Continental Corporation: Schutz von vertraulichen Daten auf Laptops in der Automobilindustrie

• Kundenprofil: Automobilindustrie, 87.000 Mitarbeiter
• Ziele: Best Practice in IT-Sicherheit; Schutz vertraulicher Infos auf Laptops
• Lösung: PGP Whole Disk Encryption verschlüsselt Laptops
• Alternativen: Erfüllten nicht die Sicherheitsanforderungen oder waren nicht für große Unternehmen geeignet
• Nutzen: Sicherheit; Schutz geistigen Eigentums

Continental wählte die PGP® Encryption Platform zum Schutz vertraulicher Daten auf Laptops

Die Continental Corporation ist ein führender Anbieter für Bremssysteme, Fahrwerkkomponenten, Fahrzeugelektronik, Reifen und Technische Elastomere. Im Jahr 2006 erreichte das Unternehmen einen Umsatz von €14,8 Milliarden und beschäftigte etwa 87.000 Mitarbeiter.

Die Herausforderung

Continental, ein führender Automobilzulieferer mit Hauptsitz in Deutschland, prüfte ihre Sicherheitsrichtlinien im Rahmen eines Projekts zum Upgrade des Betriebssystems für 24.000 Anwender.

System- und Sicherheits-Update. Thomas Ullrich, Chief Security Officer (CSO) bei Continental und Leiter des Competence Center Internet/Intranet, erinnert sich an den Beginn des Laptop-Projekts: "Bei der Planung des Windows-XP Roll-outs dachten wir auch über das Risiko nach, dass geschäftskritische Daten in die Hände Dritter geraten könnten, wenn Notebooks gestohlen oder verloren werden. Die heutigen Notebooks sind klein, werden ausserhalb der Werksgelände und Bürogebäude verwendet und beinhalten möglicherweise vertrauliche Informationen wie Finanzdaten,  personenbezogene Daten or technische Entwürfe. Wir entschieden, dass alle 6.000 Laptops unseres globalen Unternehmens geschützt werden mussten."

Verschlüsselung als Best Practice. Ullrich erklärt die Beweggründe für die Entscheidung: "Da die Bestimmungen in Europa und den USA sehr unterschiedlich sind, war Compliance für uns keine großer Faktor. Wir glauben einfach, dass die Verschlüsselung geschäftskritischer Daten eine Best Practice für Unternehmenssicherheit darstellt."

Installierte Basis von PGP-Anwendern. Ullrich betreute bereits eine installierte Basis von PGP® Desktop: "Continental hatte seit Jahren etwa 800 Lizenzen von PGP Desktop im Einsatz, und zwar primär im Geschäftsbereich Automotive Systems, um die sichere Kommunikation mit Automobilherstellern zu gewährleisten, die E-Mail-Verschlüsselung von uns fordern."

Die Lösung

OS-interne Funktionen nicht geeignet. Ullrich erforschte die Möglichkeit, Funktionen im Betriebssystem zu nutzen, um die Laptops zu schützen: "Wir sahen uns das Encrypting File System (EFS) an, das mit Windows XP ausgeliefert wird. Wir fanden schnell heraus, dass es nur bestimmte Dateien auf einer Festplatte verschlüsselt und für einen unternehmensweiten Einsatz eine komplexe Public-Key-Infrastuktur (PKI) erfordert."

Alternative Technologien. Ullrich erinnert sich an andere Technologien, die in Betracht kamen: "Die Daten auf einem Laptop kann man auf drei verschiedenen Ebenen verschlüsseln: einzelne Dateien, Teile der Festplatte mit sogenannten Containern oder die gesamte Festplatte. Die Verschlüsselung von einzelnen Dateien oder Containern ist für den Schutz eines Laptops nicht geeignet, da diese Ansätze keine temporären und Auslagerungsdateien verschlüsseln. Außerdem müssen Anwender die vertraulichen Dateien in geschützte Bereiche ablegen. Wir wollten die Benutzerführung aber so einfach wie möglich gestalten und wählten die Vollplattenverschlüsselung als beste Lösung."

Andere Hersteller disqualifiziert. Ullrich verglich verschiedene Anbieter, bevor er eine Entscheidung fällte: "Wir evaluierten verschliedene Lösungen und disqualifizierten einen Hersteller sofort, da sein Produkt nicht mit unserer Backup-Lösung harmonierte. Sogar die Lösung, die wir am Ende auswählten, war nicht wirklich für Unternehmen geeignet: Sie erforderte physischen Zugang zu den Laptops, um die Software zu installieren. Um eine Disk wiederherzustellen, benötigte das Produkt eine Floppy-Disk - eine wirklich anachronistische Anforderung, da die meisten neuen Laptops nicht mit Floppy-Laufwerken ausgerüstet sind. Außerdem hatte der lokale Wiederverkäufer der Lösung keine tiefgreifenden Kenntnisse zum Produkt oder zur IT-Sicherheit. Diese Nachteile waren nicht akzeptabel, und wir sahen uns bereits in einer Sackgasse. In diesem Moment gab PGP Corporation das neue Produkt PGP Whole Disk Encryption bekannt. Wir entschieden uns, die Software zu pilotieren."
Integrierte Plattform erwünscht. Ullrich erklärt, warum ihm die Bandbreite der verfügbaren PGP-Lösungen wichtig war: "Da wir bereits PGP Desktop für E-Mail-Verschlüsselung nutzten, war PGP Whole Disk Encryption ein offensichtlicher Kandidat für eine Evaluierung. Je weniger Insellösungen wir nutzen, desto integrierter wird unser IT-Management. Der Plattform-Ansatz vereinfacht Administration, Schulungen und Softwareverteilung deutlich und führt insgesamt zu niedrigeren Betriebskosten."

Ein vertrauter Partner. Ullrich war froh, eine etablierte Technologie einsetzen zu können: "Schon seit langem spricht die globale Gemeinschaft an Sicherheitsexperten der PGP Corporation eine hohe Kompetenz in Verschlüsselung zu. Wir sehen die PGP Corporation als vertrauten Partner an - ein wichtiger Faktor bei Verschlüsselung. Außerdem haben wir sehr positive Erfahrungen mit den PGP-Mitarbeitern im Vertrieb, Field Engineering und Support gemacht."

Das Resultat

Ullrich fasst seine Erfahrung mit dem neuen Produkt zusammen: "PGP Corporation hörte sich unsere Bedenken an und half uns, offene Punkte der neuen Software zu lösen. Wir gestalteten das Produkt effektiv gemeinsam. Die PGP-Teams aus Field Engineering und Support waren extrem hilfreich beim Schaffen von Lösungen. Ich bin heute sehr mit der Reife der Lösung zufrieden."

Ferninstallation. Ullrich weiss es zu schätzen, dass Laptops nicht physisch präsent sein müssen, um die Vollplattenverschlüsselung zu installieren: "Es ist sehr wichtig, dass wir PGP Whole Disk Encryption über das Netz ohne physischen Zugriff auf die Hardware installieren können. Continental hat ungefähr 6.000 Anwender an 200 Standorten; es wäre unmöglich, alle Laptops einzusammeln und upzudaten. Stattdessen verwenden wir einfach unsere normale Softwareverteilung, um die PGP-Software zu installieren und die Festplatte zu verschlüsseln."

Keine Arbeitsunterbrechung. Die Arbeit der Mitarbeiter zu unterbrechen, um die Festplattenverschlüsselung zu installieren, war für den Automobilzulieferer keine Option. Laut Ullrich: "Es ist wichtig, dass Anwender auch während der Initialverschlüsselung normal weiterarbeiten können und dass es egal ist, ob sie währenddessen das System herunterfahren oder neu starten. Für viele Anwender ist der Laptop das einzige System. Die Laptopbenutzer sind meist unterwegs, so dass sie nicht eben mal einen Kollegen von nebenan bitten können, ein Dokument für sie auszudrucken. Es ist für das Unternehmen extrem wichtig, dass ihre Systeme immer verfügbar sind und laufen."

