Im Rahmen eines umfangreichen Digitalisierungsvorhabens setzt ein Einzelhandelsunternehmen künftig maßgeblich auf die Microsoft Azure Cloud. Das Ziel besteht darin, einen breiteren Zugriff auf Technologien zu erlangen, transparentere Kostenstrukturen im Unternehmen zu etablieren und unabhängiger von lokalen Rechenzentren zu werden. Aufgrund unterschiedlicher Wissensstände im Unternehmen soll ein zentrales Cloud-Kompetenzcenter definiert und etabliert werden, um einzelne Teams und Geschäftsbereiche zu befähigen.

TEAL unterstützt den Kunden in der Koordination und übergreifenden Planung für das zentrale Kompetenzcenter. Im ersten Schritt wurden die Bedarfe der internen Kunden ermittelt und Wissensstände abgefragt. Es müssen Services etabliert werden, um automatisiert deploybare Infrastructure-as-Code-Services zu entwickeln, ein internes Consulting & Onboarding Team für einen sicheren und einfachen Start in Azure zu gewährleisten sowie ein Connectivity Team für die Standardisierung und den Betrieb von Netzwerk-Services zu implementieren. Alle Betriebsaufgaben müssen dabei weitgehend automatisiert und an einen externen Provider abgegeben werden.

TEAL entwickelte gemeinsam mit dem Kunden ein entsprechendes Betriebsmodell inklusive aller zugehörigen Prozesse und Standards. Im Rahmen eines Hypercares wurden diese verprobt, verbessert und eingeführt. Betriebsaufgaben wurden, soweit möglich und sinnvoll, an einen externen Dienstleister abgegeben.

Ein weltweit führender Engineering-Dienstleister in der Automobilindustrie wandte sich an TEAL, um eine gewachsene Active Directory Umgebung mit zwei Forests zu konsolidieren und bestmöglich abzusichern. Fokus lag auf bessere Integrationsmöglichkeiten von IT-Services und Nutzbarkeit für die 6000 Kundenmitarbeiter.

Mit Hilfe unseres Assessments analysierten wir beide Forests auf technische Angreifbarkeit bzw. Abweichung von Design-Empfehlungen. Durch Workshops wurden Anforderungen und Ziele definiert. Daraus resultierende Maßnahmenpakete wurden durch den Kunden priorisiert und eine Roadmap zur Erreichung des Zielbilds erstellt.

TEAL unterstützt den Kunden bei der Absicherung und Standardisierung des Active Directorys. Umfangreiche Infos gibt es auch in unserer Blogserie zum Thema (E)SAE.
Begonnene Ansätze werden konsequent weitergeführt, welche die Umsetzung beschleunigen und optimieren.

Ein Kunde aus der Gesundheitsbranche bewegte sich in einer relativ inhomogenen Security-Infrastruktur-Welt, welches zu zwei Herausforderungen führte:

1. Das Security-Setup ist nicht optimal und

2. den Mitarbeitenden konnten IT-Dienste nur schwerlich bereitgestellt werden, was in einer nicht durchgängigen Servicenutzung resultiert.

Gemeinsam mit dem Kunden wurde eine Analyse der Ist-Situation durchgeführt und Leitplanken sowie Anforderungen für eine neue IT-Infrastruktur festgelegt. Im weiteren Verlauf erarbeitete TEAL mehrere Zielarchitekturen und Bewertungskriterien für eine Management-Entscheidung.

Der Kunde hat mehrere Optionen und Bewertungskriterien vorliegen, um zu entscheiden, wie die IT-Infrastruktur künftig sicher und effizient gestaltet werden kann.

