Integrated IT-Security – Handmade in Switzerland
April 25, 2017
Über die Exkursion zur Open Systems AG im Rahmen des CAS Digital Risk Management berichtet Max Keller:
Die Räumlichkeiten der Open Systems AG befinden sich in einem Industriekomplex, wo früher wohl eher die produzierende Industrie zu Hause war und von wo aus heute modernste Dienstleistungen im Bereich der IT-Sicherheit angeboten und erbracht werden. Die Büros beeindrucken mit breiten Glasfronten, die für ein Sicherheitsunternehmen unüblich transparent erscheinen. Die modern eingerichteten und mobilen Glasboxen dienen den 135 Mitarbeitenden als Arbeitsstätte. Seit 25 Jahren spezialisiert sich Open Systems auf Sicherheit und Verfügbarkeit von IT-Systemen und damit auf die klassischen Schutzziele der Informationssicherheit. Und noch nie waren diese so wichtig wie heutzutage.
Die IT rückt immer weiter in das Zentrum der Wertschöpfung vieler Unternehmen und lässt die Abhängigkeit davon weiterhin stark ansteigen. Proportional dazu nehmen die kriminellen Energien zu, die diese Abhängigkeit stets für sich zu kapitalisieren respektive auszunutzen versuchen. Doch auch die zunehmende Komplexität macht es Unternehmen schwer, sich in dem Meer von Technologien, (Sicherheits-)Anwendungen und Netzwerken zu orientieren. IT-Sicherheit hat sich zu einem lukrativen Geschäftsmodell entwickelt. Die Vielfalt an spezialisierten Anbietern ist so gross, dass ein durchschnittliches Unternehmen – gemäss Open Systems – ca. 32 unterschiedliche Sicherheitsprodukte nutzt, die nur schwer miteinander zu vereinbaren sind (teils Silolösungen):
Ebenso eine grosse Herausforderung ist es, die Anforderungen der Bereiche Business, Operations und Security in Einklang zu bringen:
Während Operations und Business ein „Common Understanding“ haben, sind die Interessen beider Bereiche stets konfliktär zu jenen der Security. Zwischen Business und Security gibt es eine „Risk Management Challenge“. Die Key Risk Indicators (z.B. Investitionen in IT-Sicherheit) und die Key Performance Indicators (z.B. gutes Betriebsergebnis, doch IT-Sicherheit steigert nicht die Produktivität) sind dabei zumeist nur schwer vereinbar. In Verbindung mit Operations gilt es eine „Security Effectiveness“ sicherzustellen, die ein ausgewogenes Verhältnis zwischen Safety (z.B. keine Nutzung von Filehosting-Diensten wie Dropbox) und Agility (z.B. Kundenconvenience durch die Nutzung von Filehosting-Diensten) schafft und regelt.
An diesen Problemstellungen setzt die Open Systems AG mit ihren Mission Control Security Services (Managed Securtiy Services) an. Durch den optimalen Mix von Best-of-Breed Lösungen (bestmögliche Lösung für jeden Anwendungsbereich) bietet das Unternehmen ganzheitliche IT-Sicherheit aus einer Hand an (“Rundum sorglos Paket”). Das Produktportfolio umfasst die Dimensionen:
- Network Security
- Firewalls
- Sichere Kommunikation durch Verschlüsselung und Authentifizierungen innerhalb von WANs (insbesondere wichtig für international tätige Unternehmen bzw. für non-governmental oranizations)
- Schutz von WLANs
- Überwachung von Netzwerken, Identifizierung von Anomalien und Ergreifung von Sicherheitsmassnahmen
- DNS-Dienste
- Speicherung von Logdaten (Forensic Readiness)
- Sichere Einbindung von Partnern in Netzwerke (Partner Connect)
- Application Delivery
- Überwachung von Zugriffen auf sowie Schutz von Web-Anwendungen durch eine Web Application Firewall
- Web Proxy zur Steuerung des Internetzugriffs von Clients (Blacklisting, URL Filtering, SSL Scanning, Malware Protection)
- Überwachung und Steuerung der Performance von Applikationen (Sicherstellen einer hohen Verfügbarkeit geschäftskritischer Applikationen)
- E-Mail Gateway (Schutz vor Spam, Phishing, Malware etc.)
