Der Schutz der digitalen Unternehmensressourcen genießt bei Yamaha Music – weltweit bekannt für das Angebot eines breiten Spektrums an Musikinstrumenten, Elektronik- und Hi-Fi-Produkten sowie zahlreichen damit verknüpften Dienstleistungen – schon immer besondere Aufmerksamkeit.
Bereits seit vielen Jahren gilt beispielsweise die konzernweite Vorgabe zur Zwei-Faktor-Authentifizierung, um VPN-Zugriffe auf das Firmennetz abzusichern. Ein 2019 separat initiiertes Projekt am Standort Rellingen führte in dem Zusammenhang nicht nur zu einem zusätzlichen Effizienzschub im Hinblick auf interne Administrationsprozesse. Im Gegensatz zu vielen anderen Unternehmen hatte die Yamaha Music Europe GmbH darüber hinaus einen klaren Vorsprung, als im März 2020 von jetzt auf gleich auf Homeoffice-Betrieb umgestellt werden musste.
Für Christian Schulz, der bereits seit über 20 Jahren in der IT-Abteilung der Europa-Zentrale von Yamaha Music in Rellingen tätig ist, hätte das Timing für die Umstellung auf eigene Strukturen zur Multifaktor-Authentifizierung kaum besser sein können. Er erinnert sich: „Ursprünglich ging es bei der Einführung einer ‚europäischen Lösung‘ zur Multifaktor-Authentifizierung vor allem um mehr Flexibilität und Kosteneinsparungen in unseren eigenen Reihen.“ Bisher zeichnete das Headquarter in Japan für den Remote-Zugang aller europäischen Mitarbeiter auf die IT-Systeme in Europa sowie Japan verantwortlich. Dieses Zepter wollten die Rellinger nun selbst in die Hand nehmen. „Wir sind als Vertriebs- und Servicegesellschaft für alle Lokationen in Europa IT-seitig verantwortlich und betreiben das europäische Rechenzentrum, über das zum einen alle hiesigen Aktivitäten laufen und zum anderen auch die Brücke zu den zentralen Systemen in Japan geschlagen wird. In logischer Konsequenz sollten wir auch bei der Absicherung der Logins selbst an vorderster Front stehen – nicht zuletzt, um deutlich schneller auf unvorhergesehene Ereignisse reagieren zu können“, so Schulz.
Homeoffice vor Corona kaum ein Thema
Welches Ausmaß der VPN-Zugriff innerhalb weniger Monate annehmen würde, ahnte bei Start des Projekts noch keiner. „Unsere Vertriebsmitarbeiter waren logischerweise schon immer viel unterwegs im Einsatz. Auch die Abteilungsleiter hatten bereits die Möglichkeit zum mobilen Arbeiten. Aber der Rest der rund 300 Mitarbeiter am Standort Rellingen war vor Ausbruch der Pandemie eigentlich stets im Büro, um von hier aus der täglichen Arbeit nachzugehen. In den anderen europäischen Ländern gestaltete sich die Situation ähnlich“, wie der IT-Administrator berichtet. Die Einführung einer Multifaktor-Authentifizierungslösung zur Absicherung des VPN-Zugangs auf europäischem Boden war in dem Moment also eher die Kür und vor allem ein Schritt zu mehr Unabhängigkeit im Tagesgeschäft der Rellinger IT.
Drei Argumente bei der Lösungsauswahl
Ein Produkt schaffte es schnell auf die Wunschliste des Projektteams: AuthPoint von WatchGuard. Schließlich vertraute die Yamaha Music Europe GmbH im Rahmen des Netzwerkschutzes bereits seit vielen Jahren auf die Lösungen des US-amerikanischen IT-Security-Anbieters. Die Absicherung des Perimeters nach außen gestaltete sich mit den jeweiligen Produktgenerationen der Firewalls und UTM-Appliances stets reibungslos. Heute befinden sich insgesamt 15 der roten Boxen in unterschiedlicher Größenordnung an den 14 Standorten europaweit im Einsatz, um den Internetverkehr aller Niederlassungen und über 800 Mitarbeiter von Yamaha Music Europe auf ein verlässliches Fundament zu stellen.
