 |
|
 |
|
 |
|||||||||||
| |||||||||||
Bertlesmann AG: Strategische Informationssicherheit im dezentral organisierten Konzern
Die Bertelsmann AG setzt strategisch auf die PGP® Encryption Platform, um vertrauliche Informationen in E-Mails, auf Laptops und auf Dateiservern zu schützen. Bertelsmann ist ein internationales Medienunternehmen, das in den Bereichen Fernsehen (RTL Group), Buch (Random House), Zeitschriften (Gruner + Jahr), Musik (BMG), Medienservices (Arvato) und Medienclubs (Direct Group) in mehr als 60 Ländern der Welt aktiv ist. Bertelsmann erzielte im Geschäftjahr 2006 mit rund 97.000 Mitarbeitern einen Umsatz von 19,3 Mrd. Euro. Die Herausforderung Als Medienunternehmen bewegt sich Bertelsmann nicht nur in einem hart umkämpften Markt, sondern steht auch sehr im Blickpunkt der Öffentlichkeit. Für den Bertelsmann-Vorstand war Informationssicherheit ein so strategisches Anliegen, dass er den Auftrag erteilte, das Thema für alle relevanten Standorte zu lösen. Keine leichte Aufgabe, denn Bertelsmann ist mit etwa 800 Profitcentern sehr dezentral organisiert. Die sechs großen Unternehmensbereiche agieren weitgehend autark und betreiben ihre eigene Infrastruktur.Sensitive Daten. Vertraulichkeit sollte besonders für interne, sensitive Informationen gewährleistet werden, beispielsweise für Daten zu Kunden und Personal sowie Fusionen und Akquisitionen. Ein weiterer Anreiz für die Einführung von Verschlüsselung war die Compliance mit deutschen und internationalen Gesetzen und Richtlinien. Internationale Compliance. In Deutschland handelt es sich hierbei primär um das Bundesdatenschutzgesetz, Niederlassungen in den USA unterliegen den dortigen Gesetzgebungen, besonders den verschiedenen Data Breach Notification Acts. Obwohl Bertelsmann nicht börsennotiert ist, muss der Konzern in bestimmten Geschäftsbereichen auf Compliance mit dem Sarbanes-Oxley Act achten, da Bertelsmann auch als B2B-Dienstleister für amerikanische Unternehmen tätig ist. Verteilte Infrastruktur. Für die IT-Infrastrukturen der sechs Bertelsmann-Geschäftsbereiche sind jeweils eigene Chief Information Officers (CIOs) zuständig, die sich regelmäßig im CIO Council treffen. Dort stellte Tom Goschütz, Chief Technology Officer (CTO) Corporate Center, das neue Projekt vor. Seine Strategie: Je früher er seine Kollegen informierte, desto besser die Chancen, dass seine Pläne von den unabhängigen Bereichen akzeptiert und umgesetzt würden. Schutz der Daten. Goschütz überlegte, welche Maßnahmen ergriffen werden sollten. Lag der Fokus von IT-Sicherheit bisher eher auf dem Netzwerk, war nun der Schutz der Dateien wichtiger geworden. "Netzwerksicherheit ist heute regulärer Bestandteil der grundlegenden IT-Infrastruktur," so Goschütz. "Aus Unternehmenssicht viel wichtiger ist der Schutz der Informationen selbst." Risikoanalyse. Vertrauliche Daten befinden sich überall, und Goschütz nahm die wichtigsten Angriffsstellen ins Visier. Die Kommunikation per E-Mail, sowohl intern als auch mit externen Partnern, sollte abgedeckt, Daten auf Laptops gesichert und Informationen auf Dateiservern vor fremdem Zugriff geschützt werden. Besonders das Bertelsmann-Management kommuniziert fast ausschließlich per BlackBerry, so dass diese Platform unbedingt unterstützt werden musste. Zentrale Verwaltung. Selbstverständlich gab es in einigen Konzernbereichen bereits Installationen für E-Mail- oder Laptopverschlüsselung, doch