Deep-Dive mit Siemens: Chancen & Challenges von Zero Trust
Siemens setzt bei IT- & Cyber-Security als eines der ersten Unternehmen auf einen Zero Trust-Ansatz. Welche Chancen ergeben sich daraus für die Sicherheit des Konzerns und für die Weiterentwicklung seiner Produkte? Können auch mittelständische Unternehmen das Konzept für sich nutzen und welche Stolpersteine sollten sie dabei umgehen? Darüber diskutierte unser Kollege Dr. Jan Ciupka, der Siemens bei der Umsetzung begleitet, mit Thomas Müller-Lynch, Global Director Digital Identities für IT bei Siemens.
In den Medien liest und hört man immer wieder von Cyber-Angriffen auf Unternehmen. Siemens setzt in Bezug auf Cyber-Security auf Zero Trust. Inwieweit kann das Konzept besser schützen?
Thomas Müller-Lynch: Früher haben wir wie andere Unternehmen auch auf Perimetersicherheit gesetzt: Mitarbeiter:innen haben sich in das Intranet eingeloggt und hatten damit Zugriff auf alle Informationen und Anwendungen. In dem Fall ist das Intranet wie ein Burggraben, der das Unternehmen schützen soll. Schafft es aber jemand von außen über diese Grenze, hat auch er Zugriff auf alles. Und auch Ransomware, die einmal im Intranet ist, kann sich ungehindert ausbreiten. Mit Zero Trust prüfen wir dagegen bei jedem Zugriffsversuch die Identität von Usern und auch Devices. Der Schutz ist hier also um ein Vielfaches höher. Außerdem lösen wir so unser Intranet ab und werden viel flexibler, weil Zugriffe nicht wie früher beim Rechner im Büro allein vom Netzwerk abhängen.
Dr. Jan Ciupka: Der Zero Trust-Ansatz sollte allerdings nicht wörtlich verstanden werden. Es heißt nicht, dass es „gar kein Vertrauen“ gibt, sondern meint, dass Vertrauen nicht grundlos erteilt wird. Jeder Datenfluss muss durch Authentifizierung und Autorisierung seine Legitimität nachweisen, egal ob Nutzer:innen auf eine Applikation zugreifen, ob Maschinen oder Server miteinander kommunizieren oder es Services, Sensoren oder Funktionen sind. Der Zugriff wird dabei dynamisch auf Basis einer intern festgelegten Risikobewertung gewährt. Neben der höheren Sicherheit bringt das für Unternehmen noch weitere Vorteile, z. B. lassen sich organisatorische Veränderungen schneller umsetzen, weil die IT-Umgebung flexibler wird, und durch die damit verbundene Modernisierung der IT lassen sich langfristig Kosten reduzieren.
Thomas Müller-Lynch ist Global Director Digital Identities für IT bei Siemens und verantwortet neben zahlreichen Cyber-Security- & IT-Infrastruktur-Projekten die Themen Zero Trust und Digitale Identitäten. Als Programm-Manager war er zudem für die globale Implementierung von Office 365 und Microsoft Cloud Security bei Siemens verantwortlich. Thomas Müller-Lynch gestaltet seit über 25 Jahren die Entwicklung dieser Themen bei Siemens mit und berichtet darüber als Speaker auf Fachkonferenzen.
Wenn Zero Trust so viele Vorteile bietet, warum setzen nicht längst alle Unternehmen darauf?
Ciupka: Das Konzept ist zwar nicht neu, es hat aber etwas gedauert, bis die Wichtigkeit des Zero Trust-Prinzips von Unternehmen verinnerlicht und fundiert in ersten Produkten und Lösungen umgesetzt wurde. Hinzu kommt, dass Zero Trust ein Architekturbild ist und keine Technologie, die man einfach einführen oder zu der man kurzfristig migrieren kann. Die Integration von Prozessen, Systemen und Infrastruktur benötigt Zeit. Außerdem muss eine Reihe von Voraussetzungen erfüllt sein, z. B. Transparenz über alle im Unternehmen vorhandenen physikalischen und virtuellen Assets, Prozesse und die bestehenden IT-Security-Maßnahmen. Dass Siemens hier schon so weit ist, liegt aus meiner Sicht daran, dass hier das Thema Cyber-Security schon lange einen hohen Stellenwert hat, darin frühzeitig investiert und so der Weg für Zero Trust geebnet wurde.
Müller-Lynch: Tatsächlich sind wir die ersten Schritte in diese Richtung schon früh gegangen. Unter anderem haben wir zusammen mit Comma Soft 2013 begonnen, unser altes Active Directory zu konsolidieren und zu modernisieren, um unsere Angriffsfläche zu verringern. 2017 folgte die Einführung von Office 365 und kurz danach das „Enhanced Microsoft Security“-Projekt. Auf dieser Basis hatten wir für Office 365 bereits damals Zero Trust umgesetzt, ohne es so zu nennen. Daraus hat sich dann das globale Zero Trust-Programm für Siemens entwickelt. Hätten wir aber nicht schon vor ein paar Jahren mit dieser Reise begonnen, hätten wir heute nicht die skalierbare und sichere Office-Landschaft, die wir weltweit nutzen, und wären in einem pausenlosen Wettrennen, um Cyber-Angriffen zu entkommen. Wie eben gesagt, ist es aber auch bei uns ein Ongoing Process und kein Big Bang. Insgesamt soll immer mehr in der Cloud stattfinden, weiter optimiert und Zero Trust auch in Operational Technology (OT) umgesetzt werden.
Cloud-Journey bei Siemens: Cyber-Security-Pioniere auf dem Weg zum „Next Big Thing“
„Früher galt die Cloud als unsicher, heute findet Security-Entwicklung genau dort statt,“ sagt Thomas Müller-Lynch von Siemens. Wie er den Weg in die Cloud mit […]
Was bringt es, wenn Zero Trust auch in Operational Technology umgesetzt wird?
Müller-Lynch: Bei Cyber-Security denkt man meist an Angriffe von Menschen. Aber auch die Kommunikation zwischen Maschinen ist relevant. Für echte Sicherheit muss die Identität für User, Devices, Server und Apps holistisch sichergestellt werden. Auch die von Maschinen in Fabriken. Das Problem ist, dass hier oft über 15 Jahre alte Technologien auf moderne IT treffen. Damit Zero Trust umgesetzt werden kann, braucht es also neben der Modernisierung der IT-Landschaft auch eine Modernisierung der Operational Technology in Fabriken.
Ciupka: Oder eine stärkere Verschmelzung von IT- und OT-Lösungsanbietern, die miteinander kooperieren und gemeinsame Standards einhalten. In jedem Fall ist sowohl die Unterstützung der gesamten IT-Organisation eines Unternehmens als auch eine langfristige Planung notwendig. Diese Komplexität und der Aufwand erscheinen oft als kaum überwindbare Hürde und schrecken zunächst ab. Der Weg lohnt sich aber, da letztendlich die Daten des ganzen Unternehmens geschützt werden. Und wie will man ohne diese Daten Prognosen erstellen, Prozesse automatisieren und KI-Cases umsetzen? Die IT-Security geht damit einher, sie schafft die sichere Basis für Fortschritt und Innovationen.
Stellt sich da nicht die Frage, ob sich Unternehmen mit einem solchen Projekt nicht übernehmen? Gerade mit Blick auf den Mittelstand?
Müller-Lynch: Es ist klar, dass ein Konzern wie Siemens von den Kapazitäten her ganz anders aufgestellt ist als ein Mittelständler. Aber auch wir haben Unterstützung: Hyperscaler wie Microsoft und Zscaler entwickeln Lösungen, die wir beispielsweise nutzen. Zugegeben müssen wir hier auch Anpassungen vornehmen. Ein junges Produkt funktioniert vielleicht schon für 300 User, wir haben aber tausendmal mehr. Wenn eine Lösung noch nicht enterprisefähig ist, muss sie erst weiterentwickelt werden, bevor wir sie nutzen. Dabei holen wir uns weitere Unterstützung von Partnern wie Comma Soft.
Ciupka: Stimmt, hier kommen meine Kolleg:innen und ich gerne dazu und finden Kniffe, mit denen sich Technologien weiterentwickeln und bedarfsgerecht anpassen lassen. Nimmt man dieses Beispiel, heißt das aber auch, dass es moderne Lösungen gibt, die im Mittelstand funktionieren können und dass man als Mittelständler von den Erfahrungen im Enterprise-Umfeld profitieren kann. Und: Was ich nach oben skalieren kann, kann ich natürlich auch nach unten skalieren.
Man darf auch nicht außer Acht lassen, dass Zero Trust zwar eine längere Reise ist, Erfolge aber nicht erst am Ende sichtbar werden. Mit MVPs gelingt eine schnelle Wirksamkeit und Operationalisierung. Strategische Zwischenziele helfen zudem, die Wirtschaftlichkeit, die gerade bei Security-Projekten eine große Rolle spielt, nicht aus den Augen zu verlieren. An ihnen lassen sich Verbesserungen im Bereich Security, Identity & Access Management, Monitoring und Authentifizierung erkennen, auch wenn noch nicht alles auf Zero Trust umgestellt wurde. Am Ende des Tages sind es die vielen kleinen Schritte, die ein Unternehmen nachhaltig voranbringen.
Welche weiteren Lessons Learned gibt es, von denen andere Unternehmen profitieren können?
Müller-Lynch: Nicht zu viel auf einmal vornehmen. Lieber in kleinen Schritten vorgehen. Was natürlich Geduld erfordert, aber am Ende zu einem soliden Ergebnis im gesamten Unternehmen führt. Also erst den Scope überlegen und schauen, an welcher Stelle was zuerst sinnvoll eingeführt oder modernisiert werden soll. Ganz nach dem Motto: Think big, start small. Außerdem sollte man aus meiner Sicht nicht nur auf einen einzigen Provider oder Partner vertrauen. Eine Lizenz für alles gibt es nicht, dafür sind Unternehmen und auch das Unterfangen „Zero Trust“ zu individuell. Und nicht zuletzt ist ein Partner mit Erfahrung hilfreich: Erfahrung in der Technologie, in der Architektur und in der individuellen Umsetzung. Denn Zero Trust und Cyber-Security als Ganzes sollte immer individuell ein- und fortgeführt werden.
Sie möchten mehr darüber erfahren, wie Siemens und andere Unternehmen die Themen Zero Trust und Cyber-Security angehen oder wünschen sich selbst Unterstützung bei der Umsetzung? Sprechen Sie gerne mit Dr. Jan Ciupka und seinen Kolleg:innen: Hier können Sie Kontakt mit ihnen aufnehmen.