Siemens rüstet sich mit einer von Microsoft-Sicherheitslösungen unterstützten Zero-Trust-Strategie für die Zukunft

Das Münchner Unternehmen Siemens ist im Kern ein Ingenieursunternehmen, das seinen Erfindungsreichtum in verschiedensten Branchen wie digitale Unternehmenslösungen, Transportwesen, Gebäudesicherheitsanlagen und vielen weiteren einsetzt. Sicherheit untermauert diese Innovation und schützt die wichtigen Forschungs- und Entwicklungsinformationen, die für den anhaltenden Erfolg von Siemens entscheidend sind. Niederlassungen in 200 Ländern auf der ganzen Welt und sich ständig weiterentwickelnde globale Compliance- und Sicherheitsvorschriften machen Cybersicherheit jedoch zu einer komplexen Angelegenheit. 

Als Siemens von einer konsequenten On-Premises-Strategie zu einem Cloud-first-Modell wechselte, entschied sich das Unternehmen für Microsoft-Sicherheitslösungen als Basis für seinen Zero-Trust-Ansatz. Unter der Leitung eines multidisziplinären internen Teams wurde eine Reihe von Sicherheitslösungen in Microsoft 365 implementiert, wie Azure Active Directory (Azure AD) mit Conditional Access als Richtlinien-Engine, Microsoft Information Protection, Microsoft Defender for Endpoint, Microsoft Defender for Identity und vieles mehr, um die Grundlage für kontinuierliche, dynamische Sicherheitsverbesserungen zu schaffen.

Eine neue Vorstellung von Cybersicherheit für eine zukunftsfähige Cloud-Migrationsstrategie

Mit 20 Jahren Erfahrung als Cybersecurity Manager bei Siemens ist Peter Stoll, Cybersecurity Officer und Program Lead für Zero Trust bei Siemens IT Worldwide, mit den Herausforderungen seiner Arbeit bestens vertraut. „Die schiere Größe von Siemens macht es uns schwer, optimale Sicherheit zu erreichen“, erklärt er. „Wir möchten sicherstellen, dass wir von den Vorteilen neuer Technologien profitieren, daher ist der Wandel bei uns eine Konstante. Gleichzeitig haben es böswillige Akteure auf große Unternehmen abgesehen. Deshalb legen wir großen Wert auf Cybersicherheit.“

Um den umfassenden Charakter eines ganzheitlichen Cybersicherheitsprogramms bestmöglich zu koordinieren, gründete Siemens eine dedizierte Cybersecurity-Abteilung, die aus einem funktionsübergreifenden, multidisziplinären Team besteht – eine Community, wie Stoll es ausdrückt. „Cybersicherheit ist eine treibende Kraft für die Digitalisierung, den Einsatz der Cloud und vieles mehr. Sie erfordert gemeinsame Anstrengungen im gesamten Unternehmen, die Geschäfts-, IT- und Betriebsperspektiven berücksichtigt.“ Er arbeitet mit Thomas Müller-Lynch, Service Owner Lead for Digital Identity bei Siemens, zusammen, um ihre jeweiligen organisatorischen Schwerpunkte abzustimmen. „Identität ist einer der Eckpfeiler unserer Cybersicherheit der Zukunft“, bekräftigt Müller-Lynch. „Und da Cybersicherheit die Digitalisierung im gesamten Unternehmen vorantreibt, benötigen wir einen gemeinsamen Ansatz.“ Müller-Lynch engagierte sich stark für den Aufbau dieser Cybersicherheit-Community. „Das war eine Gelegenheit, bei Siemens etwas zu bewirken“, erklärt er. „Wir planten eine vollständige Einführung der in Microsoft 365 enthaltenen Sicherheitsfunktionen, um die Informationssicherheit zu verbessern.“

Dieses Unterfangen begann 2014, als Siemens seine lokalen Azure AD-Instanzen konsolidierte, um sich auf die Cloud-Migration vorzubereiten. Den Anfang machten Microsoft 365 E3 für Exchange-E-Mail und die gesamte Suite von Produktivitätsanwendungen. 2019 startete Siemens dann sein Enhanced Microsoft Security Program (EMS) und wechselte zu Microsoft 365 E5, um die erweiterten Sicherheitsfunktionen dieser Lösung zu nutzen.

