Fallstudie LIAM - GEDORE

Spricht man Frank Heisig, Teamleiter IT Infrastruktur bei GEDORE, auf das Projekt „LIAM“ an, spiegeln sich in seiner Miene verschiedenste Empfindungen wider: Tatendrang, Erleichterung - und Stolz. Schließlich schaffte er es, mit der Einführung der Software-Lösung LIAM (Light Identity Access Management) des Herstellers Consulting4IT das Thema Management von Laufwerkszugriffen nahezu vollständig zu automatisieren.

Auslöser des Projekts waren der unverhältnismäßig hohe Aufwand und die überbordenden Kosten, welche die Überarbeitung der bestehenden IT-Berechtigungsstruktur notwendig machten. Um jedoch zu erklären, wie die ganze Geschichte ihren Anfang nahm, muss Heisig ein wenig ausholen. „Als ich bei GEDORE anfing, habe ich nicht verwaltete File Server vorgefunden“, erinnert er sich. „Da gab es Berechtigungen auf jeder Ebene. Ohne Prozess, Struktur oder Transparenz. Klar, das ist bestimmt auch das Resultat einer gewachsenen IT-Struktur, wie es sie oft bei Familienunternehmen wie GEDORE gibt. Irgendwann ist das eben einfach nicht mehr verwaltbar. Für uns war das eine gute Gelegenheit, das Ganze einmal von Grund auf neu zu machen.“

Den Start des Projekts fasst er pragmatisch zusammen: „Wir haben den bestehenden Prozess gesehen, ihn eingerissen und einen Neuen aufgesetzt. Und dann haben wir mit einfachsten Mitteln losgeexcelt.“

Consulting4IT
GEDORE

Von Excel zum ersten Tool

Frank Heisig, der damalige IT-Leiter Sven Tacke und sein Kollege Felix Kind, damals noch IT-Systemadministrator bei GEDORE, entschieden sich in der Folge für ein sehr restriktives System – also eines, das recht streng die Rechtevergaben reglementierte, um dem Wildwuchs Einhalt zu gebieten und Ordnung zu schaffen. Im ersten Schritt wurden alle Daten auf neue Laufwerke migriert. Dabei wurde lediglich noch zwischen Projektlaufwerken und Teamlaufwerken unterschieden. Mithilfe des Microsoft Bordmittels DFS (Distributed File System) gelang es Frank Heisig und Felix Kind, eine skalierbare, zentrale und international einsetzbare Struktur zu schaffen.

Dargestellt und verwaltet wurde das Ganze mit einer Excel-Vorlage. Heisig hatte diese so programmiert, dass am Ende ein Skript zur Verfügung stand, welches Ordner und Gruppen anlegte und diese auch berechtigte. Heisigs Kommentar zur damaligen Lösung: „Das war der erste Wurf und er stellte eine massive Produktivitätssteigerung dar. Aber der Verwaltungsaufwand dahinter war immer noch enorm.“

Mit der Excel-Lösung war in erster Linie eine Grundlage geschaffen worden. Der nächste Schritt war ein entsprechendes Tool für das Berechtigungsmanagement. Heisig: „Wir haben nach der Excel-Lösung eine Software eingeführt, welche unsere grundlegenden Ansprüche erfüllt hat: Wir konnten damit die Rechte verwalten. Allerdings war die Anwendung im Grunde zu komplex für unsere Anforderungen und auch nicht besonders nutzerfreundlich. Als dann aufgrund der wachsenden Anzahl an Standorten auch noch die Änderungsanfragen massiv anstiegen, wurde uns klar, dass wir etwas anderes brauchten.“

Gesagt, getan - LIAM

„Wir machten uns also Gedanken darüber, wie eine effektive Lösung aussehen könnte. Und kamen dann recht schnell darauf, dass eine Art Standard-Service innerhalb des bereits vorhandenen Service Catalog von Matrix42 ideal wäre. Ganz ohne Excel oder unnötige Komplexität, anwenderfreundlich und standardisiert. Ein Service, der unseren vollständigen Prozess abbildet, den jeder Anwender bei Bedarf eigenständig buchen kann und bei dem darüber hinaus auch noch alles sauber dokumentiert wird“, fasst Heisig die Bedarfsanalyse zusammen.

