» Themen » cyber security

atrete baut Consultant-Team weiter aus

In den vergangenen Monaten hat das renommierte Beratungsunternehmen atrete drei neue talentierte Mitglieder in sein Team aufgenommen, um die Bereiche CIO Advisory, Digital Workplace und Cybersecurity zu stärken.

Jessica Knecht, Associate Consultant

Vivien Bührer, Consultant

Sven Gerig, Consultant

Jessica Knecht unterstützt seit dem 1. April 2023 das Team in der Practice Area CIO Advisory als Associate Consultant.
Frau Knecht bringt umfangreiche Erfahrung im IT-Bereich mit, insbesondere im IT Service Management und Cloud Provider Management. Vor ihrer Tätigkeit bei atrete arbeitete sie mehrere Jahre als Customer Service Managerin bei einem renommierten IT Service Provider. Sie verfügt über einen Abschluss als eidg. Technische Kauffrau und hat ein CAS in IT Sourcing und Provider Management der ZHAW absolviert. Darüber hinaus ist sie zertifiziert im IT Service Management (ITIL Foundation), Requirements Engineering (IREB Foundation) und Microsoft Azure Fundamentals.

Seit dem 1. Juni 2023 ist Vivien Bührer als Consultant im Bereich Digital Workplace und Collaboration tätig.
Frau Bührer verfügt über eine beeindruckende Laufbahn, die unter anderem ihre Zeit als Solution Designer für End User Services bei Fujitsu umfasst. In dieser Rolle betreute sie Ausschreibungen für managed Workplace Services und beriet zu IT Service Management Themen. Sie ist Inhaberin eines Master of Science in Business Analytics, Controlling und Consulting und bringt zudem Qualifikationen wie Scrum Master, Hermes und ITIL Zertifizierungen mit.

atrete heisst Sven Gerig herzlich willkommen, der seit dem 12. Juni 2023 als Consultant die Practice Area Cybersecurity unterstützt.
Herr Gerig kann auf eine erfolgreiche Karriere bei verschiedenen IT-Dienstleistern in der Region Zug zurückblicken, wo er als Projektleiter und Systems Engineer tätig war. Seine umfassenden Kenntnisse spiegeln sich auch in seinen Zertifizierungen wider, darunter Azure Solutions Architect Expert, Cybersecurity Architect Expert und Enterprise Administrator Expert im Bereich Microsoft. Zudem bringt er Qualifikationen wie SAFe® Scrum Master und ITIL 4 Foundation mit. Bald wird er seinen Abschluss als dipl. Informatiker HF Fokus Cyber Security abschliessen.

Medienkontakt:
at rete ag
Marlene Haberer
Telefon: +41 44 266 55 83
Email: marlene.haberer@atrete.ch

Implementierung einer Zero Trust Architektur

Wo stehen wir heute?

Die Verbreitung von Cloud-basierten Diensten, Mobile Computing, Internet of Things (IoT) und Bring Your Own Device (BYOD) verändert die Technologielandschaft für alle Unternehmen. Bestehende Sicherheitsmodelle sind nicht mehr ausreichend, um neue Bedrohungen abzuwehren. Unternehmen müssen ihre Sicherheitsarchitektur überdenken, und es ist naheliegend, dass man sich dann mit dem Modell Zero Trust auseinandersetzt.

Wie bereits einleitend erwähnt ist die Zero Trust Architektur (ZTA) keine neue Erfindung, dieser Ansatz existiert seit einigen Jahren. Doch es gibt nun Lösungen und Möglichkeiten, wie eine solche Architektur sinnvoll und erfolgreich umgesetzt werden kann.

Aus verschiedenen Projekten bei unseren Kunden, aus Guidelines und defacto Standards haben wir ein atrete-Vorgehen, wie eine solche Zero Trust Architektur auch in ihrem Unternehmen eingeführt werden kann.

Zu den grössten Herausforderungen bei der Einführung einer ZTA gehören:

Nutzung bestehender Investitionen und Abwägung der Prioritäten bei gleichzeitigem Fortschritt
Die Einführung erfordert die Nutzung der Integration vieler bestehender Technologien mit unterschiedlichem Reifegrad
Identifizierung von Technologielücken zum Aufbau einer möglichst vollständigen ZTA
Befürchtung, dass die ZTA den Betrieb oder die User Experience der Endbenutzer beeinträchtigen könnte
Fehlen eines gemeinsamen Verständnisses von ZTA innerhalb der Organisation

Jedoch gibt es auch viele Vorteile, um hier ein paar zu nennen:

Unterstützung von Remote-Mitarbeiter mit Zugang zu Ressourcen unabhängig von ihrem eigenen Standort
Schutz der Ressourcen unabhängig von deren Standort (On-prem oder in der Cloud)
Begrenzung der Insider-Bedrohung (Insider sind nicht automatisch vertrauenswürdig)
Begrenzung von Sicherheitslücken (Reduzierung von lateral movement und privilege escalation)
Verbesserung der Netzwerk-Transparenz, wer auf welche Ressourcen zugreifen und die Erkennung von Vorfällen inklusive Reaktion und Wiederherstellung
Durchführen einer kontinuierlichen, dynamischen und risikobasierten Bewertung von Ressourcen

Was beinhaltet eine Zero Trust Architektur?

Zero Trust basiert unter anderem auf dem Prinzip “never trust – always verify“. Die ZTA reduziert das Risiko in allen Bereichen, indem sie eine starke Identitätsüberprüfung einführt, die Konformität von Geräten überprüft und den Zugriff mit geringsten Rechten auf nur ausdrücklich autorisierte Ressourcen sicherstellt.

Zero Trust erfordert, dass jede Transaktion zwischen Systemen (Subjects, Assets und Resources) validiert und als vertrauenswürdig eingestuft wird, bevor die Transaktion stattfinden kann. Die folgende Abbildung zeigt die Hauptkomponenten dieser Architektur:

In einer idealen Zero Trust Umgebung sind die folgenden Verhaltensweisen erforderlich:

Identitäten werden überall mit Multifaktor-Authentifizierung (MFA) validiert und gesichert, um sicherzustellen, dass nur berechtigte Benutzer auf geschützte Ressourcen zugreifen können.
Geräte werden verwaltet, um sicherzustellen, dass nur autorisierte Geräte auf geschützte Netzwerke und Systeme zugreifen können. Dazu gehört die Überwachung von Hardware- und Softwarekomponenten.
Telemetriedaten werden verwendet, um Netzwerke und Systeme zu überwachen und potenzielle Bedrohungen zu erkennen. Dazu gehören die Sammlung von Protokolldaten, Aktivitätsdaten und Metadaten.
Der Zugriff mit den geringsten Rechten (least privilege) wird durchgesetzt. Der Zugriff beschränkt sich auf die Anwendungen, Dienste und die Infrastruktur, die für die Erfüllung der Aufgaben erforderlich sind.

Was ist ein mögliches Vorgehen in den einzelnen Bereichen?

Die nachstehende Abbildung zeigt eine mögliche Übersicht über die Zero Trust Maturität, die wir zusammen mit den Kunden in unseren Projekten erreichen möchten. Diese Maturitätsziele stellen zwar nicht den gesamten Umfang der ZTA dar, sie erfassen jedoch die wichtigsten Bereiche. Zusammen mit dem Kunden erfassen wir die aktuelle Situation und bestimmen, in welchen Bereichen der grösste Handlungsbedarf besteht. Die wichtigsten Aktivitäten sind pro Bereich aufgelistet.

Identität

Um die Sicherheit der Identitäten zu verbessern, sollte unbedingt MFA eingeführt, um den administrativen Zugriff auf Server und Ressourcen zu kontrollieren. Später soll diese Anforderung der Multifaktor-Authentifizierung auf alle Benutzer ausgeweitet werden, die von außerhalb des Unternehmensnetzwerks auf Ressourcen zugreifen. Ein zentrales IAM wird dafür vorausgesetzt.

Gerät

Der erste Schritt in Richtung Geräteüberprüfung ist die Registrierung von Geräten in einem Geräteverwaltungssystem. Darüber hinaus sollte mit der Verwaltung begonnen werden, um eine ordnungsgemäße Validierung des Gerätezustands zu ermöglichen. Das ist eine grundlegende Komponente, um Richtlinien festzulegen und auf den Geräten durchzusetzen.

Dies gilt sowohl für Unternehmens-eigene Geräte als auch für persönliche BYOD-Geräte. Wenn Mitarbeiter ihre persönlichen Geräte für den Zugriff verwenden möchten, müssen die Geräte registriert werden und denselben Richtlinien unterliegen, die auch für unternehmenseigene Geräte gelten. Für Geräte, bei denen eine Registrierung in der Geräteverwaltung nicht möglich ist, soll ein alternative Zugriffsmöglichkeit, wie z.B. ein Virtual Desktop zur Verfügung gestellt werden.

Zugang

Im Bereich der Zugriffsverifizierung sollte der Fokus auf der Segmentierung von Benutzern und Geräten (speziell auch IoT-Geräte) in eigens dafür eingerichteten Netzwerken (Macro- und Micro-Segmentierung) sein. Eine Umstellung des Zugriffs aller Mitarbeiter mittels Internet kann ein nächste Schritt Richtung Zero Trust sein.

Services

Um eine vollständige Validierung der Zugriffe zu erreichen, müssen vor allem ältere Anwendungen modernisiert oder spezielle implementiert werden. Eine Ablösung dieser Legacy Anwendungen hätte zusätzlich den Vorteil, dass die Abhängigkeit von VPN entfällt. In der Praxis ist dies jedoch nicht umsetzbar, deshalb braucht es dafür Hybride Lösungen.

Wie sieht die Transition in eine ZT Architektur aus?

Jedes Unternehmen, das eine Zero Trust Architektur einführen möchte, muss individuell herausfinden, welcher Ansatz und welches Vorgehen am besten zu seiner Umgebung passt. Dazu gehören die Abwägung von Risikoprofilen, die Festlegung des Umfangs der Zero-Trust-Implementierung und die Bestimmung der spezifischen Überprüfungen, die für den Zugriff auf Unternehmensressourcen erforderlich sind. Bei all dem ist die Förderung der unternehmensweiten Akzeptanz von Zero Trust entscheidend für den Erfolg, unabhängig davon, wo Sie mit der Umstellung beginnen möchten.

Die wichtigsten Erkenntnisse aus unseren bisherigen Projekten:

Sammeln Sie Telemetriedaten, bewerten Sie die Risiken und setzen Sie sich dann Ziele.
Führen Sie moderne Identitäten und MFA ein
Konzentrieren Sie sich bei der Durchsetzung der Zugriffskontrolle auf die am häufigsten verwendeten Anwendungen, um eine maximale Abdeckung zu gewährleisten.
Beginnen Sie mit einfachen Richtlinien zur Durchsetzung des Gerätezustands, wie z. B. Gerätesperre oder Passwortkomplexität.
Führen Sie Pilotprojekte durch.
Konzentrieren Sie sich auf die Benutzererfahrung, denn sie ist entscheidend für die Produktivität und die Arbeitsmoral der Mitarbeiter. Ohne Akzeptanz wird Ihr Programm nicht erfolgreich sein.
Kommunikation ist der Schlüssel – nehmen Sie Ihre Mitarbeiter mit auf die Reise!

Gerne unterstützen wir Sie bei der Analyse, Konzeption und Implementation einer Zero Trust Architektur.

Kontaktieren Sie uns

Cyber Desaster Recovery

Die Cyber-Angriffe auf Unternehmen in der Schweiz nehmen stetig zu. So waren im letzten Jahr gleich mehrere grössere Schweizer Unternehmen, wie die Swatch Group, Stadler-Rail, Comparis oder erst neulich das Casinotheater Winterthur in den Schlagzeilen, weil sie Opfer eines Cyber-Angriffs wurden.

Bei den meisten Cyber-Angriffen handelt es sich dabei um Erpressungsversuche durch die Täterschaft. Mittels Ransomware werden die unternehmenskritischen Daten verschlüsselt und / oder Daten werden gestohlen, um mit der Veröffentlichung zu drohen. Die letzten Vorfälle zeigen sehr gut auf, dass die Angreifer nicht spezifisch auf Branchen oder grosse Unternehmen losgehen. Vielmehr verbessern die Angreifer von Zeit zu Zeit ihr Vorgehen, so dass Sie die Mittel besitzen, um jegliche Unternehmen aus verschiedensten Branchen anzugreifen, wobei auch vor KMU Betrieben nicht haltgemacht wird. Die einzige Option, die dann den Unternehmen bleibt, um nicht auf die Erpressung einzugehen, ist die Wiederherstellung der Daten. Auch neue Trends im Zeitalter der Digitalisierung stellen ein breites Spektrum an Herausforderungen dar, da sich mit den neuen Technologien auch neue Angriffe entwickeln. So ist immer häufiger von einer fortgeschrittenen, anhaltenden Bedrohung (Advanced Persistent Threat, APT) auszugehen. Unter APT wird ein ausgeklügelter, langfristiger Cybe-Angriff verstanden, bei dem ein Angreifer über einen längeren Zeitraum unbemerkt in ein Netzwerk eindringt, um unternehmenskritische Daten zu stehlen. Solche APT-Angriffe sind sorgfältig geplant und darauf ausgelegt, die Organisation zu infiltrieren, bestehende Sicherheitsmassnahmen zu umgehen und unentdeckt zu bleiben, bis das Ziel erreicht wurde.

Unter der Berücksichtigung der zunehmend ausgereifteren Angriffen und besonders der Gefahr, dass die Angreifer sich bereits über mehrere Monate hinweg im Netzwerk und den Systemen befinden, sind die bisher bekannten Desaster Recovery Konzepte auf ihre Wirksamkeit zu hinterfragen. Kann nun bei Eintritt eines Sicherheitsvorfalls dem Backup vertraut werden? Wie lange befindet sich der Angreifer bereits auf den Systemen und wie weit reicht das Backup zurück? Zusammengefasst kann in solch einer Situation dem Desaster Recovery Plan nicht vertraut werden! Ganz nach der Vorgehensweise «assumption of compromise» (englisch für «Vermutung der Kompromittierung») gehen wir im Verlauf dieses Blogs auf eine Möglichkeit ein, wie das Desaster Recovery in Zukunft auszusehen hat, um der Gefahr von solchen APTs entgegenzuwirken.

