Sicherheit beim Personaldienstleister ZAG

Datenschutz und Sicherheit in virtualisierten Umgebungen

Personaldienstleister müssen hohe Datenschutz- und Sicherheitsanforderungen erfüllen. ZAG legt deshalb großen Wert auf ein optimales Sicherheitsniveau der IT-Infrastruktur. Durch die Umstellung auf eine virtualisierte Umgebung waren jedoch neue Sicherheitslösungen nötig.

Das Unternehmen zählt über 100 Geschäftsstellen und 17.000 Kunden.

Fast alle Daten, mit denen die 700 Mitarbeiter von ZAG Personal & Perspektiven im Rahmen ihres Jobs zu tun haben, fallen unter das Bundesdatenschutzgesetz. Denn es handelt sich um sensible Personendaten, die von aktuellen oder potentiellen Mitarbeitern des Dienstleisters für andere Unternehmen stammen: Bewerbungsunterlagen, Arbeitsverträge, Leistungsbewertungen oder Informationen über Löhne und Gehälter. Die Mitarbeiter in den Geschäftsstellen scannen die Unterlagen der Bewerber und legen sie im zentralen ERP-System in Hannover ab.

„Wir nehmen den Schutz dieser Daten sehr ernst“, erklärt Tobias Bock, Systemadministrator von ZAG. „Unsere komplette IT-Infrastruktur ist darauf ausgerichtet.“ Von daher besaßen Sicherheitskomponenten wie Firewalls und Virenscanner bei dem Mittelständler seit jeher hohen Stellenwert. Außerdem überprüfen eigene Mitarbeiter und externe Fachleute mittels Penetrationstests regelmäßig die Sicherheit der Infrastruktur.

Im Lauf der Jahre 2012 und 2013 wurden die lokalen Arbeitsplatz-PCs in den über 100 Geschäftsstellen durch Thin Clients ersetzt: Denn der Arbeitsaufwand, den Hardware-Ausfälle wie streikende Lüfter oder defekte Festplatten verursachten, wurde zu groß. Die Thin Clients sind erheblich robuster, da sie ohne bewegliche Teile auskommen. Gleichzeitig wurde ein Wechsel von den herkömmlichen Windows-Installationen auf eine virtualisierte Desktop-Umgebung mit ­Citrix Xen Desktop nötig.

Damit waren die bis dato verwendeten Virenscanner nicht länger brauchbar, da diese auf demselben virtualisierten Speicher nach Schädlingen suchen würden. Das würde zum einen die in Hannover betriebenen Speicherinfrastrukturen überfordern und zum anderen auf der MPLS-Anbindung zwischen Niederlassungen und Rechenzentren eine zu hohe Last erzeugen.

„Uns war bereits beim Konzipieren der Xen-Desktop-Umgebung bewusst, dass wir eine neue Antivirenlösung finden und installieren müssen“, sagt Tobias Bock. Der bisherige Lieferant stand ohnehin zur Diskussion, da sowohl die Erkennungsraten als auch das Management der Endpunkte verbesserungsbedürftig waren.

Schlanker Sicherheitsagent

Das IT-Team von ZAG entschied sich für die damals noch in der Beta-Phase befindliche Schutzlösung Gravity Zone von Bitdefender. Diese installiert nur einen schlanken Agenten anstelle eines umfangreichen Scanners auf Arbeitsstationen und Servern. Der Agent erzeugt lediglich Hash-Werte aller auf der Festplatte gespeicherten Dateien und schickt diese an einen zentralen Scan-Server. Diese externe, auf Linux basierende Anwendung erledigt dann das eigentliche Überprüfen der Dateien.

Mithilfe dieser Methodik werden bei dem Mittelständler nicht nur die Arbeitsstationen, sondern auch Server überwacht. Dabei handelt es sich um 14 physische Hosts auf Basis von VMware ESXi, auf denen insgesamt 15 Terminal-Server von Citrix sowie 150 weitere Server-Systeme laufen. Darunter befinden sich diverse Datenbank-, Web-, File- und auch E-Mail-Server. Der Großteil der Maschinen läuft unter Windows, einige unter Linux. Unabhängig vom Betriebssystem ist der gleiche Scan-Agent installiert. Zudem werden mit dem Sicherheitssystem die gut 1.000 E-Mail-Fächer in Microsoft Exchange untersucht, um gefährliche Attachments und Phishing-Links zu erkennen.

Die Agenten entdecken nun Schädlinge, ohne die Leistung der Thin Clients oder Server in den Rechenzentren des Personaldienstleisters zu beeinträchtigen. Die Lösung ist server-seitig weniger fehleranfällig und schneller als die zuvor eingesetzte Software. Außerdem wurde die Rate der falsch-positiven Alarme reduziert. Das IT-Sicherheitsteam des Personaldienstleisters profitiert zudem von den Management-Funktionen der Lösung. Denn neben den Servern und Thin Clients bezieht sie auch herkömmliche Windows-Notebooks ein: Die Führungskräfte des Unternehmens sind oft auf Reisen und daher mit mobilen PCs ausgestattet, für die das gleiche Schutzniveau gilt wie für interne Client-Rechner. Die Software zeigt dabei alle Geräte in einer auf dem Active Directory basierenden Baumstruktur an. Diese lassen sich per Web-Interface von jedem Endgerät aus ohne Installation einer Admin-Konsole verwalten. Dank LDAP-Integration genügt der bereits vorhandene Windows-Login zur Authentifizierung an der Sicherheitssoftware.

Über ZAG

  • Branche: Personaldienstleister
  • Gründung: 1984
  • Firmensitz: Hannover
  • Leistungen: Zeitarbeit, ­Personalvermittlung, Projekt­betreuung, Personalkonzepte
  • Schwerpunkt: gewerblicher und kaufmännischer Bereich
  • Zahlen: über 100 Geschäftsstellen, 10.000 externe ­Mit­arbeiter, 17.000 Kunden

Bildquelle: ZAG

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok