Security ziehen deshalb an einem Strang. So finden ihre Entscheidungen die nötige Beachtung und werden weltweit auch wirklich umgesetzt.“ Für Schrank bietet die klare, einfach gegliederte Organisation auch einen echten Sicherheitsgewinn: „Müssen wir kurzfristig Maßnahmen ergreifen, weil es die aktuelle Gefahrenlage notwendig macht, geschieht dies schnell und ohne lange Verzögerungen. Unternehmen, die beispielsweise mit mehreren CISOs für unterschiedliche Organisationseinheiten arbeiten, benötigen für solche Prozesse weitaus länger.“

2014 begann ZF mit der Suche nach einem Werkzeug, das seinem Sicherheitsteam jederzeit einen verlässlichen Überblick über den jeweiligen Sicherheitsstatus aller IT-Komponenten im weltweiten Netzwerk bieten sollte. In diesem Bereich sahen die Spezialisten des Technologiekonzerns noch erheblichen Verbesserungsbedarf: „Wir haben versucht, den Gesamtstatus manuell über die verschiedenen Konsolen der System- und Security Management Tools zu ermitteln“, berichtet Schrank, „aber diese Vorgehensweise erwies sich als zu komplex und zeitraubend. Auch die Qualität der Ergebnisse stellte uns nicht zufrieden.“

Auf der Suche nach Abhilfe evalu­ierte das Team die Lösung „Security Lighthouse“ von AMPEG. Das Monitoring System koppelt sich mit „Kollektoren“ an die System- und Security Manage­ment Tools im Netzwerk an, erhebt und korreliert die dort gewonnenen Statusinformationen nahezu in Echtzeit und gleicht sie mit den unternehmensinternen Sicherheitsvorgaben ab. Die Resultate bereitet das System unter anderem auf einer Weltkarte visuell auf und symbolisiert den Sicherheitsstand einzelner Loka­tionen anhand von Ampelfarben. Zeigen sich an einem Standort Unstimmigkeiten oder Fehler – wie etwa nicht ausgerollte Virensignaturen, fehlende Softwareupdates, ausgelassene Patches oder verspätete System-Rückmeldungen – kann der Operator den Problemen sofort per Mausklick auf den Grund gehen und dabei immer detailliertere Informationen über Netzwerksegmente bis hinab zu den Einzelsystemen abrufen.

„Einen Kollektor“, weiß Schrank zu berichten, „haben wir zusammen mit AMPEG neu entwickelt.“ Es handelt sich um eine Schnittstelle im Bereich des Konfigurations-Mana­gements. „Die Koopera­tion verlief von der Idee über deren Bewertung bis zur Fertigstellung ebenso effektiv wie partnerschaft­lich“, fährt der ZF-Spezialist fort: „AMPEG hat die Anregung sofort aufgenommen und der neue Kollektor war bereits nach einem Vierteljahr einsatzbereit.“ Inzwischen hat AMPEG das so entstandene Interface in sein Repertoire vorgefertigter Kollektoren aufgenommen. „ZF nutzt außerdem unseren neuen CVE-Katalog (Common Vulnerabilities and Exposures)“, merkt Michael Hänsel an, Projektleiter bei AMPEG: „Diese Ressource hilft bei der Bewertung von Schwachstellen, die das Security Lighthouse mit den bereits erhobenen Daten aus dem Update- und Inventory Management korreliert."

Im erhofften Maße bewährt hat sich auch die praxisorientierte und flexible Visualisierung der sicherheitsrelevanten Informationen durch das Security Lighthouse. ZF setzt das System unter anderem im Security Operations Center (SOC) ein, wo es die Analysten heranziehen, um bei Alerts die möglichen Auswirkungen einer bekannten Bedrohung auf die Systeme im Netz besser einschätzen und die Events und Incidents exakter klassifizieren zu können. „Für uns von großer Bedeutung ist außerdem das Reporting“, erläutert Schrank, „wir können damit heute ohne großen Aufwand jederzeit zeigen, ob und wie wir die vereinbarten Key Performance Indicators (KPIs) für den Sicherheitsstand einhalten. Die Messungen und der Abgleich sind automatisiert und die Aufbereitung der Ergebnisse wird dem Bedarf des Managements voll und ganz gerecht.“