Da es eine solche Lösung im Standard des Matrix42 Service Catalog damals nicht gab, hatten Heisig und Kind eine andere Idee: Sie wandten sich an den Matrix42-Spezialisten Consulting4IT. Dieser hatte nicht nur große Teile des Servicekataloges bei GEDORE implementiert, sondern sich bereits seit Jahren einen Namen mit der Eigenentwicklung und dem Vertrieb von Matrix42 Add-ons gemacht. In den hauseigenen Trainings der Consulting4IT hatten die beiden außerdem bereits interessante Kontakte geknüpft und Ideen gesammelt.

Heisig machte also direkt Nägel mit Köpfen. Er sendete der Consulting4IT im Sommer 2019 die entsprechenden Anforderungen und die Anfrage nach Machbarkeit. Noch heute ist er überrascht davon, wie schnell es danach ging. „Die Consulting4IT hat den Ball aufgenommen und bereits Ende 2019 ein Produkt geliefert: LIAM“, erinnert sich Heisig.

Frank Heisig
Frank Heisig, Teamleiter IT Infrastruktur bei GEDORE

Was Eigentümer mit Quotas zu tun haben

Heisig und Kind machten sich anschließend direkt ans Werk, wobei sie versuchten, alles möglichst einfach aufzubauen. „Unser Kredo: Keep IT simple - IT muss einfach sein“, erklärt Heisig die Philosophie hinter dem Projekt.

Die Integration von LIAM in die bestehende klare Ordner- und Gruppenstruktur war innerhalb weniger Stunden erledigt. Das Anlegen neuer Ordner und Berechtigungen im System wurde von der Consulting4IT anhand der Vorgaben der beiden IT-Experten von Gedore anschließend im Rahmen von wenigen Wochen durchgeführt. Die zugrundeliegende Struktur beruht dabei auf dem Grundsatz, dass es zu jedem Ordner eine festgelegte Gruppe mit mindestens zwei Eigentümern gibt, die die Zugriffsrechte verantworten. Fragt nun ein Anwender über den Service LIAM nach einer Berechtigung, entscheidet einer der Eigentümer. Dabei wird der gesamte Vorgang im Hintergrund vollautomatisch in einem Change dokumentiert.

Auf Grundlage dieses Prozesses gibt es seither keine unklaren Berechtigungen mehr – es ist immer nachvollziehbar, wer was angefragt bzw. genehmigt hat. Die Eigentümer können sich außerdem jederzeit über eine weitere Automation im Servicekatalog einen Report erstellen lassen, in dem sie sehen können, wer alles Zugriff auf ihre Ordner hat.

Eine weitere Funktion erwies sich als wahrer Segen für GEDORE: Die einfache Verwaltung von Quotas, also der Begrenzung des Speicherplatzes auf Speichermedien für Anwender oder Gruppen. „Das gab es bei uns in der Vergangenheit nicht und hat dazu geführt, dass mit dem Upload extrem großer Dateien versehentlich ganze File Server gesprengt wurden“, erinnert sich Heisig. „Dafür gibt es eigentlich das integrierte Quota-Management von Windows. Aber das zu verwalten ist ein Graus.“ Mit einem eigens von GEDORE entwickelten und an LIAM angedockten Tool können Anwender nun zusätzlich Quotas buchen. Bei Erreichen von 80% des genutzten Speicherplatzes werden sie automatisch vom System benachrichtigt und können bei Bedarf direkt mehr Speicherplatz beantragen. „So haben wir sichergestellt, dass unsere File-Ordner nicht mehr volllaufen“, erklärt Heisig.