keine der Projekte eignete sich für eine Gesamtlösung. "Mir wurde schnell klar, dass ein zentrales Schlüsselmanagement und eine gemeinsame Verwaltung aller Komponenten wichtig für den Erfolg des Projekts sein würde," so Goschütz. PKI keine Lösung. Obwohl klassische Public Key Infrastrukturen (PKIs) eine solche zentrale Schlüsselverwaltung darstellen, waren sie für Bertelsmann keine ideale Lösung, da das Unternehmen eine gewachsene IT-Infrastruktur mit dezentraler Organisation betreibt und oft vertrauliche Informationen mit externen Partnern austauscht. Die Lösung Beim Suchen nach einer geeigneten Lösung stieß Goschütz recht schnell auf PGP Corporation. "Die PGP Encryption Platform war für unsere dezentrale Struktur am besten geeignet und eine der wenigen Lösungen, die Ende-zu-Ende-Verschlüsselung auf BlackBerry-Geräten beinhaltet," so Goschütz. "PGP Corporation bietet die einzige Produktpalette, die alle unsere gegenwärtigen Anforderungen an Enterprise Data Protection abdeckt."Niedrige Startkosten. Die Entscheidung für PGP Corporation war auch eine betriebswirtschaftliche. Eine klassische PKI hätte die Projektkosten vervielfacht. "Ein PKI-Projekt kostet als Anfangsinvestition schnell eine Million Euro und kann nur ein E-Mail-System abdecken. Wir haben aber vier große E-Mail-Systeme, hätten also vier solche Projekte starten müssen. Die PGP Encryption Platform erfordert ein deutlich geringeres Startkapital und erlaubt uns, das System mit unseren Bedürfnissen wachsen zu lassen." Bertelsmann hatte zuletzt im Jahr 2003 Kosten für eine PKI analysiert. Allein für E-Mail-Verschlüsselung war man auf monatlich 100 Euro pro Anwender gekommen. Funktionell anwendbar wäre das System erst bei einer internen Verbreitung von mindestens 90% gewesen. Wirtschaftlich attraktiv. Für das PGP®-Projekt sahen die Zahlen deutlich besser aus. "Die PGP Encryption Platform ist eine wirtschaftlich attraktive, skalierbare Enterprise-Lösung, die mit unseren Anforderungen wächst und ein Zehntel einer klassischen PKI-Lösung kostet," so Goschütz. Das Ergebnis Das System sollte so transparent wie möglich für Benutzer und Administratoren sein. Goschütz entschied sich, von zentraler Stelle keine automatische Verschlüsselung anhand von Inhalt oder Empfänger einer Nachricht vorzugeben. Will ein Anwender eine Nachricht verschlüsseln, muss er einfach die Buchstaben "PGP" in der Betreffzeile der E-Mail eintragen, der Rest geschieht automatisch.Umfassende E-Mail-Lösung. Obwohl Bertelsmann E-Mails primär Ende-zu-Ende verschlüsselt, also von Anwender zu Anwender, setzt das Unternehmen zusätzlich PGP Universal™ Gateway Email ein. Wird für einen externen Empfänger kein Schlüssel gefunden, zum Beispiel weil auf Empfängerseite keine Verschlüsselungssoftware eingesetzt wird, kann die Nachricht trotzdem sicher über PGP Universal™ Web Messenger ausgeliefert werden. Bei Bertelsmann wird PGP Universal Gateway Email wird nur bei E-Mails angewendet, die das Unternehmen verlassen, aber nicht für ankommende E-Mails, da diese am Desktop entschlüsselt werden sollen. Sichere BlackBerry-Geräte. Das PGP® Support Package for BlackBerry® zur Ver- und Entschlüsselung von E-Mails auf BlackBerry-Geräten bindet sich nahtlos in die übrige PGP®-Infrastruktur ein. Zusammen mit dem eingebauten Passwortschutz konnte Bertelsmann die BlackBerry-Geräte umfassend absichern und sogar Bedenken zur Sicherheit des Netzbetreibers