Kommunikationsnetz St. Gallen (KOM SG)

«Mit Pentryx konnten wir unsere Sicherheitsprüfungen von punktuellen Audits zu einem kontinuierlichen und skalierbaren Vorgehen weiterentwickeln. Besonders wertvoll ist für uns die Kombination aus automatisierten Assessments, klaren Reports mit Bezug zu unseren Sicherheitsrichtlinien und gezielten vertieften Analysen bei besonders kritischen Themen.»

- Urs Ammann, Geschäftsführung KOM SG

Skalierbare Cyber Security für das Kommunikationsnetz St. Gallen

Das Kommunikationsnetz St. Gallen (KOM SG) bündelt Kommunikationsdienste für seine Mitglieder und Kunden im Kanton St. Gallen. In einem Umfeld mit hohen Anforderungen an Sicherheit, Verfügbarkeit und Nachvollziehbarkeit brauchte es einen Ansatz, der nicht nur wirksam, sondern auch skalierbar ist.

Ausgangslage: Audits mit wertvollen Erkenntnissen, aber begrenzte Skalierbarkeit

Die Zusammenarbeit zwischen Pentryx und dem KOM SG besteht seit mehreren Jahren. In dieser Zeit wurden zahlreiche Audits und Sicherheitsprüfungen durchgeführt, die konkrete Verbesserungen ermöglichten und das Sicherheitsniveau Schritt für Schritt erhöhten.

Gerade in einem Umfeld mit vielen angeschlossenen Organisationen und wiederkehrenden Anforderungen zeigte sich jedoch mit der Zeit eine klare Grenze: Manuelle Einzelassessments sind wirksam, aber nur bedingt skalierbar. Sie liefern wertvolle Tiefenschärfe, lassen sich jedoch nicht in derselben Effizienz und Breite fortlaufend für alle Kunden ausrollen.

Der nächste Schritt: Security standardisieren und automatisieren

Um Sicherheit kontinuierlich, effizient und für eine grössere Anzahl von KOM SG-Kunden anzubieten, entwickelte Pentryx ein eigenes Security-Assessment-Skript. Die Lösung liest Hardening-Einstellungen automatisiert aus, macht Scans im lokalen Netzwerk, bewertet den Ist-Zustand und erzeugt daraus strukturierte Reports.

Besonders wertvoll ist dabei die direkte Verknüpfung mit den relevanten Sicherheitsvorgaben: Die Resultate werden nicht nur technisch dargestellt, sondern jeweils mit Verweisen auf die geltenden KOM SG - Sicherheitsrichtlinien ergänzt. Dadurch entsteht ein Bericht, der sowohl für technische Verantwortliche als auch für Steuerung und Governance sofort nutzbar ist.

Kontinuierliche Assessments statt punktueller Momentaufnahmen

Mit dem automatisierten Assessment-Ansatz konnte der Wechsel von punktuellen Audits hin zu einer wiederkehrenden, breit einsetzbaren Sicherheitsprüfung vollzogen werden. Das schafft Vergleichbarkeit zwischen Umgebungen/Kunden und reduziert manuellen Aufwand.

Gleichzeitig ermöglicht die Standardisierung eine konsistente Priorisierung: Abweichungen werden früh sichtbar, Massnahmen lassen sich gezielter planen und die Umsetzung kann über längere Zeit nachvollziehbar verfolgt werden.

Externes Vulnerability Management

Ergänzend zu den internen Assessments nutzt das KOM SG den Scan-Service der Pentryx für das externe Vulnerability Management. Öffentliche Ressourcen werden regelmässig auf Schwachstellen und sicherheitsrelevante Auffälligkeiten geprüft.

So bleibt die externe Angriffsfläche laufend im Blick. Neue exponierte Systeme, veraltete Komponenten oder bekannte Schwachstellen werden frühzeitig erkannt, bevor daraus ein Risiko für angeschlossene Organisationen oder zentrale Dienste entsteht.

Vertiefte Analysen wo nötig und sinnvoll

Trotz der hohen Effizienz durch Automatisierung bleiben vertiefte manuelle Assessments ein wichtiger Bestandteil der Zusammenarbeit. Wo komplexe Architekturen, besondere Risiken oder geteilte Infrastrukturen vorliegen, setzt Pentryx weiterhin gezielt auf spezialisierte Analysen.

Ein Beispiel dafür sind intensive Active-Directory-Assessments von Shared-Instanzen. Solche Prüfungen gehen deutlich tiefer als ein standardisierter Scan und liefern genau dort die notwendige Detailtiefe, wo Standardisierung allein nicht ausreicht.

Fazit

Die Success Story mit dem KOM SG zeigt, wie sich bewährte Security-Dienstleistungen weiterentwickeln lassen: Weg von ausschliesslich manuellen Einzelprüfungen, hin zu einem skalierbaren Modell aus Automatisierung, kontinuierlichem Monitoring und gezielten Tiefenanalysen. So entsteht ein Sicherheitsansatz, der sowohl pragmatisch als auch nachhaltig ist und den Anforderungen eines vernetzten Verwaltungsumfelds gerecht wird.