Was ist Desaster Recovery? Wieso hilft hier gerade ein klassisches Desaster Recovery nicht?

Der Zweck einer Desaster Recovery Planung besteht darin, ein Unternehmen dabei zu unterstützen, im Falle einer Störung weiterhin kritische Dienste anbieten zu können und eine katastrophale Unterbrechung der Aktivitäten zu überleben. Es geht darum die Verfügbarkeit unter den Informationssicherheitszielen zu gewährleisten, wobei es meistens eine der letzten Massnahmen eines Unternehmens ist, da alle vorgelagerte, erkennende und schützende Massnahmen nicht gegriffen haben. Häufig anzutreffende Konzepte in der Praxis beinhalten ein ausgelagertes Backup in separate Lokationen, zusätzliche Sicherung auf Tapes oder womöglich die Auslagerung des Backups zu einem Provider mit Ransomware Schutz. Fakt ist, dass diese Massnahmen gegenüber APTs nutzlos sind, da meistens bei einem Vorfall die genaue Dauer seit dem Eindringen des Angreifers nicht bekannt ist. Wird in so einem Fall eine Wiederherstellung durchgeführt, so muss stark davon ausgegangen werden, dass der Angreifer nach wie vor Zugriff auf die Systeme hat und seinen Angriff fortsetzen kann. Doch was kann man dagegen unternehmen?

Was verstehen wir unter Cyber Desaster Recovery? Was gilt es zu berücksichtigen?

Während bei einem gewöhnlichen Desaster Recovery jeweils das Backup in die produktive Umgebung wiederhergestellt wird, ist der Unterschied zum Cyber Desaster Recovery, dass die Wiederherstellung in die produktive Umgebung nicht möglich ist, da davon ausgegangen wird, dass sie kompromittiert ist. Abhängig vom Ziel, welches das Unternehmen bei so einem Sicherheitsvorfall verfolgt, existieren aus unserer Sicht zwei mögliche Handlungsoptionen.

Handlungsoption 1 wäre die klassische Wiederherstellung der Anwendungen aus dem Backup in die produktive Umgebung. Entscheidet sich ein Unternehmen für diese Option, so muss stark davon ausgegangen werden, dass die Wiederherstellung nach kurzer Zeit wieder durchgeführt werden muss. Vorteile dieser Option sind die kurzen Wiederherstellungszeiten der Anwendungen aufgrund geringer Komplexität sowie die Vermeidung von zusätzlichem Betriebsaufwand für eine abgetrennte System- und Netzwerkinfrastruktur. Langfristig ist das jedoch nicht die beste Lösung.

Handlungsoption 2, die langfristige Cyber Desaster Recovery Lösung, würde bei solch einem Sicherheitsvorfall die Wiederherstellung der Anwendungen in eine abgetrennte System- und Netzwerkinfrastruktur vorsehen. Im Vergleich zur Handlungsoption 1 würde die Cyber Desaster Recovery Variante den Aufwand für das wiederholte Wiederherstellen der Systeme ersparen und das Risiko zur erneuten Kompromittierung reduzieren. Auf der anderen Seite steigt dafür die Komplexität des Wiederherstellungsprozesses der Anwendungen und somit deren Wiederherstellungszeiten. Ebenfalls ist durch den Betrieb einer abgetrennten System- und Netzwerkinfrastruktur mit einem höheren Betriebsaufwand zu rechnen.

Um herauszufinden, welche der beiden Optionen für Sie nun in Frage kommt, haben wir Ihnen nachfolgend die wichtigsten Entscheidungskriterien aufgelistet.

Wie lange darf die Wiederherstellungszeit der Anwendungen dauern?
Wie hoch darf der Wiederherstellungsaufwand, sprich die Komplexität sein? Sind wir denn im Besitz der notwendigen Ressourcen (technisch als auch personell)?
Effektivität der Wiederherstellung hinsichtlich den Informationssicherheitszielen der Integrität und Vertraulichkeit. Mit anderen Worten ausgedrückt: Möchte man eine Wiederherstellung durchführen, welche eine Re-Infektion erlaubt oder nicht?
Funktionsfähigkeit der Anwendungen – Bedeutet, ob das System isoliert oder nur in einem Verbund mit anderen Schnittstellen genutzt werden kann?

Welche Option am Ende gewählt wird, liegt an der gemeinsamen Entscheidung von Business und IT.