Im Sinne des Gemeinschaftsgedankens rief Siemens 2018 die Charter of Trust ins Leben – eine Allianz führender globaler Unternehmen, die gemeinsam nicht nur die Cybersicherheit in ihren eigenen Organisationen verbessern möchten, sondern mit politischen Entscheidungsträgern und Sicherheitsbehörden zusammenarbeiten, um eine bessere Cybersicherheit auf globaler Ebene zu erreichen. In der heutigen vernetzten Welt beginnt Cybersicherheit zwar in jedem Unternehmen, aber sie endet nicht dort. Siemens geht mit gutem Beispiel voran und bewältigt mit seiner Zero-Trust-Initiative die nächste Etappe auf seinem Weg zur Cybersicherheit.

Voraussetzungen für Zero Trust schaffen

Siemens strebte eine Zero-Trust-Strategie an, die Echtzeit-Reaktionen über eine dynamische Sicherheitsarchitektur ermöglicht. Das bedeutete eine Änderung der Anbieterstrategie. Noch 2016 konzentrierte sich Siemens auf einen Best-of-Breed-Ansatz. „Wir wollten zunächst für jedes Problem die ultimative Nischenlösung umsetzen“, erinnert sich Müller-Lynch. „Aber das hätte zu einer überwältigenden Anzahl von Lösungen geführt, die zwar für ihr jeweiliges Metier hervorragende Funktionen bieten, aber auch heterogene Daten liefern, die sich nur schwer zu einem Gesamtbild vereinen lassen. Deshalb haben wir uns für den Best-of-Suite-Ansatz mit der Microsoft 365 E5-Lösung entschieden. Jetzt haben wir einen Überblick über unsere Umgebung, der uns dabei hilft, in Echtzeit zu reagieren und Angriffe proaktiv abzuwehren.“ Gleichzeitig profitiert Siemens auch vom Best-of-Breed-Vorteil, da mehrere Microsoft-Sicherheitslösungen von Gartner und anderen Gutachtern als führend in ihren jeweiligen Bereichen ausgezeichnet wurden.

Siemens beginnt seine Zero-Trust-Strategie mit der Sicherung von drei Bereichen: Identitäten (einschließlich des Zugriffs durch externe Parteien), Daten und Endpunkte. Dazu setzt das Unternehmen auf Azure AD, Microsoft Endpoint Manager, Microsoft Defender for Identity und Microsoft Information Protection.

Das Team begann mit der Verwaltung von Benutzeridentitäten mit Azure AD und Active Directory vor Ort, nutzte Microsoft Defender for Identity, um den Zugriff auf die lokalen Identitäten zu schützen, und wandte Conditional Access-Richtlinien an, um nicht nur Benutzeridentitäten, sondern auch Daten und Geräte zu verwalten. Die Analyst*innen von Siemens überwachen und schützen die lokalen Identitäten mit Defender for Identity und nutzen die damit gewonnenen Erkenntnisse, um die Angriffsfläche zu verringern. Das EMS umfasst auch den Azure AD-Dienst Privileged Identity Management, um den Zugriff auf Ressourcen in Microsoft 365 zu verwalten. Das Team weitet Privileged Identity Management auch auf Geräte aus, die mit Microsoft Intune (Teil von Microsoft Endpoint Manager), Azure und sogar SaaS-Apps (Software as a Service) von Drittanbietern verwaltet werden – eine wichtige Fähigkeit für ein großes Unternehmen, das mehrere Software- und Cloud-Anbieter nutzt. „Wir haben den Weg zu Zero Trust mit Microsoft-Technologie geebnet, um unsere Daten zu schützen“, erklärt Müller-Lynch. „In Zukunft werden wir immer mehr Anwendungen von Drittanbietern mit Azure AD verbinden, um die Sicherheitsstruktur anzuwenden, die wir mit Microsoft-Technologien aufgebaut haben.“

Microsoft Information Protection, eine der Schlüsseltechnologien für Zero Trust, bildet das wichtigste Datenklassifizierungstool von Siemens. Das Unternehmen nutzt es, um sensible Daten zu ermitteln, zu klassifizieren und zu schützen, und erweitert diese Ansicht dann mit Microsoft Defender for Cloud Apps, um den Datenverkehr zu kontrollieren und den Zugriff auf Siemens-Ressourcen und -Anwendungen zu verwalten. Außerdem ist es im Begriff, Microsoft Defender for Endpoint einzuführen, um Konfigurationsprobleme und Schwachstellen in Echtzeit zu lokalisieren und Bedrohungen für Endgeräte zu überwachen und zu blockieren.

