Endpoint-Management: „Operativ hilft es nicht, in Alarmismus zu verfallen“

Die Andreas Stihl AG & Co KG aus Waiblingen-Neustadt in der Metropolregion Stuttgart ist für ihre Motorsägen weltbekannt – und gilt bereits seit über 50 Jahren als Marktführer. Wie funktioniert die IT bei einem Unternehmen, das weltweit über 20.000 Mitarbeiter hat? Im Gespräch mit heise online gibt Jürgen Sitzler, der für Plattformsysteme zuständige Manager des großen Mittelständlers, Einblick in seine Arbeit.

heise online: Herr Sitzler, welche Aufgaben verantworten Sie bei Stihl?

Sitzler: Ich bin Manager Plattformsysteme. In meinem Team bündeln wir im Kern das, was man klassisch als Endpoint-Management für Windows versteht: die Plattformen für Windows-Clients und Windows-Server, inklusive Softwareverwaltung und Softwareverteilung als Standardsystem. Darüber hinaus liegen auch angrenzende Plattformthemen bei uns, etwa Intune als MDM-Komponente sowie Virtualisierung und Applikationsbereitstellung mit VMware und Citrix. Es geht dabei nicht nur um den Betrieb einzelner Tools, sondern vor allem um stabile, nachvollziehbare Prozesse: Standardisierung, Rollout, Lifecycle-Management, Patchen, Inventarisierung und die Fähigkeit, im Störungs- oder Sicherheitsfall schnell belastbare Aussagen treffen zu können.

heise online: In welchen Dimensionen bewegen Sie sich dabei?

Sitzler: Insgesamt sprechen wir über rund 25.000 Endpunkte. Je nachdem, wie man mobile Clients mitrechnet, kann das in der Praxis auch darüber liegen. Auf der klassischen Client-Seite haben wir ungefähr 17.000 Windows-Geräte. Macs spielen bei uns eine deutlich kleinere Rolle; wir liegen da bei etwa 50 MacBooks. Das allein macht den Schwerpunkt klar: Die Prozesse und das Tooling sind sehr stark auf Windows ausgerichtet, weil die Masse der Arbeitsplätze und viele Fachanwendungen dort verankert sind.

heise online: Viele Unternehmen sprechen derzeit über den Konflikt zwischen Operational Technology, also der Datenverarbeitung produzierender Systeme, und der restlichen IT. Ist das bei Ihnen ebenfalls ein Thema?

Sitzler: Ja, das ist bei uns sehr konkret. Wir arbeiten derzeit in einem Projekt daran, OT und IT stärker zu trennen. Historisch ist das oft zusammengewachsen; in der Realität ist das dann nicht selten ein gemeinsamer Verbund mit zu vielen Übergängen. Aus Security-Sicht ist diese klare Segmentierung ein wichtiger Schritt. Gleichzeitig ist es ein anspruchsvolles Vorhaben, weil Produktionsumgebungen eine andere Stabilitätsanforderung und häufig auch andere Update- und Wartungsfenster haben als klassische Office-IT.

heise online: Sie kommen aus der Ivanti-DSM-Welt. Warum ist das jetzt in Bewegung?

Sitzler: Wir nutzen aktuell noch Ivanti DSM in zentralen Teilen unserer Softwareverteilung und -verwaltung. Der wesentliche Treiber ist: DSM ist zum 31.12.2026 abgekündigt. Es gibt zwar ein Nachfolgesystem, aber aus unserer Sicht ist es derzeit funktional noch nicht auf dem Niveau, das für eine große Umgebung erforderlich ist. In der Folge sehen wir, dass viele DSM-Kunden den Markt neu bewerten. Auch wir prüfen, wie wir langfristig eine moderne, tragfähige Plattform aufstellen, die sowohl Client- als auch Server-Anforderungen abdeckt.

heise online: Welche Erwartungen haben Sie an ein Nachfolgesystem?