Keine neue Hardware notwendig. Ullrich legt seine anfänglichen Bedenken dar: "Bevor wir PGP Whole Disk Encryption eingeführt hatten, wussten wir nicht, ob es die Notebooks verlangsamen würde oder  ob wir ältere Systeme austauschen müssen. Wir diskutierten vor dem Roll-out oft über dieses Thema. Es stellte sich heraus, dass unsere Bedenken unbegründet waren. Bis heute habe ich von unseren Anwendern keine Beschwerden über langsame Systeme erhalten."

Keine Performance-Änderung. "Ich war einer der ersten Anwender und testete die Performance meines Laptops mit und ohne PGP Whole Disk Encryption," sagt Ullrich. "Ich war sehr überrascht, dass es keinen merklichen Unterschied gab."
Skalierbarkeit fast unendlich. Ullrich schätzt die Architektur der PGP Encryption Platform: "Die Skalierbarkeit von PGP Whole Disk Encryption geht gegen unendlich. Alles, was ich bräuchte, um mehr als 6.000 Laptops zu verschlüsseln, wären zusätzlich Lizenzen. So einfach ist das."

Geringer Einfluss auf Infrastruktur. Continental musste nur wenig an der bestehenden Infrastruktur ändern, um PGP Whole Disk Encryption einzuführen. Ullrich berichtet: "Wir mussten nur die Installationspakete für PGP Whole Disk Encryption vorbereiten."

Support für kritische Anwendung. Der CSO erklärt, warum Continental einen umfassenden Supportvertrag wählte: "PGP Whole Disk Encryption ist eine kritische Anwendung auf unseren Systemen. Wir müssen im schlimmsten Fall annehmen, dass unser Vorstand unterwegs ist, sich nicht anmelden kann und die Systemwiederherstellung nicht funktioniert. In einem solchen Fall müssen wir das Problem schnell mit einem kompetenten Partner analysieren und lösen. Daher haben wir uns für den umfangreichsten Supportvertrag entschieden, inklusive eines dedizierten technischen Ansprechpartners. Die wenigen Supportanfragen, die wir bisher eingereicht haben, hat der PGP-Support schnell und korrekt beantwortet. Supportverträge sind wie Versicherungen: Man hofft, dass man sie nie braucht, aber es ist gut sie für den Notfall zu haben."

Hohe Fachkenntnis. Continental lud einen PGP-Techniker ein, um die Lösung zu installieren: "Wir waren mit seiner Fachkenntnis sehr zufrieden. Der PGP Deployment Engineer konnte alle unsere Fragen beantworten und solide Lösungen liefern."

Hilfreiche Schulungsvideos. Ullrich bereitete sich mit PGP-Schulungsvideos auf das Deployment vor "Die PGP-Schulungsvideos waren sehr hilfreich und gaben mir einen guten technischen Überblick zu den Produkten," so Ullrich. "Das Training machte es für mich deutlich einfacher, ein bestimmtes Thema im Handbuch nachzuschlagen."

Fazit

Continental installierte die Vollplattenverschlüsselung für einen Großteil der Laptop-Anwender. Der CSO ist sehr zufrieden mit dem Resultat.

Verschlüsselung ist wie ein Sicherheitsgurt. Ullrich benutzt einen Vergleich aus der Automobilindustrie, um die Verwendung der PGP-Lösung bei Continental zu beschreiben: "Wir schätzen die Benutzerfreundlichkeit und Transparenz von PGP Whole Disk Encryption. Wenn Anwender nicht viel zur Sicherheit beitragen müssen, können sie keine Fehler machen. PGP Whole Disk Encryption ist für Anwender so einfach zu nutzen wie ein Sicherheitsgurt im Auto: Sie legen ihn an und denken nicht weiter darüber nach."

Verschlüsselung schützt das Unternehmen. Ullrich findet, dass Sicherheit ein wichtiger Faktor für das Unternehmen ist: "Ich bin davon überzeugt, dass Vollplattenverschlüsselung für Notebooks den selben Status wie Anti-Viren-Software haben sollte."