Ein international tätiger Entwicklungspartner der Automobilindustrie für komplexe Metall- und Hybridstrukturen mit einer Vielzahl von Standorten und mehr als 10.000 Mitarbeiter:innen kam auf uns zu, um die komplexe und weltweit verteilte Infrastruktur abzusichern. Im Zuge sicherheitsrelevanter Vorkommnisse in der besagten Branche, wurde TEAL beauftragt, die Active-Directory-Infrastruktur zu prüfen und abzusichern. Ebenso wurde TEAL beauftragt, Vorbereitungen für die Nutzung von Cloud-Diensten durchzuführen.

Es wurde hierfür eine ausführliche Analyse der Security-Infrastruktur des Kunden unternommen, Risiken bewertet sowie gewichtet und schließlich ein Maßnahmen-Plan vorgeschlagen. Im Anschluss wurde TEAL beauftragt diesen Plan umzusetzen. Dazu haben wir ein neues Security-Konzept (TIER0) designt, welches wir mit dem Kunden in einer partnerschaftlichen Atmosphäre umsetzen.

Die Sicherheitsaspekte der Kundeninfrastruktur werden somit konzeptionell neu umgesetzt und abgesichert sowie gleichzeitig vorbereitet für die Nutzung von Cloud-Services. Damit werden potentielle Angriffsrisiken minimiert bei gleichzeitiger Zukunftsausrichtung der Kern Infrastruktur.

Ziel war es, ein bestehendes Active Directory eines internationalen Unternehmens mit 5.000 Mitarbeiter:innen aus der Manufacturing-Branche nach SAE-Standards zu härten und abzusichern. Außerdem sollten PAWs für Tier 0 eingeführt und Active-Directory-Objekte den Tiers zugeordnet werden, um somit alle Maßnahmen zu erwirken, potenzielles Lateral Movement zu erschweren.

Damit wir einen geeigneten Lösungsweg herausarbeiten konnten, haben wir zuallererst ein dreitägiges Assessment in der Kundenumgebung durchgeführt, um Aufschluss darüber zu erhalten, wie mögliche Angreifer in das Netzwerk des Unternehmens gelangen könnten und wie sich der Kunde effektiv dagegen schützen kann. Die entsprechenden Findings wurden durch uns im Anschluss ausgearbeitet und bewertet. Daraufhin konnten unsere Consultants diese gemeinsam mit dem Betriebsteam implementieren und die Prozessänderungen durchführen.

Mittlerweile kann der Kunde seine abgesicherte Active-Directory-Struktur durch spezielle gesicherte PAWs (inklusive Multi-Faktor-Authentifizierung) administrieren und hat darüber hinaus auch eine gekapselte und gehärtete Tier0-Umgebung etabliert.

Ziel war es, die bestehende Groupwise-Infrastruktur eines führenden Retail-Unternehmens (knapp 10.000 Mitarbeiter:innen) mit dezentralen persönlichen Archiven zu Microsoft Exchange Online zu migrieren.

Wir unterstützten den Kunden bei der Projektsteuerung sowie der Auswahl von geeigneten Technologiepartnern, der Migrationssoftware und Adaptionsmaßnahmen für Endanwender. Dazu gehörte auch das Etablieren von Rollout-Support und die Einbindung des lokalen Helpdesks.

Das von uns geleitete Projekt konnte bereits innerhalb von acht Monaten 10.000 Postfächer migrieren. Die Migration der persönlichen Archive in Exchange Online Archive funktionierte ebenfalls reibungslos. Zudem wurde eine Office365-Backup-Lösung eingeführt.

Eine Behörde ist nach tiefgehender Online-Recherche auf uns zugekommen, um ihre bestehende Infrastruktur im Bereich Active Directory zu analysieren und abzusichern und so einen maximalen Schutz vor Cybersecurity-Attacken zu erlangen.

Durch den in den Medien immer weiter gesteigerten Security-Awareness-Faktor möchte der Kunde sich in diesem Bereich neu strukturieren und durch externe Expertise die Grundpfeiler der Infrastruktur und Identitätsverwaltung stabilisieren.