Damit ein Cyber Desaster Recovery im Unternehmen aufgebaut werden kann, sind folgende Vorbereitungsaufgaben zu treffen:

Aufbau einer abgetrennten / isolierten System- und Netzwerkinfrastruktur
Erarbeiten von Cyber Recovery Pläne für die verschiedenen Anwendungen und deren Systeme

Beide Vorbereitungsaufgaben werden wir uns innerhalb dieses Blogbeitrages noch etwas genauer anschauen, um so das Verständnis zum Cyber Desaster Recovery diesen zwei Aufgaben zu schärfen.

cyber security

Wir stehen Ihnen bei allen Fragen zur IT-Sicherheit zur Seite

Lesen Sie hier mehr

Cyber Recovery Infrastruktur

Um das vorgängig beschriebene Szenario lösen zu können, ist es essenziell, dass für das Cyber Desaster Recovery eine möglichst abgetrennte System- und Netzwerkinfrastruktur betrieben wird. Wichtig dabei ist, dass auch an die notwendige Infrastruktur für die Clients gedacht wird. Diese sollte ebenfalls für einen Desaster Fall vorgehalten werden.

Bei dem Design der Cyber Recovery Infrastruktur ist es wichtig den Umfang im Voraus zu definieren. Anhand dieser Informationen kann bestimmt werden, wie gross die Umgebung sein muss oder mit anderen Worten ausgedrückt, wie viel Rechenleistung und Speicher in der abgetrennten Umgebung vorgehalten werden muss. Im Grundsatz empfehlen wir diese Umgebung so klein wie nur möglich zu halten, um so den Betriebsaufwand möglichst gering zu halten. Im Idealfall fokussiert sich der Umfang auf die essenziellen, businesskritischen Anwendungen und deren Systeme ihres Unternehmens.

Der nächste wichtige Aspekt im Zusammenhang mit der Cyber Recovery Infrastruktur betrifft die Isolation dieser Umgebung. Dazu stellen sich zwei Fragen, die Sie für sich zu beantworten haben:

Wie unabhängig muss die Cyber Recovery Infrastruktur von der produktiven Umgebung sein?
Teilt man Systeme aus der produktiven Umgebung für den Betrieb der Cyber Recovery Infrastruktur oder benötigt sie eigene Systeme?

Beide vorgängig angesprochene Punkte haben einen grossen Einfluss auf den Betriebsaufwand. Immerhin muss berücksichtigt werden, dass der Betrieb (Patching, Lifecycle, etc.) für die Cyber Recovery Infrastruktur genauso wie für die produktive Umgebung gewährleistet werden muss.

Was auf keinen Fall vergessen gehen darf, ist der dritte Aspekt der Cyber Recovery Infrastruktur. Die abgetrennte Umgebung muss über einen Active Directory Service verfügen. Ohne ist der Betrieb nicht möglich.

Für die Umsetzung einer Cyber Recovery Infrastruktur ist die Berücksichtigung eines Cloud Anbieters durchaus sinnvoll. Mit dem Aufbau der Umgebung in der Cloud kann der Verwaltungsaufwand der Management Systeme für die Cyber Recovery Infrastruktur auf ein Minimum reduziert werden. Viele Betriebsaufgaben, die bei einer On-Premises Lösung aufkommen, fallen bei einer Cloud-Lösung weg.

Cyber Recovery Pläne

Die zweite Vorbereitungsaufgabe sieht die Erarbeitung von Cyber Recovery Plänen vor. Zu diesem Punkt gilt, dass pro Applikationsverbund, Desaster Recovery Pläne definiert werden sollen. Das Ziel der Pläne soll es sein, bei Eintritt des Desaster Falls der IT-Abteilung in Form einer Schritt für Schritt Handlungsanleitung zu dienen. Ausschlaggebend ist jedoch, dass im Vergleich zu den gewöhnlichen Recovery Plänen, sich die Cyber Recovery Pläne nicht nur auf den Wiederherstellungsprozess der Systeme aus dem Backup verlassen. In solch einem Fall ist es erforderlich, dass der Cyber Recovery Plan eines Applikationsverbunds aufzeigt, wie das Backup aus verschiedensten Quellen zusammengesetzt werden kann. Das Prinzip haben wir nachfolgend abgebildet.

Ein weiterer zentraler Punkt, welcher zwingend in die Cyber Recovery Pläne muss, ist die Auflistung der Abhängigkeiten, die Anwendungen zu anderen Systemen aufweisen. Es ist essenziell diese Abhängigkeiten klar zu definieren, um so im Bilde zu sein, welche Anwendungen zusätzlich wiederhergestellt oder vorhanden sein müssen, um die volle Funktionalität der businesskritischen Applikationen zu gewährleisten.

