Security

RunTheCloud: Das Erfolgsrezept der SGKB für die Cloud

Die St. Galler Kantonalbank (SGKB) durften wir schon bei der Einführung von Services aus der Microsoft Cloud begleiten. Heute wollen wir wissen, wie die Cloud-Verantwortlichen mit unserem Cloud-Dienst RunTheCloud arbeiten, wie sie mit den vielen Änderungen umgehen und welche Learnings sie mitgenommen haben. Ein Gespräch mit Serafin Thalmann, Microsoft Cloud Engineer, und Harry Preis, Applikationsverantwortlicher Teams / Microsoft 365 der St. Galler Kantonalbank.   

Serafin Thalmann, Microsoft Cloud Engineer bei SGKB

Serafin, du arbeitest bei der St. Galler Kantonalbank als Microsoft Cloud Engineer, früher als Business Analyst. Wie hat die Cloud deinen Arbeitsalltag verändert? 

Serafin: Mein Aufgabengebiet hat sich komplett verändert. Mit der Einführung von Teams bzw. dem strategischen Entscheid, den Tenant selbst zu verwalten, war klar, dass wir notwendige Skills intern aufbauen müssen. Nicht nur als Expertise gegenüber unseren Providern, sondern auch, um Services schneller und effizienter an unsere internen Kunden zu bringen. 

Ein Blick auf unsere Cloud-Journey zeigt jedoch, dass wir uns erst am Anfang befinden. 

Harry Preis, Applikationsverant-wortlicher Teams / Microsoft 365 bei SGKB

Eure Cloud-Journey hat vor etwa zwei Jahren begonnen. Seitdem habt ihr auch Microsoft Teams für Conferencing und Collaboration in ausgewählten Teams eingeführt. Harry, du bist seit Sommer 2023 für die Anwendung verantwortlich. Lass uns ein kurzes Fazit ziehen. 

Harry: Ich kann mir nicht mehr vorstellen, ohne Microsoft Teams zu arbeiten. Und wir nutzen heute noch nicht einmal das volle Potenzial dieses Services. Die Funktionalitäten, die Technik und auch das Interface verändern sich ständig. Live-Events wurden beispielsweise durch Townhalls ersetzt, und wir haben von Teams Classic auf New migriert. Es lebt – und der Mehrwert wird umso grösser, je mehr Apps wir in Zukunft freischalten. 


„Man weiss bei der Cloud nicht so genau, was alles noch kommen wird“, sagte Peter Büchi, Leiter IT (CIO) der SGKB, zu Recht in einem Interview, das wir im letzten Jahr mit ihm geführt haben.  

Tatsache ist, dass immer wieder etwas kommt – allein 100 bis 300 Benachrichtigungen seitens Microsofts monatlich, ausschliesslich über technische Anpassungen. Wie geht ihr damit um? 

Serafin: Wir waren im letzten Jahr ziemlich ausgelastet. Zum Glück setzen wir nicht alle Microsoft Services ein, denn die grösste Herausforderung bleibt, den Betrieb und die Sicherheit zu gewährleisten und mit den Neuerungen Schritt zu halten.  

Heute stehen wir mit der Cloud viel besser da. Änderungen und Aktualisierungen von MS 365 werden in Echtzeit überwacht, analysiert und kategorisiert.
— Serafin Thalmann

Heute stehen wir viel besser da – auch dank des Services RunTheCloud von MondayCoffee und Laux Lawyers. Änderungen und Aktualisierungen von Microsoft 365 werden in Echtzeit überwacht, analysiert und kategorisiert. Wir erhalten fertig aufbereitete Informationen und Handlungsempfehlungen über ein jederzeit zugängliches Portal. 

Damit minimieren wir das Betriebsrisiko durch Microsoft-Anpassungen dank qualifizierter Aufbereitung der Informationen, also priorisiert und gefiltert, und Empfehlungen. 