Um einen geeigneten Lösungsweg herauszuarbeiten, haben wir im ersten Schritt ein dreitägiges Assessment in der Kundenumgebung durchgeführt, um Aufschluss darüber zu erhalten, wie mögliche Angreifer in das Netzwerk des Unternehmens gelangen könnten und wie sich der Kunde idealerweise dagegen schützen kann. Daraus resultierte eine Roadmap mit Empfehlungen und konkreten Umsetzungsmaßnahmen, um die Infrastruktursicherheit effektiv zu steigern.

In weiteren Schritten wurden daraus Umsetzungspakete abgeleitet, strukturiert und priorisiert. Im Anschluss wurden diese Pakete gemeinsam mit dem Kunden realisiert. Inbegriffen waren sowohl organisatorische als auch technische Maßnahmen und individualisierte Konzepte, welche auf Basis der Kundenumgebung und anderer Gegebenheiten angepasst wurden.

Zunächst haben wir mit der Etablierung der gängigen SAE-Grundlagen angefangen. Diese umfassen sowohl das Tiering-Konzept als auch die Einführung von PAW-Systemen kombiniert mit einer konsequenten Kontentrennung. Umfangreiche Infos gibt es auch in unserer Blogserie zum Thema (E)SAE.

Perspektivisch erlangen wir mit der Enforce Suite eine ausgedehnte und dauerhafte Systemhärtung der Infrastruktur sowie Compliance mit etablierten Härtungsstandards wie BSI oder CIS.

As part of a major strategy program, the international insurance group with 40,000 employees restructured its IT portfolio. In the course of the restructuring, open source operating systems were largely to be provided by the internal IT service provider for the first time. As the company was, up to the strategy program, heavily relying on Microsoft-based operating systems and software, the portfolio of the infrastructure services, their management systems and the application development tools and processes had to be expanded.

TEAL assisted the client in selecting the open source platform (RedHat Enterprise Linux and CentOS) as well as choosing suitable management systems (RedHat Satellite, GIT, Jenkins and RedHat Identity Manager). The platform was supplemented with a Docker runtime environment based on Docker Swarm. TEAL also supported the architecture’s creation, development and integration. Additionally, TEAL also provided the project manager.

The IT service provider is now also able to offer open source software solutions to departments based. Through skilful integration, many synergies with the existing  Microsoft systems and architectures could be used.

Um für seine weltweit 15.000 Mitarbeiter hochwertige und kosteneffiziente IT Services anbieten zu können, startete der Schweizer Industriekonzern ein umfassendes Modernisierungsprogramm. Hauptziele waren den IT-Betrieb zu zentralisieren und eine serviceorientierte Betriebsstruktur einführen. TEAL erhielt die Aufgabe, die konzerneigenen Rechenzentren zu konsolidieren und zu modernisieren. Die Datacenter sollten als Private Cloud Infrastruktur auf Basis von Microsoft Virtualisierungs- und Management-Technologien konzipiert werden, um größtmögliche Flexibilität und Kosteneffizienz zu gewährleisten.

TEAL begleitete das komplette Projekt von der Anforderungsanalyse über die Design-Erstellung und die Implementierung bis hin zur Abnahme. Nach erfolgreichem Go-Live, steuerten wir temporär das Betriebsteam und unterstützten das Service-Onboarding, bis der Betrieb erfolgreich zu einem Offshore Delivery Center überführt wurde.

Durch die Zusammenarbeit mit TEAL, konnte der Konzern bereits nach wenigen Monaten den produktiven Betrieb der Private Cloud aufnehmen. Im Zuge der Kooperation wurden die Zentralisierungsziele des Kunden durch eine beständige Erweiterung und Verbesserung der Lösungen maßgeblich unterstützt.

