Einführung einer Privileged-Access-Management-Lösung (PAM) bei der Kästli Management AG

Die Kästli Management AG arbeitet mit vielen externen Dienstleistern und Partnern zusammen. Diese brauchen regelmässigen Zugang auf die Server, um Installationen oder Wartungsarbeiten an ihren Produkten vorzunehmen. Die Freigabe erfolgte auf Anfrage per Telefon via Team-Viewer oder Remote-Desktop-Dienst (RDS). Lange bewährt, entsprach dieses Vorgehen nicht mehr den heutigen Sicherheitsanforderungen. Gefragt war eine Lösung, welche die Zugänge der privilegierten Accounts auf die Systeme sicherstellt und überwacht.

Auf einer IT-Security-Tagung wurde Markus Hersperger, Leiter ICT bei Kästli, auf die PAM-Expertin IPG aufmerksam. Aufgrund des Portfolios und der ausgewiesenen Kompetenz vermochte die IPG gegenüber den Mitbewerbern zu überzeugen und erhielt den Zuschlag. 

Alles unter Kontrolle dank Genehmigungsworkflow

Gemeinsam evaluierten die IPG und die Kästli Management AG die Bedürfnisse und definierten die Ziele und Use Cases. Der Anspruch war, die privilegierten Accounts und Zugriffe auf die IT-Infrastruktur mittels Genehmigungsworkflow einfach verwalten zu können. Zudem sollte zu jeder Zeit nachvollziehbar sein, wer wann auf welches System zugegriffen hat. Durch diese Massnahmen wollte man die IT-Sicherheit deutlich steigern.

Zurück auf Feld 1 zugunsten der besten Lösung

Man entschied sich zunächst für die Implementierung einer bekannten PAM-Software, welche die Anforderungen allesamt zu erfüllen schien. Beim Proof-of-Concept (PoC) in einer Testumgebung stellte sich heraus, dass die Zugriffssteuerung zu umständlich war und nicht den Vorstellungen entsprach. Das IPG-Team um Projektleiter Cyril Gailer hatte umgehend eine Alternative zur Hand: «Privileged Remote Access» von BeyondTrust. Auch sie wurde auf Herz und Nieren getestet und trumpfte mit einem sicheren Remote-Zugriff ohne zusätzliche VPN-Verbindung auf. Die anderen Ergebnisse überzeugten ebenfalls – die ideale PAM-Lösung war gefunden.

Unabhängigkeit und Erfahrung als Trumpf

Das herstellerunabhängige, strukturierte Vorgehen der IPG mit ausführlicher Proof-of-Concept-Phase und die Use Cases bildeten die Basis für eine erfolgreiche Projektumsetzung und eine effiziente Zielerreichung. Nach dem Erstkontakt im Februar 2022 wurde die neue Software im September 2022 termin- und budgetgerecht eingeführt – ungeachtet des Umwegs über eine zweite Lösung. Dank klarer Definition der Anforderungen und standardisiertem Vorgehen beim PoC konnte die Umsetzungszeit bei der Einführung auf wenige Tage verkürzt werden. Seither ist das PAM produktiv im Einsatz und bewährt sich im Alltag bestens. Wer Zugriff braucht, meldet sich über ein Portal mit Angabe des Grundes an und erhält innert kürzester Zeit die Freigabe für den gewünschten Bereich und das benötigte Zeitfenster.

Grosse Zahl externer Zugriffe, verschiedene Bedürfnisse

Die Anzahl an Dienstleistern, die über eine Weboberfläche auf die Systeme der Kästli Management AG zugreift, ist immens. Der Prozess muss für die unterschiedlichsten Nutzerinnen und Nutzer mit verschiedenen Bedürfnissen funktionieren. Dass die erste Idee verworfen und ein zweiter PoC durchgeführt wurde, war für die Einhaltung des Terminplans eine Herausforderung – dank standardisiertem Vorgehen seitens IPG wurde sie gemeistert. Aufgrund der engagierten Mitarbeit und raschen Entscheidungen auf Kundenseite konnte das PAM in kurzer Zeit eingeführt werden.

IT-Sicherheit für KMU – professionell, alltagstauglich, bezahlbar

Eine PAM-Lösung ist für KMUs ein geeignetes Instrument für hohe IT-Sicherheit. Die einfache, übersichtliche Lösungsarchitektur mit wenigen Komponenten integriert sich nahtlos in die bestehende Server-Infrastruktur. Es ist jederzeit nachvollziehbar, wer warum auf das System zugreift, wer woran arbeitet und wie lange.

Einige Vorteile im Überblick:

• Verbesserte IT-Sicherheit
• Privilegierte Accounts sind vor vorsätzlichem oder unbewusstem Missbrauch geschützt 
• Der externe Zugriff erfolgt ohne VPN
• Durch einen Genehmigungsworkflow können Accounts zusätzlich abgesichert werden
• Passwörter von privilegierten Accounts werden automatisch rotiert
• Kontrolle über die Systeme (Wer führt wann was auf welchem Server durch)

Auch nach Projektabschluss können Stefan Jaun, ICT System Administrator und Projektleiter seitens Kästli Management AG, und sein Team bei Bedarf auf die Beratung und Unterstützung der IPG zählen.