Herausforderungen
Austausch des unzuverlässigen VPN durch cloudbasiertes Zero Trust
Ergebnisse
Aufbau einer völlig neuen Sicherheitsinfrastruktur mit einem ganzheitlichen Zero-Trust-Konzept
Verarbeitung von monatlich 830 Mio. Transaktionen mit Zero Trust Exchange
Abwehr von 59 Mio. Verstößen pro Monat
Erhöhung der Betriebseffizienz durch weniger Komplexität
Weltweite Implementierung einer ganzheitlichen ZTNA-Lösung innerhalb weniger Stunden
Abwehr von >34.000 verschlüsselten Bedrohungen in drei Monaten
Bizerba SE & Co. KG Snapshot
Bizerba SE & Co. KG ist ein weltweit tätiger Hersteller innovativer Waagen und Schneidmaschinen. Das Unternehmen ist in 120 Ländern vertreten und beliefert Kunden aus Industrie, Handel und Logistik mit Anlagen, Programmen und Dienstleistungen zur Verarbeitung und Verwiegung von Waren.
Industrie:
Manufacturing
Hauptsitz:
Balingen, Deutschland
Größe:
4.600 Mitarbeiter weltweit
Fallstudie
Zügige Umsetzung von Zero Trust
Bizerba SE & Co. KG war schon immer ein Vorreiter. Das 1866 gegründete Familienunternehmen ließ sich 1924 die erste Pendelwaage der Welt patentieren und entwarf 1930 die weltweit erste Industriewaage. Und genau dieser Pioniergeist hat Bizerba auch zu Zero Trust geführt.
Das Unternehmen wurde vor fast zehn Jahren von seinem Partner CYQUEO erstmals auf die Zscaler Zero Trust Exchange aufmerksam gemacht. Damals war Bizerba gerade auf der Suche nach einer kostengünstigen cloudnativen Plattform für ein langfristiges Zero-Trust-Konzept als Nachfolger des bisherigen Cisco-Proxys.
„Wir wissen vertrauenswürdige Partner zu schätzen und waren sehr beeindruckt, nachdem uns CYQUEO auf Zscaler aufmerksam gemacht hatte“, so Stefan Heinz, IT-Direktor bei Bizerba. „Zero Trust Exchange ist eine innovative, leistungsstarke Cloud-Lösung für langfristige Zero-Trust-Sicherheit.“
Zscaler stärkt den Outbound Security Stack
Zscaler Internet Access (ZIA) war die erste Lösung, die im Zuge der Zero-Trust-Initiative eingeführt wurde. ZIA ermöglicht allen 4.600 Bizerba-Mitarbeitern weltweit sicheren Zugriff auf das Internet und auf SaaS-Anwendungen. Dabei reduziert Zscaler das Risiko für User und vereinfacht damit sowohl Präsenz- als auch Telearbeit, wie sie bei Bizerba praktiziert wird.
Zudem installierte Bizerba auf allen Endgeräten den Zscaler Client Connector, um die Remote-Arbeit noch sicherer zu machen. Der Client Connector wird auf User-Geräten ausgeführt und erkennt jeden Zugriffsversuch auf Internet, SaaS- und interne Anwendungen. Der anfallende Datenverkehr wird dann an die entsprechende SSE-Lösung (Security Service Edge) weitergeleitet.
Die Zscaler-Plattform verbessert die Überwachung von User-Aktivitäten und Gerätestatus, ohne Remote-Arbeitsabläufe zu stören.
Ein ungeplanter Umweg
Bizerba schützte mit Zscaler zunächst nur den Zugriff auf SaaS und Internet. Bei privaten Anwendungen und OT setzte das Unternehmen dagegen weiterhin auf das alte VPN.