Wie wir Sie unterstützen können

Die Überarbeitung des Desaster Recovery Konzepts erfordert viel mehr als nur den Aufbau einer zweiten abgetrennten Infrastruktur an einer zweiten Lokation. Zusätzlich müssen auch Business Continuity Plan (BCP) Aspekte hinterfragt und entsprechend den neuen Cyber Recovery Plänen überarbeitet werden. Das sind unter anderem Punkte wie:

Klare Festlegung der Verantwortlichkeiten im Plan
Eindeutige Bestimmung der für jede Funktion im Plan verantwortlichen Personen
Schrittweise Beschreibung des Wiederherstellungsprozesses
Klare Identifizierung der verschiedenen Ressourcen, die für die Wiederherstellung und den weiteren Betrieb der Organisation erforderlich sind
Festlegen und Kommunizieren der Umstände innerhalb der Organisation, unter denen der Desaster Recovery Plan ausgerufen werden sollte

Wichtig zu hervorheben ist, dass je nach Komplexität der Organisation ein oder mehrere Pläne für die verschiedenen Aspekte von BCP und Desaster Recovery erstellt werden können. Diese Pläne müssen nicht unbedingt in einen einzigen Plan integriert werden. Allerdings muss jeder Plan mit den anderen Plänen übereinstimmen, um am Ende eine tragfähige BCP-Strategie zu haben.

Wie festzustellen ist, müssen wie bei jeder technologischen Umstellung auch bei der Anpassung des Desaster Recovery Plans einige technische, administrative sowie operative Hürden überwunden werden – wir unterstützen Sie dabei gerne.

Mit unserem breiten Know-how und den Erfahrungen aus verschiedenen Projekten bei verschiedenen Firmen können wir Ihrem Unternehmen helfen, die Herausforderungen zu meistern und dank den Vorteilen die Sicherheit zu verbessern. Wir sind in der Lage die richtigen Mitarbeiter entsprechend abzuholen und einzubeziehen, so dass ihr Desaster Recovery Plan auch den neusten Gefahren aus dem Internet standhält. Nur mit den richtigen Rollen, den richtigen Prozessen, dem entsprechenden Engagement und einem durchdachten Konzept können die zusätzlichen Sicherheitsmassnahmen auch operativ in einem sinnvollen Rahmen betrieben werden.

Kontaktieren Sie uns

atrete verstärkt die Teams Cyber Security und Digital Workplace & Collaboration

Das IT-Beratungsunternehmen atrete verstärkt sein Beraterteam mit den beiden Consultants Sven Köppel und Aldo Richner.

Sven Köppel, Consultant

Aldo Richner, Consultant

Sven Köppel arbeitet seit 1.9.2021 als Consultant im Bereich Digital Workplace. Vor atrete war er mehrere Jahre bei einem IT-Dienstleister in der Region Zug tätig, zuletzt in einer Schlüsselrolle bei der Einführung von IT-Infrastruktur Projekten mit Fokus auf Digital Workplace Themen. Er besitzt neben einem Abschluss der höheren Fachschule als dipl. Techniker HF Informatik auch Microsoft Zertifizierungen, so u.a. den Microsoft 365 Certified Enterprise Administrator Expert.

Aldo Richner ist seit 1.10.2021 neu im Cyber Security Team als Consultant tätig. Er hat mehrjährige Erfahrung als System Engineer. Sein Fokus lag zuerst auf dem Betrieb und der Weiterentwicklung der IT Infrastruktur sowie die Durchführung von komplexen Changes von Sourcing Infrastrukturen. In den letzten Jahren übernahm er vermehrt Aufgaben im Bereich Cybersecurity. Aldo Richner besitzt einen Fachhochschulabschluss der FHNW in Wirtschaftsinformatik (BSc) sowie Zertifizierungen im Requirements Engineering (IREB Foundation), ITIL Foundation in IT Service Management. Derzeit ist er in Ausbildung für das «CAS Cybersecurity und Information Risk Management» der FHNW.

Mikrosegmentierung: Vorteile und Herausforderungen

Mikrosegmentierung schützt die einzelnen Workloads, sorgt für mehr Transparenz und macht zudem die Compliance einfacher und effektiver. Nebst den technologischen müssen aber auch einige organisatorische Herausforderungen bei der Implementierung beachtet und gemeistert werden.

Wie die letzten Cyber-Vorfälle (u.a. Solarwinds) gezeigt haben, ist es Cyber-Kriminellen mit ihren riesigen Ressourcen möglich, alle Arten von Unternehmen in jeglichen Branchen und unabhängig davon, ob es eine On-Prem oder Cloud Infrastruktur ist, zu kompromittieren. Als Lösung für das Problem wird oft Mikrosegmentierung genannt: Verbesserte Sichtbarkeit der Netzwerk-Verbindungen, Schutz vor APTs (Advanced Persistent Threats), Unterbindung von lateral movement und durchgehende Einhaltung der Compliance.