Standorteinbindung? Ein Kinderspiel

Die Einbindung von Standorten – früher: Ein Horrorszenario. Jetzt: Innerhalb eines Tages erledigt. Wo in der Vergangenheit ein Admin viel Zeit und Aufwand investieren musste, ist es heute so einfach, dass der Aufbau eines entsprechenden File-Konstrukts für einen neuen Standort durchaus schon als Übung für Auszubildende genutzt wurde. „Aktuell binden wir viele Standorte an, weil wir unser IT-Einzugsgebiet massiv vergrößern“, erzählt Heisig und erläutert den Prozess: „Nach der Vorbereitung mit LIAM muss ich nur noch der verantwortlichen Person vor Ort erklären, dass sie jetzt ein Dateneigentümer ist. Dann erkläre ich ihr, was sie in diesem Zusammenhang für Rechte und Pflichten hat: Das Recht, Zugriffsberechtigungen eigenständig zu erteilen und die Pflicht, diese zu verwalten und zu verantworten. Fertig. Damit geben wir den Menschen die Werkzeuge an die Hand, ihre Daten zu einem Großteil selbst zu migrieren.“ Heisig betont dabei nachdrücklich, dass das keinesfalls ein Abschieben von Arbeit sei. Von dem Prozess profitierten alle Beteiligten: „In der Regel ist dieses Vorgehen auch für den Anwender – sprich, den Datenverantwortlichen vor Ort - einfacher. Denn bevor er wie früher der IT lang und breit erklären muss, wie er seine Ordner angelegt haben will, läuft das über LIAM viel schneller und außerdem automatisiert.“

Generell wurde das Tool von den Anwendern im Unternehmen ausgesprochen gut angenommen. Nach anfänglich vereinzelten Rückfragen ist es sogar – Zitat Heisig – „mittlerweile bei allen in Fleisch und Blut übergegangen“. Kind merkt an: „LIAM ist so selbsterklärend, dass es in der ersten Sekunde verstanden wird und bedient werden kann.“

Transparenz für mehr Sicherheit und DSGVO-Konformität

LIAM wirkt sich auch noch in anderen Bereichen positiv aus. Stichwort: DSGVO. „Früher gab es ein wildes Rechtekonglomerat, das darauf beruhte, dass einfach derjenige Zugriffsrechte bekam, der am lautesten schrie. Das ist ja per se eine Vorlage für DSGVO-Verstöße. Hier hätte ich nicht begründen können, warum wer irgendwelche Zugriffe hat“, erklärt Heisig. „Das Risiko solcher Verstöße tendiert aufgrund der neuen Berechtigungsstruktur jetzt gegen Null. Sollte es doch einmal vorkommen - was ziemlich unwahrscheinlich ist - können Verstöße einfach erkannt, dem Datenschutzbeauftragten gemeldet und Gegenmaßnahmen eingeleitet werden.“

Auch hinsichtlich der Risikominimierung bei Insider-Bedrohungen ist LIAM aufgrund der Transparenz bei internen Zugriffsrechten hilfreich. Das Tool agiert hier auf ähnlicher Grundlage wie die auch bei GEDORE eingesetzte Security-Lösung von Varonis. Deren Anwendung beruht nämlich ebenfalls auf der Durchleuchtung von Rechten in der internen Datenstruktur.

Heisig differenziert jedoch ganz klar zwischen den beiden Lösungen: „LIAM gibt uns den Shop, verbessert den Service-Grad der IT und spart uns viel Zeit und Kosten. Varonis hingegen deckt Ungereimtheiten, Fehler und Sicherheitslücken auf und optimiert damit unsere IT-Sicherheit maximal. Deshalb sind wir der Ansicht, dass sich die Anwendungen ideal ergänzen und wir beide äußerst sinnvoll nutzen können – in Kombination.“

Benefits und Spareffekte – LIAM als Allroundtalent

Und das ist noch nicht alles, wie Heisig und Kind in ihrer weiteren Ausführung schildern. Beispiel: Ein- und Austrittberechtigungen. „Das ist ein besonders schöner Beifang“, sagt Heisig. Denn mithilfe der von LIAM gebuchten Services kann nun bei einem Mitarbeiteraustritt ein Report erstellt werden, der zeigt, worauf derjenige Zugriff hatte. Das erleichtert die Rechtezuordnung, wenn die Stelle neu besetzt wird. Ebenso vereinfacht LIAM den Prozess bei Besetzungen neuer Jobs aufgrund der einfachen Katalogauswahl.

