Erfolgreiche Unterstützung bei der Umsetzung der Public-Cloud-Strategie

Mit atrete zum sicheren und skalierbaren Cloud-Betrieb im regulierten Finanzmarkt.

Die aity AG, eine Tochtergesellschaft der Berner Kantonalbank, mit Hauptsitz in Liebefeld, entwickelt und betreibt skalierbare, standardisierte Software- und Serviceangebote für kleine und mittelgrosse Schweizer Retailbanken. Rund 300 Mitarbeitende arbeiten in den Bereichen ICT-Betrieb, Architektur, Security & Daten, Entwicklung & Application Management sowie Finanzen & Services. Die aity AG zählt zu den zentralen Technologiepartnern im Schweizer Retailbanking-Ökosystem und verfolgt kontinuierlich das Ziel, Innovation, Sicherheit und Effizienz miteinander zu verbinden.

Die Public Cloud gewinnt auch im Finanzmarkt zunehmend an Bedeutung – insbesondere, wenn es um Flexibilität, Skalierbarkeit und moderne IT-Betriebsmodelle geht. Die aity AG hatte hierzu bereits eine umfassende Public-Cloud-Strategie erarbeitet, die sowohl technische als auch organisatorische Entwicklungen berücksichtigt und in vier Transformationshorizonten bis 2030 umgesetzt werden soll.
Die Herausforderung bestand darin, diese ambitionierte Strategie in einem stark regulierten Umfeld in die operative Realität zu überführen. Neben technischen Vorgaben spielten regulatorische Anforderungen, Daten- und Informationssicherheit, Governance, Compliance und der Aufbau interner Kompetenzen eine zentrale Rolle. Ziel war es, die Organisation in die Lage zu versetzen, Cloud-Technologien künftig eigenständig, sicher und effizient einzusetzen.

atrete wählte für die Umsetzung der organisatorischen und technischen Strategieelemente ein strukturiertes, methodisch abgestütztes Vorgehen. Grundlage waren das Microsoft Cloud Adoption Framework for Azure (CAF) für die organisatorische Etablierung sowie das Microsoft Azure Well-Architected Framework für die technische Implementierung.
Um der Organisation frühzeitig reale Erfahrungen zu ermöglichen, folgte das Projekt einem MVP-Ansatz. Dieser erlaubte es, konkrete Projekte und Services bereits in frühen Phasen zu testen und mit produktivem Mehrwert zu versehen. Gleichzeitig entstand dabei ein kontinuierlicher Lernprozess innerhalb der Teams.

atrete führte die aity AG durch die Definition der technischen, organisatorischen, kommerziellen, regulatorischen und rechtlichen Anforderungen. Gemeinsam wurde eine erste Cloud Foundation aufgebaut, die sowohl Governance-Strukturen wie DevSecOps-Organisationen als auch Sicherheits-, Compliance- und Architekturstandards umfasst. Parallel dazu unterstützte atrete in der Programm- und Projektleitung, im Infrastrukturaufbau sowie in der Softwareentwicklung, um die Strategie auch technisch fundiert umzusetzen.

Mit Abschluss der ersten beiden Transformationshorizonte konnten bereits erste Public-Cloud-Lösungen erfolgreich in den produktiven Betrieb überführt werden. Die aity AG verfügt nun über ein tragfähiges Fundament, um die weitere Cloud-Transformation eigenständig und nachhaltig fortzuführen.
atrete brachte dabei ein breit abgestütztes Rollen‑ und Kompetenzprofil ein, das den Projekterfolg wesentlich prägte:

Durch dieses funktionsübergreifende Zusammenspiel entstand ein tragfähiges, regulatorisch konformes und zukunftsfähiges Cloud‑Fundament.

In den nächsten Transformationsphasen wird die aity AG auf den geschaffenen Grundlagen aufbauen und weitere Schritte Richtung eines vollständig etablierten Cloud-Service-Providers umsetzen. Dabei steht insbesondere die Weiterentwicklung der technischen und organisatorischen Cloud-Kompetenzen im Vordergrund, um den Betrieb langfristig sicher, effizient und resilient zu gestalten. Die Reise hin zu einer vollständig cloud-fähigen Organisation wird iterativ fortgeführt und stärkt die Wettbewerbsfähigkeit der aity AG nachhaltig.

«Mit atrete haben wir einen Partner, der sowohl über die Erfahrung in der technischen und organisatorischen Realisierung grosser Cloud-Transformationsvorhaben im regulierten Umfeld verfügt als auch über eine sehr hohe Expertise in Finanzmarkt-Compliance. Wir schätzen die umfassende Beratung und die stets lösungsorientierte, professionelle Vorgehensweise sehr.»

JOHANNES ELTGEN, LEITER ARCHITEKTUR, SECURITY, RISK & PROJEKTE

Künstliche Intelligenz im Unternehmen: Governance, Risk und Compliance im Fokus

Die rasante Entwicklung der Künstlichen Intelligenz (KI) bietet Unternehmen vielfältige Chancen, stellt sie jedoch gleichzeitig vor erhebliche Herausforderungen in den Bereichen Governance, Risk und Compliance. Als Chief Information Security Officer (CISO) ist es entscheidend, diese Aspekte sorgfältig zu berücksichtigen, um sowohl die Sicherheit als auch die Integrität des Unternehmens und dessen Daten zu gewährleisten.​

Governance: Etablierung klarer Rahmenbedingungen und Vorgaben

Der Einsatz von KI im Unternehmen erfordert die Etablierung klarer, unternehmensweiten Richtlinien, um rechtliche Konformität, ethisches Handeln und somit einen geregelten Umgang mit KI-Technologien sicherzustellen. Ein erster und wichtiger Schritt ist dabei die Definition von Grundsätzen für den KI-Einsatz. Diese können unter anderem Transparenz, Verantwortlichkeit und Datenschutz umfassen schliessen aber auch Grundsätze wie die Informationssicherheit, Rechte der Betroffenen oder Riskmanagement nicht aus. Ein weiterer wichtiger Aspekt für das Unternehmen ist die Entwicklung spezifischer KI-Rahmenbedingungen und Regelungen. Die Grundsätze als auch die Rahmenbedingungen und Regelungen sollten gemeinsam in Workshops mit den verschiedenen Stakeholdern erarbeitet und in Form einer Weisung für Mitarbeitende festgehalten werden. Die grösste Herausforderung ist oft, dass die Verantwortung dem CISO übertragen wird, obwohl es eigentlich ein unternehmensweites Thema ist, an dem mehrere Stakeholder beteiligt sein müssen. Die Identifikation der relevanten Stakeholder sowie der Umfang und der Detaillierungsgrad einer solchen Weisung sind matchentscheidend. Dabei ist es sinnvoll, externe Unterstützung in Anspruch zu nehmen, um diesen Prozess effizient und umfassend zu gestalten. Dieses Vorgehen fördert nicht nur die Compliance, sondern auch das Bewusstsein und die Verantwortung im Umgang mit KI-Technologien.