Was ist Mikrosegmentierung?

Falls Ihnen dieser Begriff, beziehungsweise das Konzept völlig neu ist, möchte ich in diesem Absatz kurz darauf eingehen, was Mikrosegmentierung bedeutet und wie es ein Unternehmen implementieren kann, um die vertraulichen und sensiblen digitalen Assets zu schützen.

In wenigen Worten: Die Mikrosegmentierung ermöglicht es, das Netzwerk sehr feingranular und unabhängig von klassischen Netzwerksegmenten und IP-Adressen, typischerweise bis auf einzelne Workloads, zu unterteilen. Für jedes (Micro)Segment müssen dann Sicherheitskontrollen (Whitelist-Ansatz) definiert werden, die auf den Anforderungen der Datensicherheit basieren.

Traditionell waren Perimeter- und Zonen-Firewalls der primäre Verteidigungsmechanismus, um den unerlaubten Zugriff auf Systeme oder Applikationen zu unterbinden. Veraltete Regeln, Fehlkonfigurationen, offene Ports, wiederverwendete IP-Adressen usw. können es böswilligen Akteuren jedoch ermöglichen, in die Netzwerkinfrastruktur Ihres Unternehmens einzudringen. Das führt zur Kompromittierung wichtiger Anwendungen, Betriebssysteme oder Server und bedroht die Sicherheit der Daten. Bei der Mikrosegmentierung wird die Granularität der Filterung erhöht, es werden virtuelle oder host-based Firewalls für jeden Endpunkt im Netzwerk erstellt. Die gewonnene Transparenz und Möglichkeit, Verbindungen sehr granular zu definieren, unterstützt die Formulierung von strikten und spezifischen Sicherheitsrichtlinien und hilft dabei, die Angriffspunkte zu minimieren und das Ausbreiten im Netz zu erschweren.

Vorteile der Mikrosegmentierung

Es gibt verschiedene Vorteile der Mikrosegmentierung, von denen die wichtigsten im Folgenden aufgeführt sind:

Schützt einzelne Workloads: Die Sicherheit durch Mikrosegmentierung reduziert Angriffsflächen und schützt einzelne Anwendungen und Workloads, die auch über verschiedene Infrastrukturen, wie z. B. in einer Multi-Cloud-Umgebung, verteilt sein können. Durch die sehr granulare Einschränkung der Verbindungen kann ein lateral movement verhindert werden.

Erhöhte Automatisierung: Automatisierung mit starkem Fokus auf Integration über Schnittstellen (was neue Möglichkeiten der dynamischen Regelbildung ergibt), Zentralisierung und wiederverwendbare Sicherheitsrichtlinienvorlagen (vordefinierte und -bewilligte Verbindungen) sorgen für eine erhebliche Zeitersparnis und verhindern eine Überbeanspruchung von teuren Ressourcen.

Vereinfachte Compliance: Die Mikrosegmentierung vereinfacht die Einhaltung von Vorschriften wie PCI-DSS, HIPAA oder GDPR durch eine klare Definition des Anwendungsbereichs und der Möglichkeit, die Segmentierung über alle Environments wie Hybrid- und Multi-Cloud zu forcieren. So entsteht die Möglichkeit, plattformübergreifend auditierbare und automatisierte Prozesse zu implementieren, welche bei Bedarf schnell an neue Compliance Anforderungen angepasst werden können.

Infrastruktur-Übergreifende Segmentierung: Die Mikrosegmentierung bietet eine einfache, moderne und sichere Lösung zur Umgebungssegregation, egal wo und auf welcher Infrastruktur ihre Systeme laufen. So können zum Beispiel produktive Daten auf der on-prem Infrastruktur und Systeme von der Entwicklungsumgebung in der Public Cloud sehr granular getrennt werden.

Verbesserte Sichtbarkeit: Die Mikrosegmentierung-Tools, welche oft aus Analysetools entstanden und weiterentwickelt wurden, bieten eine zentralisierte, granulare Echtzeit-Transparenz für alle Verbindungen im Netzwerk und reduzieren den Zeitaufwand für die Bewertung und Behebung von Problemen in hybriden Umgebungen. Durch die gewonnene Transparenz können zudem Angriffe schneller erkannt und somit APTs besser abgewehrt werden.

Herausforderungen bei der Implementierung

Die Implementierung von Mikrosegmentierung ist auch mit Herausforderungen verbunden:

Anpassung der Infrastruktur: Die Implementierung wird Änderungen an der Netzwerktopologie und -architektur erfordern. Um den finanziellen Aufwand und das Risiko von Ausfällen zu minimieren, ist ein definiertes Vorgehen notwendig, das auf der Analyse der Verkehrsbeziehungen basiert.

