Minebea Intec – agiler handeln dank maßgeschneiderter IT-Basis
Für Minebea Intec ersetzte Skaylink die geerbte Umgebung durch ein genau auf das Unternehmen zugeschnittenes AD.
Kleidung, die zu groß ist, ist im schlimmsten Fall unangenehm. Eine IT-Landschaft, die nicht passt, kann dagegen eine echte Belastung sein: Die Minebea Intec GmbH hatte nach einem Carve-out die Infrastruktur des Vorgängerunternehmens Sartorius geerbt – und kämpfte seither mit einer Umgebung, die nicht richtig zu den neuen Abläufen und Anforderungen passte. Schließlich entschied man sich dafür, mit Hilfe von Skaylink die IT „maßzuschneidern“ und moderner zu gestalten.
Zu sperrig, zu alt: Das alte Active Directory passt einfach nicht mehr
Minebea Intec ist ein weltweit führender Hersteller industrieller Wäge- und Inspektionstechnologien. Mit Hauptsitz in Hamburg bietet das Unternehmen Produkte und Dienstleistungen, die seit mehr als 150 Jahren für Innovation, Performance und Zuverlässigkeit stehen. Das aus Sartorius ausgekoppelte Unternehmen gehört zur japanischen MinebeaMitsumi-Gruppe und beschäftigt über 1.000 Mitarbeitende an 18 Standorten. Mit zukunftsweisenden Lösungen steigern sie die Präzision und Effizienz von Wäge- und Produktionsprozessen industrieller Kunden. Zum Produktportfolio gehören u. a. hochauflösende Plattformwaagen, Wägezellen, Kontrollwaagen, Metalldetektoren, Röntgen-Inspektionssysteme sowie intuitive Softwarelösungen.
Schnell zeigte sich, dass die geerbte IT-Umgebung unzureichend war. Zunächst arbeitete man bei Minebea Intec aber damit weiter – denn auch bei IT geht es viel um psychologische Faktoren: Alle Mitarbeitenden waren an die Infrastruktur gewohnt und Veränderungen werden von User*innen meist skeptisch betrachtet. „Die Gefahr dabei ist: Man bleibt auf den eingefahrenen Gleisen und schiebt wichtige Neuerungen zu lange vor sich her“, sagt Alexander von Strachwitz, Director Global IT bei Minebea Intec.
Um den richtigen Zeitpunkt nicht zu verpassen, machte von Strachwitz deshalb den Umbau der IT-Umgebung zum zentralen Ziel. Ein neues Active Directory (AD) sollte nicht nur die immer stärker genutzten mobilen Applikationen vernünftig absichern. Auch die zunehmende Bedrohung durch Cyberattacken machte eine neue Architektur notwendig. „Active Directory kann allerdings nicht jeder“, so von Strachwitz. Christoph Kuderna, Principal Consultant bei Skaylink, allerdings schon: Er ist einer der Top-Experten für AD in Deutschland. Und da Minebea Intec in anderen Projekten schon gute Erfahrungen mit Skaylink gemacht hatte, entschied man sich, den Umbau gemeinsam anzugehen.
Einheitliche Absicherung einer hybriden, heterogenen Umgebung durch Azure AD
Das Active Directory ist das Fundament der Unternehmens-IT: Läuft hier etwas schief, geraten schnell alle internen Prozesse ins Rutschen. Deshalb wird es ungern verändert. Minebea Intec wollte nach Beratung mit Skaylink trotzdem die IT-Umgebung aus der alten Domäne herauslösen und das AD komplett neu aufzubauen. Das bedeutete: Rund 1.000 User*innen, um die 1.300 Rechner und etwa 300 Server mussten umgezogen werden. Die Herausforderung: Das alte Active Directory wird noch eine Weile parallel benötigt, da einige alte Systeme nicht in ein neues AD integrierbar sind, das mit aktuellen Sicherheitseinstellungen betrieben wird.
Darum entwickelten Minebea Intec und Skaylink zunächst ein Konzept, wie das neue AD aussehen sollte. „Wir haben uns angesehen, was für die Prozesse angesichts der neuen Herausforderungen tatsächlich gebraucht wird“, sagt Kolja Scepanik, Senior IT Consultant bei Skaylink. Am Ende entschied man sich für ein hybrides Active Directory mit Anbindung an Entra ID. Skaylinks Expertenteam schuf parallel die nötigen Voraussetzungen für einen erfolgreichen Umzug, indem es z. B. Firewalls anpasste, die Virtualisierung vorantrieb und die Betriebssysteme der Server aktualisierte.