Riskmanagement: Identifikation und Bewertung von Gefahren

Der Einsatz von KI bringt spezifische Risiken mit sich, die es zu identifizieren und zu bewerten gilt. Ein effektives Riskmanagement in Zusammenhang mit KI sollte im Minimum folgende Schritte umfassen:​

  1. Gefährdungsanalyse: Ermitteln von potenziellen Risiken, die durch den Einsatz von KI entstehen können, wie beispielsweise Datenlecks oder Fehlentscheidungen aufgrund von algorithmischen Fehlern oder Befangenheiten.​
  2. Risikobewertung: Bewerten der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen auf das Unternehmen.​
  3. Massnahmenplanung: Entwickeln eines Plans zur Risikominimierung, wie etwa die Implementierung zusätzlicher Kontrollmechanismen oder die Schulung von Mitarbeitenden im Umgang mit KI-Systemen.​

Compliance: Einhaltung gesetzlicher Vorgaben

Die rechtlichen Anforderungen an den Einsatz von KI sind vielfältig und unterliegen ständigen Veränderungen. Es ist daher essenziell, die geltenden Gesetze und Vorschriften zu kennen und einzuhalten, weshalb der Einbezug der Rechts- und Datenschutzabteilung sehr wichtig ist.  Um Unternehmen dabei zu unterstützen, frühzeitig potenzielle Risiken zu erkennen, empfehlen wir den Einsatz gezielter Checkfragen. Diese dienen als effektives Tool für eine Vorsondierung, um schnell zu entscheiden, ob eine vertiefte Compliance-Prüfung notwendig ist. Unsere Erfahrung zeigt: Oft lassen sich Compliance-Risiken bereits in einer frühen Phase erkennen und adressieren. Wir unterstützen Unternehmen dabei, die richtigen Fragen zu stellen und bieten praxisnahe Hilfestellung. Hier einige entscheidende Fragen, die Sie sich stellen sollten:

Ein „Ja“ zu einer dieser Fragen signalisiert, dass eine tiefere Compliance-Prüfung notwendig sein könnte.

Schulung und Sensibilisierung der Mitarbeitenden

Ein weiterer entscheidender Faktor ist die Schulung der Mitarbeitenden im Umgang mit KI. Sie sollten nicht nur die Vorteile, sondern auch die potenziellen Risiken und ethischen Implikationen verstehen. Die Implementierung klarer Weisungen und Richtlinien unterstützt dabei, einen verantwortungsvollen und gesetzeskonformen Einsatz von KI im Unternehmen sicherzustellen. Die Top Herausforderungen im Zusammenhang mit den Mitarbeitenden und der Nutzung von KI, die wir dabei immer wieder antreffen sind:

Fazit

Der Einsatz von KI bietet grosse Chancen, erfordert aber eine durchdachte Herangehensweise, um Risiken zu minimieren und regulatorische Anforderungen zu erfüllen. Governance, Risk und Compliance sind dabei keine isolierten Themen der Informationssicherheit, sondern betreffen das gesamte Unternehmen. KI kann nur dann sicher und verantwortungsvoll genutzt werden, wenn neben den Sicherheitsaspekten auch rechtliche, ethische und betriebliche Fragestellungen berücksichtigt werden. Daher ist es entscheidend, dass alle relevanten Stakeholder – von der Rechts- und Datenschutzabteilung über das Riskmanagement bis hin zu den Fachbereichen – gemeinsam klare Rahmenbedingungen schaffen. Nur durch diesen interdisziplinären Ansatz lassen sich KI-Richtlinien und Weisungen entwickeln, die nicht nur konform, sondern auch praxistauglich sind und im Unternehmen auf Akzeptanz stossen.

Kontaktieren Sie uns

Blog- und Eventserie KI in der IT-Infrastruktur

Dieser Blog ist einer von drei Blogartikel, welche die spezifischen Chancen und Anwendungen von KI im IT-Betrieb, Service Management und aus der Sicht der IT-Security beleuchten.

Ein besonderes Highlight wird dann kurz nach den Sommerferien unserer für Endkunden reservierter virtueller Breakfast Event sein, bei dem wir in einem interaktiven online Meeting einen Erfahrungsaustausch zwischen den Teilnehmern und atrete ermöglichen. Hier haben Sie die Gelegenheit, von den Erfahrungen anderer zu lernen und Ihre eigenen Fragen und Ideen einzubringen.

Als Follower von atrete keinen Blog verpassen!

Folgen Sie uns auf LinkedIn, um keinen unserer spannenden Blog-Artikel zu verpassen.
Wir freuen uns darauf, diese faszinierende Reise mit Ihnen zu beginnen und die vielfältigen Möglichkeiten der Künstlichen Intelligenz in der KI-gestützten IT-Transformation hin zu einer smarteren IT-Infrastruktur zu erkunden. Bleiben Sie dran für weitere Updates und inspirierende Einblicke in die Welt der KI.

Cybersecurity: In der Königsklasse der Komplexität zu Hause

Die digitale Welt wird zunehmend komplexer, und Cyberangriffe entwickeln sich ständig weiter. Umso wichtiger sind innovative Ansätze, die Unternehmen nicht nur schützen, sondern sie auch fit für die Herausforderungen von morgen machen.