Anpassung der Prozesse: Sei es der Prozess für neue Systeme oder aber auch der Prozess für den Antrag neuer Verbindungen, es braucht eine gesamtheitliche Sicht und Optimierung der Prozesse. Die Prozesse müssen so weit optimiert und automatisiert sein, dass die zusätzlichen Massnahmen operativ auch umgesetzt werden können. Die teilweise neu benötigten oder neu zugeteilten Rollen müssen vom Management getragen und unterstützt werden. So müssen alle Kommunikationsbeziehungen vom Applikationsverantwortlichen definiert und erfasst werden, was teilweise einen Paradigmenwechsel im Mindset der Mitarbeiter bedeutet – hier können Automatisierung und der Einsatz von entsprechenden Tools helfen.

Integration in die bestehende Tool-Landschaft: Die Automatisierung und das Einsetzen entsprechender Tools soll dabei helfen, die zusätzlichen Sicherheitsmassnahmen so einfach wie möglich umzusetzen und die Mitarbeiter bei ihren neuen Aufgaben zu unterstützen. Die Mikrosegmentierung funktioniert nur mit einer guten Orchestration und Integration in die bestehenden Tools über offene Schnittstellen.

Lifcyle von Richtlinien: Durch die erhebliche Zunahme von Informationssicherheitsrichtlinien und Security-Policies ist ein entsprechendes Lifecycle-Management erforderlich. Auch hier können die entsprechenden Tools helfen und unterstützen, jedoch müssen die in allenfalls bestehenden Systemen integriert werden.

Know-how über die Applikationen: Es ist notwendig, dass die Applikationsverantwortlichen ihre Applikation und vor allem deren Netzwerkverbindungen kennen und verstehen. Es reicht nicht das die Systeme mal bereitgestellt werden und dann anhand der analysierten Verbindungen die entsprechenden Rules erstellt werden. Grundsätzlich gilt, es gibt keine Verbindung, wenn diese nicht vorher definiert wurde. Die Unterstützung erfolgt mit entsprechenden Tools und Analysen, jedoch spielt auch hier der Mindset der Mitarbeiter eine Rolle.

Wie wir Sie unterstützen können

Die Anpassung der Strategie der herkömmlichen Zonierung hin zur Mikrosegmentierung erfordert nicht nur technische Anpassungen und die Einführung von neuen Tools zum Verwalten der hybriden Umgebungen (inkl. bestehenden klassischen Firewalls für Perimeter- oder Clientschutz). Es ist vielmehr eine Anpassung des Mindsets, eine Anpassung der Prozesse wie Systeme und Applikationen bereitgestellt werden, wie Verbindungen beantragt werden, eine Verschiebung von Verantwortlichkeiten und ein Weg in die Automatisierung der Netzwerkinfrastruktur. Es geht darum, den ganzen Lifecycle einer Applikation miteinzubeziehen, von der Entwicklung zum Release bis hin zum Abbau. Es geht um die Orchestration von verschiedenen Infrastrukturen (on-prem, hybrid- oder multi-cloud) und die technologieübergreifende Implementierung von Policies (host-based, network-based, cloud native).

Wie bei jeder technologischen Umstellung müssen jedoch auch bei der Implementierung von Mikrosegmentierung einige technische, administrative sowie operative Hürden überwunden werden – wir können Sie dabei unterstützen.

Mit unserem breiten Know-how und den Erfahrungen aus verschiedenen Projekten bei verschiedenen Firmen können wir Ihrem Unternehmen helfen, die Herausforderungen zu meistern und dank den Vorteilen die Sicherheit zu verbessern. Wir sind in der Lage die richtigen Mitarbeiter entsprechend abzuholen und einzubeziehen, so dass der Wechsel zur Mikrosegmentierung ein Erfolg wird. Nur mit den richtigen Rollen, den richtigen Prozessen, dem entsprechenden Engagement und einem durchdachten Konzept können die zusätzlichen Sicherheitsmassnahmen auch operativ in einem sinnvollen Rahmen betrieben werden.

Zögern Sie nicht, Ihr Vorgehen und Ihre Pläne unverbindlich mit uns zu diskutieren und profitieren Sie von unseren Erfahrungen. Wir unterstützen Sie mit einer umfassenden Beratung, von der Erstellung der Strategie, dem Erstellen eines technischen Konzepts, der Einführung und Projektleitung sowie der Evaluation der entsprechenden Hersteller. Mit unseren verschiedenen Practice Areas unterstützen wir Sie in allen relevanten Bereichen – cyber security, cio advisory, it sourcing, cloud und datacenter & connectivity.

Kontaktieren Sie uns