Sitzler: Entscheidend ist für uns die durchgängige Abdeckung: Server und Clients dürfen nicht in getrennten Welten landen, mit unterschiedlichen Datenmodellen, unterschiedlichen Agenten oder unterschiedlichen Betriebslogiken. Zusätzlich müssen Inventar, Konfigurationszustand, Compliance und Verteilung verlässlich skalieren. Es reicht nicht, dass etwas „irgendwie“ funktioniert; bei der Größenordnung müssen Aussagen reproduzierbar, Reports belastbar und Änderungen sauber steuerbar sein. Und nicht zuletzt ist die Geschwindigkeit relevant: Wie schnell sieht man den tatsächlichen Zustand im Feld, und wie schnell lassen sich Maßnahmen umsetzen?

heise online: Microsoft ist bei vielen Unternehmen gesetzt. Warum reicht das nicht?

Sitzler: Microsoft ist als strategischer Partner natürlich präsent, und auf der Client-Seite gibt es moderne Ansätze. In Gesprächen wird dann für Server-Themen jedoch häufig auf klassische Werkzeuge verwiesen, insbesondere SCCM, also der Microsoft Endpoint Configuration Manager. Für uns war das kein überzeugender Weg, weil wir eine zukunftsfähige Plattform suchen, die sich in den operativen Alltag gut einfügt und den heutigen Anforderungen entspricht. Unsere Ausgangslage war, dass wir bereits ein leistungsfähiges System hatten. Wenn man ablöst, sollte das Zielbild mindestens gleichwertig sein, in wichtigen Punkten besser, und langfristig tragfähig.

heise online: Wir sprechen mit einander auf Taniums Hausmesse Converge. Wie ist Stihl zu Tanium gekommen?

Sitzler: Tanium war in unserem Partner- und Marktkontext präsent, und wir haben die Lösung in der Evaluation konkreter betrachtet. Der zentrale Punkt war der Realtime-Ansatz. Viele Werkzeuge arbeiten stark datenbankgetrieben: Endpunkte melden in festen Intervallen, Daten werden gesammelt, verarbeitet und stehen dann im Reporting zur Verfügung. Das ist für viele Zwecke ausreichend, aber es hat einen Haken: Die Daten sind zum Zeitpunkt der Betrachtung häufig bereits veraltet. In ruhigen Zeiten ist das tolerierbar, aber in kritischen Situationen möchte man nicht mit dem Gefühl arbeiten, dass die letzten verlässlichen Informationen „vor fünf Minuten“ oder „vor einer Stunde“ waren.

heise online: Was bedeutet „Realtime“ für Ihren Alltag?

Sitzler: Realtime bedeutet nicht, dass jede Entscheidung automatisiert ist, sondern dass Abfragen und Sichtbarkeit näher an der Wirklichkeit liegen. In der Praxis heißt das: Wenn ich wissen muss, ob eine bestimmte Schwachstelle, ein bestimmtes Softwarepaket oder ein bestimmter Konfigurationszustand tatsächlich auf den Geräten vorhanden ist, möchte ich eine Antwort, die nicht primär eine historische Momentaufnahme aus einer Datenbank ist. Gerade im Sicherheitskontext ist das ein Unterschied.

Angriffe werden professioneller und schneller, und damit steigt der Wert aktueller Telemetrie. Außerdem ist auch die Bedienlogik relevant: Statt starre Reports zu bauen, kann man sich über gezielte Fragen schrittweise an eine Antwort herantasten. Diese Form des Arbeitens ist für viele Use Cases effizienter, weil sie den realen Diagnoseprozess besser abbildet.

heise online: Sie sind seit vielen Jahren bei Stihl. Wie hat sich das Thema Softwareverteilung historisch entwickelt?

Sitzler: Ich bin seit 2001 im Unternehmen. Interessant ist, dass es bei uns tatsächlich eine Historie gibt, die bis in frühe Softwareverteilungsansätze zurückreicht. Ein sehr frühes Produkt, das damals „NetInstall“ hieß, ist im Umfeld Stihls entstanden. Über verschiedene Stationen und Zusammenschlüsse ist das letztlich in der Produktlinie gelandet, die später als DSM bei Ivanti geführt wurde. Man könnte sagen: Das Thema ist bei uns seit langem präsent, und die Ablösung ist daher nicht nur eine Toolfrage, sondern auch eine Frage eingespielter Prozesse.

heise online: Welche Security-Werkzeuge sind bei Ihnen im Einsatz?