Harry ergänzt: Und das gilt nicht nur für uns in der IT. RunTheCloud verfügt neben thematischen Kategorien auch über Personas. Das ist eine geniale Idee. Der CISO, der Legal-Verantwortliche und der App-Owner greifen unabhängig voneinander auf das Portal zu und können on demand die Informationen und Empfehlungen bearbeiten, die ihr Fachgebiet betreffen. Natürlich sehen alle alles, aber die zielgruppengerechte Aufbereitung ist eine wichtige Zeitersparnis. Relevante Informationen landen direkt am richtigen Ort.  

Die zielgruppengerechte Aufbereitung ist eine wichtige Zeitersparnis. Relevante Informationen landen direkt am richtigen Ort.  
— Harry Preis

Unser Partner Laux Lawyers spricht in diesem Zusammenhang von einer „Shared Responsibility“. Es ist das Zusammenspiel zwischen Legal, IT, HR, Security, Compliance und den Usern, das es ermöglicht, die Opportunitäten der Cloud zu nutzen und Risiken zu minimieren. 

Serafin: Das ist absolut korrekt. Neben RunTheCloud, wo die Informationen bereits priorisiert, gefiltert und auf die Personas/Verantwortlichen verteilt werden, haben wir bei uns auch ein monatliches Change Advisory Board Cloud Services Meeting. Das ermöglicht allen Beteiligten, regelmässig an einen Tisch zu kommen und gezielt Diskussionen zu führen – sowohl zur Minimierung von Risiken als auch zur weiteren Ausschöpfung des Potenzials der Cloud. 

Wir haben uns damals für das RunTheCloud von MondayCoffee und Laux Lawyers entschieden, genau weil wir damit auf zwei Expertisen gleichzeitig zugreifen können: die technische und die rechtliche. Das ist ein Riesenvorteil – und war für unseren Compliance-Verantwortlichen ein Must. Wir müssen immer auch sicherstellen, dass wir die FINMA oder andere Regulatorien berücksichtigen werden.   

Wir haben uns damals für das RunTheCloud von MondayCoffee und Laux Lawyers entschieden, genau weil wir damit auf zwei Expertisen gleichzeitig zugreifen können: die technische und die rechtliche.
— Serafin Thalmann

 Wie hat sich RunTheCloud in den Arbeitsalltag und die üblichen Prozesse integriert? 

Harry: Es gehört zu unserem Arbeitsumfeld und ist nicht mehr wegzudenken. Persönlich finde ich auch die intuitive Nutzung toll. Beispielsweise erkennt man sofort, welche Empfehlungen für einen relevant sind. Ich kann einfach über den Browser auf das Portal zugreifen – sogar von zu Hause aus auf der Couch. Das sollte man zwar nicht tun, denn Freizeit ist Freizeit, aber die Flexibilität ist gegeben. Und technologisch ist RunTheCloud der State of the Art. 

 

Was habt ihr für Learnings/Erfahrungen aus der Pilotierung von RunTheCloud mitgenommen – was wünscht ihr euch für die Weiterentwicklung des Produkts? 

Serafin: Viele unserer Feedbacks sind in die Weiterentwicklung des Dienstes eingeflossen und werden mit dem Release der neuesten App-Version umgesetzt. Insbesondere die Collaboration-Features, die die gemeinsame interne Abklärung und Nachbearbeitung unterstützen und die Integration mit Microsoft-365-Apps sicherstellen, z. B. Planner und Teams. Auch die Integration in unserer Tenant wird  vollzogen.  

Ein Zukunftsthema werden Schnittstellen zu Umsystemen sein. Aber das kommt erst noch.  

Zurzeit sind wir happy, dass wir RunTheCloud haben. Es ist genau das, was wir gesucht haben.  

Sie wollen mehr zu RunTheCloud erfahren?

Was sicheres Arbeiten in der Cloud bedeutet

Remote und Hybrid Work haben sich nach COVID etabliert und die Arbeitswelt nachhaltig geprägt. Vernetztes Arbeiten von überall aus mit unterschiedlichsten Parteien – innerhalb und ausserhalb der Organisation – und über verschiedenste Geräte ist das Modell der Zukunft.  