Besonders erwähnenswert ist für die GEDORE-IT auch der hohe Standardisierungsgrad der Lösung. „Wo früher jeder sein eigenes Süppchen gekocht hat, läuft heute alles gleich“, freut sich Kind und Heisig fügt hinzu: „Manchmal gibt es noch kleinere Probleme mit Microsoft Bordmitteln, die zulassen, dass ab und zu Rechte überschrieben werden. Leider können wir das nicht ohne Weiteres umgehen. In der Regel passiert so etwas unbeabsichtigt, indem jemand Dateien ausschneidet und woanders wieder einfügt. Das überschreibt dann leider alle hinterlegten Berechtigungen. Früher war das ein Riesenproblem, da die Berechtigungen manuell aus einer Sicherung aufwendig wiederhergestellt werden mussten. Heute ist das Thema allenfalls noch lästig. Denn dank der Standardisierung von LIAM kann ich die Berechtigungen mit wenigen Klicks neu setzen. Tatsächlich waren solche Vorfälle und das Thema Zugriffsrechte früher eine Art ‚heilige Kuh‘. Heute ist es ein Witz.“

Markus Braumann

Weitere Pluspunkte laut Heisig: „LIAM dokumentiert alles ITIL-konform in Changes und die Fehlerrate liegt im Promillebereich, wenn überhaupt. Und wenn der Chef mal wissen möchte, warum jemand einen bestimmten Zugriff hat, können wir ihm sofort Auskunft geben, ohne stundenlang Mails durchforsten zu müssen. Audits sind damit ebenfalls erledigt. Denn wir können mit LIAM nicht nur nachweisen, wer worauf Zugriff hat, sondern auch, wer wann auf was Zugriff hatte und wer das entsprechend genehmigt hat. Man denke nur daran, was für einen entscheidenden Vorteil das beispielsweise bei externen Audits und Zertifizierungen darstellt. Dabei werden häufig auch Themen wie Zugriffsrechte innerhalb eines Unternehmens geprüft. All das hätten wir mit einem manuellen Prozess nie erreichen können.“

Doch der entscheidende Mehrwert ist ein ebenso trivialer wie maßgeblicher: Der Faktor Kosten. Heisig rechnet vor: „Seit Start von LIAM hatten wir insgesamt bis heute ca. 15.000 Änderungen in Berechtigungen. Bei im Schnitt drei Minuten Zeitaufwand pro Änderung und Admin und einem Kostensatz von etwa einem Euro pro Minute und Admin sind wir bereits bei 45.000 Euro Einsparung. Das entspricht 30 vollen Admin-Tagen im Jahr. Dabei sind Ticketbearbeitung und Dokumentation noch gar nicht mitberücksichtigt. Und die Zahlen sind voll skalierbar. Wenn man das also auf ein größeres Unternehmen mit weit mehr als unseren aktuell 600 Usern überträgt, kann man sich ausrechnen, welch immenses Einsparungspotenzial man damit erreicht.“

Das Konzept als Erfolgsfaktor

Trotz der Komplexität des Projekts lief dieses von Beginn an nahezu reibungslos und die Zusammenarbeit mit der Consulting4IT gestaltete sich produktiv. „Anfangs haben wir zum Teil etwas aneinander vorbeigesprochen“, gibt Kind zwar zu. „Aber das waren Kleinigkeiten. Wenn es in der Software Bugs gab, wurden diese innerhalb kürzester Zeit behoben. Innerhalb weniger Tage wurden neue Features implementiert und die Oberfläche wurde in einer Geschwindigkeit besser, die uns wirklich gefordert hat. Neben dem Tagesgeschäft alle Neuerungen zu verarbeiten, war manchmal schon eine ordentliche Aufgabe.“

Zurückzuführen ist dieser Projekterfolg vor allem auf die gute Vorarbeit bei GEDORE. Nicht nur, dass vor Einführung des Tools auf File-Server-Ebene restriktiv aufgeräumt worden war. Es gab auch ein schlüssiges Konzept. Heisig: „Ich brauche ein Berechtigungskonzept, das logisch und damit automatisierbar ist. Wenn ich hingegen darauf bestehe, in fünf verschiedenen Ebenen Gruppen berechtigen zu müssen – was man mit LIAM übrigens problemlos machen könnte -, wird mir das Projekt mit viel Freude ins Gesicht schlagen. Wenn ich das Ganze jedoch so vereinfache, dass ich es auf einer DIN A4 Seite beschreiben kann, dann hat es die besten Erfolgschancen. Auch hier wieder: IT muss einfach sein!“

Heisigs Tipp: Das Konzept sollte weitestgehend an Standards ausgerichtet sein, eine durchdachte Eigentümer-Struktur, definierte Schreib- und Leserechte sowie eine durchgängige Namenskonvention haben. Sinn macht es überdies, hauptsächlich mit Einzelberechtigungen zu arbeiten. Schließlich stellt LIAM einen Service zur Verfügung, der darauf ausgelegt ist, von Einzelpersonen gebucht zu werden.