ausräumen. Laptops schützen. Auch bei der Festplattenverschlüsselung entschied sich Bertelsmann für PGP Corporation. "PGP® Whole Disk Encryption ist als Schutz vor Datendiebstahl für alle Laptop-Anwender im Corporate Center Pflicht," so Goschütz. Im nächsten Schritt soll der Login für die Laptopverschlüsselung ebenso wie die Domänenanmeldung durch USB-Tokens gesichert werden. Sicherheit für Dateiserver. Für die Verschlüsselung von Daten des Aufsichtsrats, Vorstands und der Personalabteilung auf zentralen Servern verwendet Bertelsmann PGP® NetShare. So soll vermieden werden, dass Administratoren der Dateiserver Zugriff auf streng vertrauliche Daten haben. Bald soll diese Funktionalität auch weiteren Abteilungen zur Verfügung gestellt werden. "Die Verschlüsselung von Dateien auf Dateiservern ist für uns strategisch, da Anhänge in vertraulichen E-Mails meist von dort kommen oder dort abgelegt werden," so Goschütz. "Daher müssen wir dort die gleichen Kriterien anlegen und die Gruppe der Administratoren ausschließen. Diese Anforderung erfüllt PGP NetShare sehr gut." Sichere Dateiübertragung. Das Bertelsmann-Tochterunternehmen Bookspan, ein Buchclub in den Vereinigten Staaten, verwendet PGP® Command Line zum Schutz von EDI-Dateiübertragungen. Skalierbare Lösung. Alle PGP®-Komponenten werden über PGP Universal™ Server zentral verwaltet, der Gruppeninformationen direkt aus dem Microsoft Active Directory liest, um die Benutzerverwaltung zu vereinfachen. Das System wurde außerdem um das Modul PGP Universal Gateway Email erweitert und zum Zweck der Ausfallsicherheit in einem Vier-Server-Cluster aufgebaut, und zwar zwei Maschinen für E-Mail-Verschlüsselung und zwei für die Funktion PGP Universal Web Messenger. Diese Konstellation, die ein Mailsystem mit bis zu 35.000 Posteingängen abdeckt, wurde für die restlichen drei großen E-Mail-Systeme im Konzern übernommen. "Für unsere Anforderungen sind alle Module der PGP Encryption Platform sehr gut skalierbar," so Goschütz. Geringer Supportaufwand. Statt einer Schulung erhalten die Anwender nur eine einseitige Anleitung. "Die Benutzer finden das System sehr einfach zu bedienen," so Goschütz. "Wir bekommen kaum Rückfragen zum Handling." Fazit Noch vor zwei Jahren gab es bei Bertelsmann die Direktive, keine vertraulichen Informationen per E-Mail zu verschicken. Damals gab es kein System für E-Mail-Verschlüsselung, aber auch keine Definition von vertraulichen Informationen. Jetzt besitzt Bertelsmann ein System um vertrauliche Informationen auf dem Transportweg und im Datenspeicher zu schützen. Als nächstes wird der Konzern eine Richtlinie zur Datenklassifikation verabschieden, damit Benutzer genau wissen, welche Daten sie verschlüsseln müssen. So wird der Bedarf für Verschlüsselung schnell wachsen.Globale Umsetzung. Neben dem Corporate Center in Gütersloh werden die großen Standorte in Hamburg, New York und Luxemburg mit der Lösung ausgestattet. "Als international etablierter Anbieter kann uns PGP Corporation einen wirklich globalen Service anbieten, der für unsere internationalen Installationen enorm wichtig ist", so Goschütz. Wichtiger Meilenstein. Auf einen Aspekt des Projekts ist er besonders stolz: "Das PGP®-Projekt ist meines Wissens die erste Installation, die strategisch und erfolgreich über den ganzen Bertelsmann-Konzern ausgerollt wird. Das ist ein bemerkenswerter Meilenstein." |
|
| |||||||||
| |||||||||||