In einem spannenden Interview mit unserem Head of Cyber Security, Christoph Pfister, gibt er Einblicke in die Welt der Cybersecurity bei atrete. Er erklärt, wie wir mit massgeschneiderten Lösungen und umfassendem Fachwissen selbst die anspruchsvollsten IT-Sicherheitsherausforderungen erfolgreich bewältigen.

Lesen Sie das vollständige Interview hier:

PDF Finanz und Wirtschaft vom 04.12.2024

Erfahren Sie, warum atrete der richtige Partner für Ihre digitale Sicherheit ist.

Aufzeichnung Webinar: Verbessern Sie Ihre Informationssicherheit in 5 Schritten

Dauer:      ca. 45 Minuten
Sprache: Schweizerdeutsch

Für Informationssicherheit gibt es wohl schon gleich viele Ratgeber wie für gesunde Ernährung. Beides ist schlussendlich essenziell. Doch nicht jeder Ratgeber passt zu jeder Person. Wir haben nicht einfach einen weiteren Ratgeber verfasst, sondern praktische Tipps aus unserem Berater-Alltag für Sie zusammengefasst. Wir zeigen in 5 konkreten Schritten, wie Sie Ihre Informationssicherheit verbessern können; konkret und unmittelbar anwendbar. Das Framework von ISO/IEC 27001 bildet dabei den Rahmen.

Im Webinar erwarten Sie die folgenden Themen:

Die Ausführungen richten sich an Organisationen, welche bereits erste Schritte im Bereich Informationssicherheit unternommen haben, und diese weiterentwickeln möchten. Unabhängig davon, ob Ihre Organisation bereits ein ISMS eingeführt hat oder eine ISO/IEC 27001 Zertifizierung plant, die in diesem Webinar vorgestellten Schritte bringen Sie Ihrem Ziel näher.

Referenten

Foto COO Manuel Zoro
Manuel Zoro, COO, Managing Partner
Aldo Richner
Aldo Richner, Consultant

Weitere Informationen / Fragen

events@atrete.ch oder +41 44 266 55 55

Informationssicherheit und Datenschutz (ISDS) Konzept made easy

Im digitalen Zeitalter, in dem Daten und Informationen das neue Gold darstellen, hat sich die Informationssicherheit und der Datenschutz (ISDS) zu einem kritischen Anliegen für Unternehmen weltweit entwickelt.

Das aus dem 18. Jahrhundert stammende Sprichwort: „a good preparation is half the battle“ hat sich im Laufe der Zeit für die unterschiedlichsten Herausforderungen bewährt. Für die Erstellung eines ISDS-Konzepts gilt dies genauso. Durch unsere langjährige Erfahrung können wir Ihnen heute praktische Tipps & Tricks zur Erstellung eines ISDS-Konzepts weitergeben. Ob Sie ein kleines Startup oder ein etabliertes Unternehmen sind, die Bedeutung eines soliden ISDS-Konzepts kann nicht überschätzt werden.

Die Säulen eines ISDS-Konzepts

Ein gutes ISDS-Konzept basiert auf einem soliden Fundament bestehend aus der Vorbereitung und Schutzbedarfsanalyse sowie den nachfolgend abgebildeten vier Säulen.

Säulen eines ISDS-Konzepts

Vorbereitung

Die Vorbereitung ist der Grundstein eines jeden erfolgreichen ISDS-Konzepts. Bevor Sie tief in die Materie eintauchen, ist es entscheidend, alle beteiligten Rollen zu identifizieren.

Die für die Erstellung eines ISDS-Konzepts benötigten Rollen lauten wie folgt:

Der Projektleiter ist verantwortlich für die Erarbeitung des ISDS-Konzepts.

Der IT-Architekt kennt die Zusammenhänge, den Umfang sowie das Schema der Applikationen und ist aus diesem Grund prädestiniert dafür die benötigten Angaben zu den Datenflüssen beizusteuern.

Der Informationssicherheitsbeauftragte (ISB) ist dafür verantwortlich, die Risikoanalyse und die vorgeschlagenen Massnahmen zur Behandlung der Risiken auf Plausibilität, Wirksamkeit und Konformität mit der Sicherheitsarchitektur zu prüfen und zu bewerten.

Der Datenschutzberater (DSB) unterstützt den Verantwortlichen oder Auftragsverarbeiter in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen.

Der Dateneigner ist zuständig und verantwortlich für die Daten und Informationen innerhalb seines zugewiesenen Bereiches (Spezifische Applikation, Service etc.). Er erstellt die Schutzbedarfsanalyse im Rahmen des ISDS-Konzepts.

Der Risikoeigner entscheidet über die Restrisiken unter Berücksichtigung des Risikoappetits des Unternehmens. Er nimmt somit die vorgeschlagenen Massnahmen zur Reduktion der Risiken ab und trägt mit der Abnahme die Restrisiken des Unterfangens.

Der Risikomanager wird im Nachgang des ISDS-Konzepts über die unternehmensrelevanten Risiken informiert. Er stellt sicher, dass jegliche Formalitäten (Freigabeprozess, Dokumentation, etc.) eingehalten wurden.

Die Rechtsabteilung besitzt das Fachwissen, um eine korrekte Rechtsgrundlagenanalyse zu erstellen. Diese Analyse ist sehr individuell. Je nachdem ob ein Unternehmen öffentlich oder privat ist, ob das Unternehmen in speziellen Branchen tätig ist, können ganz unterschiedliche gesetzliche beziehungsweise regulatorische Anforderungen gelten, welche sich auf das Vorhaben und dessen Risiken und Massnahmen auswirken.

Schutzbedarfsanalyse

Die Schutzbedarfsanalyse ist der Startpunkt im Prozess der Entwicklung eines ISDS-Konzepts. Sie zielt darauf ab, die kritischen Werte zu identifizieren und deren Schutzbedarf anhand einer gewählten Klassifizierung z.B. Bundesamt für Sicherheit in der Informationstechnik (BSI IT-Grundschutz), International Organization for Standardization (ISO 27001) etc. zu bewerten. Grundsätzlich geht es darum die Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit zu beurteilen und ihnen ein Schutzniveau zuzuweisen: z.B. normaler, hoher oder sehr hoher Schutzbedarf. Sollte sich nach der Schutzbedarfsanalyse herausstellen, dass kein erhöhter Schutzbedarf vorliegt, ist man hier auch bereits am Ende und muss kein ISDS-Konzept erstellen, sofern die IT-Grundschutzmassnahmen des Unternehmens eingehalten werden.