Auch das ID-Management und die Authentifizierung nahm man in Angriff: Gruppen und Policies wurden analysiert und bereinigt. Zudem wurde eine neue Public-Key-Infrastruktur (PKI) etabliert.
Für den Umzug mussten außerdem Schnittstellen angepasst werden, damit alle Funktionen und Apps in vollem Umfang laufen konnten. Skaylink unterstützte Minebea Intec beim Endpoint Management und sorgte dafür, dass die Einwahl per VPN in die neue Domain störungsfrei funktionierte. „Wir haben Minebea Intec eine komplette Projekt-Governance geboten“, fasst Kolja Scepanik zusammen.
„Durch das Projekt haben wir mit unserer IT die nächste Reifestufe erreicht.“
Ergebnis
Nach rund elf Monaten war das Projekt erfolgreich abgeschlossen. Alexander von Strachwitz zieht eine klare Bilanz: „Der Flickenteppich ist Vergangenheit. Durch die stärkere Standardisierung ist jetzt alles einfacher zu verwalten. Dadurch haben wir mit unserer IT die nächste Reifestufe erreicht.“
Statt 300 Policies gibt es nur noch 30, die sich zentral durchsetzen lassen. Minebea Intec arbeitet jetzt mit dem Tiering-Modell. Dabei gibt es verschiedene Berechtigungsstufen für die IT-Administrator*innen. Tier 0 wird als höchste Sicherheitsstufe technisch strikt von den anderen getrennt. Dazu wurden Privileged Access Workstations implementiert, die mit einem Entra ID-Tenant verbunden sind. Tier 1 und Tier 2 erhalten separate Admin-Konten und Login-Vorgaben. Das Tiering-Modell ist ein Teil des Zero-Trust-Konzepts, das das Unternehmen nun sukzessive umsetzt.
Mit Skaylink in dieses Projekt zu gehen, war aus Sicht von Minebea Intec die absolut richtige Entscheidung. „Die Stimmung war immer positiv”, sagt Alexander von Strachwitz. Das dynamische Team habe mit seiner hohen Expertise, einer Kultur der Offenheit und einem klaren Blick nach vorn eine gute Atmosphäre erzeugt. „Es war ein Genuss, mit einem so erfahrenen Projektmanager zu arbeiten. Da hat es Spaß gemacht, in die Meetings zu kommen.“
Der Verlauf des Projekts hat das Unternehmen darin bestärkt, seine IT in Richtung Cloud weiterzuentwickeln. Aktuell ist eine Umstellung auf Managed Workplace geplant. Dabei wird die Hardware nicht mehr gekauft, sondern nur gemietet. Intensive Wartung und hohe Anschaffungskosten für neue Devices entfallen dadurch. Nächste Entwicklungsschritte im Bereich Security sind laut von Strachwitz SIEM (Security Information & Event Management) und SOC (Security Operations Center). „Die Grundvoraussetzung dafür haben wir mit einem modernen Active Directory jetzt geschaffen.“
Das Projekt auf einen Blick
Unternehmen:
Minebea Intec GmbH
Herausforderung:
Die nach einer Auskopplung geerbte Infrastruktur des Vorgängerunternehmens war zu groß und passte nicht zu den neuen Abläufen und Anforderungen.
Lösung durch Skaylink:
Da das übernommene Active Directory für einige alte Systeme noch gebraucht wurde und ein Teil der Infrastruktur On-Premises bleiben musste, war eine Kombination aus neuem Active Directory mit Anbindung an Microsoft Entra und der verkleinerten alten Welt die ideale Lösung. Skaylink migrierte deshalb große Teile der Umgebung aus dem alten AD heraus und baute ein neues Active Directory sowie einen Tenant auf, damit eine Hybridstruktur möglich wurde.
Eingesetzte Lösungen:
Azure Active Directory, Microsoft -Tiering-Modell, Public-Key-Infrastruktur, Active Directory Migration Tool & Forensit User Profile Wizard, Windows Hello for Business, Sentinel One, Microsoft LAPS (Local Administrator Password Solution), Windows DHCP-Failover-Funktionalität, Privileged Access Workstations mit Verbindung zu einem Entra ID-Tenant