Um für die Fachbereiche des international tätigen Versicherungskonzern mit 40.000 Mitarbeitern IT Dienstleistungen schneller bereitstellen zu können, hat es sich der eigene IT-Dienstleister zum Ziel gesetzt Request Fulfillment Prozess zu beschleunigen und die Fehlerquote zu senken. Als Quelle der Probleme wurden die uneinheitlichen Servicebeschreibungen sowie die multiplen Medienbrüche identifiziert, welche die Zusammenarbeite mit dem externen Dienstleister (welcher den Prozess bedient) erschwert. Durch die Einführung einer digitalen Request Fulfillment Plattform, sollten diese Probleme gelöst werden.

TEAL unterstütze die Einführung der Request Fulfillment Plattform auf Basis von ServiceNow (SaaS) maßgeblich. Wir erstellten die Anforderungsanalyse, entwickelten ein Datenschutz- und Sicherheitskonzept und leiteten das Projekt-Management sowie die Betriebseinführung.

Die Durchlaufzeiten der Bestellungen konnten durch die neue Request Fulfillment Plattform signifikant gesenkt werden. TEAL ermöglichte die erfolgreiche Integrierung der SaaS Bestellplattform in die bestehende Landschaft. Diese wurde als eine der ersten Cloudlösungen im Konzern erfolgreich etabliert.

Ein Telekommunikationsdienstleister mit 5.000 Mitarbeitern wollte seine IT Arbeitsplätze modernisieren. Hierdurch sollte flexibles Arbeiten ermöglicht und den Mitarbeitern eine attraktive Arbeitsumgebung geboten werden. Gleichzeitig sollten die Betriebskosten durch eine Konsolidierung der IT-Infrastruktur gesenkt werden, um die Dienstleistungen weiterhin konkurrenzfähig anbieten zu können. Um diese Ziele zu erreichen, sollten verstärkt Cloud Services zum Einsatz kommen.

TEAL unterstützte das Unternehmen bei der Anbieterauswahl, der Ausarbeitung der Architektur für Office 365, der Datenschutzbewertung sowie dem Change Enablement-Prozess. Dieser ist, wie unsere Erfahrung zeigt, unabdingbar für erfolgreiche Office 365 Projekte.

Durch die grundlegende Erneuerung der IT-Arbeitsplätze, arbeiten die Mitarbeiter des Telekommunikationsdienstleisters nun in einer modernen Arbeitsumgebung, welche flexibles und mobiles Arbeiten ermöglicht. Die IT-Betriebskosten wurden durch den gezielten Einsatz von Cloud-Diensten substantiell gesenkt.

Im Rahmen eines großen Strategieprogramms richtete der international tätige Versicherungskonzern mit 40.000 Mitarbeitern sein IT Portfolio neu aus. Im Zuge der Neuausrichtung, sollten erstmals in größerem Umfang OpenSource Betriebssysteme durch den eigenen IT Dienstleister zur Verfügung gestellt werden. Da bis zum Strategieprogramm maßgeblich auf Microsoft basierte Betriebssysteme und Software gesetzt wurde, musste das Portfolio von den Infrastruktur-Services und deren Managementsystemen bis hin zur Anwendungsentwicklung erweitert werden.

TEAL unterstützte den Kunden bei der Auswahl der OpenSource Plattform (RedHat Enterprise Linux und CentOS), als auch bei den passenden Managementsystemen (RedHat Satellite, GIT, Jenkins und RedHat Identity Manager). Ergänzt wurde die Plattform noch mit einer Docker Laufzeitumgebung, die auf Docker Swarm basiert. TEAL unterstütze ebenfalls bei Architekturerstellung, Aufbau und Integration. Der Projektleiter wurde ebenfalls von TEAL gestellt.

Der IT Dienstleister ist nun in der Lage, den Fachbereichen auch OpenSource basierte Softwarelösungen anzubieten. Durch geschickte Integration konnten viele Synergien mit bestehenden Architekturen der Microsoft Systeme genutzt werden.