Die Schutzbedarfsanalyse kann effizient erstellt werden, wenn dazu eine Vorlage benutzt wird, welche mittels unternehmensspezifischer Fragestellungen und Drop-Down Antworten automatisch den passenden Schutzbedarf pro Schutzziel ausweist.

Rechtsgrundlagenanalyse

Die Rechtsgrundlagenanalyse befasst sich mit den externen Vorgaben (Gesetze und Regulatorien) sowie den internen Vorgaben (Governance).

Die zentralen Fragen, die durch die Rechtsgrundlagenanalyse beantwortet werden müssen, beziehen sich auf die Risiken in Folge von Verletzungen von Compliance bzw. Governance Vorgaben:

Kernpunkt ist, dass dem Unternehmen bekannt und bewusst ist, welche Vorgaben einzuhalten sind. In den meisten Fällen beziehen sich diese Vorgaben speziell im Bereich der Umsetzung auf das Datenschutzgesetz.

Wenn sich der aktuelle Geschäftsfall nicht signifikant von vorausgehenden Projekten oder dem Kerngeschäftsfeld unterscheidet, kann die Rechtsgrundlagenanalyse je nach Risikoappetit übernommen werden. Ggf. kann auch eine Legal-Opinion aus Branchenverbänden herangezogen werden; solche Grundsätze haben eine breite Abstützung.

Datenfluss und Architektur

Ein Datenflussdiagramm stellt dar, wie Daten durch ein System fliessen, einschliesslich der Quellen, Ziele, Speicher und Prozesse, die die Daten bearbeiten. Diese Visualisierung hilft, ein klares Verständnis davon zu entwickeln, wie Informationen durch die Organisation bewegt werden, was für die Identifizierung potenzieller Sicherheitsrisiken und Abhängigkeiten entscheidend ist.

Der Fokus der Analyse des Datenflusses liegt auf den Schnittstellen zwischen Systemen.

Mittels Risikoanalyse wird überprüft, ob durch die Nutzung einer Schnittstelle ein zusätzliches Risiko verbunden ist, z.B. ein Übergang von DMZ auf Intranet, Rechenzentrum zu Cloud, oder auch Datenflüsse zwischen Ländern.

Um sicherzustellen, dass die Erhebung der Risiken vollständig ist, sollte man ein besonderes Augenmerk auf die Schnittstellen legen. Die Vollständigkeit der Beschreibung kann mittels Checklisten unterstützt werden.

Risikoanalyse

Voraussetzung für eine Risikoanalyse ist, dass das Risikomanagement-Framework sowie die Risikoakzeptanz klar festgelegt sind. Die aus der Schutzbedarfsanalyse stammenden Schutzniveaus der Schutzziele werden mittels Risikoanalyse geprüft, insofern sie den normalen Schutzbedarf übersteigen.

Als erster Schritt bietet es sich an, ein Set von zwingenden Massnahmen zu einem Grundschutz-Katalog zusammenzufassen. Dies ermöglicht den Checklisten-Approach, um die Umsetzung der Massnahmen zu evaluieren. Nicht umgesetzte Grundschutz Massnahmen stellen ein potenzielles Risiko dar, welches mittels der Risikoanalyse behandelt werden muss. Schutzziele, deren Schutzniveau den normalen Schutz übersteigen, müssen in einem nächsten Schritt genauer analysiert werden.

Die folgende Abbildung beschreibt den Ablauf der Risikoanalyse anhand einer fiktiv erstellten Schutzbedarfsanalyse:

Risikoanalyse anhand einer fiktiv erstellten Schutzbedarfanalyse

Dieses Vorgehen kann mit entsprechenden Tools automatisiert werden und schafft damit genügend Freiraum für die eigentliche Risikoanalyse.

Die Erfahrung hat gezeigt, dass es empfehlenswert ist, die Risikoanalyse in Form eines Workshops bestehend aus dem Projektleiter, dem Architekten sowie dem Informationssicherheitsbeauftragten zu organisieren, um das Projektvorhaben aus Sicht eines Bad Actors zu durchleuchten. Ein Bad Actor würde sich z.B. fragen: In welcher Art und Weise kann ich ein System missbrauchen? An welcher Stelle können Daten gestohlen werden? Wie gross ist die Angriffsfläche eines Insider-Threat, wie werden Angriffe erkannt und verhindert? Diese Fragen werden zu einem Bedrohungskatalog zusammengestellt.

Um sicherzustellen, dass das Projektvorhaben von A bis Z durchleuchtet wird, diskutiert und bewertet man die Risiken aus den identifizierten Bedrohungen in Bezug auf die Systeme und Schnittstellen des Datenflussdiagramms. Der Prozess wird wiederholt unter der Berücksichtigung der risikomindernden Massnahmen, um das Restrisiko ausweisen zu können.

Massnahmen

Das Kontrollieren und Steuern von Massnahmen stellt sicher, dass diese im operativen Betrieb umgesetzt werden. Auch hier bietet sich die Automatisierung an, damit Umsetzungsverantwortliche erinnert werden und ein Reporting ermöglicht wird.

Review

Das hier beschriebene Vorgehen eignet sich für alle Unternehmen. Um das Vorgehen bestmöglich auf das individuelle Unternehmen anzupassen, empfehlen wir die Einführung eines Review-Prozesses, analog eines kontinuierlichen Verbesserungsprozess. Dieser Prozess soll sicherstellen, dass die bei der Erstellung der ISDS-Konzepte gewonnenen Erkenntnisse in den Prozess integriert werden. Ein Fokus liegt dabei auf der Erhöhung des Automatisierungsgrades des ersten Schritts der Risikoanalyse, wobei die definierten Massnahmen aus der vergangenen Review-Periode als Ergänzung für die zwingenden Massnahmen geprüft werden. Zusätzlich konzentriert man sich auf die Weiterentwicklung des Bedrohungskatalogs, als Basis für zukünftige Risikoanalysen.

