Sichere Verbundenheit. Die Stadt Schwandorf setzt auf schnellen Informationsaustausch. Für die sichere Kommunikation baute die Stadtverwaltung eine (WAN)-Infrastruktur auf, die mit Appliances von WatchGuard geschützt wird.
Knapp 30000 Einwohner leben in der Stadt Schwandorf, die das Zentrum des gleichnamigen Landkreises bildet. Seine zentrale Lage und umfangreiche städtische Angebote bringen dem Mittelzentrum in der Oberpfalz allerdings viel Verkehr aus dem umliegenden Einzugsbereich, der immerhin 140000 Menschen zählt. Im Jahr 2001 begann die Stadt, ihr Rathaus umzubauen. Parallel dazu modernisierte man auch die komplette IT-Infrastruktur der Behörde ? und nahm sich insbesondere der IT-Sicherheit an. Schließlich machten Warnungen vor Viren-Attacken und Würmerbefall sowie Horror-Meldungen über Datendiebstähle die Stadtväter vorsichtiger: Zum anderen sollten endlich alle Mitarbeiter, auch in den Außenstellen, sicheren Zugriff auf den Intranet-Server der Zentrale erhalten. Der Vorteil: Ein gemeinsam genutztes Intranet ermöglicht, internes Know-how blitzschnell auszutauschen sowie Materialien wie Gesetzestexte, Dienstanweisungen, Formulare, Dienstreiseanträge, das Telefonverzeichnis oder die Geschäftsordnung jedem Mitarbeiter per Mausklick in der jeweils aktuellsten Version zur Verfügung zu stellen. Technisch gesehen sollten die diversen Zweigstellen, angefangen von der Bibliothek über die Volkshochschule und das Stadtmuseum bis hin zur Feuerwehr, per Virtual Private Network (VPN) an die IT-Infrastruktur angebunden werden.
Dabei hatte die Stadt sehr konkrete Vorstellungen, welche Aspekte mit der neuen Infrastruktur abgedeckt werden müssen: Neben der sicheren und kostengünstigen Anbindung der Außenstellen sollte es einen zentralen Gateway-Schutz geben, der durch die Einführung eines zentralen E-Mail-basierten Contentschutzes ergänzt wird. Wichtig für das EDV-Team der Stadt: Alle Clients, die auf das Intranet zugreifen dürfen, sollten mit Hilfe der gängigen Windows-Funktionen fern-administrierbar sein, um den Mitarbeitern Zeit und Mühe bei der Betreuung und Wartung der Systeme zu ersparen.
Die Entscheidung
Der Markt für Sicherheitslösungen ist groß und unübersichtlich ? eine Evaluierung ausgewählter Appliances sollte Klarheit verschaffen, welches System das Beste für die Stadt Schwandorf sein könnte. Ein Angebot legte die Sys-Tec IT-Solutions GmbH vor, Anbieter von Internet-Sicherheitslösungen sowie Konzepten zur Virtualisierung von Servern und seit über zwei Jahren Professional Partner von WatchGuard. »Um wertvolle Bandbreite zu sparen, wurde ein Design vorgeschlagen, welches das zentrale Mailgateway in einem Rechenzentrum platziert«, erklärt Thomas Knebel, Projektleiter von Sys-Tec. Zum Zeitpunkt der Evaluierung kamen aufgrund geforderter Common-Criteria-Zertifizierungen nur zwei Hersteller in Betracht: Cisco und WatchGuard. Insbesondere die geringeren Wartungskosten gaben den Ausschlag für WatchGuard. Die WatchGuard Firebox ist eine Security Appliance, die mit ihrer so genannten Intelligent Layered Security-Architektur proaktiv vor Viren, Würmern, Spyware, Trojanern und mehrstufigen Attacken schützt. WatchGuard arbeitet mit einem Upgrade-Modell sowie Lizenz-Erweiterungen, so dass die Appliance stufenlos mit den jeweiligen Anforderungen der Nutzer mitwachsen kann. Diese Flexibilität kam gut an: Sys-Tec durfte bei der Stadt Schwandorf eine kostenlose Demoversion mit einer WatchGuard Firebox Core X 700 in der Zentrale implementieren. Darüber hinaus wurden in dieser Testphase zwei Außenstellen an das virtuelle private Netz angeschlossen. »Die Geräte, die in Außenlokationen als VPN-Terminatoren zum Einsatz kamen, wurden im Hause Sys-Tec einmalig konfiguriert und mussten vom Kunden quasi nur noch ans Internet angesteckt werden«, so Knebel. Drei Monate lang durfte sich die WatchGuard-Lösung beweisen. Mit Erfolg: Das EDV-Team aus Jürgen Eckert, Gerhard Pösl und Reinhard Schuß sprach sich schlussendlich für die Firebox von WatchGuard aus.
