Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

20.03.2019

Globaler Remote Access via Satellit

Im Rahmen der globalen Vernetzung aller Baustellen konzipierte das Bauunternehmen Max Bögl ein weltweites Remote Access VPN-Datennetz für eine sichere mobile Kommunikation. Das "rund um die Uhr" gemanagte Netz erlaubt es dem Unternehmen, kostengünstig den Austausch von Daten in geogra-fisch unerschlossenen Gebieten in aller Welt und zu jeder Zeit abzuwickeln.

1929 von Max Bögl gegründet, kann die Firmengruppe mit Stammsitz in Neumarkt, Deutschland auf über 80 Jahre erfolgreiche Firmengeschichte zurückblicken. Mit rund 1,4 Mrd. Euro Bauleistung und weltweit rund 6.000 hoch qualifizierten Mitarbeitern zählt Max Bögl nicht nur zu den Top 5 der größten deutschen Bauunternehmen. Heute in dritter Generation weitergeführt, ist die Firmengruppe auch die größte Bauunternehmung Deutschlands in Privatbesitz. Die Aktivitäten des international agierenden Technologie- und Dienstleistungsunternehmen erstrecken sich über alle Bereiche und Schwierigkeitsgrade des modernen Bauwesens – vom Hochbau und Verkehrswegebau über den Ingenieurbau und Tunnelbau bis hin zum Stahl- und Anlagenbau sowie dem Fertigteilbau.

Der Leitsatz "Fortschritt baut man aus Ideen" bezieht sich bei dem Bauunternehmen Max Bögl auch auf die Abteilung "EDV externe Dienstleistung". Für Dipl. Ing. Peter Reichel, Leiter der Abteilung, steht ganz oben auf seiner Prioritätenliste die mobile Verfügbarkeit von Daten. Seine Aufgabe im Unternehmen ist neben der Entwicklung innovativer IT-Techniken die Konzipierung, Organisation und Betreuung der IT auf den Baustellen und Arbeitsgemeinschaften (Argen). "Nur das Zusammenspiel einer perfekt organisierten Baustellen-IT mit dem Management im Hauptsitz ermöglicht eine zeitnahe Feinabstimmung und somit eine Kostensenkung in den einzelnen Prozessen. Durch zeitnahe EDV-Kommunikation können Fehler schneller erkannt und gegengesteuert werden – eine Risikominimierung für das gesamte Unternehmen", erklärt Reichel.

Die positive Entwicklung und fortschreitende Internationalisierung des Unternehmens stellten Reichel und sein Team in den letzten Jahren vor wachsende Herausforderungen. Bis 2006 erfolgte die Anbindung von mobilen Mitarbeitern und Baustellen national begrenzt über T-Mobile IP-VPN und die MPLS-Plattform der Deutschen Telekom. Als jedoch sukzessive Niederlassungen im europäischen Ausland hinzukamen, zeigten sich schnell die Nachteile der bisherigen Lösung. Nicht nur, dass die Roaming-Gebühren extreme Ausmaße annahmen, auch die Datensicherheit war ein weiteres Manko. Denn auch bei Max Bögl stellte sich das bekannte Problem der Hackerattacken bzw. Wirtschaftsspionage. Um dieser Gefahr vorzubeugen war eine Lösung mit starken Authentisierungs- und Verschlüsselungsmechanismen erforderlich.

Raum für weiteres Wachstum
2006 fällte Reichel in Zusammenarbeit mit dem Outsourcing Partner Deutsche Telekom die Entscheidung, durch Einführung eines weltweiten Virtual Private Network (VPN) die notwendigen Weichen für die Zukunft zu stellen, um auch IT-seitig Raum für Wachstum zu schaffen. Der Rahmen war vorgegeben: Mehr Flexibilität bei den Übertragungsmedien, Skalierbarkeit und ein zentralisiertes Management waren die wichtigsten Anforderungen an die VPN-Lösung. Dazu kamen einfaches Handling für den Anwender, höchstmögliche Betriebssicherheit und Wirtschaftlichkeit sowie Hochverfügbarkeit an 365 Tagen im Jahr. Eine weitere Vorgabe war die Nutzung einer Lösung basierend auf einer mandantenfähigen Plattform. Auf dieser gemeinsamen RAS-Plattform galt es für die T-Systems mehrere Kunden parallel zu bedienen und dabei die Datenströme strikt voneinander getrennt zu halten.

