Wie wir den weltweiten IT-Betrieb von Schmitz Cargobull abgesichert haben.

Die Herausforderung

Seit 2021 überwacht unser SOC die IT-Sicherheit von Schmitz Cargobull (SCB) rund um die Uhr. Doch die Akquisition des spanischen Unternehmens Atlantis Global System (AGS) brachte eine neue Herausforderung: Wie lässt sich das gleiche Sicherheitsniveau über zwei Unternehmen und zwei Länder hinweg garantieren?

„Im Gegensatz zur Cloud-first-Strategie von SCB waren unsere Systeme bei AGS noch vollständig auf On-Premises-Lösungen ausgerichtet – was uns bereits vor der Akquisition in Bereichen wie New Work und Homeoffice vor Probleme gestellt hatte."

Juan David Perez (Software Engineer, AGS)

Als erster Schritt wurden die AGS-Entwickler in den SCB-Tenant migriert und mit neuer Hardware ausgestattet. Dies stellte SCB und unsere IT-Sicherheitsexperten bei water vor folgende Aufgabe: Um nicht mit zwei verschiedenen Geräten arbeiten zu müssen, musste die neue Hardware sicheren Zugang zur bestehenden On-Premises-Serverumgebung von AGS bieten und gleichzeitig den Rahmen für eine moderne, zeitgemäße IT-Landschaft bei AGS schaffen – sicher und ohne Risiko einer Datenexfiltration aus der Schmitz-Cargobull-Umgebung.

Die Lösung

Um die Lücke zwischen der „Cloud-First“-Strategie der SCB und der lokalen Umgebung von AGS sicher zu überbrücken, entschieden sich unsere IT-Sicherheitsspezialisten für Microsoft Entra Private Access – passend zu unserem Threat-Protection-Ansatz . Diese hochmoderne Lösung für Identitäts- und Netzwerkzugang ermöglichte es, die beiden unterschiedlichen IT-Landschaften miteinander zu verbinden, ohne dabei Kompromisse bei Sicherheit oder Leistung einzugehen.

https://learn.microsoft.com/en-us/entra/global-secure-access/concept-private-access

„Bei solchen grenzüberschreitenden Projekten ist eine gute Vorbereitung entscheidend für den Erfolg. water hat hier hervorragende Arbeit geleistet und großen Wert darauf gelegt, die Mitarbeiter in die Lage zu versetzen, problemlos mit der neuen Lösung zu arbeiten.“

Michael Schöller (Head of IT and Infrastructure, SCB)

Vor der Implementierung wurden klare Richtlinien definiert und festgelegt, wer zum Zugriff auf bestimmte Systeme und Server berechtigt ist. Schließlich wurde Microsoft Entra Private Access innerhalb eines Tages implementiert. Dazu waren zwei unserer IT-Sicherheitsexperten vor Ort, um gemeinsam mit ihren spanischen Kollegen für eine reibungslose Umsetzung zu sorgen.

Die Vorteile

Durch die Einführung von Microsoft Entra Private Access erhielt die SCB einen vollständigen Überblick darüber, wer zu jedem beliebigen Zeitpunkt auf ihre Server zugreift. Darüber hinaus geht unsere Lösung weit über die Funktionen der zuvor von AGS genutzten VPN-Lösung hinaus. Mit Microsoft Entra Private Access kann SCB sehr detailliert festlegen, welche Personen auf welche Server zugreifen dürfen, und mithilfe von Conditional Access die Bedingungen definieren, die für diesen Zugriff erfüllt sein müssen – beispielsweise das Vorhandensein eines FIDO2-Schlüssels oder die Einhaltung der Richtlinien zur Gerätekonformität. Das Ergebnis: Verbesserte Phishing-Sicherheit und sichere, überwachte Kommunikationskanäle für alle beteiligten Systeme.

„Ein großer Vorteil dieser Lösung ist, dass Entwickler im Falle eines Serverausfalls oder eines Cybervorfalls nicht mit ihren privaten Geräten auf die IT-Infrastruktur zugreifen müssen. Stattdessen haben die spanischen Mitarbeiter nun einen viel einfacheren und sichereren Serverzugang – und können sogar sicher von ihrem Homeoffice aus arbeiten, ohne ein VPN zu benötigen.“

Sebastian Langer (IT Security Engineer, SCB)

Infolgedessen konnte AGS seine vor der Übernahme eingesetzte VPN-Lösung auslaufen lassen – obwohl Microsoft Entra Private Access auch die Flexibilität bietet, weiterhin einen VPN-Client zu nutzen.
Nach der Einführung der neuen Identitäts- und Netzwerkzugangslösung und der erfolgreichen Einbindung der Mitarbeiter verfügt AGS nun über eine IT-Sicherheitslösung, die den heutigen Standards entspricht, den Anforderungen der Digitalisierung gerecht wird und einen sicheren Zugriff auf die bestehenden lokalen Server ermöglicht, bis die vollständige Migration aller Systeme abgeschlossen ist.