Möglich macht es die Cloud. Die Migration ist in vielen Unternehmen bereits im Gange oder nur noch eine Frage des Zeitpunkts. Cloudnutzer profitieren bereits von den Vorteilen gegenüber On-Premise-Systemen, erleben aber gleichzeitig auch die Zentralität von Security, Compliance, Kontrolle, Datenschutz. Diese in den Griff zu bekommen und in Einklang zu bringen, ist eine echte Herausforderung.  

Viele der Themen können nicht allein von der IT, allein vom CISO oder allein von der Legal-Abteilung bestritten werden, sondern nur im interdisziplinären Zusammenspiel. Nehmen wir beispielsweise das wichtigste Thema "Security". 

 

Oberste Priorität: sicheres Arbeiten in der Cloud 

Früher galten robuste Datensicherheit und „9 to 5“-Büroarbeit als Standard. Die Basis bildeten separate Best-of-Breed-Systeme. Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Lieferanten und Partner gehen mit Fremdgeräten ins Netzwerk, Mitarbeitende über ihre privaten, teils nicht verwalteten Devices – zum Beispiel private Mobiles, die geschäftlich eingesetzt werden. Die zunehmende Vielfalt unterschiedlichster Geräte von unterschiedlichsten Nutzern muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten.  

Das Leben in der Cloud ist wie der Eintritt in einen neuen Markt. Das Terrain ist anders, die Spielregeln ebenso. Es lohnt sich, auf erprobte Frameworks zu setzen – angefangen beim Zero-Trust- und „Best-Practice“-Ansatz, der unter anderem folgende Prinzipien verfolgt: 

  • Secure Productivity on any Network 

  • Secure Browsing on any Device 

  • Never Trust, always Verify 

Heute wird von überall aus gearbeitet, mit unterschiedlichsten Geräten. Das muss gemanagt werden, um Risiken zu minimieren und eine sichere moderne Arbeitsweise zu gewährleisten. 



Die gleichen Fehler treten häufig auf 

In vielen Unternehmen passieren jedoch immer wieder die gleichen Fehler bei der Sicherheit. Typisch sind zum Beispiel: 

  1. Vernachlässigung grundlegender Wartung: Backups, Disaster-Recovery-Übungen und Software-Updates oder Patching von Assets werden vernachlässigt. 

  2. Gleiche Absicherung der Cloud wie vor Ort: On-Premises-Kontrollen und -Praktiken werden 1:1 auf die Cloud übertragen, anstatt ein regelbasiertes Sicherheitssystem aufzubauen. Dabei sind die Geräte und Nutzer die Hauptfaktoren für den Entscheid, was erlaubt wird und was nicht.  

  3. Artisan Security: Der Schwerpunkt liegt auf massgeschneiderten manuellen Lösungen anstelle von Automatisierung und standardisierten Tools. 

  4. «Disconnect» im Sicherheitsansatz: Sicherheitsteams, Strategien, Technologien und Prozesse für Netzwerke, Geräte und Identity arbeiten getrennt voneinander. 

  5. Mangelnde Verpflichtung zum Lifecycle: Sicherheitskontrollen und -prozesse werden als Momentaufnahmen behandelt, anstatt sie als Teil eines kontinuierlichen Lebenszyklus zu sehen. 

 

Security by Design: Sicherheit ganzheitlich gedacht 

Security ist aber kein rein technisches Thema und auch keine Eintagsfliege. Sicherheit muss in einen grösseren Kontext gestellt werden. Rechtliche Fragen, Schulungen, Sensibilisierung der Mitarbeitenden, angepasste Abläufe und ein Adoption-Programm sind ebenso entscheidend.  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen. Dazu gehören zum Beispiel das Monitoring neuer Cloud-Funktionalitäten, Veränderungen in der Bedienung oder Administration von Funktionalitäten, neue Einstellungen, aktualisierte Regulatorien oder Vertragsbedingungen. 