Aufgrund der konkreten Anforderungen kam die Remote Access VPN-Lösung der Nürnberger NCP engineering GmbH zum Einsatz. Der Remote Access-Spezialist ist Vertriebspartner der Deutschen Telekom. Beide Unternehmen arbeiten seit vielen Jahren erfolgreich in Großprojekten zusammen. Die Kernkomponenten, der in das Telekom Designed Network (TDN) implementierten vollautomatisierten Remote Access VPN-Lösung, bilden der NCP Secure Enterprise VPN Server und das NCP Secure Enterprise Management (SEM). Letzteres dient der strukturierten Administration und Überwachung des kompletten Remote Access-Netzwerkes. Es besteht aus dem Management Server und der Management Konsole. Der Management Server ist ein daten-bankbasiertes System und korres-pondiert mit nahezu jeder Datenbank über ODBC (z.B. Oracle, MySQL, MS SQL, MS Access, MaxDB). Mit der Management Konsole als Front-End werden Benutzerdaten abgerufen oder Konfigurationen und Zertifikate gespeichert. Alle relevanten Informationen werden in einer Datenbank abgelegt und in den Datensicherungs- und Backup-Prozess der Telekom eingebunden.

Eins für Alle
Der Multi-Company Support (Mandantenfähigkeit) prädestiniert das Secure Enterprise Management für den Einsatz in Remote Access-Strukturen, in denen mehrere Firmen gemeinsam eine gemeinsame VPN-Plattform nutzen (VPN Sharing). Die Administratoren werden so angelegt, dass jeder ausschließlich Zugriff auf seinen Bereich, sprich seine zu verwaltenden Einheiten hat. Ein Übergriff auf Daten anderer Mandanten in deren geschützten Bereichen ist ausgeschlossen. Das automatische Update-Verfahren ermöglicht dem Administrator für alle entfernten NCP Secure Clients unter Windows, zentral Software-Updates und Patches bereitzustellen, die bei der nächsten VPN-Verbindung automatisch (wenn konfiguriert) auf dem einwählenden System installiert werden. Für die Hochverfügbarkeit der VPN-Infrastruktur sorgen die NCP Load Balancing und Backup Services.

Alle weiteren (dezentralen) VPN-Komponenten: Telekom secure Client auf Basis des NCP Secure Enterprise Clients und NCP Secure Enterprise VPN Server werden projektspezifisch dem Kunden zur Nutzung zur Verfügung gestellt. Nach erfolgter Benutzeraktivierung der VPN Clients seitens Max Bögl und Übergabe aus dessen Active Directory an den im Management Server integrierten Radius Server, erfolgt eine vollautomatisierte Administration auf den von der Deutschen Telekom betriebenen Komponenten. Dies geschieht auf Basis eines Vorlagenkonzeptes. Diese Vorlagen werden als Clientprofile über die Management Konsole einheitlich und zentral festgelegt. Genauso lassen sich detaillierte individuelle Nutzungsrichtlinien definieren, etwa für User mit speziellem Profil. Aufgrund der vollautomatisierten Abläufe reduziert sich der Aufwand für Administration und Reporting erheblich. So ist die Inbetriebnahme eines VPNs mit ca. 500 Clients innerhalb von wenigen Tagen möglich.

Kommunikationskosten im Griff
Die VPN-Plattform bietet inzwischen rund 1500 Max Bögl-Mitarbeitern eine höchst flexible und vor allem sichere VPN Anbindung - und damit transparentes Arbeiten - über unterschiedliche Medientypen (UMTS, HSDPA, GPRS, EDGE, xDSL, WLAN, ISDN, analoges Netz, Satellit). Die Anbindung der weltweit verteilten "Baustellen-LANs" an die Konzernzentrale erfolgt kosteneffizient über die vor Ort installierten NCP Secure Server. "Wir können jetzt Provider unabhängig agieren und uns für den vor Ort günstigsten entscheiden. Unsere  Mitarbeiter in Dubai beispielsweise können nun einen Tunnel über das Internet zu quasi Null Kosten aufbauen. Insgesamt konnten unsere Kommunikationskosten im Ausland um Faktor 10 gesenkt werden," so Reichel. Damit das auch so bleibt, dafür sorgt unter anderem der in der NCP Secure Client Suite integrierte Budget Manager. Durch Vorgabe und Überwachung eines vorgegebenen Volumen- oder Zeit-Budgets bzw. des Providers sollen zukünftig die Mobilfunkgebühren der Mitarbeiter jederzeit unter Kontrolle gehalten werden. Aber auch über die Auswahl des richtigen Übertragungsnetzes, die Einwahl ins Internet und den Aufbau des VPN-Tunnels brauchen sich die Max Bögl-Mitarbeiter nicht kümmern. Diese Aufgaben übernimmt die NCP VPN Client Suite. Ein weiteres wichtiges Feature, das sowohl Anwender als auch IT-Administratoren entlastet, ist die im VPN Client integrierte Firewall. Die Firewall Software erkennt auto-matisch, welches Netz "sicher" und welches "unsicher" ist und aktiviert in Abhängigkeit von der jeweiligen Umgebung automatisch die erforderlichen Firewall-Regeln, die vom Anwender nicht veränderbar, zentral vorgegeben sind.