Der weltweit tätige Pharmakonzern, mit über 40.000 Mitarbeitern, stand vor der Herausforderung sein SharePoint basiertes Intranet System zu modernisieren und gleichzeitig die Betriebskosten für die Plattform und die gehosteten 3rd Party Web Applikationen zu reduzieren. Erreicht werden sollten diese Ziele durch die Konsolidierung der Plattform in drei moderne private Cloud Rechenzentren in Europa, USA und Asien sowie durch die Auslagerung des Betriebs in die USA und Indien.

TEAL unterstütze das Projekt bei der der Definition, Validierung und Betriebseinführung der Business Continuity Prozesse auf Basis von NetApp Snap Manager sowie der Einführung von Maßnahmen zur Steigerung der Sicherheit. Diese Maßnahmen umfassten eine Privilege Access Management Lösung basierend auf DELL TPAM im Zusammenspiel mit RSA SecurID zur zwei Faktor Authentifizierung. Des Weiteren wurde die Windows Systeme anhand der Microsoft Best Practices und speziellen AppLocker Richtlinien gehärtet.

Durch den Aufbau und die Absicherung der private Cloud Rechenzentren, konnte die Basis für den managed Intranet Service erfolgreich aufgebaut werden und in den Betrieb übergehen. Das Intranet ist nun zukunftsfähig, mit einem aktuellen Microsoft Produktstack, bereitgestellt und wird von den über 40.000 Mitarbeitern weltweit intensiv genutzt. Das Betriebsteam in USA und Indien stellt sicher, dass die definierten KPIs eingehalten und Benutzeranfragen gelöst werden.

Um die Funktionalität für die Kunden der größten IP-TV Lösung in Deutschland mit fast 2 Millionen Kunden noch zu steigern, beschloss der Anbieter eine neue Version der Microsoft IP-TV Lösung zu implementieren. Einhergehend mit dem neuen Release, sollte die Basisinfrastruktur ebenfalls auf den aktuellen Softwarestand gebracht und verbessert werden.

TEAL unterstützte die Modernisierung der Infrastruktur durch die Aktualisierung der Serverbetriebs- sowie deren Verwaltungssysteme (System Center Configuration- , Operations- und Data Protection Manager) in mehreren Umgebungen mit insgesamt über 1.000 Servern. Weiterhin wurde eine moderne, durch HSM-Module abgesicherte Zertifikatsinfrastruktur implementiert und an den Betrieb übergeben.

Durch das umfassende Infrastruktur Modernisierungsprojekt wurde die Basis geschaffen, um die neue Version der IP-TV Lösung sicher, stabil und performant betreiben zu können. Nach der erfolgreichen Einführung der neuen Version, konnte der Anbieter seinen Kunden erstmals mobilen Zugriff sowie eine erweiterte Video-on-Demand-Plattform mit zahlreichen neuen und erweiterten Funktionen anbieten.

Das Entwicklungsteam eines öffentlichen Rechenzentrumsbetreibers in Österreich konnte seine volle Kapazität nicht auf die Entwicklung neuer Features und Produkte richten, da es bei jedem neuen Build zahlreiche manuelle Schritte ausführen musste, bis die Pakete erstellt, getestet und deployed waren. Um diesen Missstand zu beheben, sollte eine automatisierte Test- und Deploymentpipeline implementiert werden.

Mitarbeiter von TEAL entwickelten eine standardisierte, vollständig automatisierte und überwachte Build-Umgebung auf Basis von Red Hat RPM, die durch die Produkte GitLAB, Jenkins und Mock ergänzt wurde. Eine verteilte GIT Instanz versioniert und verwaltet den Source Code, der jederzeit durch Jenkins automatisiert in der Build-Umgebung compiliert werden kann. Anschließend erstellen und prüfen MOCK Prozesse regelbasiert neue RPM Pakete, welche anschließend über Satellite auf die Zielsysteme ausgerollt werden können.

