BeeWaTec
(Deutschland)

BeeWaTec schützt Konstruktionen und Pläne für Betriebseinrichtungen und Intralogistik-Lösungen mit Endpoint Protector

BeeWaTec ist spezialisiert auf Lösungen für innerbetriebliche Logistik und stellt Montage-Arbeitsplätze, fahrerlose Transportsysteme für die bedarfsgerechte Bereit-stellung von Produktionsmaterial und Baukastensysteme für Produktionshilfsmittel wie Regale her.

Jede Menge unternehmenskritische Daten

Da das Unternehmen die Systeme selbst entwickelt und optimiert und den Aufbau von Montagelinien und Lagersystemen kunden-spezifisch plant, stellen Konstruktionszeichnungen, Baupläne und Kundendaten das entscheidende Know-how und damit das wichtigste Kapital dar. Um diese Daten vor ungewolltem Abfluss zu schützen, werden bereits seit Jahren die USB-Schnittstellen der PCs blockiert. Gleichzeitig wird so verhindert, dass Schad-code über Speichersticks ins Firmennetz gelangt.

Immer mehr potenzielle Lecks

Dann wurden als Reaktion auf die wachsende Gefahr von ungewolltem Datenverlust strengere Sicherheitsrichtlinien eingeführt und weitere Schnittstellen blockiert“, sagt Jennifer Konrad, IT-Administratorin bei BeeWaTec und verantwortlich für Netzwerk, Storage, Backup und Datenbanken an insge-samt sieben Standorten in Deutschland und den Nachbarlän-dern. Schnell zeichnete sich ab, dass die bestehende Lösung den gestiegenen Anforderungen nicht gewachsen war. „Da die Mitarbeiter mit Kunden und Partnern Daten austauschen müs-sen und dafür z. B. FTP und unterschiedliche Portale nutzen, mussten immer mehr Freigaben eingetragen werden, um die Arbeitsabläufe nicht zu beeinträchtigen“, erläutert sie. „Aller-dings konnten die Freigaben nur jeweils für alle Devices oder Schnittstellen erteilt und nicht auf einzelne Abteilungen, Gruppen oder Nutzer heruntergebrochen werden.“ Bald wies der Schutz vor ungewolltem Datenverlust mehr Löcher auf als ein Emmentaler Käse.

Policies bis auf User-Ebene herunterbrechen

Die Lücken wollte BeeWaTec mit einer neuen DLP-Lösung schließen. „Die Hauptanforderungen waren, dass sie jede Art von Schnittstellen, ob physisch oder nicht, an den Endpoints überwachen kann und granulare Einstellmöglichkeiten bis auf User-Ebene bietet“, sagt die Administratorin. „Auch die Thin Clients, die wir neben den PCs im Unternehmensnetz einset-zen, sollte die neue Lösung überwachen.“ Weiterhin war die Anbindung an das Active Directory erforderlich. Für eine mög-lichst einfache Bedienung sollte die Lösung einer Logik folgen, die sich ohne langwierige Schulung oder Beschäftigung mit dem Handbuch erschließt. Bei einer Internetrecherche stieß sie auf Endpoint Protector von CoSoSys und nahm die Software neben den Produkten anderer Hersteller in die engere Wahl. Die Appliance war schnell aufgesetzt; über die browserbasierte Konsole wurde die Client-Software an die Endpoints verteilt. Nach einigen Tagen im Monitoring-Modus und der Auswertung sämtlicher Aktionen mit USB-Geräten im Zeitraum wurden die Berechtigungen entsprechend der Unternehmensrichtlinien eingestellt. Inzwischen ist die Lösung seit einigen Monaten in Betrieb und überwacht die USB-Schnittstellen. Janßen ist ausgesprochen zufrieden mit der Lösung; sein Feedback sieht der Hersteller als Anreiz für Funktionserweiterungen in künftigen Releases.

