Active-Directory-Management für mehr Compliance und IT-Sicherheit bei 2G Energy AG


Die 2G Energy AG gehört zu den international führenden Herstellern von Kraft-Wärme-Kopplungs-Anlagen (KWK) zur dezentralen Erzeugung und Versorgung mit Strom und Wärme. Das Produktportfolio des Unternehmens umfasst Anlagen mit einer elektrischen Leistung zwischen 20 und 4.500 kW für den Betrieb mit Erdgas, Biogas und anderen Schwachgasen sowie Wasserstoff. Neben dem Hauptsitz in Heek hat 2G sechs Vertriebs- und Servicegesellschaften im europäischen Ausland und den USA. Das Kundenspektrum reicht vom Landwirt über Industriebetriebe, Kommunen, die Wohnungswirtschaft bis zu Stadtwerken und großen Energieversorgern.

Die Ausgangslage – viel Arbeit mit Microsoft-Bordmitteln

Die siebenköpfige IT-Abteilung der 2G Energy AG sorgt nicht nur für einen reibungslosen IT-Betrieb, sondern stellt für die circa 670 Mitarbeiter des Unternehmens auch Zugänge für Endpoints, Applikationen etc. bereit. Bislang nutzte die Abteilung die Active-Directory-Tools von Microsoft sowie PowerShell und weitere Skripte, um Benutzer im Active Directory (AD) anzulegen, zu ändern oder Berechtigungen zu vergeben – eine zeitaufwändige Aufgabe.

Ein Nachteil der Microsoft-Bordmittel waren auch deren eingeschränkte Audit-Möglichkeiten. Da 2G die Protokollierung der AD-Änderungen weiter ausbauen wollte, suchte das Unternehmen 2020 nach einer geeigneten Software. Um das Team von IT-Leiter Jörg Frenker zu entlasten, sollte es die neue Lösung zudem ermöglichen, einfache AD-Tätigkeiten an die Mitarbeiter selbst zu delegieren, zum Beispiel den Upload von Profilfotos.

2G prüfte mehrere Tools diverser Hersteller. Einige waren überdimensioniert für die eigenen Anforderungen und enthielten zahlreiche nicht benötigte Funktionen. Letztendlich fiel die Wahl auf die drei ManageEngine-Lösungen ADManager Plus, ADAudit Plus und ADSelfService Plus.

Die Lösung – ManageEngine ADManager Plus, ADAudit Plus, ADSelfService Plus

Jörg Frenker, Leiter IT-Infrastruktur und -betrieb bei der 2G Energy AG, überzeugte unter anderem, dass sich die Produkte gut integrieren lassen und auf unnötige Funktionen verzichten: „Die Lösungen von ManageEngine sind auf den Punkt gebracht. Wir nutzen circa 80 bis 90 Prozent der Features, was eine sehr hohe Rate darstellt. Wir bezahlen also nicht für Funktionen, die keinen Nutzen für uns haben.“

Da der IT-Leiter für die Evaluierung bereits die entsprechenden Demoversionen heruntergeladen und installiert hatte, konnten die drei Lösungen innerhalb kürzester Zeit in den produktiven Betrieb überführt werden: „Inklusive HTTPS-Anbindung dauerte es gerade einmal zwei Tage, bis wir alles eingerichtet hatten“, zeigt sich Jörg Frenker begeistert. Durch die internen Verlinkungen in den Produkten konnten die IT-Mitarbeiter von Anfang an schnell und unkompliziert von einem Tool ins andere wechseln.

„Die Lösungen von ManageEngine passen perfekt zu unseren Anforderungen. Sie enthalten alle Funktionen, die wir benötigen, und sind nicht mit unnötigem Schnickschnack ausgestattet, den man dann eh nicht nutzt.“ – Jörg Frenker, Leiter IT-Infrastruktur und -betrieb, 2G Energy AG

Das Ergebnis – Entlastung der IT und Einhaltung von ISO-27001-Vorgaben

Die AD-Management und -Reporting-Lösung ADManager Plus nutzt 2G vor allem zum Anlegen neuer Benutzer sowie zur Rechteverwaltung. Jörg Frenker schätzt dabei insbesondere das Rechte- und Rollenkonzept, das eine Delegation von AD-Aufgaben ermöglicht. So legt jetzt beispielsweise ein Auszubildender der IT-Abteilung neue Benutzer an, ohne direkt im AD zu arbeiten. Je nach Wissensstand des Mitarbeiters können bei Bedarf weitere Rechte zugewiesen werden.

Für die Account-Erstellung verwendet das Unternehmen eigene Vorlagen, die sicherstellen, dass der neue Anwender automatisch alle vorgesehenen Rechte erhält. „Früher hieß es beim Anlegen neuer Benutzer: So ähnlich wie bei XY, aber ohne diese Rechte und dafür mit jenen Berechtigungen“, erklärt der IT-Leiter. Mit den Vorlagen geht die Rechtezuweisung jetzt deutlich schneller. Zudem erfüllt 2G dadurch auch die Anforderungen der ISO/IEC-27001-Richtlinie für Rechte-/Rollenkonzepte.

Auch bei der Zusammenarbeit mit den verschiedenen Dienstleistern von 2G konnte ADManager Plus die IT-Abteilung entlasten. Die für die Betreuung der Dienstleister zuständige Kollegin kann Zugänge für Externe jetzt selbst freischalten und muss dazu nicht länger Tickets bei der IT einstellen. Ein zusätzlicher Vorteil: Die mit ADManager Plus erstellten Zugänge lassen sich ausschließlich während der regulären Arbeitszeit nutzen – eine zusätzliche Sicherheitsmaßnahme gegen unerwünschte Systemzugriffe.