- Unterteilung des Netzwerkverkehrs in Klassen und Gewährleistung einer optimalen Bandbreite für den Netzwerkverkehr zu geschäftskritischen Applikationen (Traffic Shaping)
- Identity Management
- Identity Server (Benutzer- und Zugriffsadministration, Passwortrichtlinien, Protokollierung)
- Federated Identity Management (Steuerung des Zugriffs interner Benutzer auf externe Systeme oder externer Benutzer auf interne Systeme)
- Web Single Sign-on (Einrichtung eines Entry-Servers und Ermöglichung eines einmaligen Anmeldevorganges für unterschiedliche Anwendungen)
- Strong Authentication (Ermöglichung einer Zwei-Faktor-Authentifizierung durch Hard- oder Software-Tokens)
- Global Connectivity
- Hochverfügbare sowie leistungsfähige Verbindung zu Cloud-Services durch Cloud Express
- Einrichten von providerunabhängigen WANs durch das WAN Routing
- Sicherer Zugang zum Internet (Mobile Web Security) sowie Zugriff auf Unternehmensdaten (Corporate Access) seitens mobiler Nutzer
- Erstellen taktischer Netzwerke durch spezifische, mobile Hardware (Mobile Connectivity Unit und Rack bzw. Satellite Connectivity Kit)
- Sourcing Services (Management der Internet Service Provider und Ermöglichung einer flexiblen Auswahl dieser)
- Switching (Prävention von Switch-Ausfällen)
Die Basis der ganzheitlichen IT-Services von Open Systems bildet die Service Delivery Platform. Diese besteht aus einer eigens hergestellten, dedizierten Hardware (siehe Abbildung unten) und vorinstallierten (gewünschten) Tools und Dienstprogrammen. Die Hardware kann ohne grösseren Aufwand in die eigene oder gehostete IT-Infrastruktur integriert werden (on premises) und wird durch Open Systems nach abgeschlossenem Lebenszyklus ausgetauscht. Ebenso besteht die Möglichkeit die Services via Cloud zu beziehen.
Das zweite wichtige Fundament der Services ist das Mission Control Portal. Dieses bietet weitgehende Steuerungs-, Konfigurations-, Überwachungs-, Reporting- und Kommunikationsmöglichkeiten für die genutzten Services sowie ein umfassendes Ticketing-System.
24×7 Operations ist die letzte und ebenso essentielle Komponente der Leistungen von Open Systems. Sichergestellt wird dieses “follow the sun operations concept” durch eigene Büros in Sydney, die mit Schweizer Mitarbeitenden abwechselnd in einem Dreimonatsrhythmus besetzt werden und damit 365 Tagen im Jahr kontinuierliches Monitoring und proaktive und reaktive Interventionen bei Störungen erlauben. Solche Incidents werden nach den Best-Pracitce-Ansätzen der Information Technology Infrastructure Library bearbeitet.
Zusätzlich sind es folgende Eigenschaften, mittels welcher die Open Systems eine minimale Reaktionszeit auf Störfälle sicherstellt und damit die Integrität, Vertraulichkeit und Verfügbarkeit der IT-Systeme und der Daten ihrer Kunden gewährleisten kann:
- Standardisierung – Jeder Kunde erhält die gleichen Anwendungen sowie Hardware.
- Automatisierung – Die Security Engineers arbeiten nach dem “eat your own dog food”-Prinzip. Sie entwickeln und betreiben ihre Produkte und Services zugleich, bearbeiten also auch Störfälle. Somit kennt jeder Engineer jede Anwendung. Dies führt zu einem abstrakten Automatisierungsmanagement. Zudem werden so monotone und langweilige Arbeiten schnellstmöglich automatisiert.
- Der Zugriff auf ein globales Netzwerk von «Incident Response and Security Teams» und der Austausch darin schaffen Transparenz über aktuelle und künftige Bedrohungen (Threat Intelligence). Diese werden im Rahmen der Advanced Analytics vertieft analysiert. Die Erkenntnisse werden in alle Services der Open Systems eingespeist (API, Machine Learning). So lassen sich 92% der Incidents von Maschinen abgefangen und lösen.
- Mit dem OS-CERT (Computer Emergency Response Team) sind auch schwierige Störfälle einfacher zu lösen (Incident Response).
Zuletzt sind es Zertifizierungen und Awards sowie die vernommene Offenheit und die Goodies (z.B. Aufenthalt in Sydney), die Open Systems zu einem zuverlässigen Partner respektive einem attraktiven Arbeitgeber machen.
Ein herzliches Dankeschön für den warmen Empfang und die interessanten Einsichten geht an das Open Systems-Team: Mirjam Dudler, Moritz Mann und Serge Droz.