Doch dieser Ansatz stieß schon bald an seine Grenzen. „Bei VPN kann sich der Remote Access Server nur mit einem einzigen virtuellen Netzwerk verbinden“, erklärt Heinz. „Wir sind aber an mehreren Standorten präsent, von denen jeder einen eigenen Server braucht. Und das vergrößert zwangsläufig unsere Angriffsfläche.“
Vor diesem Hintergrund erwog das Unternehmen, das herkömmliche VPN gegen eine sichere Alternative einzutauschen. Doch dann geschah das Undenkbare. Über Nacht wurde Bizerba Opfer eines Cyberangriffs, der sämtliche Firmensysteme lahmlegte – eine eindeutige Folge der Sicherheitslücken, die mit VPN einhergehen.
Stärkung der Sicherheitsinfrastruktur
Nach dem Hackerangriff wusste die Führungsetage von Bizerba, dass die Frage bei VPN nicht mehr lautete, ob überhaupt ein Angriff stattfinden würde, sondern wann. Also ergriff man die Initiative und nutzte die Gelegenheit zum Aufbau einer robusten Sicherheitsarchitektur.
Dazu musste allerdings der bisherige Zeitplan überdacht und auf wenige Monate verkürzt werden. Zudem stellte das Unternehmen bei dieser Gelegenheit komplett auf eine cloudnative Umgebung um.
Zunächst ersetzte Bizerba dabei sein lokales Active Directory durch eine cloudbasierte Version. „Bislang hatten wir alle User, Server und Ressourcen über unser lokales Active Directory laufen lassen. Doch das war eine Schwachstelle, die wir dementsprechend schnell behoben haben“, erläuterte Heinz.
Mit dem cloudbasierten Active Directory konnte Bizerba auf sein bisheriges VPN verzichten. Damit hatte die Stunde des Zero Trust Network Access (ZTNA) geschlagen.
Zscaler schließt eine wichtige Lücke
Bizerba ergänzte sein Zero-Trust-Konzept um Zscaler Private Access (ZPA). ZPA unterstützt konsequent die minimale Rechtevergabe. Die User erhalten sicheren Zugriff auf private Anwendungen, während unbefugte Zugriffe und laterale Bewegungen unterbunden werden.
Zscaler ersetzt VPN und macht private Anwendungen für das Internet unsichtbar. Außerdem wird der an private Anwendungen gerichtete Datenverkehr inline überprüft, um Webangriffe aktiv zu verhindern. Als cloudnative Lösung, die auf einem ganzheitlichen SSE-Framework basiert, konnte ZPA als Teil von Zero Trust Exchange innerhalb weniger Stunden bereitgestellt werden.
Bei der Ausmusterung des VPN wollten die IT-Verantwortlichen von Bizerba eine schnelle Lösung und größtmögliche Vorsicht miteinander in Einklang bringen. „Das Team wollte schnell, aber auch sicher vorgehen“, erinnert sich Christian Leins, IT-Direktor bei Bizerba. „Mit Zscaler ging beides. So konnten wir den Fernzugriff sicherer machen. Und zwar dank ZPA sogar schneller als gedacht.“
Heinz, der den firmeninternen Abstimmungsprozess rund um ZPA leitete, ergänzt: „Zero Trust Exchange hatten wir beim Umbau unserer IT-Umgebung bereits einkalkuiert. ZIA wurde komplett übernommen. Und da wir dabei auch den Client Connector implementierten, klappte die Einführung von ZPA ohne besondere Komplikationen. Zscaler war im Grunde genommen die einzige folgerichtige Wahl.“
Reibungslose Implementierung und eine schnellere Wiederherstellung
Innerhalb weniger Stunden gelang die weltweite Bereitstellung von ZPA. Die IT wusste dabei vor allem die unkomplizierte Verwaltung der Zscaler-Plattform zu schätzen.
Heinz erläutert: „Wenn ich in Zero Trust Exchange eine Richtlinie oder Berechtigung ändere, werden diese Änderungen sofort umgesetzt. Bei der alten Firewall dauerte das gerne mal 30 Minuten.“
Die Vereinfachung von Verwaltungsabläufen entlastet zudem das Personal, das nun mehr Zeit für wichtigere Dinge hat. „Bei Zscaler geht alles viel schneller, sodass sich unsere IT-Abteilung stärker auf übergeordnete Initiativen konzentrieren kann“, meint Heinz.