Microsoft-Cloud-Kunden erhalten monatlich zwischen 100 und 300 Benachrichtigungen ausschliesslich über technische Anpassungen. Neben diesen Updates gibt es auch einseitige Änderungen in den Verträgen und Sicherheitsdokumentationen sowie gesetzliche und regulatorische Neuerungen, die die Cloud betreffen. Den Überblick zu behalten und sich richtig zu verhalten, ist zeitintensiv und erfordert das Zusammenspiel unterschiedlichster Disziplinen. Wir vereinfachen Unternehmen diese Aufgabe und unterstützen sie dabei, mit der Cloud Schritt zu halten (mehr erfahren).  

Neue Prozesse müssen etabliert und im Arbeitsalltag verankert werden, um die Weichen für ein sicheres Arbeiten in der Cloud zu stellen.

   

Für klare Sicht in der Cloud 

Moderne Zusammenarbeit funktioniert nur, wenn sie sicher ist. Sicherheit kann man aber nur verstehen, wenn man die Collaboration-Szenarien und die unterschiedlichsten Arbeitsweisen kennt. Wir sind mit der Microsoft Cloud gross geworden, haben langjährige Erfahrung im Bereich Zero Trust für M365 und etablieren seit über 20 Jahren als Collaboration-Spezialisten moderne Arbeitsweisen in Unternehmen. Collaboration und Security denken wir als eine Einheit und vollumfassend. Wir kennen die Herausforderungen und typischen Fehler und wissen, wo man anfangen sollte und wie man das interdisziplinäre Zusammenspiel meistert.  

Sicher zusammenarbeiten mit Microsoft Teams: Insights für Ihr Business

Secure+Remote+Work+-+Business.gif

Mit der steigenden Anzahl von Microsoft-Teams-Nutzenden im Home-Office und unterwegs nehmen gleichzeitig die Fragen nach Datenschutz und Sicherheit zu. Auch bei unserer Kundschaft können wir das beobachten. Dabei kommen auf Management-Ebene immer wieder die gleichen Fragen auf. Unser CTO, Thomas Peyer, gibt Antworten.


Was versteht man heute eigentlich unter «sicher» im Umgang mit Informationen? 

Informationssicherheit ist tatsächlich eine recht komplizierte Angelegenheit, und nicht jeder stellt sich dasselbe darunter vor. Experten und Expertinnen sprechen von den folgenden drei «Schutzzielen», die zur Informationssicherheit beitragen – z. B. auch im Zusammenhang mit der DSGVO (GDPR): 

  • Vertraulichkeit, d. h. die Verhinderung der unbefugten Offenlegung von Informationen (beabsichtigt oder nicht)  

  • Integrität, d. h. die Verhinderung, dass Informationen durch Unbefugte verändert werden können (z. B. Phishing, Cyber Extortion etc.), und  

  • Verfügbarkeit, d. h. die Sicherstellung, dass die Informationen immer verfügbar sind. 

Jedes dieser Schutzziele enthält weitere Unterziele, die von unzähligen Sicherheitsmassnahmen umgesetzt werden. Ohne weiter ins Detail zu gehen, lässt sich zusammenfassen: Es ist keine triviale Aufgabe, eine hohe Informationssicherheit zu erlangen. 


Sind meine Daten mit MS Teams denn sicher? Sind sie genauso sicher wie auf dem Server in meinem Unternehmen?  

Die kurze Antwort ist: Ja! Mit der Verwendung von MS Teams sind Ihre Daten deutlich sicherer als mit einer Datenspeicherung auf Ihrem eigenen Server vor Ort. 

Gleichzeitig ist zu betonen, dass wir zwei recht unterschiedliche Dinge vergleichen. Der On-Premises-Server war in der Zeit vor dem allzeit verfügbaren Cloud-Computing ziemlich sicher – vor allem bei grösseren Unternehmen, die hohe Geldsummen in spezialisierte Sicherheitslösungen investiert hatten. Gleichzeitig ging man davon aus, dass die Arbeit zu 90 % innerhalb der Büroräumlichkeiten und innerhalb eines firmeneignen Netzwerks stattfand. Bei zahlreichen kleineren Unternehmen hingegen war die Datensicherheit eher prekär, wenn man genauer hinschaute. 

 Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. 


william-iven-SpVHcbuKi6E-unsplash.jpg

Heute leben wir hingegen in einer völlig anderen Realität – und diese ist durch die COVID-Pandemie noch befeuert worden. Heute können nur wenige Unternehmen davon ausgehen, dass alle Mitarbeitenden grundsätzlich nur innerhalb des Unternehmens auf Daten zugreifen. Stattdessen wollen Mitarbeitende jederzeit und auch von zuhause aus mit beliebigen Endgeräten arbeiten können. Diese immer wichtiger werdenden hybriden Arbeitsmodelle – d. h. die Kombination aus Büroarbeit mit «Remote Work» – erfordern einen besonderen Massnahmen-Mix, um Informationssicherheit zu erreichen. Teams und Microsoft 365 in Kombination enthalten bereits zahlreiche Mechanismen, um die Informationssicherheit wirksam abzudecken. 

Führt die Arbeit in MS Teams nicht zu einem viel einfacheren Abfluss von schützenswerten Daten? 

Nein, das ist nicht der Fall. Natürlich sollte man sich jederzeit seiner Aktionen bewusst sein, aber mittels gezielter Konfigurationen lässt sich ein Sicherheitsniveau erreichen, das sich noch vor wenigen Jahren nur einzelne Grossbanken leisten konnten. Davon können heute Unternehmen jeglicher Grösse profitieren. Teams ist auch deswegen eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen. Man kämpft also nicht wie früher mit unabhängigen Systemen, die alle separat geschützt werden mussten (z. B. Server, Netzwerk, Firewalls, Betriebssysteme, Identitäten, etc.). Gleichzeitig reduziert diese Integration die Komplexität und die Kosten – und erhöht die Transparenz, wenn diese benötigt wird. 

Teams ist eine sichere Plattform, weil alle Inhalte «an einem Ort», in einem integrierten System basierend auf Microsoft 365 liegen.

Wo fange ich also an, um Microsoft Teams sicher einzusetzen? 

Es gibt zwar keine Einzelmassnahme, welche absolute Sicherheit garantiert, aber manche Massnahmen haben eine besonders grosse Wirkung. So würde ich mich als Erstes um den Schutz der Benutzeraccounts und der Profile der Mitarbeitenden kümmern, um sicherzustellen, dass diese nicht missbraucht werden können (z. B. durch Multi-Factor-Schutz mit dem Mobiltelefon). 

Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee

Ein Blog-Beitrag von Thomas Peyer, CTO MondayCoffee

Darauf folgen mehrere weitere Schritte, die konzeptionell mit der Geschäftsstrategie und den bereits bestehenden technischen Rahmenbedingungen abgestimmt sein müssen. Es braucht also eine geführte Diskussion, um die für ein Unternehmen richtige Lösung umzusetzen.  

Wie geht man aus Sicht der IT mit diesen Anforderungen um? Auch hier gibt unser CTO, Thomas Peyer Antworten: Zum Interview

Data Security: Sicher - immer und überall

unsplash.jpg

Sichere Daten immer und überall – geht das denn? Diese Frage hören wir nur allzu oft, denn viele Unternehmen haben in Zeiten der Digitalisierung Sorge, wenn es um das Thema Data Security geht. Diesem Thema möchten wir uns in diesem Blog Beitrag widmen – ausgehend von einer kurzen Geschichte. 

Thomas unglückliche Geschäftsreise 

Für Thomas steht die nächste Geschäftsreise an. In Gedanken versunken steigt er aus dem Zug, geht gelassen die Treppen vom Bahnsteig runter bis ihm auffällt, dass sein Laptop noch gemütlich im Zug auf seinem verlassenen Sitz liegt. Er springt die Treppen wieder hoch, doch vom Zug und seinem Laptop ist keine Spur mehr. Was präsentiert er nun dem Kunden? Wie kann er nun die Reise rechtfertigen? Und was ist mit den Firmendaten und Informationen, die auf dem Laptop sind? Was wenn sich jemand Zugriff verschafft?! So erwarten ihn nicht nur ein unangenehmes Gespräch mit dem Kunden, auch seinem Chef sein Missgeschick zu gestehen, wird ziemlich unschön…  