Sichern Sie mit uns die Zukunft Ihres Unternehmens: Wir helfen Ihnen Ihren individualisierten ISDS-Prozess zu erarbeiten. Unsere langjährige Beratungserfahrung hilft uns dabei, Ihnen zu helfen. Das Erstellen von ISDS-Konzepten sollte kein mühseliges Unterfangen sein. Es geht auch smarter: mit atrete. 

Kontaktieren Sie uns

atrete baut Consultant-Team weiter aus

In den vergangenen Monaten hat das renommierte Beratungsunternehmen atrete drei neue talentierte Mitglieder in sein Team aufgenommen, um die Bereiche CIO Advisory, Digital Workplace und Cybersecurity zu stärken.

Jessica Knecht
Jessica Knecht, Associate Consultant
Vivien Bührer
Vivien Bührer, Consultant
Sven Gerig
Sven Gerig, Consultant

Jessica Knecht unterstützt seit dem 1. April 2023 das Team in der Practice Area CIO Advisory als Associate Consultant.
Frau Knecht bringt umfangreiche Erfahrung im IT-Bereich mit, insbesondere im IT Service Management und Cloud Provider Management. Vor ihrer Tätigkeit bei atrete arbeitete sie mehrere Jahre als Customer Service Managerin bei einem renommierten IT Service Provider. Sie verfügt über einen Abschluss als eidg. Technische Kauffrau und hat ein CAS in IT Sourcing und Provider Management der ZHAW absolviert. Darüber hinaus ist sie zertifiziert im IT Service Management (ITIL Foundation), Requirements Engineering (IREB Foundation) und Microsoft Azure Fundamentals.

Seit dem 1. Juni 2023 ist Vivien Bührer als Consultant im Bereich Digital Workplace und Collaboration tätig.
Frau Bührer verfügt über eine beeindruckende Laufbahn, die unter anderem ihre Zeit als Solution Designer für End User Services bei Fujitsu umfasst. In dieser Rolle betreute sie Ausschreibungen für managed Workplace Services und beriet zu IT Service Management Themen. Sie ist Inhaberin eines Master of Science in Business Analytics, Controlling und Consulting und bringt zudem Qualifikationen wie Scrum Master, Hermes und ITIL Zertifizierungen mit.

atrete heisst Sven Gerig herzlich willkommen, der seit dem 12. Juni 2023 als Consultant die Practice Area Cybersecurity unterstützt.
Herr Gerig kann auf eine erfolgreiche Karriere bei verschiedenen IT-Dienstleistern in der Region Zug zurückblicken, wo er als Projektleiter und Systems Engineer tätig war. Seine umfassenden Kenntnisse spiegeln sich auch in seinen Zertifizierungen wider, darunter Azure Solutions Architect Expert, Cybersecurity Architect Expert und Enterprise Administrator Expert im Bereich Microsoft. Zudem bringt er Qualifikationen wie SAFe® Scrum Master und ITIL 4 Foundation mit. Bald wird er seinen Abschluss als dipl. Informatiker HF Fokus Cyber Security abschliessen.

Medienkontakt:
at rete ag
Marlene Haberer
Telefon: +41 44 266 55 83
Email: marlene.haberer@atrete.ch

Implementierung einer Zero Trust Architektur

Wo stehen wir heute?

Die Verbreitung von Cloud-basierten Diensten, Mobile Computing, Internet of Things (IoT) und Bring Your Own Device (BYOD) verändert die Technologielandschaft für alle Unternehmen. Bestehende Sicherheitsmodelle sind nicht mehr ausreichend, um neue Bedrohungen abzuwehren. Unternehmen müssen ihre Sicherheitsarchitektur überdenken, und es ist naheliegend, dass man sich dann mit dem Modell Zero Trust auseinandersetzt.

Wie bereits einleitend erwähnt ist die Zero Trust Architektur (ZTA) keine neue Erfindung, dieser Ansatz existiert seit einigen Jahren. Doch es gibt nun Lösungen und Möglichkeiten, wie eine solche Architektur sinnvoll und erfolgreich umgesetzt werden kann.

Aus verschiedenen Projekten bei unseren Kunden, aus Guidelines und defacto Standards haben wir ein atrete-Vorgehen, wie eine solche Zero Trust Architektur auch in ihrem Unternehmen eingeführt werden kann.

Zu den grössten Herausforderungen bei der Einführung einer ZTA gehören:

Jedoch gibt es auch viele Vorteile, um hier ein paar zu nennen:

Was beinhaltet eine Zero Trust Architektur?

Zero Trust basiert unter anderem auf dem Prinzip “never trust – always verify“. Die ZTA reduziert das Risiko in allen Bereichen, indem sie eine starke Identitätsüberprüfung einführt, die Konformität von Geräten überprüft und den Zugriff mit geringsten Rechten auf nur ausdrücklich autorisierte Ressourcen sicherstellt.

Zero Trust erfordert, dass jede Transaktion zwischen Systemen (Subjects, Assets und Resources) validiert und als vertrauenswürdig eingestuft wird, bevor die Transaktion stattfinden kann. Die folgende Abbildung zeigt die Hauptkomponenten dieser Architektur:

Hauptkomponenten Zero Trust Architektur

In einer idealen Zero Trust Umgebung sind die folgenden Verhaltensweisen erforderlich:

Was ist ein mögliches Vorgehen in den einzelnen Bereichen?

Die nachstehende Abbildung zeigt eine mögliche Übersicht über die Zero Trust Maturität, die wir zusammen mit den Kunden in unseren Projekten erreichen möchten. Diese Maturitätsziele stellen zwar nicht den gesamten Umfang der ZTA dar, sie erfassen jedoch die wichtigsten Bereiche. Zusammen mit dem Kunden erfassen wir die aktuelle Situation und bestimmen, in welchen Bereichen der grösste Handlungsbedarf besteht. Die wichtigsten Aktivitäten sind pro Bereich aufgelistet.

Übersicht über die Zero Trust Maturität

Identität

Um die Sicherheit der Identitäten zu verbessern, sollte unbedingt MFA eingeführt, um den administrativen Zugriff auf Server und Ressourcen zu kontrollieren. Später soll diese Anforderung der Multifaktor-Authentifizierung auf alle Benutzer ausgeweitet werden, die von außerhalb des Unternehmensnetzwerks auf Ressourcen zugreifen. Ein zentrales IAM wird dafür vorausgesetzt.

Gerät

Der erste Schritt in Richtung Geräteüberprüfung ist die Registrierung von Geräten in einem Geräteverwaltungssystem. Darüber hinaus sollte mit der Verwaltung begonnen werden, um eine ordnungsgemäße Validierung des Gerätezustands zu ermöglichen. Das ist eine grundlegende Komponente, um Richtlinien festzulegen und auf den Geräten durchzusetzen.

Dies gilt sowohl für Unternehmens-eigene Geräte als auch für persönliche BYOD-Geräte. Wenn Mitarbeiter ihre persönlichen Geräte für den Zugriff verwenden möchten, müssen die Geräte registriert werden und denselben Richtlinien unterliegen, die auch für unternehmenseigene Geräte gelten. Für Geräte, bei denen eine Registrierung in der Geräteverwaltung nicht möglich ist, soll ein alternative Zugriffsmöglichkeit, wie z.B. ein Virtual Desktop zur Verfügung gestellt werden.

Zugang

Im Bereich der Zugriffsverifizierung sollte der Fokus auf der Segmentierung von Benutzern und Geräten (speziell auch IoT-Geräte) in eigens dafür eingerichteten Netzwerken (Macro- und Micro-Segmentierung) sein. Eine Umstellung des Zugriffs aller Mitarbeiter mittels Internet kann ein nächste Schritt Richtung Zero Trust sein.

Services

Um eine vollständige Validierung der Zugriffe zu erreichen, müssen vor allem ältere Anwendungen modernisiert oder spezielle implementiert werden. Eine Ablösung dieser Legacy Anwendungen hätte zusätzlich den Vorteil, dass die Abhängigkeit von VPN entfällt. In der Praxis ist dies jedoch nicht umsetzbar, deshalb braucht es dafür Hybride Lösungen.

Wie sieht die Transition in eine ZT Architektur aus?

Jedes Unternehmen, das eine Zero Trust Architektur einführen möchte, muss individuell herausfinden, welcher Ansatz und welches Vorgehen am besten zu seiner Umgebung passt. Dazu gehören die Abwägung von Risikoprofilen, die Festlegung des Umfangs der Zero-Trust-Implementierung und die Bestimmung der spezifischen Überprüfungen, die für den Zugriff auf Unternehmensressourcen erforderlich sind. Bei all dem ist die Förderung der unternehmensweiten Akzeptanz von Zero Trust entscheidend für den Erfolg, unabhängig davon, wo Sie mit der Umstellung beginnen möchten.

Die wichtigsten Erkenntnisse aus unseren bisherigen Projekten:

Gerne unterstützen wir Sie bei der Analyse, Konzeption und Implementation einer Zero Trust Architektur.

Kontaktieren Sie uns

Aufzeichnung Webinar: Zero Trust erfolgreich einführen

Dauer:      ca. 45 Minuten

Bestimmt haben Sie in letzter Zeit vermehrt wieder das Schlagwort Zero Trust wahrgenommen, sei es von Herstellern oder auch aus jeglichen Fachartikeln und News. Doch was hat sich in den letzten 12 Jahren geändert, seit 2010 das erste Mal von einem Zero Trust Model gesprochen wurde. Was ist im Jahre 2022 nun wirklich möglich? Wie weit haben die Hersteller ihre Lösungen entwickelt? Was ist das Vorgehen und was sollte man unbedingt beachten damit ein solches Model auch wirklich in der Praxis umgesetzt werden kann?

In unserem Webinar zeigen wir auf, wie eine Zielarchitektur aussehen soll, welche Aspekte unbedingt beachtet werden sollten und welche Dos und Don’ts entscheiden, ob ein Zero Trust Programm erfolgreich sein wird oder nicht.

Im Webinar erwarten Sie die folgenden Themen:

Das Webinar richtet sich an Leiter IT/Infrastruktur, Abteilungs-/Teamleiter, Security Verantwortliche. 

Referenten

Mitarbeiterfoto Mario Homberger
Mario Homberger, ehemals Head of cyber security
Foto COO Manuel Zoro
Manuel Zoro, COO, Managing Partner

Weitere Informationen / Fragen

events@atrete.ch oder +41 44 266 55 55

Cyber Desaster Recovery

Die Cyber-Angriffe auf Unternehmen in der Schweiz nehmen stetig zu. So waren im letzten Jahr gleich mehrere grössere Schweizer Unternehmen, wie die Swatch Group, Stadler-Rail, Comparis oder erst neulich das Casinotheater Winterthur in den Schlagzeilen, weil sie Opfer eines Cyber-Angriffs wurden.

Bei den meisten Cyber-Angriffen handelt es sich dabei um Erpressungsversuche durch die Täterschaft. Mittels Ransomware werden die unternehmenskritischen Daten verschlüsselt und / oder Daten werden gestohlen, um mit der Veröffentlichung zu drohen. Die letzten Vorfälle zeigen sehr gut auf, dass die Angreifer nicht spezifisch auf Branchen oder grosse Unternehmen losgehen. Vielmehr verbessern die Angreifer von Zeit zu Zeit ihr Vorgehen, so dass Sie die Mittel besitzen, um jegliche Unternehmen aus verschiedensten Branchen anzugreifen, wobei auch vor KMU Betrieben nicht haltgemacht wird. Die einzige Option, die dann den Unternehmen bleibt, um nicht auf die Erpressung einzugehen, ist die Wiederherstellung der Daten. Auch neue Trends im Zeitalter der Digitalisierung stellen ein breites Spektrum an Herausforderungen dar, da sich mit den neuen Technologien auch neue Angriffe entwickeln. So ist immer häufiger von einer fortgeschrittenen, anhaltenden Bedrohung (Advanced Persistent Threat, APT) auszugehen. Unter APT wird ein ausgeklügelter, langfristiger Cybe-Angriff verstanden, bei dem ein Angreifer über einen längeren Zeitraum unbemerkt in ein Netzwerk eindringt, um unternehmenskritische Daten zu stehlen. Solche APT-Angriffe sind sorgfältig geplant und darauf ausgelegt, die Organisation zu infiltrieren, bestehende Sicherheitsmassnahmen zu umgehen und unentdeckt zu bleiben, bis das Ziel erreicht wurde.

Unter der Berücksichtigung der zunehmend ausgereifteren Angriffen und besonders der Gefahr, dass die Angreifer sich bereits über mehrere Monate hinweg im Netzwerk und den Systemen befinden, sind die bisher bekannten Desaster Recovery Konzepte auf ihre Wirksamkeit zu hinterfragen. Kann nun bei Eintritt eines Sicherheitsvorfalls dem Backup vertraut werden? Wie lange befindet sich der Angreifer bereits auf den Systemen und wie weit reicht das Backup zurück? Zusammengefasst kann in solch einer Situation dem Desaster Recovery Plan nicht vertraut werden! Ganz nach der Vorgehensweise «assumption of compromise» (englisch für «Vermutung der Kompromittierung») gehen wir im Verlauf dieses Blogs auf eine Möglichkeit ein, wie das Desaster Recovery in Zukunft auszusehen hat, um der Gefahr von solchen APTs entgegenzuwirken.

Was ist Desaster Recovery? Wieso hilft hier gerade ein klassisches Desaster Recovery nicht?

Der Zweck einer Desaster Recovery Planung besteht darin, ein Unternehmen dabei zu unterstützen, im Falle einer Störung weiterhin kritische Dienste anbieten zu können und eine katastrophale Unterbrechung der Aktivitäten zu überleben. Es geht darum die Verfügbarkeit unter den Informationssicherheitszielen zu gewährleisten, wobei es meistens eine der letzten Massnahmen eines Unternehmens ist, da alle vorgelagerte, erkennende und schützende Massnahmen nicht gegriffen haben. Häufig anzutreffende Konzepte in der Praxis beinhalten ein ausgelagertes Backup in separate Lokationen, zusätzliche Sicherung auf Tapes oder womöglich die Auslagerung des Backups zu einem Provider mit Ransomware Schutz. Fakt ist, dass diese Massnahmen gegenüber APTs nutzlos sind, da meistens bei einem Vorfall die genaue Dauer seit dem Eindringen des Angreifers nicht bekannt ist. Wird in so einem Fall eine Wiederherstellung durchgeführt, so muss stark davon ausgegangen werden, dass der Angreifer nach wie vor Zugriff auf die Systeme hat und seinen Angriff fortsetzen kann. Doch was kann man dagegen unternehmen?

Was verstehen wir unter Cyber Desaster Recovery? Was gilt es zu berücksichtigen?

Während bei einem gewöhnlichen Desaster Recovery jeweils das Backup in die produktive Umgebung wiederhergestellt wird, ist der Unterschied zum Cyber Desaster Recovery, dass die Wiederherstellung in die produktive Umgebung nicht möglich ist, da davon ausgegangen wird, dass sie kompromittiert ist. Abhängig vom Ziel, welches das Unternehmen bei so einem Sicherheitsvorfall verfolgt, existieren aus unserer Sicht zwei mögliche Handlungsoptionen.

Handlungsoption 1 wäre die klassische Wiederherstellung der Anwendungen aus dem Backup in die produktive Umgebung. Entscheidet sich ein Unternehmen für diese Option, so muss stark davon ausgegangen werden, dass die Wiederherstellung nach kurzer Zeit wieder durchgeführt werden muss. Vorteile dieser Option sind die kurzen Wiederherstellungszeiten der Anwendungen aufgrund geringer Komplexität sowie die Vermeidung von zusätzlichem Betriebsaufwand für eine abgetrennte System- und Netzwerkinfrastruktur. Langfristig ist das jedoch nicht die beste Lösung.

Handlungsoption 2, die langfristige Cyber Desaster Recovery Lösung, würde bei solch einem Sicherheitsvorfall die Wiederherstellung der Anwendungen in eine abgetrennte System- und Netzwerkinfrastruktur vorsehen. Im Vergleich zur Handlungsoption 1 würde die Cyber Desaster Recovery Variante den Aufwand für das wiederholte Wiederherstellen der Systeme ersparen und das Risiko zur erneuten Kompromittierung reduzieren. Auf der anderen Seite steigt dafür die Komplexität des Wiederherstellungsprozesses der Anwendungen und somit deren Wiederherstellungszeiten. Ebenfalls ist durch den Betrieb einer abgetrennten System- und Netzwerkinfrastruktur mit einem höheren Betriebsaufwand zu rechnen.

Um herauszufinden, welche der beiden Optionen für Sie nun in Frage kommt, haben wir Ihnen nachfolgend die wichtigsten Entscheidungskriterien aufgelistet.

Welche Option am Ende gewählt wird, liegt an der gemeinsamen Entscheidung von Business und IT.

Damit ein Cyber Desaster Recovery im Unternehmen aufgebaut werden kann, sind folgende Vorbereitungsaufgaben zu treffen:

Beide Vorbereitungsaufgaben werden wir uns innerhalb dieses Blogbeitrages noch etwas genauer anschauen, um so das Verständnis zum Cyber Desaster Recovery diesen zwei Aufgaben zu schärfen.

cyber security

cyber security

Wir stehen Ihnen bei allen Fragen zur IT-Sicherheit zur Seite

Lesen Sie hier mehr

Cyber Recovery Infrastruktur

Um das vorgängig beschriebene Szenario lösen zu können, ist es essenziell, dass für das Cyber Desaster Recovery eine möglichst abgetrennte System- und Netzwerkinfrastruktur betrieben wird. Wichtig dabei ist, dass auch an die notwendige Infrastruktur für die Clients gedacht wird. Diese sollte ebenfalls für einen Desaster Fall vorgehalten werden.

Bei dem Design der Cyber Recovery Infrastruktur ist es wichtig den Umfang im Voraus zu definieren. Anhand dieser Informationen kann bestimmt werden, wie gross die Umgebung sein muss oder mit anderen Worten ausgedrückt, wie viel Rechenleistung und Speicher in der abgetrennten Umgebung vorgehalten werden muss. Im Grundsatz empfehlen wir diese Umgebung so klein wie nur möglich zu halten, um so den Betriebsaufwand möglichst gering zu halten. Im Idealfall fokussiert sich der Umfang auf die essenziellen, businesskritischen Anwendungen und deren Systeme ihres Unternehmens.

Der nächste wichtige Aspekt im Zusammenhang mit der Cyber Recovery Infrastruktur betrifft die Isolation dieser Umgebung. Dazu stellen sich zwei Fragen, die Sie für sich zu beantworten haben:

Beide vorgängig angesprochene Punkte haben einen grossen Einfluss auf den Betriebsaufwand. Immerhin muss berücksichtigt werden, dass der Betrieb (Patching, Lifecycle, etc.) für die Cyber Recovery Infrastruktur genauso wie für die produktive Umgebung gewährleistet werden muss.

Was auf keinen Fall vergessen gehen darf, ist der dritte Aspekt der Cyber Recovery Infrastruktur. Die abgetrennte Umgebung muss über einen Active Directory Service verfügen. Ohne ist der Betrieb nicht möglich.

Für die Umsetzung einer Cyber Recovery Infrastruktur ist die Berücksichtigung eines Cloud Anbieters durchaus sinnvoll. Mit dem Aufbau der Umgebung in der Cloud kann der Verwaltungsaufwand der Management Systeme für die Cyber Recovery Infrastruktur auf ein Minimum reduziert werden. Viele Betriebsaufgaben, die bei einer On-Premises Lösung aufkommen, fallen bei einer Cloud-Lösung weg.

Cyber Recovery Pläne

Die zweite Vorbereitungsaufgabe sieht die Erarbeitung von Cyber Recovery Plänen vor. Zu diesem Punkt gilt, dass pro Applikationsverbund, Desaster Recovery Pläne definiert werden sollen. Das Ziel der Pläne soll es sein, bei Eintritt des Desaster Falls der IT-Abteilung in Form einer Schritt für Schritt Handlungsanleitung zu dienen. Ausschlaggebend ist jedoch, dass im Vergleich zu den gewöhnlichen Recovery Plänen, sich die Cyber Recovery Pläne nicht nur auf den Wiederherstellungsprozess der Systeme aus dem Backup verlassen. In solch einem Fall ist es erforderlich, dass der Cyber Recovery Plan eines Applikationsverbunds aufzeigt, wie das Backup aus verschiedensten Quellen zusammengesetzt werden kann. Das Prinzip haben wir nachfolgend abgebildet.

Klassisches Desaster Recovery Cyber Desaster Recovery

Ein weiterer zentraler Punkt, welcher zwingend in die Cyber Recovery Pläne muss, ist die Auflistung der Abhängigkeiten, die Anwendungen zu anderen Systemen aufweisen. Es ist essenziell diese Abhängigkeiten klar zu definieren, um so im Bilde zu sein, welche Anwendungen zusätzlich wiederhergestellt oder vorhanden sein müssen, um die volle Funktionalität der businesskritischen Applikationen zu gewährleisten.

Wie wir Sie unterstützen können

Die Überarbeitung des Desaster Recovery Konzepts erfordert viel mehr als nur den Aufbau einer zweiten abgetrennten Infrastruktur an einer zweiten Lokation. Zusätzlich müssen auch Business Continuity Plan (BCP) Aspekte hinterfragt und entsprechend den neuen Cyber Recovery Plänen überarbeitet werden. Das sind unter anderem Punkte wie:

Wichtig zu hervorheben ist, dass je nach Komplexität der Organisation ein oder mehrere Pläne für die verschiedenen Aspekte von BCP und Desaster Recovery erstellt werden können. Diese Pläne müssen nicht unbedingt in einen einzigen Plan integriert werden. Allerdings muss jeder Plan mit den anderen Plänen übereinstimmen, um am Ende eine tragfähige BCP-Strategie zu haben.

Wie festzustellen ist, müssen wie bei jeder technologischen Umstellung auch bei der Anpassung des Desaster Recovery Plans einige technische, administrative sowie operative Hürden überwunden werden – wir unterstützen Sie dabei gerne.

Mit unserem breiten Know-how und den Erfahrungen aus verschiedenen Projekten bei verschiedenen Firmen können wir Ihrem Unternehmen helfen, die Herausforderungen zu meistern und dank den Vorteilen die Sicherheit zu verbessern. Wir sind in der Lage die richtigen Mitarbeiter entsprechend abzuholen und einzubeziehen, so dass ihr Desaster Recovery Plan auch den neusten Gefahren aus dem Internet standhält. Nur mit den richtigen Rollen, den richtigen Prozessen, dem entsprechenden Engagement und einem durchdachten Konzept können die zusätzlichen Sicherheitsmassnahmen auch operativ in einem sinnvollen Rahmen betrieben werden.

Kontaktieren Sie uns

atrete verstärkt das Team Cyber Security

Das IT-Beratungsunternehmen atrete verstärkt sein Beraterteam mit Aldo Richner.

Aldo Richner
Aldo Richner, Consultant

Aldo Richner ist seit 1.10.2021 neu im Cyber Security Team als Consultant tätig. Er hat mehrjährige Erfahrung als System Engineer. Sein Fokus lag zuerst auf dem Betrieb und der Weiterentwicklung der IT Infrastruktur sowie die Durchführung von komplexen Changes von Sourcing Infrastrukturen. In den letzten Jahren übernahm er vermehrt Aufgaben im Bereich Cybersecurity. Aldo Richner besitzt einen Fachhochschulabschluss der FHNW in Wirtschaftsinformatik (BSc) sowie Zertifizierungen im Requirements Engineering (IREB Foundation), ITIL Foundation in IT Service Management. Derzeit ist er in Ausbildung für das «CAS Cybersecurity und Information Risk Management» der FHNW.