Sichere Remote-Arbeit bei Bizerba
Bizerba profitiert nun von einer flexiblen und sicheren IT-Umgebung.
„Nach dem Angriff haben wir das alte VPN abgeschafft, weshalb Remote-Arbeit eine Zeit lang nicht möglich war. So waren unsere Mitarbeiter gezwungen, bis zur ZTNA-Bereitstellung wieder ins Büro zurückzukehren“, erklärt Leins.Bizerba legt großen Wert auf hybride Arbeitsmodelle, da sie im Einklang mit dem Einsatz des Unternehmens für eine ausgewogene und positive Arbeitsatmosphäre und mehr Nachhaltigkeit stehen.
Mit Zscaler läuft nun wieder alles wie früher – nur eben besser. Heute profitiert die gesamte Belegschaft von der Möglichkeit, von überall aus zu arbeiten − mit erhöhter Sicherheit und einem schnelleren Zugriff auf Ressourcen und Anwendungen.
„Wenn man die Sicherheit erhöht, kann es zu einem Dominoeffekt kommen, der die User Experience verändert“, führt Heinz aus. „Doch Zscaler hat die Geschäftskontinuität in keiner Weise gestört. So konnten unsere Abläufe unverändert bleiben. Wenn überhaupt, dann ist die Remote-Verbindung unkomplizierter. Und darauf sind wir ziemlich stolz.“
Bessere Plattform, bessere Ergebnisse
Für den Neuanfang mit Zscaler war nicht nur ZPA erforderlich, sondern auch die Optimierung der ZIA-Bereitstellung. Heute wird für Verbindungen zwischen Usern und Internet ein granulares Verfahren angewendet und eine feststehende Liste mit Berechtigungsklassen zugrunde gelegt.
Das IT-Team räumt inzwischen ein, dass das alte VPN-Konzept zu ungenau war und die meisten User beim Zugriff auf lokale Ressourcen dieselben Berechtigungen hatten.Dank ZPA ist der Zugriff auf private Anwendungen jetzt an bestimmte Berechtigungen gebunden.
Die Zscaler-Plattform liefert bereits greifbare Ergebnisse. Bizerba verarbeitet jeden Monat rund 830 Mio. Transaktionen über Zscaler und verhindert so durchschnittlich 59 Mio. Verstöße. Allein in den ersten drei Monaten nach dem Neuanfang wurden über 34.000 verschlüsselte Bedrohungen erkannt und blockiert.
Die uneingeschränkte Nutzung von Zero Trust Exchange bedeutet für Bizerba ein schlankes, mehrstufiges Sicherheitskonzept. „Wir nutzen die Zscaler-Plattform viel intensiver als früher“, so Heinz.
Zeitersparnis dank Zscaler
Dank Zscaler floriert das Unternehmen nach dem Hackerangriff inzwischen wieder. Das neue Sicherheitskonzept mit Zscaler hat die Bemühungen um Zero Trust ein großes Stück vorangebracht.
Was wir in den letzten Monaten mit Zscaler erreicht haben, übersteigt unsere ursprünglichen Pläne um mehrere Jahre. Mit Zero Trust Exchange haben wir unsere IT komplett neu aufgebaut. So können wir die Zscaler-Lösungen noch effektiver einsetzen und sind damit besser für die Zukunft aufgestellt.“
Bizerba will Zero Trust auf absehbare Zeit treu bleiben. „Mit Zscaler haben wir ein Maß an Sicherheit erreicht, das dem vieler vergleichbarer Unternehmen deutlich voraus ist“, resümiert Leins. „Für uns ist dieser Weg aber nie zu Ende. Denn wir wollen auch in Zukunft die Nase vorn behalten.“