Zero Trust Case Study – Pharma

Ganzheitliche Sicherheitsarchitektur nach den Zero-Trust-Prinzipien

Ein weltweit führendes Unternehmen der Pharma-Branche befand sich in einer Phase rasanten Wachstums. Die gestiegene internationale Sichtbarkeit rückte das Unternehmen verstärkt in den Fokus der öffentlichen Aufmerksamkeit und erhöhte damit die Anfälligkeit gegenüber Cyberangriffen. Gleichzeitig war der Reifegrad der Organisation im Bereich Cybersicherheit bis dato noch nicht ausreichend, um das notwendige Schutzniveau zu erreichen. Vor diesem Hintergrund beauftragte das Unternehmen PwC damit, eine umfassende IT-Sicherheitsgrundlage aufzubauen, die dem dynamischen und risikobehafteten Wachstumsumfeld gerecht wird.

Ziel des Projekts war es, eine moderne und robuste Zero-Trust-basierte Sicherheitsarchitektur und ein zentralisiertes Framework für IT-Security-Verantwortlichkeiten zu entwerfen. Gleichzeitig sollten skalierbare, effiziente und zukunftssichere Sicherheitslösungen implementiert werden, um Sicherheitsrisiken zu minimieren und Compliance-Risiken zu beseitigen.

Die Ausgangslage: Eine neue Sicherheitsstrategie, die dem Bedeutungszuwachs gerecht wird 

Ein weltweit tätiges Pharma-Unternehmen befand sich in einer Phase rasanten Wachstums. Der unternehmensinterne Umgang mit dem Thema Cybersicherheit wurde diesem Bedeutungszuwachs jedoch nicht gerecht und verharrte auf niedrigem Niveau. So überstiegen die Geschäftsanforderungen und das Wachstum die vorhandenen Sicherheitsmechanismen bei weitem.

Zusätzliche Risiken entstanden, weil die Branche in den Fokus der öffentlichen Aufmerksamkeit rückte und innovatives geistiges Eigentum entwickelte, das entsprechend geschützt werden musste. Kurzum: Das Unternehmen benötigte dringend eine neue Sicherheitsstrategie, um diesen gestiegenen Anforderungen gerecht zu werden. 

Unser Ansatz: Zero Trust – von der Strategie bis zur Umsetzung 

Zu Beginn des Projekts führten wir eine Capability-Gap-Analyse durch. Darauf aufbauend entwickelten wir eine C-Level-gestützte Cyberstrategie sowie ein Target Operating Model mit klar definierten Rollen und Verantwortlichkeiten.

In einem zweiten Schritt konzipierten und implementierten wir eine Zero-Trust-Architektur. Zum Einsatz kamen unter anderem SailPoint, Entra und CyberArk. Für den Aufbau eines durchgängigen Security-Monitorings integrierten wir Microsoft Sentinel.

Ein zentraler Bestandteil des neuen Sicherheitsmodells war der Aufbau einer Zero-Trust-basierten Netzwerkarchitektur. Der Zugriff auf Anwendungen und Daten erfolgt dabei nicht mehr auf Basis des Netzwerkstandorts, sondern auf Grundlage von Identität, Kontext und verbindlichen Richtlinien.

Abschließend rollten wir ein unternehmensweites Programm zur Prävention von Datenverlust (Data Loss Prevention, DLP) aus. Ziel war es, Transparenz, Kontrolle und Automatisierung zu verbessern. Auch hierbei kamen Microsoft-Sicherheitstools zum Einsatz

Der Mehrwert: Automatisierte Sicherheitsprozesse und effiziente Kontrollmechanismen 

Heute verfügt das Unternehmen über weitestgehend automatisierte Sicherheitsprozesse über die gesamte identitätszentrierte Zero-Trust-Landschaft hinweg. So stellt es die benötigte Effizienz und Skalierbarkeit sicher. Dank hochwirksamer Kontrollmechanismen hat sich die Sicherheitslage im Unternehmen deutlich verbessert. 

Wichtiger Faktor für den Projekterfolg war die Auswahl und Implementierung von marktführenden Best-of-Breed-Softwarelösungen. Ergänzend haben digitale PwC-Assets dazu beigetragen, die Time-to-Delivery signifikant zu verkürzen und die Umsetzung zu beschleunigen.