Siemens konsolidiert die in der Vergangenheit isolierten Geschäftssysteme, indem es Funktionen an Microsoft 365-Apps auslagert, sodass Compliance-Teams Microsoft 365 Advanced eDiscovery-Funktionen berücksichtigen können.

Schließlich steuert das Unternehmen den externen Zugriff mit Customer Lockbox for Azure, ergänzt um den Gastzugang in Microsoft Teams, der durch Azure AD External Identities ermöglicht wird. Customer Lockbox ist eine Microsoft Azure-Funktion, die Microsoft-Kunden wie Siemens um die Erlaubnis für den Zugriff auf Kundendaten bittet, falls Microsoft-Techniker*innen im Rahmen des Supports auf ihre Daten zugreifen müssen. Darüber hinaus bietet diese Funktion umfangreiche Berichte zu Zugriffsanfragen und darüber, ob diese Anfragen genehmigt oder abgelehnt wurden. Siemens fügt Defender for Endpoint hinzu, um ein vereinfachtes Sicherheitskonzept für seine Endgeräte zu erreichen, das Bedrohungen für Geräte erkennt und darauf reagiert. Mobile Application Management Without Enrollment (MAM-WE) in Microsoft Intune dient als zusätzliche Schutzebene für hochvertrauliche Daten, um Unternehmensdaten auf den Geräten der Siemens-Benutzer zu schützen. Die Lösung kann diesen Schutz auf alle Bereiche ausweiten, in denen sich Siemens-Daten befinden – auf Anwendungsbenutzer an allen Standorten, auf IoT-Geräte in der Fabrikhalle, auf Mitarbeitergeräte und auf die Daten selbst.

Führen durch Sicherheit

Trotz der einfacheren Lizenzierung, die Siemens ein Netz von koordinierten Sicherheitslösungen von einem einzigen Anbieter eröffnet, liegt für Müller-Lynch und Stoll auf der Hand, welche Vorteile sie am meisten schätzen. „Es stimmt, dass wir intern über Zero Trust als Kosteneinsparungsprojekt diskutiert haben, aber wir sind uns darüber im Klaren, dass es viel mehr als das ist“, betont Müller-Lynch. „Natürlich freuen wir uns über jede Kostenersparnis, die wir erzielen können, aber die Sicherheit steht im Vordergrund.“ Dem stimmt Stoll zu. „Sicherheit ist keine Frage der Kosten“, erklärt er. „Und eine detaillierte Sicherheitsstrategie ist der erste Schritt in Richtung Zero Trust. Wir nutzen das Microsoft-Ökosystem als Blaupause für unsere Sicherheitsplanung.“ Das zeigen auch die kontinuierlichen Bemühungen des Unternehmens, die Charter of Trust voranzutreiben, die inzwischen 17 Mitglieder in der Europäischen Union und Asien zählt.

Siemens vertraut auf den Sicherheitsansatz von Microsoft. „Als Experte für Cybersicherheit weiß ich, dass Microsoft Sicherheit großschreibt und mit uns zusammenarbeitet, um Lösungen zu entwickeln“, so Stoll. „Microsoft nutzt großartige sicherheitsorientierte Technologien und eine solide Architektur“. Auch hier sind er und Müller-Lynch sich einig. „Nicht viele Anbieter auf der Welt können eine Lösung entwickeln, die konsolidierte Einblicke in große, komplexe Umgebungen wie unsere bietet“, fügt Müller-Lynch hinzu. „Deshalb haben wir uns für Microsoft entschieden.“

Erfahren Sie mehr über Siemens auf Twitter, Facebook und LinkedIn.