„Die leistungsstärksten Appliances stehen als HA-Cluster bei uns in Rellingen. Die Hardwareauswahl an allen anderen Orten passt zur Größe der jeweiligen Lokation – von der kleinen Tabletop-Firebox T80 bis zur M370 ist alles dabei. Hinsichtlich der Funktionalität gibt es allerdings keine Unterschiede“, wie Schulz betont. Auf allen Geräten gewährleistet die „Total Security Suite“ umfangreichen Schutz – als Komplettpaket, das neben traditionellen Security Services wie IPS, Antivirus, URL-Filterung, Application Control, Spam-Schutz und Reputations-Suche mittlerweile auch fortschrittliche Technologien für KI-basierten Malware-Schutz, erweiterte Netzwerkvisualisierungsfunktionen, Cloud-Sandboxing oder DNS-Filter umfasst.
Neben den bisherigen Erfahrungen beim Netzwerkschutz spielten bei der Entscheidung im Rahmen des neuen MFA-Projekts zwei weitere Aspekte eine nicht unerhebliche Rolle. „Die cloudbasierte AuthPoint-Lösung brachte umfangreiche und moderne Features mit sich, die gewiss auch ohne bisherige Berührung zum Anbieter überzeugen. Aber die Tatsache, dass sich die Multifaktor-Authentifizierung und alle anderen Funktionalitäten zum Netzwerkschutz über die gleiche intuitiv aufgebaute Oberfläche verwalten lassen und dadurch weiteren Synergien Weg gebahnt wird, erhöhte den Reiz für das Team nochmal deutlich. Schließlich ist der Umgang mit den WatchGuard-Produkten bei allen mittlerweile in Fleisch und Blut übergegangen.“ Zudem erübrigte sich für Schulz auf diese Weise auch die Verantwortlichkeitsfrage. „Je mehr Hersteller im Rahmen von Security-Konzepten im Boot sind, desto höher ist auch das Risiko, dass im Fall der Fälle einer auf den anderen zeigt und sich dadurch die eigentliche Lösungsfindung verzögert. Sollte bei uns wirklich mal was haken, sind wir direkt an der richtigen Adresse.“ Diese Effizienzthematik ist seines Erachtens gerade für ein personell limitiertes IT-Team von enormer Bedeutung.
Souverän und schnell zum Ziel
Auf Basis der Cloud konnte mit der Umsetzung des MFA-Konzepts sofort gestartet werden, die Konfiguration war in kürzester Zeit implementiert und die Unterschiede zum vorangegangenen Lösungsszenario zeigten sich schnell, wie Schulz präzisiert: „AuthPoint brachte uns viel mehr Möglichkeiten bei der Definition von Zugriffsberechtigungen, denn Einstellungen können darüber deutlich granularer vorgenommen werden. Zudem müssen wir bei Anpassungswünschen oder Optimierungen nicht mehr über Japan und den von der Zentrale beauftragten Dienstleister gehen, was jedes Mal zusätzliche Kosten bedeutete. Ich sehe nach wie vor nur Vorteile: Wir haben selbst eine viel bessere Kontrolle, gewährleisten ein hohes Maß an Sicherheit und können dabei auch noch Geld sparen.“
Hoher Komfort für Anwender Auf Anwenderseite kommt die Lösung, bei der die Authentifizierung über Mobiltelefon erfolgt, ebenfalls gut an – obwohl es anfangs durchaus einigen Ressentiments zu begegnen galt. Denn nicht alle Mitarbeiter verfügen über ein Firmenhandy und die Einbindung von Privatgeräten war nicht gleich jedermanns Sache. Diese Bedenken konnten jedoch schnell zerstreut werden. Wie Schulz berichtet, ist inzwischen selbst dem größten Kritiker klar, dass es sich nur um ein Mittel zum Zweck handelt. Bequemer könnte es schließlich kaum sein. Sobald der Mitarbeiter oder die Mitarbeiterin per VPN auf das Firmennetz der Yamaha Music Europe zugreifen möchte, müssen nur der Username und das Passwort eingegeben werden. Dadurch wird automatisch der weitere Authentifizierungsprozess in Gang gesetzt und eine Push Notification ans zugeordnete Mobiltelefon gesendet, die einfach bestätigt werden kann, ohne irgendeine zusätzliche Eingabe zu erfordern.
Rebecca Horn, www.watchguard.de