Das ausführliche Reporting ist ein weiteres Feature, das Jörg Frenker nicht mehr missen möchte: Mit den Berichten zur Kennwortzurücksetzung sowie zu NTFS- und Freigabeberechtigungen sieht der IT-Leiter auf einen Blick, ob die Berechtigungen korrekt sind oder angepasst werden müssen – ebenfalls eine Anforderung der ISO-27001-Richtlinie.

ADAudit Plus, eine Auditing-Lösung für das Active Directory, ist bei 2G ebenfalls zu einem wichtigen Tool geworden. „Als Marktführer sind wir sehr begehrt, vor allem unser Know-how. Um sicherzustellen, dass unsere Forschungsdaten nicht abhandenkommen, überwachen wir mit dem FileServer Audit von ADAudit Plus, ob Daten von bestimmten Dateiservern auf einen USB-Stick kopiert werden“, erläutert der IT-Leiter. Ein positiver Nebeneffekt: Versehentlich verschobene Ordner lassen sich mit dem Tool ebenfalls schnell wiederfinden.

 
 
 

Kundennutzen:

  • Zeitersparnis bei Routine-Aufgaben
  • Voreingestellte Berichte erleichtern Reporting
  • Einfache Delegation von AD-Tätigkeiten – ohne im AD arbeiten zu müssen
  • Einfache Bedienung durch Verzicht auf unnötige Funktionen
  • Weniger Skripte notwendig

Zudem überwacht 2G mit einer integrierten Analytics-Funktion das Anmeldeverhalten. Kommt es zu ungewöhnlichen Aktivitäten, alarmiert ADAudit Plus die IT-Abteilung in Echtzeit. „Wenn sich die Geschäftsleitung beispielsweise plötzlich auf Domain Controllern in den USA anmeldet, werden wir skeptisch. Wir prüfen dann, ob es sich um einen Cyber-Angriff handelt und ob eventuell versucht wird, Login-Daten abzugreifen“, erklärt der IT-Leiter.

Beim Aufspüren fehlerhafter Benutzeranmeldungen leistet die ManageEngine-Lösung ebenfalls gute Dienste: „Mit ADAudit Plus können wir herausfinden, warum es zu einer fehlerhaften Anmeldung kam“, berichtet Jörg Frenker. So lassen sich beispielsweise Account-Sperrungen schneller beheben. Sollte es erforderlich sein, dass der betroffene User sein Login ändert, informiert die IT-Abteilung diesen proaktiv. „Auf diese Weise gewährleisten wir, dass ein Anwender nicht plötzlich vor einem gesperrten Account sitzt und nicht mehr arbeiten kann.“

ADSelfService Plus, eine Self-Service-Passwort-Management-Lösung, komplettiert das Trio. Damit können die Mitarbeiter ihre Passwörter selbst ändern und ihre Konten entsperren – eine weitere Entlastung für die IT-Abteilung. Da die aktuellen Passwortrichtlinien vorsehen, dass Benutzer alle 90 Tage ein neues Kennwort vergeben, nutzt 2G ADSelfService Plus auch, um die Mitarbeiter 14 Tage vor Ablauf dieser Frist zu benachrichtigen. Früher waren dazu VB-Skripte erforderlich, jetzt lassen sich die Erinnerungen einfach und komfortabel in ADSelfService Plus einrichten.

Der Anwender profitiert ebenfalls von der neuen Lösung: Er sieht beim Festlegen eines neuen Passworts genau, wie viele Zeichen und Sonderzeichen dieses enthalten muss, um die internen Vorgaben zu erfüllen. Außerdem kann er bestimmte persönliche Daten seines AD-Profils selbst ändern und beispielsweise ein Profilbild hochladen.

Fazit – Delegation und Automatisierung entlasten die IT-Abteilung

Seit Einführung der ManageEngine-Lösungen konnten Jörg Frenker und sein Team viele Routine-Tätigkeiten rund um die Verwaltung des Active Directory vereinfachen oder delegieren. Die neuen Vorlagen für das Anlegen neuer Benutzer sorgen für mehr Standardisierung und entlasten die IT-Abteilung zusätzlich.

Auch in Punkto IT-Sicherheit und -Compliance profitiert 2G von den neuen Lösungen: Unternehmensdaten werden besser vor unbefugten Zugriffen geschützt, und zahlreiche Vorgaben der ISO-27001-Richtlinie wie das Rechte-/Rollenkonzept lassen sich jetzt einfach und zuverlässig umsetzen.

Mit dem Status quo ist es für Jörg Frenker allerdings noch nicht getan: Der IT-Leiter plant mit der Anpassung der Passwortrichtlinien bereits das nächste Projekt, das mit Hilfe der ManageEngine-Tools umgesetzt werden soll. Den Empfehlungen des BSI folgend sind unter anderem eine Zwei-Faktor-Authentifizierung, komplexere Passwörter und die Abschaffung regelmäßiger Passwortwechsel geplant – kein Problem dank ADSelfService Plus.

2G Energy AG - Fakten

Branche: Energiewirtschaft
Mitarbeiter: ca. 670
Umsatz: 236,4 Mio. Euro (2019)
Hauptsitz: Heek
Gründung: 1995

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren