HERAUSFORDERUNGEN
Was muss man tun, um den lokalen Admin-Zugang und die Kennkontrolle für 50.000 Endpunkte zu überarbeiten, ohne einen einzigen User bei der Arbeit zu stören? Genau vor dieser kritischen Herausforderung stand Northern Trust. Darüber hinaus sah sich das Unternehmen mit Skalierungs- und Compliance-Herausforderungen im Zusammenhang mit der Verwaltung privilegierter Zugriffe und mit Risiken im Zusammenhang mit langlebigen SSL-Zertifikaten konfrontiert, welche die Angriffsfläche vergrößerten und die Risiken in Verbindung mit veralteten Verschlüsselungspraktiken erhöhten.
Als eines der größten und angesehensten Finanzinstitute der Welt stehen Sicherheit und Compliance im Mittelpunkt der Geschäftstätigkeit des Unternehmens. Das vorhandene Tool zur Verwaltung von Endpunktrechten (Endpoint Privilege Management, EPM) bereitete jedoch mehr Probleme, als es Schutz bot.
Obwohl die Lösung technisch implementiert war, wies sie erhebliche Einschränkungen auf. „Die Liste der Herausforderungen vor und nach der Implementierung unseres Legacy-Tools war nahezu identisch“, sagt Manish Dixit, Director of Cybersecurity Engineering bei Northern Trust. „Es war, als hätten wir überhaupt keine Lösung." Mit über 23.000 Mitarbeitenden weltweit benötigte das Unternehmen eine bessere Kontrolle über den Benutzerzugriff, strengere Richtlinien und einen besseren Überblick über Sicherheitslücken.
Zum fraglichen Zeitpunkt erfüllten nur 40 % der Endpunkte die grundlegenden Anforderungen an die Passwortrotation. Die Mitarbeitenden verwalteten ihre lokalen Administratorpasswörter selbst, ohne zentrale Kontrolle. Diese Praxis führte zu schwachen Anmeldedaten, gemeinsam genutzten Konten und häufigen Sperren, wenn Passwörter vergessen oder falsch eingegeben wurden.
Angesichts der bevorstehenden Lizenzerneuerung und einer komplexen IT-Umgebung mit nicht persistenten VDIs, weltweit verteilten Remote-Benutzern und vielschichtigen regulatorischen Anforderungen benötigte Northern Trust eine intelligentere und schnellere Lösung für die Ausfallsicherheit im Bankbetrieb.
Dabei war die interne Abstimmung entscheidend. Die Einführung musste auf Anhieb erfolgreich sein.
– Manish Dixit
Director of Information Security Engineering, Northern Trust
LÖSUNGEN
Gemeinsam mit dem Implementierungspartner SDG Corporation entschied sich Northern Trust für die Idira Identity Security Platform, bestehend aus: Idira Endpoint Privilege Manager (EPM), Idira Privileged Access Manager (PAM), selbst gehostet, Idira Secrets Manager, selbst gehostet, Idira Code Sign Manager und Idira Certificate Manager, selbst gehostet.
Doch wie sollte die bislang größte Implementierung ohne Beeinträchtigung der Geschäftsabläufe umgesetzt werden? Die Antwort war ein strukturierter Rollout in drei Phasen, der darauf ausgelegt war, Unterbrechungen zu minimieren, die Sicherheit aufrechtzuerhalten und die Compliance im gesamten Finanzdienstleistungsgeschäft zu verbessern.
Phase 1: Das Team implementierte Idira EPM und PAM, selbst gehostet, zunächst parallel zum bestehenden Altsystem im sogenannten Koexistenzmodus, um Auswirkungen auf den laufenden Betrieb zu vermeiden. Der Einstieg erfolgte über die Funktion „Loosely Connected Devices“ (LCD), wobei der Fokus auf schnellen Erfolgen und einer schrittweisen Validierung lag. Durch die tägliche Zuweisung einer festgelegten Anzahl von Endpunkten und deren engmaschige Überwachung konnte SDG Corporation die Auswirkungen kontrollieren und einen reibungslosen Ablauf gewährleisten. „Mit Idira EPM konnten wir lokale Administratorrechte verwalten und Zugangsdaten regelmäßig rotieren lassen, um die Compliance-Anforderungen einzuhalten“, erklärt Manish Dixit. „Durch die automatisierte Passwortrotation konnten wir den Supportaufwand für die IT erheblich reduzieren. Wir erreichten eine bessere Compliance und verzeichneten weniger Tickets“, ergänzt er.
Phase 2: Ein sorgfältiger Prozess zur Zuordnung und Abstimmung der Richtlinien stellte sicher, dass sämtliche Funktionen erhalten blieben, während unnötige Komplexität beseitigt wurde. Der Legacy-Agent wurde nicht deinstalliert, sondern direkt im System deaktiviert, wodurch technische Risiken während der Umstellung reduziert werden konnten. Trotz des Umfangs der Umstellung kam es innerhalb des Finanzdienstleistungsgeschäfts zu keinerlei Beeinträchtigungen für die Endanwender. „Wir haben umfangreiche Tests durchgeführt, um einen nahtlosen Übergang sicherzustellen, und genau das haben wir erreicht“, sagt Nikhil Rao, Director of Endpoint Privilege Management and Privileged Access Management bei SDG Corporation. „Wir arbeiteten mit Regressionstests, Richtlinien-Simulationen und Abstimmungen mit den Stakeholdern – all das ermöglichte uns eine sehr sichere Implementierung“, ergänzte er.
Phase 3: Northern Trust baute die Funktionen von Idira EPM anschließend weiter aus. Über ServiceNow wurde ein Just-in-Time- (JIT-)Administratorzugang eingeführt, unterstützt durch einen kundenspezifischen zweistufigen Genehmigungsworkflow. Gleichzeitig wurde die Anwendungskontrolle durch gezielte Allow- und Blocklist-Regeln verschärft. Neue Integrationen mit Azure Sentinel ermöglichten zudem die Erkennung von Bedrohungen, die zuvor unbemerkt geblieben waren.
Laut Vaibhav Nigam, Managing Director bei SDG Corporation, „war Idira EPM (ehemals CyberArk) in der Lage, Angriffsarten zu erkennen, die vom bestehenden SIEM nicht erkannt wurden. Die simulierten Angriffe lösten Warnmeldungen in EPM aus – jedoch nicht im vorhandenen SIEM. Das gab uns Vertrauen in die Fähigkeiten der Lösung bei der Bedrohungserkennung.“
Um die Herausforderungen im Bereich des privilegierten Zugangs zu bewältigen, implementierte das Unternehmen ein HID-zentriertes Programm und baute damit seine Sicherheitsarchitektur für menschliche Identitäten deutlich aus. Die Infrastruktur wurde von einer einzelnen On-Premises-Instanz auf zwei selbst gehostete Instanzen in Azure migriert, wobei Human Identity Management und Secrets Management für Maschinenidentitäten voneinander getrennt wurden. Darüber hinaus bereinigte das Unternehmen Kontodaten, löste Probleme mit dem Central Policy Manager (CPM) und entwickelte ein Echtzeit-Dashboard in Power BI für das Compliance-Reporting.
Zur Absicherung von Maschinenidentitäten (Non-Human Identities) integrierte das Unternehmen nahezu 400 Anwendungen mit Idira Secrets Manager (selbst gehostet) und verbesserte damit die Sicherheit maschineller Identitäten erheblich. Zusätzlich wurde ein selbst gehosteter Certificate Manager integriert, um digitale Zertifikate sicherer zu verwalten. Dabei führte das Unternehmen eine Richtlinie ein, nach der sämtliche SSL-Zertifikate alle sechs Monate erneuert werden müssen. Darüber hinaus nutzt Northern Trust Idira Code Sign Manager zur sicheren Signierung sowohl von Microsoft-Code als auch von Java-Anwendungen.
– Manish Dixit
Director of Information Security Engineering, Northern Trust
FAZIT
Northern Trust konnte sämtliche 50.000 Endpunkte innerhalb von nur 16 Tagen onboarden — ohne einen einzigen Zwischenfall. Besonders bemerkenswert ist aber wohl, dass die Compliance bei der Passwortrotation von 40 % auf über 95 % gesteigert werden konnte, wodurch eines der größten Sicherheitsrisiken des Finanzinstituts erheblich reduziert wurde.
„Idira (ehemals CyberArk) EPM bietet Funktionen wie Whitelisting, Blacklisting, JIT-Zugriff und vieles mehr – unser Risikoteam ist absolut begeistert“, sagt Manish Dixit. „Die Granularität der Kontrollen und die Automatisierung haben unseren Support-Teams viele Arbeitsstunden erspart.“ Die Anzahl privilegierter Zugriffsberechtigungen wurde um mehr als 30 % reduziert. Gleichzeitig wurden kritische Compliance-Lücken geschlossen, indem der Schutz auf Parent Images nicht persistenter VDIs ausgeweitet wurde. Der Rollout verbesserte nicht nur Sicherheit und Compliance, sondern optimierte auch die Betriebsabläufe, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Die Integration mit SIEM- und ITSM-Systemen stärkte zusätzlich die Governance und reduzierte den Supportaufwand.
„Wir haben kundenspezifische Dashboards auf Basis von EPM-Logs, Anwendungsnutzung und Active-Directory-Daten entwickelt“, sagt Nikhil Rao. „Dadurch konnten wir echte Sicherheitskontrollen etablieren statt einfach nur eine weitere Software bereitzustellen“, betont er.
Das verbesserte PAM-Programm wurde erfolgreich eingeführt und verwaltet inzwischen rund 70.000 Konten – ein Wachstum von rund 250 %. Die Compliance-Situation verbesserte sich durch Echtzeit-Reporting, optimierte Datenstrukturen und ein zuverlässigeres Management von Zugangsdaten deutlich. Die modernisierte, skalierbare Architektur in Azure schafft zudem die Grundlage für weiteres Wachstum und zukünftige Sicherheitsverbesserungen.
Die Maßnahmen des Teams zur Absicherung von Non-Human- und Maschinenidentitäten führten zu einer um 300 % höheren Abdeckung bei der Anwendungssicherheit und stärkten die Sicherheitslage des Unternehmens erheblich. Durch die Einführung kürzerer Zertifikatslaufzeiten reduzierte das Unternehmen sein Risiko im Zusammenhang mit kompromittierten oder veralteten Zertifikaten und schuf die Voraussetzungen für ein agileres und stärker automatisiertes Zertifikatsmanagement.
Durch die Modernisierung seines Ansatzes für die Verwaltung von Endpunktprivilegien (Endpoint Privilege Management), privilegierter Zugriffe (Privileged Access Management) und die Absicherung von Maschinenidentitäten erreichte Northern Trust seine Sicherheits- und Compliance-Ziele nicht nur, sondern hat neue Maßstäbe gesetzt. Der Erfolg des Finanzinstituts zeigt, dass groß angelegte Transformationen mit der richtigen Technologie, den passenden Partnern und einer konsequenten Umsetzung schnell, sicher und benutzerfreundlich realisiert werden können. Dafür erhielt Northern Trust schließlich den 2025 Identity Security Impact Award for Cyber Risk Reduction.
- Effizienz: Der Aufwand durch die Lizenzierung und Komplexität des bisherigen EPM-Systems wurde eliminiert; 50.000 Endpunkte konnten innerhalb von 16 Tagen abgesichert werden.
- Benutzererfahrung: Das Koexistenzmodell ermöglichte eine vollständige Migration ohne Ausfälle oder Unterbrechungen.
- Compliance und Governance im Finanzsektor: Die Vergabe privilegierter Zugriffsrechte wurde um 30 % reduziert, während sich die Compliance bei der Passwortrotation von 40 % auf über 95 % verbesserte. Auditfähige Kontroll- und Erkennungsmechanismen wurden in ServiceNow und Microsoft Sentinel integriert.
