Im Chemiewerk darf nichts schiefgehen

Zulieferer für die Lifescience-Industrie und Spezialitätenchemie müssen die hohen Qualitätsanforderungen ihrer Kunden sowie von Gesundheitsbehörden erfüllen. Bei der RohnerChem in Pratteln spielt dabei die Netzwerk-Firewall eine zentrale Rolle.

Für das über hundertjährige Chemieund Pharmaunternehmen RohnerChem ist die Erfüllung der eigenen hohen Qualitätsansprüche wie auch die der Kunden Basis jeden wirtschaftlichen Erfolgs. Als Zulieferer für die Pharmaund Agroindustrie sowie der Spezialitätenchemie muss das Unternehmen gleichzeitig aber auch den Anforderungen der Swissmedic und der amerikanischen FDA (Food and Drug Administration) entsprechen. Dabei ist vor allem auch die IT gefordert: Sie hat die Rückverfolgbarkeit der Systeme zu gewährleisten (Stichwort Computervalidierung) und muss ausserdem dafür sorgen, dass Unterbrüche und Systemausfälle auf ein Minimum begrenzt bleiben. Für Quirino Russo, IT-Chef von RohnerChem, sind Ausfälle von über einer Stunde in diesem Business schlichtweg untragbar.

Kein Wunder also, dass der IT-Infrastruktur bei RohnerChem eine besondere Aufmerksamkeit gilt. Das Unternehmensnetz besteht aus einer Glasfaserinfrastruktur in einem heterogenen Umfeld. Als Plattformen sind Microsoftund Novell-basierte Server im Einsatz. Auf den Clients läuft das klassische Windows XP als Betriebssystem. Der durchgehend verschlüsselte Mailverkehr steht unter Lotus Notes und BlackBerry zur Verfügung. Ausserdem wird derzeit ein redundantes Rechenzentrum in einem virtuellen Umfeld aufgebaut, das künftig ebenfalls zur Hochverfügbarkeit beitragen soll.

FIREWALL: AUSTAUSCH WAR NÖTIG

Schutz und Leistungsfähigkeit des Netzwerks sind bei RohnerChem von zentraler Bedeutung, da über dieses alle businessrelevanten Systeme laufen. «Nach drei Jahren Betrieb war jedoch der bestehende Firewall-Schutz unseren Ansprüchen nicht mehr gewachsen», erklärt Russo den Grund zum Austausch der bestehenden Geräte. Die Auswahl sei anspruchsvoll gewesen, da man eine Lösung benötigte, die nicht nur mindestens drei Jahre sicher funktionieren sollte, sondern auch die speziellen Anforderungen des Chemieunternehmens erfüllen musste.

Russo wollte deshalb die Hochverfügbarkeit neu über zwei redundante Firewalls sicherstellen, damit bei stehenden Internetverbindungen künftig keinerlei Unterbrüche (0 Prozent) mehr entstehen können. Neben der hohen Verfügbarkeit der Appliances musste auch die Bandbreite ausgebaut werden. Der Grund: In absehbarer Zeit sollen externe Mitarbeiter sowie die Büros in Grossbritannien und den USA statt über 5 VPN-Clients über bis zu 20 VPN-Clients ins firmeneigene Netzwerk integriert werden. Dass die Internetnutzung auch weiterhin sicher gegen alle aktuellen und neuen Viren, Würmer sowie Attacken funktioniert, war dabei eine selbstverständliche Voraussetzung.

SONICWALL: BESTE PREIS-LEISTUNG

Evaluiert wurden Geräte der neusten Generation, die Hochverfügbarkeit (High Availability) bieten. In der Endauswahl standen FirewallAppliances von SonicWall sowie von Fortinet und vom bisherigen Lieferanten Watchguard. Alle drei Firewalls erfüllen mit UTM (Unified Threat Management) die unterschiedlichsten Security-Aufgaben auf einer Plattform und in einer Box, womit an einem zentralen Punkt die Sicherheit für das gesamte Netzwerk gegen verschiedenste Angriffe gewährleistet wird.

