Aktueller Channel Fokus:

Business Continuity

Software Defined Perimeter (SDP)

Firmenübernahmen sicher gestalten

| Autor / Redakteur: Mathias Widler / Sylvia Lösel

Firmenübernahmen etc. sind für IT-Abteilungen eine große Herausforderung.
Firmenübernahmen etc. sind für IT-Abteilungen eine große Herausforderung. (Bild: Sergey Nivens - stock.adobe.com)

Wie kann die IT-Struktur zweier Unternehmen kostengünstig, anwenderfreundlich und sicher zusammengeführt werden? Eine Lösung könnte ein Software Defined Perimeter sein, der schnellen Zugriff bei Mergers, Acquisitions & Abspaltungen liefert.

Firmenübernahmen oder der Verkauf von Unternehmensteilen bedeuten immer einen Kraftakt nicht nur für die Finanzabteilung, sondern insbesondere auch für die IT. Das Zusammenführen oder Abspalten von Netzwerken bereitet den Verantwortlichen Kopfzerbrechen, denn einerseits ist größtmögliche Sicherheit und Sorgfalt gefordert und anderseits Geschwindigkeit. Schließlich wollen Käufer und Verkäufer möglichst schnell finanziell profitieren und den neuen Geschäftsbetrieb in geregelte Bahnen lenken. Wie kann also die gewachsene IT-Struktur zweier Unternehmen kostengünstig, anwenderfreundlich und dennoch sicher vereint oder gespalten werden?

Der Zugriff auf geschäftskritische Anwendungen und die Sicherheit sensibler Daten ist heute schon im normalen Betrieb eine Sisyphusaufgabe, zu der in einem Übernahme- oder Abspaltungsszenario noch zusätzliche Komplexität hinzukommt. Es gilt, ein Modell zu erarbeiten, das die Produktivität aller Mitarbeiter gewährleistet und dabei die geforderte Sicherheit nicht außer Acht lässt. Hinzu kommt, dass durch die Digitalisierung die Verwaltung der Netzwerkinfrastruktur nicht einfacher wird. Nicht nur Geschäftsprozesse und die Netzwerktopologien müssen sicher miteinander verschmolzen werden, sondern auch unterschiedliche On- und Off-Premises-IT-Architekturen.

Schneller gegenseitiger Zugriff

Nach einem Merger oder einer Übernahme muss in einem ersten Schritt der Zugriff auf das jeweils andere Netzwerk erfolgen. Die IT steht vor der Aufgabe dabei Privacy und Vertraulichkeit beim Zugang zu den Netzwerken zu gewährleisten. Das bedeutet im Klartext, dass nur befugte Personen aus Unternehmen A auf bestimmte Applikationen von Unternehmen B – und andersherum – Zugriff erhalten dürfen. Je schneller dabei der Prozess einer Integration vorangetrieben und abgeschlossen werden kann, desto eher wird sich das Ganze auszahlen.

Und dennoch beginnen genau mit der Aufgabe der Koppelung der klassischen Netzwerkinfrastrukturen mit ihrer Sicherheits-Hardware die Probleme, so dass sich die IT-Abteilung nicht unter Zeitdruck setzen lassen sollte. Denn oftmals bekommen es die IT-Teams gleich am Anfang der Verschmelzung mit sich überlappenden IP-Adressen zu tun. An diesem Punkt beginnt die Verzögerung der Zusammenführung, denn ein neuer Schlachtplan ist erforderlich, wenn das gesamte Netzwerk neu aufgesetzt werden muss. Eine alternative Marschroute besteht im Einsatz von Network Adress Translation (NAT). Doch damit sind die Probleme lange nicht ausgestanden, denn neue Hürden tun sich auf, beispielsweise durch:

  • DNS Hostnamen von existierenden Servern zeigen auf non-NAT IP-Adressen, wodurch eine komplizierte DNS-Rekonfiguration nötig wird
  • Bestimmter Datenverkehr benötigt möglicherweise Ausnahmen von NAT
  • Anwendungen mit hard-coded IPs kommen mit NAT nicht zurecht
  • In anderen Fällen müssen Port-Forwarding-Regeln auf andere Adressen/Ports umgelenkt werden
  • Anwendungen, die Datenverkehr nach der Source-IP filtern, müssen auf die neuen NAT-Adressen geändert werden
  • NAT-Adressen könnten überladen werden

