Seit 2014 hat die Deutsche Telekom AG (DTAG) ein internes Mitarbeiter-Bedrohungsmanagementsystem. Die Funktion des Systems ist es mit allen Möglichen Problemen und Bedrohungen am Arbeitsplatz umzugehen. Das Endziel besteht darin, sicherzustellen dass jeder Mitarbeiter mit Würde und Respekt behandelt wird, sowie das Unternehmen und seine Mitarbeiter vor Schaden zu schützen.
Das Threat-Management-System (auch System zum Bedrohungsmanagement) folgt drei wesentlichen Schritten:
Erkennen: Sämtliche Angriffen haben Vorboten. Identifizieren Mitarbeitern bestimmte Warnzeichen, hilft es ihnen, die Gefahr von Attacken zu erkennen und Warnhinweise an das TMA-System zu melden.
Bewerten: Das System zum Bedrohungsmanagement bewertet dann, wie kritisch die Situation ist.
Entschärfen: Das TMA-System setzt mit allen Beteiligten Gegenmaßnahmen ein, um das Risiko für Mitarbeitende und das Unternehmen zu senken.
Alle oben genannten Geschäftsanforderungen für das TMA-System kann T-Systems mit Amazon Web Services erfüllen. Die TMA-Anwendung nutzt eine moderne Containerlösung (Docker) mit dem Amazon Elastic Container Service (ECS). Es handelt sich dabei um einen vollständig verwalteten Container-Orchestrierungsdienst, der Sicherheit, Zuverlässigkeit und Skalierbarkeit gewährleistet. Die nachfolgend aufgeführten Dienste implementierte T-Systems aufgrund der Sicherheitsempfehlungen und Verbesserungsvorschläge des Well-Architected Reviews von Amazon Web Services:
• Ruby on Rails als Webanwendungs-Framework – Umsetzung der Container-Lösung mithilfe eines Docker-Verfahrens
• Bereitstellungen über eine durch ECS verwaltete CodePipeline
• RDS PostgreSQL für die Datenschicht – Multi-AZ für Hochverfügbarkeit und Failover-Unterstützung
• GitLab (Workbench)/CodePipeline für Versionierung und CI/CD
• SSM-Parameterspeicher für Passwörter und Parameter
• Elastic Load Balancing – Application Load Balancer zur Sicherstellung der Verfügbarkeit
• Amazon Web Services Key Management Service – Verschlüsselung für ruhende Daten
• Amazon Web Services Certificate Manager für die Zertifikatsverwaltung
• Amazon Web Services CloudFormation – Infrastructure als Code
• Amazon CloudWatch – Überwachung
Sicherheit: Aufgrund der Projektgestaltung galt es, die TMA-Daten vollständig zu schützen. AWS-Dienste wie Key Management Service (KMS) und der AWS Certificate Manager (ACM) haben uns bei unterstützt, ruhende und übertragene Daten zu verschlüsseln. EBS-Volumes und RDS-PostgreSQL-Datenbanken sind mit AWS-KMS-Schlüsseln verschlüsselt.
Bereitstellung: Um den Geschäftsbetrieb möglichst wenig zu pausieren, haben wir Bereitstellungen ohne Ausfallzeit mit AWS ECS durchgeführt. Beim Bereitstellungstyp „Rolling Update“ hat der Dienst eine gewünschte Taskanzahl von zwei und einen Maximalwert von 200 Prozent; das bedeutet der Scheduler darf zwei neue Tasks starten, bevor er die beiden älteren Tasks stoppt. Wir haben sichergestellt, dass die dafür erforderlichen Cluster-Ressourcen verfügbar sind. Der Application Load Balancer prüft den Zustand der neuen Version einer Anwendung, bevor die alte Version ersetzt wird. Durch die Verwendung des AWS CodePipeline/Elastic Container Service sind wir in der Lage, Continuous Integration (CI) und Continuous Delivery (CD) zu realisieren. So konnten wir den Projektteams viel schneller Feedback geben und damit die Agile/DevOps-Kultur umsetzen.
Das Bedrohungsmanagement ist heutzutage ein wesentlicher Bestandteil der Personalsicherheit bei der Telekom in Deutschland. Die DTAG ist tatsächlich das erste Unternehmen in Europa mit einem professionellen und fest etablierten Threat Management Assistant-System.
Durch die Migration des TMA-Systems zu Amazon Web Services konnten wir alle Unternehmensanforderungen erfüllen, wie zum Beispiel Flexibilität, Sicherheit, erhöhte Agilität, Skalierbarkeit und verbesserte Geschäftskontinuität. Auch die Entwicklung neuer Funktionen wurde dadurch beschleunigt. Bereitstellungen ohne Ausfallzeiten und automatisierte AWS-Lösungen trugen zu einer TMA-Cloud-Infrastruktur bei, die Vorteile für den Betrieb brachte.