Implementierung und erster Einsatz
Zusammen mit Sys-Tec nahmen die drei Mitarbeiter der EDV-Abteilung die Installation in Angriff. Die vereinzelten Außenstellen waren quasi als Insellösungen zu betrachten mit insgesamt 90 Arbeitsstationen verteilt auf 11 Standorte. Die Außenstellen hatten zuvor eigene Server ? jetzt galt es, diese zu zentralisieren und den Außenstellen den Zugriff auf den Datenbestand mittels VPN zu realisieren. Dafür wurde in der Zentrale eine WatchGuard Firebox X700 und eine X500 implementiert. Mit dem Design wurde auf verteilte Rollen Wert gelegt. Während eine Appliance als VPN-Terminator und zentrale Schaltstelle für Mailverkehr arbeitet, schottet die zweite Appliance die Stadt Schwandorf vor weiteren, externen Netzverbindungen ab.
Die Lösung entspricht dem Evaluation Assurance Level 4 (EAL4), eine Sicherheitsstufe, die der Bayerische Datenschutzbeauftragte für Sicherheitslösungen in einer öffentlichen Einrichtung vorgibt. In den Außenstellen wurden WatchGuard Firebox X Edge-Lösungen (X5, X5w und X15) installiert. In der Bücherei wählte man eine Firebox X 700, um die Rechner, von denen aus Bibliotheksbesucher im Internet recherchieren können und die damit potenziell stärker durch Angriffe aus dem öffentlichen Netz gefährdet sind, gesondert abzusichern. Nach nur vier Manntagen war die Implementierung abgeschlossen.
Die Vorteile für die Stadt Schwandorf
»Die Anbindung unserer Außenstellen durch WatchGuard ermöglicht die Fernwartung der Mitarbeiter-PCs vor Ort, sogar mit Windows-Boardmitteln, die Zentralisierung aller Server am Hauptstandort sowie die organisationsweite Bereitstellung des Intranets. Letzteres schafft einen identischen Informationsstand für alle Mitarbeiter, was nicht zuletzt zu einem angenehmen Betriebsklima beiträgt«, erklärt Jürgen Eckert, EDV-Beauftragter bei der Stadt Schwandorf.
Alle Mails der Mitarbeiter der externen Lokationen wurden in die zentrale Mailorganisation schwandorf.de integriert und sind damit umfassend gegen SPAM und Viren geschützt. Ein eigenes Mail-Gateway setzt die inhaltlichen Richtlinien für den städtischen E-Mail-Verkehr um. Dadurch kann das Team einen gleichwertigen Schutz für alle Anwender gewährleisten ? und das mit deutlich weniger zeitlichem und finanziellem Aufwand. Die drei Mitarbeiter können durch die signifikante Einsparung von Fahrtzeiten zu den Außenlokationen, bedingt durch Vor-Ort-Service-Einsätze, endlich lange geschobene Projekte aufarbeiten.
Für die einzelnen Anwender gab es keinerlei Umstellungen. Die ausführliche Einweisung erfolgte durch Sys-Tec. Die EDV-Abteilung erhielt eine eintägige Schulung und übernahm die Wartung und Administration dann selbst.