Die Liste der Aufgaben scheint endlos lange und vor allem fehleranfällig zu sein, so dass der Integrationsprozess angesichts immer neuer Hürden schnell ins Stocken geraten kann. Durch diese Auflistung wird deutlich, dass die Kopplung von Netzwerken über Appliances langwierig und hochkomplex in der Konfiguration ist. Die Problematik beginnt eigentlich schon damit, dass gesamte Netzwerke in einem ersten Schritt gekoppelt werden, obwohl eigentlich nur bestimmte User den Zugriff auf bestimmte Anwendungen erhalten sollen. Das bedingt dann in einem zweiten Schritt, dass die Zugriffsrechte mit Firewalls wieder eingeschränkt werden müssen.

Mit der Öffnung gesamter Netzwerke sind weitere Fallstricke verbunden, denn aus Sicherheitsperspektive haben zwei verschiedene Firmennetze unterschiedliche Schwachstellen, Lücken und unterschiedliche Prioritäten in der Verknüpfung. Nicht zu vergessen verschiedene Auflagen hinsichtlich Compliance-Anforderungen. Und zuletzt finden sich vermutlich auch noch einige Leichen im Keller des aufgekauften Unternehmens, die erst im Zuge der Integration schrittweise ans Tageslicht kommen. Ein ständiges Assessment und eine Re-Evaluation sind in einem solchen Modell der Zusammenführung erforderlich, bei dem nicht selten die ursprünglichen Pläne über den Haufen geworfen werden müssen. Und ebenso der ambitionierte Zeitplan.

Ein Software-definierter Perimeter öffnet neue Möglichkeiten

Ein völlig anderes Szenario stellt sich dar, wenn Unternehmen gar nicht mehr den Anspruch haben, Anwendern Zugriff auf das gegenseitige Netzwerk zu ermöglichen. In einem solchen Modell müssen auch keine Netzwerke mehr miteinander gekoppelt werden. Die Aufgabe besteht lediglich darin, authentifizierte User mit benötigten Anwendungen zu verbinden, ohne das gesamte Netzwerk für sie zu öffnen. Ein Software Defined Perimeter (SDP) und die Cloud machen genau diesen Ansatz möglich.

Die Grundidee beim einem Software-definierten Perimeter besteht darin, dass ein User keinen Zugriff auf seine gewünschte Anwendung erhält, bevor er nicht in einem ersten Schritt für den Zugang autorisiert wird. Damit wird das traditionelle Zugriffskonzept auf den Kopf gestellt, bei dem erst die Verbindung ins Netzwerk erfolgt und im Anschluss die Autorisierung des Users. Bei einem SDP-Lösungsansatz über die Cloud-Security-Plattform wird durch einen der Anwendung vorgeschalteten Connector eine ausgehende Verbindung zu einer Vermittlungsinstanz aufgebaut. Diese Instanz bearbeitet die Anfrage und überprüft die Autorisierung der Zugangsberechtigung des Users mit Hilfe des Identity Providers des Unternehmens. Da eine Outbound-Anfrage mit dem autorisierten User verknüpft wird, ist die Anwendung ausschließlich für diesen User und nicht exponiert im Internet sichtbar. Auf diese Weise wird aufwendige Netzwerksegmentierung überflüssig, denn es erfolgt eine Microsegmentierung auf Ebene der Anwendung.

Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler
Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler (Bild: Zscaler)

Über eine Konsole behält die IT-Abteilung in Echtzeit den Überblick über die Zugriffsberechtigungen der User in beiden Unternehmensteilen. Aufbauend auf der Rollendefinition der User werden Zugriffsrechte zugewiesen, die sich granular nach Funktion oder Standort definieren lassen. Ein solcher Software-definierter Perimeter ist über einen Cloud-basierten Ansatz schnell implementiert. Damit gehört im Zeitalter der Cloud sowohl die komplexe Verwaltung von Hardware der Vergangenheit an, also auch die Verschmelzung von Netzwerken mit überlappenden IP-Adressen. Ebenso wie Zeitpläne, die über den Haufen geworfen werden müssen.

Der Autor Mathias Widler ist Regional Vice President & General Manager Central EMEA bei Zscaler.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45974947 / Security)