Wo GEDORE hinwill

Aktuell migriert GEDORE immer noch restliche Altdaten, was aufgrund der fehlenden Verantwortlichkeiten aus der Zeitrechnung vor LIAM nach wie vor schwierig ist. Doch davon abgesehen vereinfacht die Software den IT-Alltag bei GEDORE wesentlich. „Es ist alles sehr viel leichter geworden“, so Heisig. „Natürlich müssen sich Eigentümer und Anwender immer noch überlegen, was sie mit Berechtigungen tun. Und da passieren auch mal Fehler. Aber das Ganze ist so einfach strukturiert, dass man diese sehr schnell erkennen und auch wieder beheben kann.“

Für die Zukunft gibt es auch schon weitere Ideen. Denn ebenso wie bei den File Shares, so möchte die GEDORE dieselbe Logik auch bei Shared Mailboxes, Microsoft Teams und Sharepoint anwenden.

Tschüss Sorgenkind – hallo Service-Welt

So ergibt sich am Ende ein rundes Bild: Die GEDORE schaffte es mit der Einführung von LIAM vom „Sorgenkind File Server“ hin zur Bereitstellung einer standardisierten und automatisierten Plattformlösung. Damit und dem zugrunde liegenden „Shopping“-Prinzip von Berechtigungen kam das Unternehmen nicht nur dem Service-Management-Gedanken einen großen Schritt näher. Es etablierte auch ein stabiles Berechtigungsmanagement. Auf dieser Grundlage liegt nun auch die Verantwortung im Fachbereich. Also dort, wo man am besten über die Vergabe von Rechten entscheiden kann. Außerdem befindet sich LIAM im Standard der Matrix42-Lösung, was Stabilität und Update-Sicherheit mit sich bringt.

Neben der enormen Kostenreduktion für GEDORE ergeben sich auch für die Mitarbeiter vielseitige Mehrwehrte. Die IT hat mehr Zeit für andere Projekte. Und die Anwender können jederzeit Berechtigungen über die „Service-Plattform“ Matrix42 beantragen, anstatt lange auf Rückmeldung und Bearbeitung ihres Anliegens warten zu müssen.

All das ist einem Grundprinzip zu verdanken: Keep IT simple.

Über GEDORE Werkzeugfabrik GmbH & Co. KG:

Die 1919 gegründete GEDORE Werkzeugfabrik GmbH & Co. KG mit Hauptsitz in Remscheid ist ein Familienunternehmen, das Tradition und Moderne kombiniert. Mit dem Fokus auf Innovation, Leistung und erstklassigem Service sowie dem Aufbau der GEDORE-Marken „GEDORE“, „GEDORE Red“ und „Ochsenkopf“ gelang es dem Unternehmen, zu einer der weltweit führenden Marken für Premiumwerkzeug zu werden. Zahlreiche namhafte Kunden aus Industrie und Handwerk schätzen das hochwertige Hand- oder Spezialwerkzeug sowie die teilweise maßgeschneiderten Lösungen des Unternehmens. Der Slogan „Werkzeuge fürs Leben“ spiegelt den Fokus auf kompromisslose Qualität und die Nähe zum Kunden wider, die laut GEDORE die Grundlagen des Unternehmenserfolgs bilden.

Erster Diamond Partner!

Führender Spezialist für Matrix42

Seit Jahren sind wir führender Partner für Matrix42! Profitieren Sie von unserem Know-how und lassen Sie sich in einem unverbindlichen Termin zeigen, wie wir Ihre Mitarbeiter zu echten Helden machen!

© 2023 Consulting4IT GmbH
Einstellungen gespeichert

Datenschutzeinstellungen

You are using an outdated browser. The website may not be displayed correctly. Close