In mehr als 100 Jahren Firmengeschichte hat sich bei Bachner Elektro viel bewegt. Das Unternehmen hat sich dabei stets an den aktuellen Entwicklungen der Technik orientiert. Das Mutterunternehmen stellt die Kernkompetenzen der Energietechnik, die Tochterunternehmen sind firm in alternativer Energieerzeugung und -speicherung sowie Kraft-Wärme-Kopplung. Die Großkunden von Bachner Elektro sind in den Zukunftsthemen zu Hause: E-Mobilität, Smart Grid und Industrie 4.0, Künstliche Intelligenz und schnelles Internet. Hier geht es besonders innovativ wie auch präzise zu. Die Bachner-Gruppe agiert an 13 Standorten in Deutschland, Österreich und den USA. Derzeit werden über 700 Mitarbeiter beschäftigt, davon rund 70 Auszubildende.

Die SIEM-Plattform auf Basis von Splunk Enterprise ermöglicht es Bachner, die komplexe IT-Infrastruktur an sechs Standorten in Deutschland sowie je einem in Österreich und den USA durchgehend im Blick zu behalten und kontinuierlich zu optimieren: "Als IT-Team der Bachner-Gruppe sind wir dafür verantwortlich, jederzeit einen effizienten und stabilen Betrieb unserer über 2000 dedizierten Systeme zu gewährleisten. Dafür müssen wir zu jedem Zeitpunkt genau wissen, was in unserer IT-Umgebung vor sich geht – und diese Transparenz hat uns lange Zeit gefehlt", erklärt Christoph Appel, Leitung IT-Administration bei Bachner.

"Im Sommer 2018 haben wir uns daher entschieden, das Monitoring und Reporting auf den Prüfstand zu stellen und die vorhandenen Insel- und Legacy-Systeme durch eine moderne, ganzheitliche Umbrella-Plattform für SIEM, IT-Operations und Reporting zu ersetzen. Ziel war es, die Monitoringlandschaft nachhaltig zu erweitern und betriebs- und sicherheitsrelevante Daten aus unterschiedlichsten IT-Systemen zu konsolidieren. Dies sollte das Reporting und das Troubleshooting vereinfachen und bei der Identifizierung von Verbesserungs- und Automatisierungspotenzialen helfen. Dabei war uns bewusst, wie komplex und zeitaufwendig ein solches Integrationsprojekt ist – also haben wir bereits in der Frühphase unseren langjährigen Partner Controlware hinzugezogen."

Bachner analysierte gemeinsam mit Controlware die Assets und Anforderungen des Unternehmens. Anschließend definierte das Projektteam auf dieser Basis detailliert den Leistungsumfang der neuen Umgebung und entwickelte ein entsprechendes Migrationskonzept.

Im Mittelpunkt steht mit Splunk Enterprise eine der marktführenden Datenplattformen. Die Software übernimmt, indiziert, verarbeitet und analysiert relevante Logdaten aus den vorhandenen ATP-Plattformen, Firewalls, SD-WAN-Konsolen und Netzwerkmanagement-Appliances. Anschließend werden die Analyseergebnisse grafisch aufbereitet und in individuell anpassbare Dashboards exportiert. So erhält das IT-Team von Bachner einen detaillierten Überblick über die IT-Landschaft und ist in der Lage, Optimierungspotenziale und potenzielle Schwachstellen zu lokalisieren. Neue Systeme lassen sich bei Bedarf einfach und schnell in die Umgebung einbinden, ohne die Konfiguration zu ändern.

Und, wichtig für den Einsatz in der verteilten IT-Landschaft von Bachner: Splunk Enterprise ist für Multicloud-Umgebungen geeignet und kann flexibel mit Splunk-Cloudinstanzen kombiniert werden, um eine standortübergreifende Transparenz sicherzustellen.

Mit der externen Observability-Pipeline-Plattform "Cribl Stream" lassen sich die Logdaten vor dem Import in Splunk filtern, anreichern, konsolidieren und flexibel anpassen. So können beispielsweise redundante Daten proaktiv aus dem Stream entfernt, je nach Datentyp individuelle Routing-Optionen festgelegt oder Logfiles bedarfsgerecht an Splunk übergeben werden.