Sitzler: Wir arbeiten mit Microsoft Defender und CrowdStrike. Wichtig ist dabei weniger das Label des Produkts, sondern dass Abdeckung, Betrieb und Lizenzmodell zur Realität der unterschiedlichen Systemklassen passen.

heise online: Wie steuern Sie die Verwaltung von Macs und mobilen Endgeräten?

Sitzler: Macs verwalten wir über Intune. Allerdings muss man realistisch sagen: Bei uns ist macOS eine Ausnahme, weil viele Arbeitsprozesse, Vorlagen und Automatisierungen sehr stark auf Windows und Microsoft-Ökosysteme ausgerichtet sind. Bei mobilen Endgeräten setzen wir strategisch auf iOS und iPadOS und verwalten diese ebenfalls über Intune. Android gibt es bei uns vor allem im Shopfloor-Umfeld. Dort nutzen wir Soti, weil es im jeweiligen Anwendungsfall oft kostenseitig und organisatorisch besser passt, Geräte statt Benutzer zu registrieren und zu verwalten.

heise online: Wie wichtig ist aus Ihrer Sicht Security-Awareness?

Sitzler: Awareness ist wichtig, aber es ist kein Zustand, den man einmal erreicht und dann „abhakt“. Es braucht Wiederholung, Training und auch überprüfbare Formate, etwa Kampagnen und Tests. Gleichzeitig muss man die Realität im Unternehmen berücksichtigen: Mitarbeitende haben unterschiedliche Rollen, unterschiedliche digitale Vorerfahrung und vor allem einen klaren Arbeitsauftrag. Sicherheit steht oft im Spannungsfeld zur Nutzbarkeit. Deshalb ist aus meiner Sicht entscheidend, wirksame Maßnahmen so umzusetzen, dass sie den Betrieb möglichst wenig behindern. Ein Beispiel ist Patchen: Eine kurze Zielvorgabe, etwa innerhalb weniger Tage, ist sinnvoll. Gleichzeitig kann man den Zeitpunkt eines Neustarts in vielen Fällen flexibel halten, damit Arbeitsabläufe nicht unnötig gestört werden.

heise online: Wie sieht Ihre operative Sicherheitsorganisation im Hintergrund aus?

Sitzler: Es gibt eine eigene Cyber Security Abteilung. Diese stellt neben der entsprechenden Governance ebenfalls Services wie Threat Intelligence & Posture Management, Cyber Defense und Security Architecture. Außerdem werden hier Maßnahmen zur weiteren Stärkung der Security Culture umgesetzt und mit regelmäßigen Trainings untermauert.

Zur Sicherstellung der Wirksamkeit unserer Bemühungen sind regelmäßige externe Auditierung (beispielsweise Red-Team-Assessment und PenTests) vorgesehen, da die interne Wahrnehmung von der Realität abweichen kann.

heise online: Wie bewerten Sie die aktuelle Bedrohungslage?

Sitzler: Sie ist aus meiner Sicht deutlich ernster geworden. Operativ hilft es nicht, in Alarmismus zu verfallen, aber man muss das Thema mit großem Respekt behandeln. Durch Large Language Models sinkt die Einstiegshürde für das Erstellen von Code erheblich. Früher scheiterte manches daran, dass Angreifende Skripte zumindest verstehen und anpassen mussten. Heute kann das durch generative Systeme deutlich schneller gehen. Wenn Angriffe stärker KI-gestützt stattfinden, wird die Verteidigung ebenfalls stärker KI-gestützt sein müssen, allein um Geschwindigkeit und Skalierung halten zu können.

Das Interview wurde auf der Tanium Converge 2025 geführt. Der Autor reiste auf Einladung von Tanium.

(bsc)