Alles verloren? Die Authenticator App als Helfer in der Not 

Man würde erwarten, dass sich Thomas genau solche Gedanken und Sorgen macht. Bei ihm war es anders. Er zückte sein Mobile, erklärte dem IT-Support seine Situation und sein Laptop wurde gesperrt.  Im nächsten Geschäft kaufte Thomas ein neues Gerät, ging ins nächste Café und verschaffte sich über das WLAN Zugang zu der digitalen Arbeitsumgebung CoffeeNet 365. Da es sich um ein fremdes Gerät handelte, musste sich Thomas bei der Anmeldung identifizieren. Der Prozess der Identifikation läuft über eine sogenannte Authenticator App, welche einen Code auf den gewünschten Kanal sendet und den sicheren Zugriff in Sekunden ermöglicht. 

Die Präsentation von Thomas war, wie auch alle anderen Dokumente, an denen er arbeitete, in einem entsprechenden Projektraum abgelegt. So konnte er ohne Probleme und wie geplant mit der aktuellsten Version beim Kunden seine Präsentation abhalten.  

Schrittweiser Ausbau von integrierter Sicherheit 

Auch in Zeiten der modernen und mobilen Arbeit, kann mit den richtigen Tools ein geschützter Zugriff auf firmeninterne Daten ermöglicht werden, immer und überall. Wie geht man als Unternehmen am besten vor? Unser Lösungsansatz: Schrittweiser Ausbau der integrierten Sicherheit: 

  1. Sicherung der Benutzer-Identität  

    Der Fokus sollte heute in der Sicherung der Benutzer-Identität liegen. Die grundlegende Infrastruktur sollte grundsätzlich für jedermann mit den minimalsten Berechtigungen offen sein. Die Sicherung des einzelnen Benutzers wird durch Überprüfung dessen Identität hergestellt. Das kann über das richtige Passwort, die Multi-Factor Authentifizierung oder über biometrische Daten (z.B. Windows Hello) erfolgen. Interne Inhalte werden über einheitlich definierte und überwachte Berechtigungsgruppen gesichert. Dabei können Berechtigungen nicht-kritischer Inhalte durch Business-Teams anstatt durch IT verwaltet werden. Um die Sicherung der Benutzer-Devices zu generieren sollte für jedes Endgerät eine Passwort-Pflicht bestehen. 

  2. Integrierte Sicherheitsfunktionen 

    Mit Microsoft 365 ist es möglich, sämtliche Elemente in einer Sicherheitskette zu einem Gesamtsystem zu verbinden. Sicherheitsfunktionen werden in die einzelnen Anwendungen integriert, aus welches eine Steigerung der Convenience für hohe Sicherheit resultiert. So wird das Gerät nach der fünften Falsch-Eingabe des Passworts automatisch gesperrt. Oder kann in bestimmten Situationen auch direkt extern gesperrt werden. Aber auch die automatische Überwachung des Benutzerverhaltens, welche mittels AI funktioniert, kann zu einer höheren Sicherheit beitragen. 

  3. Automatische Überwachung des Benutzerverhaltens 

    Die automatische Muster Überwachung (Advanced Threat Protection) gehört zu den größten Stärken des integrierten Cloud-Ansatzes. Das funktioniert mittels AI, wie z.B. durch Überwachung von Physhing-E-Mails, das Öffnen und Downloaden von Daten und unplausiblen VPN-Verbindungen. Solche Muster können mit automatischen Workflows verbunden werden, die ohne großen Aufwand zu höherer Sicherheit führen, wie z.B. durch Sandboxing von externen E-Mails und deren Attachments oder automatische Alerts und Sperrungen.   

Für uns steht fest: Das Thema Data Security sollte von Unternehmen systematisch und schrittweise angegangen werden. Möchten Sie das Thema für Ihr Unternehmen vertiefen? Wir beraten Sie gerne und erarbeiten gemeinsam mit Ihnen eine Roadmap für die Implementierung einer nachhaltigen Cloud-Security-Strategie.

 Thomas Peyer ist Chief Technical Officer bei MondayCoffee AG