Zum Zuge kam schliesslich eine SonicWallAppliance, weil sie gemäss Russo das beste Preis-Leistungs-Verhältnis biete. Ausschlaggebend war unter anderem, dass mit dieser Lösung die bisherigen Support-Kosten um ein Drittel reduziert werden können – und zwar «ohne Abstriche bei der Sicherheit», wie der ITChef betont.

Der Benchmark-Vergleich in diversen Bereichen habe bei den drei Anbietern keine wesentlichen Unterschiede punkto Sicherheitstechnologie ergeben. Alle drei Geräte seien diesbezüglich State of the Art. Die SonicWallAppliance überzeugte aber mit tieferen Anschaffungsund Support-Kosten. Zumal mit dieser Firewall die Wartungskosten gegenüber der bisherigen Lösung eingespart wurden und das Wartungspaket neu über drei Jahre läuft. Bei den anderen Anbietern wäre das zweite und dritte Jahr laut Russo nur gegen Aufpreis zu haben gewesen.

LEARNING BEI DOING STATT SCHULUNG

Bei der Umsetzung des Projekts ergaben sich gemäss Russo keinerlei Schwierigkeiten. Alle drei Firewall-Anbieter hätten in der Angebotsphase im vergangenen Juni prompt, professionell und kompetent auf die erste Anfrage reagiert. Die Evaluation war nach einer Woche abgeschlossen, bereits im August konnten die neuen Geräte in Betrieb genommen werden.

Dazu wurde nach der Auswahl der neuen Firewall dem involvierten SonicWall-Partner Topix in St. Gallen der Anforderungskatalog für die Firewall-Regeln vorgelegt. Damit konnten sich die Topix-Spezialisten auf die Implementierung vorbereiten. Laut Russo habe sich durch den Rückgriff auf einen Spezialisten eine Schulung erübrigt: Während der Spezialist zwei Tage für die Firewall-Integration ins Netzwerk vor Ort war, haben sich die Verantwortlichen im Haus die Zeit freigehalten, um alle zum Betrieb wichtigen Funktionen kennenzulernen. «Das Anpassen der Firewall-Regeln ist bei der Inbetriebnahme ohne Spezialisten nicht zu machen», sagt Russo. «Auch wenn wir einen anderen Anbieter gewählt hätten, ohne die Kenntnisse eines Firewall-Spezialisten kann eine neue Appliance nicht unterbruchlos so schnell ins Netzwerk integriert werden.» Für den Normalbetrieb habe er aber genügend Einblicke erhalten, um diesen eigenständig weiterzuführen. Der ITChef geht davon aus, dass er in Zukunft den Spezialisten von Topix nur bei allfälligen Sonderproblemen braucht.

FAZIT: SPEZIALISTEN LOHNEN SICH

Die Angestellten bei RohnerChem in Pratteln haben nichts davon bemerkt, dass eine neue Firewall in Betrieb genommen wurde. Lediglich die VPN-Nutzer in den USA und in Grossbritannien wurden telefonisch kontaktiert, um Umstellungen vorzunehmen und die neue Software zu implementieren. Schon damit hat sich für den IT-Chef der zweitägige Einsatz des Spezialisten von Topix bezahlt gemacht.

Seit gut zwei Monaten laufen die neuen Firewalls problemlos. Doch Quirino Russo plant bereits die nächsten Schritte: In seinem Büro liegt eine TZ-Appliance von SonicWall. Über diese sollen demnächst die Büros ausserhalb der Schweiz via Internet direkt ins Firmennetzwerk eingebunden werden. Die Box ermöglicht danach eine IPSec-VPN-Verbindung, um auf die zentral verfügbaren Applikationen in Pratteln zuzugreifen. «Damit haben wir zusätzlich das Problem unserer Filialen gelöst», erklärt Russo. Denn auch auf den Endgeräten ausserhalb der Schweiz wird künftig keine VerschlüsselungsSoftware mehr laufen. Die Mitarbeiter können dann direkt über das Internet auf das Firmennetz zugreifen, das mit den Services der TZ-Appliance geschützt ist.