Mittlerweile wird das VPN nicht nur für Großprojekte genutzt. Auch kleinere Baustellen besitzen inzwischen eine Anbindung an die Firmenzentrale, um Informationen auszutauschen. Für Lokationen, zu denen keine Kabellegung möglich bzw. an denen auch keine Mobilfunkversorgung vorhanden ist, wurde im Frühjahr 2007 das Pilotprojekt "Baustellenkommunikation über Satellit" begonnen. Dies ermöglicht es Bögl über VPN Baustellen von jedem Ort aus an sein Datennetz zu koppeln und wurde erstmals für das Bauvorhaben 380-kV-Kabeltrasse in Livorno/Ferraris (Italien) erfolgreich umgesetzt. Inzwischen sind auch mobile Satellitenanlagen im Einsatz. Diese justieren sich automatisch und werden mittels PKW zu jedem Ort innerhalb Europas transportiert. Von dort kann sich das Baustellen-Team über VPN via Internet in die Zentrale einwählen.

IPsec VPN-Verbindungen über jeden Internet-Zugang
Ein Problem machte Bögl-Mitarbeitern immer wieder zu schaffen: Sie konnten in Hotels oder im Netz eines Arge-Partners von ihrem mobilen Endgerät keine IPSec-Verbindung zum zentralen Datennetz aufbauen. Dies lag an dort zwischengeschalteten Routern bzw. deren Firewalls, die keine IPsec-Datenverbindungen zuließen. Der Internetzugang war auf die reine Webbrowser-Kommunikation beschränkt, sprich: nur Zugriffe über die Ports 80 (HTTP), 443 (HTTPS) und 53 (DNS) in das Internet waren gestattet. Die für die IPsec-Verbindung verwende-ten Ports 500 oder 4500 wurden für den Zugriff auf das Internet geblockt.

"Wir haben verzweifelt nach einer Lösung gesucht, bis NCP mit seiner neuen PathFinder Technology das Problem in den Griff bekam. Diese erkennt, dass das VPN Gateway über Standard-IPSec nicht erreichbar ist. Dann wechselt der VPN Client automatisch in einen modifizierten IPSec-Protokoll-Modus und täuscht HTTPS vor, um einen VPN-Tunnel aufzubauen", erklärt Reichel begeistert. "Die Kollegen können sich nun wieder jederzeit stressfrei und vor allem von jedem Ort sicher ins VPN einwählen."

Immer einen Schritt voraus
Unter der Prämisse immer einen Schritt voraus zu sein, will die Firmengruppe Max Bögl auch künftig ihre Position am Markt, durch den Einsatz modernster EDV-Kommunikationstechniken auf den Baustellen, behaupten. Der weitere Weg für die Infrastruktur ist daher vorgezeichnet: Im Verlauf der nächsten Jahre sollen sämtliche Baumaschinen mittels Bordcomputer mit der Firmenzentrale vernetzt werden. "Denn", so Reichel, "ein exakter Soll-/Ist-Vergleich in Echtzeit ist nur möglich, wenn man von jeder Baggerschaufel, die sich bewegt, eine Leistungsmeldung bekommt, um diese dann sofort mit der entsprechenden Vorgangsnummer im SAP System abgleichen zu können."

Auch die Lagerhaltung soll dahingehend optimiert werden. Aktuell sind die Barcode Scanner ins Max Bögl WLAN integriert. Künftig sollen die Mitarbeiter auch in den Fertigteilwerken, den Lagerplätzen sowie an den Baustellen vor Ort mit RFID/Barcode Scannern arbeiten und dort ist dann der NCP VPN Client wieder gefragt. Der NCP Client könnte künftig auch in der LKW-Flotte auf modernen Bordcomputern die Verbindung zur Disposition herstellen. Doch nicht nur auf den Baustellen kommt neueste IT zum Einsatz, auch in der Firmenzentrale werden inzwischen mobile Endgeräte wie IPhone, IPad oder Android basierend mittels der sicheren VPN-Kommunikation  getestet. Die Modularität und hohe Skalierbarkeit der VPN Software-Lösung geben Bögl dafür genügend Spielraum.
Lesen Sie hier dem gesamten Artikel
NCP engineerig GmbH auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter