Die digitale Transformation ist ohne entsprechendes Sicherheitskonzept nicht denkbar. Allerdings bedarf es neuer, gesamtheitlicher Konzepte, weiß Irene Marx von Zscaler, die die vernetzen Realität heutiger Unternehmen abdecken und schützen. [...]
Es scheint ein Widerspruch in sich zu sein: Einer der Grundpfeiler der Digitalisierung ist die Vernetzung. Liest man aber entsprechende Studien, wie die aktuelle SANS 2019 State of OT/ICS-Cybersecuritystudie sind es just „Digitalisierungstechnologien“ wie die Cloud, mobile Endgeräte oder drahtlose Netze, die das größte Cybersicherheitsrisiko darstellen.
Um diesen scheinbaren Widerspruch beantworten zu können, erklärt Irene Marx, Area Manager Alpine bei Zscaler (sprich sie-skela), müsse man sich die angesprochene Cloud-Transformation und -Sicherheit näher ansehen. Früher sei die Netzwerk-Infrastruktur eines Unternehmens so aufgebaut gewesen, dass alle Anwendungen im physischen Rechenzentrum des Unternehmens versammelt und sich alle Mitarbeiterinnen und Mitarbeiter im Unternehmensnetzwerk befanden. „Das ›gefährliche‹ Internet war draußen und es galt, das Firmennetzwerk vor den äußeren Gefahren abzuschirmen,“ blickt Irene Marx zurück. Diese Zeiten der klassischen Security seien überholt. Mobile Mitarbeiter greifen von unterwegs, z.B. von einem Kaffeehaus oder einem anderen Unternehmen, auf die Daten zu, die Vernetzung über das Internet mit der Außenwelt ist ein Fakt. Aber natürlich müsse der harte Kern der Unternehmensdaten nach wie vor geschützt werden.
Erst die Infrastruktur, dann die Security
Was ist also zu tun? „Wichtig ist zunächst einen Schritt zurückzugehen, bevor man sich eine Cloud- oder Security-Strategie überlegt. Die Frage ist doch, wenn sich alles außerhalb des Unternehmensnetzwerkes abspielt, was bedeutet das für das Netzwerk?“, fragt Marx und liefert auch gleich die Antwort: „Es braucht eine komplett neue Infrastruktur, welche die geforderte und entsprechende Performance liefert.“ Es sei also zuerst das gesamte Konzept zu überdenken und dann die entsprechende Security zu planen. „In vielen Unternehmen ist es doch so“, erzählt die Security-Expertin, „es gibt ein Netzwerk-Team, ein Security-Team, ein Application-Team, alle haben ihre eigene Strategie, ihre eigenen Konzepte und Digitalisierungspläne, aber sie sprechen nicht miteinander.“ Irene Marx sieht es als Aufgabe von Zscaler alle an einen Tisch zu bringen und mit Nachdruck darauf hinzuweisen, dass ein integriertes Transformationskonzept gefragt sei. „Im Rahmen der digitalen Transformation muss es ein komplett neues über Security, Netzwerk und Applikationen übergreifendes Konzept geben – und zwar bevor man die Daten in die Cloud verlagere oder die Verwendung von Office 365 beschließe.“
Awareness schaffen
Security ist nicht mehr „nice to have“, sondern ein existentielles Thema für Unternehmen. Dank Medienberichten hat sich die Sensibilisierung zum Thema Security erhöht und ist mittlerweile auch in der Chefetage angekommen. Die Zuständigkeiten haben sich verändert. Wo früher noch die IT strikte Regeln vorgab, was unhinterfragt von Mitarbeitern zu tun ist, wollen diese heutzutage von überall aus auf die Daten zugreifen und sich einer nutzerfreundlichen Bedienung erfreuen. Laut einer von Zscaler in Auftrag gegebenen Umfrage bei 400 Unternehmen in Europa, berichteten mehr als die Hälfte dieser Betriebe, dass mittlerweile über 72 Prozent der Mitarbeiter über ihre mobilen Geräte auf Firmendaten zugreifen. Deswegen spricht Zscaler zunächst mit dem C-Level (CEO, CIO, CFO etc.), um dort Konzepte zu erarbeiten, die dann den einzelnen Abteilungen kommuniziert werden müssen, die man wiederum, wie erwähnt, miteinander vernetzen muss.
So gut wie alle Erhebungen und Umfragen weisen den Mitarbeiter, die Mitarbeiterin eines Unternehmens als höchstes Sicherheitsrisiko aus. Das sieht auch Irene Marx so und verweist auf nötige Mitarbeiterschulungen, die helfen, die Awareness zu erhöhen. In der Geschäftsführung ist zudem die Awareness durch Compliance-Anforderungen wie die Datenschutzgrundverordnung (DSGVO) definitiv gestiegen, obgleich der Datenschutz nicht so sehr ein technologisches als vielmehr ein organisatorisches, prozessorientiertes Thema sei, wie Marx anmerkt.
So wichtig Awareness auch ist, muss gleichzeitig darauf geachtet werden, dass die Technik derart ausgebaut ist, dass Mitarbeiter überhaupt keine unüberlegten Sachen machen können. Einerseits hilft Automatisierung. So spielt Zscaler täglich 120.000 Updates vollautomatisiert, ohne menschliches Zutun ein. Andererseits regeln entsprechende Permissions, wer worauf zugreifen und wer mit wem kommunizieren darf. Wer auf eine Seite mit bösartigem Code zugreifen will, kann dies nicht, da diese schon im Vorhinein geblockt ist. Wenn ein Anwender oder ein Partnerunternehmen keine Rechte besitzt, von außerhalb auf eine Anwendung im Netzwerk oder der Cloud zuzugreifen, ist diese auch nicht sichtbar für ihn. Eine autorisierte Verbindung wird durch Cloud-basierte Policies und einem sicheren Tunnel hergestellt womit ein wesentlich erhöhtes Sicherheitskonzept erreicht wird. „Was nicht gesehen wird, kann nicht angegriffen werden,“ fasst es Marx prägnant zusammen. Denn der wichtigste Grundsatz von Zscaler lautet: Unternehmen müssen ihre Abwehr- und Kontrollmechanismen dort einrichten, wo die Verbindungen stattfinden: im Internet.
Gegenwärtig kann man über eines von 100 Datacentern weltweit in die Cloud gehen, wo die „Security“ in Form der genannten Abwehr- und Kontrollmechanismen greift. Dies wird über die beiden Zscaler-Produkte Zscaler Internet Access und Zscaler Private Access bewerkstelligt.
Sicherheit für die Region Alpine
Als Area Manager Alpine ist Irene Marx für Österreich und die Schweiz zuständig. Die Frage, ob es nicht kompliziert sei so unterschiedliche Länder mit unterschiedlichen Währungen, eines Mitglied der EU, das andere nicht, als einen Markt zu behandeln, verneint Marx entschieden: „Es ist unabhängig von der Währung, es ist unabhängig von der Mentalität oder Kultur, es geht um Unternehmen, die schützenswerte Daten und die dafür nötige Sicherheit haben wollen.“ Die beiden Zscaler-Kunden Siemens (global) oder Mondi (Österreich) haben die gleichen Security-Herausforderungen, dabei spielt nicht einmal die Branche eine große Rolle. Es sei hinsichtlich der Security unbedeutend, ob es sich um einen Produktionsbetrieb oder eine Bank handele, weiß Marx.
Wichtig ist ihr, dass die europäischen Datenschutzauflagen eingehalten werden und der Kunde die Wahl unter nahegelegenen Zscaler-Knoten in der Schweiz, Frankfurt oder Amsterdam hat mit Ausbauplänen für Österreich.
Zscaler: Partner der digitalen Transformation
Ein wesentliches Konzept von Zscaler ist es, Unternehmen tatsächlich mit seinen Solution Architects als Partner von Beginn an bei der Transformation zu begleiten. Zusätzlich gibt es sogar eine eigene Abteilung, die bestehende Kunden betreut und einmal im Quartal nachsieht, ob alles zufriedenstellend funktioniert und ob gekaufte Services auch tatsächlich eingesetzt werden. „Oft gibt es viel mehr Funktionalitäten als die Kunden nutzen oder die Funktionalitäten werden nicht bestmöglich eingesetzt“, erklärt Irene Marx diese Maßnahme. Auch hier setzt die Managerin auf regionale Betreuung. So gebe es einen neuen Mitarbeiter, der ausschließlich für die Region Alpine zuständig ist und darauf achtet, dass alles vom Rollout bis zur richtigen Implementierung in bester Weise funktioniert. Unternehmen würden entsprechend ihres jeweiligen Standes bei der Digitalisierung konsequent begleitet bis die Transformation zu 100 Prozent vollzogen ist, so Marx.
Dabei spielen Partner eine große Rolle, da bei Zscaler nichts direkt, sondern alles über Partner verkauft wird. Je nach Konzept und Größe des Endkundens hat der Partner eine größere oder kleinere Rolle, tritt aber immer gemeinsam mit Zscaler auf. Auch die Rolle von Zscaler variiert dabei, wie Marx feststellt: „Es gibt hier große Projekte, wo wir oft nur ein Rädchen sind – manchmal sind wir aber der Treiber.“ Jedenfalls will Marx Zscaler in ihrer Region noch viel bekannter machen, hilfreich dabei sei die von Zscaler organisierten Endkundenkonferenzen namens Zenith Live (2018 in London, 30.9.–2.10. 2019 in Lissabon).
Mehr als Security in der Cloud
Zscaler ist nicht nur Anbieter von Securitylösungen in der Cloud, sondern hilft auch beim Erarbeiten neuer gesamtheitlicher Transformationskonzepte über die entsprechenden Abteilungen (Applikationen, Netzwerk, Security) hinweg, denn, so Marx, „das Internet ist das neue Firmennetzwerk und das ist entsprechend abzusichern.“
Der Artikel ist in transform! 02/2019 erschienen.
Be the first to comment