Warum Endpoint Protector?
  • Device Control und Content Aware Protection für Fat und Thin Clients
  • Zwangsverschlüsselung als Funktion von Device Control
  • Granulare Einstellmög-lichkeit bis auf User-Ebene
  • Benutzeroberfläche intuitiv bedienbar

Geht doch: technisch komplex, einfach zu bedienen

In einer Testumgebung konnten die Favoriten zeigen, welches Funktionsspektrum tatsächlich in ihnen steckt und wie sie sich handhaben lassen. „Endpoint Protector gefiel uns sehr, weil die Lösung von der Funktionalität her sehr komplex ist und uns dadurch große Flexibilität bei den Einstellmöglichkeiten der Policies gibt“, beschreibt Konrad ihre Eindrücke aus der Vorab-Installation. „Gleichzeitig erschien uns die Benutzeroberfläche sehr übersichtlich aufgebaut, wir konnten sie vom ersten Moment an intuitiv bedienen und die dahinterliegende Logik leicht nachvollziehen.“ Weitere Pluspunkte sammelte Endpoint Protector mit der zentralen webbasierten Oberfläche für Admi-nistration und Reporting und dem im Vergleich zu anderen Lösungen sehr guten Preis-/Leistungs-Verhältnis.

Zusatzschutz durch Zwangsverschlüsselung

BeeWaTec entschied sich daher für Endpoint Protector und erwarb 170 Lizenzen für die PCs und Thin Clients. Eingesetzt werden die Module Device Control und Content Aware Protection sowie die Verschlüsselungslösung EasyLock. „Wir hatten ursprünglich nicht damit gerechnet, dass Zwangsver-schlüsselung als eine Funktion von Gerätekontrolle verfügbar ist und über dieselbe Oberfläche wie die anderen Module bedient werden kann“, sagt Konrad. Sie begründet den Erwerb der Zusatzfunktion mit der höheren Sicherheit, den EasyLock für die Daten bietet, die die Mitarbeiter auf USB-Sticks zu den Kunden mitnehmen. Bei Bedarf könnte die IT-Administration mittels eines Unternehmenszertifikates sogar unterbinden, dass die Mitarbeiter Firmendaten auf ihren privaten Rechnern zur Weiterbearbeitung speichern, wo sie sich außerhalb der Kontrolle des Unternehmens befinden und für Wirtschafts-spione leichtere Beute sein können als im Unternehmen.

Mehr Sicherheit mit wenigen Mausklicks

Mit dem Handling von Endpoint Protector und den bisher installierten Funktionen ist sie sehr zufrieden. Auch die Zusam-menarbeit mit Endpoint Protector ließ nichts zu wünschen übrig. Auf Fragen und Unklarheiten, die sich bei der Einrich-tung ergaben, habe der Support unmittelbar reagiert und Hinweise und Tipps für schnelle Lösungen gegeben. Als erster Schritt wurden die Policies umgesetzt, die schnell zu mehr Sicherheit führen, die Überwachung der USB-Ports. Nicht jeder Mitarbeiter muss Daten auf Sticks ziehen, die Nutzung der Speichermedien wird an allen Rechnern blockiert. Ausnah-men gibt es für diejenigen, die Unterlagen beim Kunden präsentieren. An diesen Endpoints lassen sich nur genehmigte Devices anschließen; die Mitarbeiter können keine Sticks benutzen, die sie von zuhause mitbringen. So werden Mal-warebefall und Spionageangriffe per BadUSB verhindert. Die Verschlüsselungskomponente sorgt dafür, dass die Daten durch Unbefugte nicht einsehbar sind. Die weiteren Policies kommen an die Reihe, sobald Konrad Zeit dafür findet. „Einmal eingerichtet, benötigt die Lösung keine Betreuung und stellt keine zusätzliche zeitliche Belastung dar“, freut sie sich. „Nur wenn Geräte neu hinzukommen, muss ich handeln, aber das ist im Handumdrehen erledigt.“

Endpoint Protector gefällt uns sehr, weil die Lösung von der Funktionalität her sehr komplex ist und uns große Flexibilität bei den Einstellmöglichkeiten der Policies gibt. Gleichzeitig ist die Benutzeroberfläche sehr übersichtlich aufgebaut, wir konnten sie vom ersten Moment an intuitiv bedienen und die dahinterliegende Logik leicht nachvollziehen.
Jennifer Konrad
IT-Administratorin
Das Fallbeispiel ist auch als Download verfügbar