Aufbau des Zero-Trust-Programms von Siemens: 3 Dinge, die Thomas Mueller-Lynch gelernt hat
Zero Trust ist eine Reise, kein Ziel. Dies ist der beste Weg, um über Ihre Zero-Trust-Strategie nachzudenken. Es ist jedoch nicht immer leicht zu verstehen, wie diese Reise aussieht.
Aus diesem Grund haben wir in unserer neuesten Folge von Thomas Mueller-Lynch, Global Director of Digital Identities bei Siemens, gesprochen Das Segment: Eine Zero-Trust-Führung Podcast. Thomas hat in den letzten vier Jahren seiner fast 30-jährigen Erfahrung in den Bereichen IT und Cybersicherheit bei Siemens die Zero-Trust-Initiative von Siemens geleitet.
Hier sind die drei Dinge, die Thomas bei der Leitung des Zero-Trust-Programms von Siemens gelernt hat.
1. Zero Trust erfordert IT, Cybersicherheit und geschäftliche Zusammenarbeit
Siemens begann seine Null Vertrauen Programm vor etwa vier Jahren, als sich eine Gruppe von IT-, Cybersicherheits- und Geschäftsführern an den Vorstand wandte. Sie hatten erkannt, dass der Aufbau eines Zero-Trust-Programms mehr als nur die Beteiligung der IT-Abteilung erfordert — es bedarf eines einheitlichen Ansatzes für das gesamte Unternehmen.
„Zero Trust kann nicht allein durch IT oder Cybersicherheit angetrieben werden“, sagte Thomas. „Es erfordert, dass auch die Geschäftsbereiche, denen die Vermögenswerte gehören, am Tisch sitzen.“
Diese Ausrichtung stellt sicher, dass die Sicherheit von Anfang an integriert wird und nicht erst später hinzugefügt wird.
Um eine Abstimmung zu erreichen, müssen enge Beziehungen zwischen IT, Cybersicherheit und Geschäftsbereichen aufgebaut werden, um sicherzustellen, dass alle auf ein gemeinsames Ziel hinarbeiten. Dieser Ansatz macht die Sicherheit von einem eigenständigen Unternehmen zu einem integralen Bestandteil des Geschäftsbetriebs. Er beeinflusst alles, von der Produktentwicklung bis hin zum täglichen Betrieb.
So haben sie es erreicht:
- Fördern Sie eine einheitliche Vision: Binden Sie Interessenvertreter aus allen Abteilungen frühzeitig in den Prozess ein, um sicherzustellen, dass jeder die Zero-Trust-Initiative versteht und unterstützt.
- Rekrutieren Sie funktionsübergreifende Teams: Binden Sie Mitglieder aus den Bereichen IT, Cybersicherheit und Geschäftsbereiche ein, um gemeinsam an der Zero-Trust-Implementierung zu arbeiten.
- Priorisieren Sie die Kommunikation: Regelmäßige Updates und transparente Kommunikationskanäle tragen dazu bei, die Dynamik aufrechtzuerhalten und alle Beteiligten aufeinander abzustimmen.
2. Der Aufbau von Zero-Trust ist ein laufendes Projekt
Als Siemens vor einigen Jahren seine Cloud-First-Initiative startete, bedeutete das, dass mehr Daten und Apps in die Cloud verlagert wurden. Führungskräfte im gesamten Unternehmen befürchteten, dass die traditionellen, am Perimeter orientierten Sicherheitsmaßnahmen des Unternehmens nicht ausreichten, um ihr wachsendes, perimeterloses Netzwerk zu schützen.
„Immer mehr Dinge gingen in die Cloud, was viele, viele Löcher in unseren Perimeter riss“, erklärte Thomas. „Die Annahme, dass wir den Perimeter kontrollieren können, stimmte einfach nicht mehr.“
Das Vorstand genehmigte ein neues Zero-Trust-Programm ein Jahr lang, nachdem die Führung sie mit diesem Anliegen angesprochen hatte. Jetzt, unter Thomas' Führung, ist es in den letzten vier Jahren zu einer unternehmensweiten Initiative geworden.
Thomas ging durch die Schritte, die er und sein Team unternommen haben, um das Zero-Trust-Programm von Siemens aufzubauen:
Jahr 1: Kommunikation mit Stakeholdern und Festlegung des Umfangs
Das Zero-Trust-Team begann mit der Kommunikation. „Alle fingen an, über Zero-Trust zu sprechen, aber niemand verstand, was es wirklich bedeutet, es auf praktische Weise umzusetzen“, sagte Thomas.
Sie gingen auf eine Tour durch das Unternehmen und sprachen mit Teams aus den Bereichen IT, Cybersicherheit und Wirtschaft. Dies führte zu Diskussionen über Anwendungsabhängigkeiten, Sicherheitsrichtlinien und Projektzeitpläne, was zu besseren Ergebnissen führte definieren Sie den Umfang des Projekts.
Jahr 2: Vorbereitung von Backend-Systemen
Das Zero-Trust-Team schaltete die wichtigsten Technologiepartner von Siemens ein, wie Microsoft um das Unternehmensnetzwerk auf eine Zero-Trust-Architektur vorzubereiten.
Thomas merkte an, dass das zweite Jahr das schwierigste war. „Es gab viele Backend-Aktivitäten, die nicht direkt zu einer Risikominderung oder zu greifbaren Ergebnissen führten“, erklärte er. „Die Leute fingen an zu fragen, ob das noch Sinn macht oder nicht.“ Diese Vorbereitungsarbeiten waren jedoch eine wichtige Grundlage für den Aufbau des Zero-Trust-Programms.
Jahr 3: Konkrete Fortschritte bei der Zero-Trust-Politik
Im dritten Jahr zeigte das Programm erste praktische Ergebnisse.
„Wir haben Fortschritte bei der Anwendung und der Inbetriebnahme in der Fabrik erzielt“, sagte Thomas.
Ein großer Erfolg war die Bereitstellung eines Live-Dashboards für das Programm, das gemeinsam genutzt werden kann. „Wir können der Geschäftsleitung jetzt zeigen, wo wir uns im Gesamtumfang der verschiedenen Aktivitäten befinden“, sagte Thomas.
Jahr 4: Produktentwicklung und -aktivierung
Heute trägt das Zero-Trust-Team dazu bei, Zero-Trust in die Produkte von Siemens aufzubauen. Dies spiegelt den internen Erfolg des Programms im Unternehmen wider.
„Wir glauben, dass die Sicherheit unserer Produkte ein Hauptverkaufsargument ist“, bemerkte Thomas. „Produkte, die kein Vertrauen zulassen, sind ein Unterscheidungsargument von unseren Mitbewerbern.“
3. Zero Trust kann ein Wettbewerbsvorteil sein
Die strategische Integration von Zero Trust hat nicht nur die interne Cybersicherheit von Siemens verbessert. Im vierten Jahr arbeitete Thomas auch mit dem Produktteam an ihrer eigenen Zero-Trust-Initiative zusammen.
Schließlich stellten sie fest, dass der Aufbau eines Zero-Trusts in ihre Produkte nicht nur der beste Sicherheitsansatz war, sondern auch einen deutlichen Wettbewerbsvorteil auf dem Markt verschaffte.
„Wenn Unternehmen Zero-Trust in ihre Angebote integrieren, können sie getrost erstklassige Sicherheit bieten, wodurch sie sich von Wettbewerbern abheben“, betonte Thomas.
Indem Siemens Sicherheit zu einem Kernmerkmal seines Angebots machte, konnte sich Siemens als führender Anbieter sicherer, robuster Lösungen positionieren, denen Kunden und Partner vertrauen können.
Der Integrationsprozess von Zero-Trust war möglicherweise ein schrittweiser, jahrelanger Prozess, der in jedem Geschäftsbereich anders aussah. Das Ergebnis ist jedoch klar: Die Marktposition wurde gestärkt, das Vertrauen der Kunden gestärkt und der langfristige Geschäftserfolg ist gestiegen.
Über Thomas Mueller-Lynch, globaler Direktor für digitale Identitäten bei Siemens
Nach 27 Jahren bei Siemens hatte Thomas verschiedene IT-Funktionen inne, darunter Web- und Dokumentenmanagement sowie IT-Infrastrukturtechnologie. Heute steht er an der Spitze der Cybersicherheitsbemühungen von Siemens und leitet als globaler Direktor für digitale Identitäten das Zero-Trust-Programm des Unternehmens.
Thomas verfügt über einen umfassenden technischen Hintergrund und beaufsichtigt kritische Identitätssysteme. Seine Leidenschaft für IT, Automatisierung und Sicherheit brachte ihn in Rollen, die seine Expertise im Identitätsmanagement prägten. Thomas war eine treibende Kraft hinter dem Übergang von Siemens zu einer sichereren Zero-Trust-Architektur.
Höre zu, abonniere und rezensiere Das Segment: Ein Zero-Trust-Podcast
Willst du mehr erfahren? Hören Sie sich die ganze Folge mit Thomas auf unserer Webseite, Apple-Podcasts, Spotify, oder wo auch immer du deine Podcasts bekommst. Sie können auch ein vollständiges Protokoll der Episode lesen.
Wir werden bald mit weiteren Zero-Trust-Erkenntnissen zurück sein!