"Eine der großen Herausforderungen bei der Implementierung von SIEM-Systemen liegt darin, die heterogenen Daten aus der IT-Landschaft in ein einheitliches und nutzbares Format zu überführen", erklärt Daniel Seifert, Pre-Sales Consultant bei Controlware. "Mit Splunk mussten wir uns nie Gedanken darüber machen, ob wir die Daten in die Plattform reinbekommen. Die Umgebung ist so flexibel, dass sie mit jedem Format zurechtkommt. So lassen sich alle Logs in einer einheitlichen Plattform konsolidieren und für konkrete Anwendungsfälle nutzen."

Neben der Erfassung und Aufbereitung der Daten ist die Entwicklung konkreter Einsatzszenarien die zweite große Herausforderung in vielen Projekten. Gerade mittelständischen Unternehmen fällt es häufig schwer, die systematisch erfassten Logfiles in greifbaren Mehrwert zu überführen. Vielen Teams fehlt es schlichtweg an Personal, Zeit und Erfahrung, um die eingehende Datenflut optimal zu verwerten. Daher implementierte das Projektteam auf Basis der Splunk-Plattform auch die von Controlware entwickelte CESAR App. Diese erweitert Splunk Enterprise out of the box um mehr als 20 vorkonfigurierte Use Cases aus den Bereichen AD, Server, M365, Firewall, Proxy und Mail – und ermöglicht es der fünfköpfigen IT-Mannschaft von Bachner, in kurzer Zeit zuverlässige und belastbare Ergebnisse aus ihrem SIEM zu gewinnen.

"Controlware setzt mit der CESAR App aus unserer Sicht das i-Tüpfelchen auf ein überaus erfolgreiches Projekt – denn damit sind wir in der Lage, die meisten für uns relevanten Anwendungsfälle in einer kompakten und komfortablen App zu bündeln, und so vom ersten Tag an produktiv zu arbeiten", bestätigt Christoph Appel. "Und auch bei vielen weiteren Aufgabenstellungen – etwa beim Handling der Alarme, bei der Planung der Backups und bei der Überwachung des Compliance- und Auditstatus – ist uns die CESAR App eine große Hilfe. Bei der Definition von Use Cases arbeiten wir eng mit Controlware zusammen und wirken aktiv an der Weiterentwicklung der Anwendung mit."

Seit der erfolgreichen Inbetriebnahme der Analyseplattform Ende 2018 entwickeln die beiden Partner das Projekt gemeinsam kontinuierlich weiter, sowohl mit Blick auf den Rollout neuer Nutzungsszenarien als auch mit Blick auf die Modernisierung des technologischen Fundaments. Letzteres muss vor allem kontinuierlich an die ansteigende Datenmenge angepasst werden – immerhin hatte sich das Datenvolumen im SIEM-Bereich bereits im ersten Jahr nach der Inbetriebnahme mehr als verdoppelt. Um die Skalierbarkeit zu erhöhen, wurde die lokal betriebene Splunk-Enterprise-Plattform daher 2021 in die Splunk-Cloud migriert. Diese cloudbasierte Variante bietet einen nahezu identischen Funktionsumfang, kommt aber gänzlich ohne lokale Komponenten aus, und auch die Speicherung der Logfiles erfolgt vollständig in der Cloud.

Das Fazit von Christoph Appel fällt rundum positiv aus: "Das Tolle an unserer Datenplattform ist, dass es keiner perfekten Infrastruktur bedarf, um davon zu profitieren. Im Gegenteil: Wir sind ganz einfach mit unserer bestehenden IT gestartet und haben diese Landschaft mithilfe der Analysen in einem dynamischen und laufenden Prozess kontinuierlich optimiert und erweitert. Auf diese Weise entwickeln sich ganz automatisch neue Projekte, die neue Optimierungspotenziale ergeben."

Die IT-Roadmap von Bachner ist also straff geplant: Aktuell fokussiert das Team um Christoph Appel vor allem die Cloudmigration und die Office-365-Anbindung der Mitarbeiter, um die Weichen für zeitgemäße digitale Workplaces und für die Einführung neuer SaaS-Anwendungen zu stellen. Und auch die turnusmäßige Evaluierung des IT-Betriebs, die 2018 den Anstoß für das SIEM-Projekt gab, steht in diesem Jahr wieder an – gut möglich also, dass hier bereits die nächsten zukunftsweisenden Modernisierungsvorhaben initiiert werden.

Kopfzerbrechen bereitet diese Aussicht Christoph Appel aber nicht: "Mit unserer Plattform haben wir ein sehr robustes Fundament für neue Innovationsprojekte geschaffen und können die IT besser denn je als Geschäftstreiber für unser Business nutzen. Und mit Controlware haben wir ja auch den richtigen Partner für die Umsetzung an der Hand."