Der Kunde ist nun in der Lage, die Kapazitäten seines Entwicklungsteams effektiver für die Weiterentwicklung von Businessanwendungen einzusetzen. Gleichzeitig wurde durch die vollautomatisierten Prozesse und Testabläufe die Fehleranzahl verringert und die Bereitstellungszeiten für neue Releases erheblich verkürzt.

Ein führender internationaler Nutzfahrzeughersteller mit über 30.000 Mitarbeitern stand vor der Herausforderung, ein umfassendes Strategieprogramm zur Neuausrichtung der IT Infrastruktur und Erhöhung der IT Sicherheit umzusetzen. Ein wesentlicher Beitrag zur Erhöhung der Sicherheit ist hier die Absicherung des Active Directories. Dafür gibt es im Konzern eine Blaupause auf Basis des Microsoft ESAE Ansatzes. Ziel des Projektes war es, die Blaupause auf die lokalen Gegebenheiten zu adaptiert und umzusetzen.

TEAL unterstützte den Nutzfahrzeughersteller bei der Analyse der Konzernblaupause, bei der Konzeption der Zielarchitektur und der Implementierung der Secure Administration Umgebung (SAE). Die Lösung besteht aus drei Active Directory Forests für Produktion („Gold Forest“), Administration („Red Forest“) und dem Hypervisor („Iron Forest“) mit entsprechendem Admin Tiering. Jedes Tier wird durch zahlreiche Maßnahmen wie zum Beispiel 2-Faktor Authentifizierung, Privilege Administration Workstations (PAWs), Security Baseline GPOs und sicheren Betriebsprozessen abgesichert. Dadurch wird ein außerordentlich hohes Schutzniveau gegen Pass the Hash und Pass the Ticket Attacken erreicht.

Durch das Projekt konnte das Sicherheitsniveau der besonders schützenswerten IT Assets erheblich gesteigert werden und hat somit die Grundlage für weitere Maßnahmen zur Erhöhung der IT Sicherheit gelegt. Zusammen mit TEAL konnte der Nutzfahrzeughersteller nicht nur die Konzern Blaupause umsetzen, sondern noch verbessert. So ist die SAE Architektur ein maßgeblicher Treiber im Gesamtkonzern für die IT Sicherheit geworden.

Im Rahmen eines großen Strategieprogramms richtete der international tätige Versicherungskonzern mit 40.000 Mitarbeitern sein IT Portfolio neu aus. Ziel war es, die Zusammenarbeit zwischen den einzelnen Konzerngesellschaften zu verbessern und verstärkt globale Services zu nutzen. Diese Services sollten an zentraler Stelle neu entstehen und möglichst sicher betrieben werden. Im ersten Schritt sollte eine globale Authentifizierungsplattform sowohl für Kerberos- als auch Token-based Services entstehen.

TEAL unterstützte den Kunden bei der Definition der Architektur und der Implementierung dieser globalen Authentifizierungsplattform in zwei neuen Co-located Datacentern. Die Authentifizierungsplattform besteht aus einer Active Directory Architektur auf Basis von Microsofts Enhanced Security Administrative Environment (ESAE, mehr dazu in unserem Blog) für Kerberos-basierte Dienste und einer ADFS Plattform für Token-basierte Applikationen. Administrative Rechte werden durch eine Privileged Access Management (PAM) Lösung nur temporär gewährt, um das Angriffsrisiko von gestohlenen Passwörtern (und deren Auswirkungen) zu minimieren. Durch den Einsatz von nahezu ausschließlich Windows Server 2016 Core, wurde die Angriffsfläche weiter reduziert. Zukünftig kann die Überwachung der Verwendung von hohen Privilegien durch die vollständige Integration in ein SIEM System und die Kopplung der Rechtevergabe an Change und Incident Tools weiter verbessert werden.

Durch die neue Authentifizierungsplattform nach ESAE Vorbild, ist die Grundlage für die globalen Shared Services gelegt. Diese Systeme können nun in einer sicheren Umgebung betrieben und dem Endkunden zur Verfügung gestellt werden.