Capitec beschleunigt die digitale Transformation und schützt Finanzdaten mit Zscaler

Capitec, die größte Privatkundenbank Südafrikas, macht einiges anders als die Mitbewerber. Im Rahmen der Cloud-First-Initiative der Bank wurde kürzlich die Migration der Banking-App und des Callcenters zu Amazon Web Services (AWS) ohne Ausfallzeiten abgeschlossen. Die Bank belegt in Südafrika den ersten Platz in puncto Kundenzufriedenheit.

Seit mehreren Jahren ersetzt Capitec im Rahmen von Cloud- und Zero-Trust-Initiativen schrittweise die langsame, ineffiziente und komplexe perimeterbasierte Architektur, die auf Legacy-Hardware, Firewalls und VPNs im Rechenzentrum sowie virtuellen Appliances und nicht integrierten Einzelprodukten in der Cloud aufbaut. Perimeterbasierte Architekturen können sowohl Legacy-/Hardware-Appliances als auch virtuelle bzw. Cloud-Appliances umfassen.

Als Andrew Baker im April 2022 als CTO zu Capitec kam, war die Zero-Trust-Implementierung der Bank nach mehr als zwei Jahren erfolgloser Versuche, ein Produkt eines Drittanbieters einzusetzen, bereits im Verzug. Bakers vorherige Erfolge mit der Zscaler Zero Trust Exchange bei anderen Unternehmen veranlassten ihn, die umfassende Plattform bei Capitec zu implementieren. Zscaler hat die Infrastruktur erheblich vereinfacht und unterstützt jetzt 17.000 User bei der Bank.

„Wenn Sie keine solide Cyberstrategie haben, die ein ausgereiftes Produkt wie Zscaler einbezieht, werden Sie feststellen, dass Sie ständig im reaktiven Modus agieren und Hunderte von Support-Tickets erstellen müssen, um herauszufinden, warum etwas nicht funktioniert. Wir haben die Zero Trust Exchange in unsere Umgebung integriert und unsere Zero Trust-Sicherheitssoftware-Agents innerhalb von drei Monaten für alle unsere User bereitgestellt.“

Capitec ist für den Schutz vertraulicher und personenbezogener Daten verantwortlich, daher hat Sicherheit einen entsprechend hohen Stellenwert. Um die Integrität dieser wertvollen Informationen zu gewährleisten, mussten Baker und sein Team zentrale Sicherheitsprobleme wie Datenverluste und Risiken lösen.
Vor dem Wechsel zu Zscaler war das Team nicht in der Lage, die notwendigen datengestützten Erkenntnisse zu gewinnen, um diese zentralen Fragen zu bewältigen. Zudem war die bisherige Lösung von Capitec instabil, langsam und verursachte einen erheblichen Verwaltungsaufwand. Die User waren unzufrieden, und ihre Produktivität litt.
Baker und sein Team wussten, dass sie einen umfassenderen, integrierten Ansatz für Zero Trust benötigten. „Vor dem Wechsel zu Zscaler waren wir zu sehr auf einen Cloud Access Security Broker [CASB] fixiert, der als eigenständige Lösung nicht für eine umfassende Zero-Trust-Strategie für den Internet-Traffic ausreichte“, erklärte er.

Ausgehend von der ZIA-Implementierung setzte Capitec den Weg zur Verwirklichung des übergeordneten Ziels fort, eine vollständige Zero-Trust-Architektur einzuführen. Dabei konnte das Unternehmen sich darauf verlassen, dass Zscaler die dafür notwendigen Funktionen bereitstellen konnte. ZIA sichert nun den Internet-Traffic sowie den Zugriff auf SaaS-Anwendungen wie Microsoft 365, SAP, Salesforce und ITSM und erweitert die Transparenz und den Detaillierungsgrad. ZIA gewährleistet außerdem eine deutlich verbesserte User Experience, geringere Netzwerkkosten und eine höhere Sicherheit.

„Wir testen ZIA ständig, um sicherzustellen, dass unsere User es nicht umgehen können, und bisher hat alles einwandfrei funktioniert.“ Wir sind sehr zufrieden mit dem Schutz vor Datenverlusten, den Filtern und dem Dateienabgleich anhand von Vorlagen. ZIA ist eine Komplettlösung“, sagte Baker. Bereits drei Monate nach der Einführung hatte ZIA 744.758 Sicherheitsbedrohungen und 423.172 in verschlüsseltem Traffic versteckte Bedrohungen blockiert.

Heute kann sich Capitec auf sicherheitsrelevante Fragen mit hoher Priorität konzentrieren und Risiken dynamisch auf Basis vertrauenswürdiger, präziser und vollständiger Daten aus dem ZIA-Dashboard managen. Beim Vergleich des Sicherheitsstatus der Bank vor und nach der Umstellung auf Zscaler stellt Baker fest, dass sein Team Cybersicherheitsmaßnahmen früher auf der Grundlage von Risiken durchführte, die in Audits und Listen in Jira erfasst wurden, was kein vollständiges Bild lieferte.

Baker reflektierte über die Auswirkungen von ZIA: „Ich weiß nicht, wie man ein Finanzdienstleistungsunternehmen ohne die Erkenntnisse aus der Zscaler-Plattform führen kann. Im Gegensatz zu den ‚umsetzbaren Erkenntnisse‘ anderer Sicherheitsunternehmen, die nicht besonders aussagekräftig sind, bieten die Erkenntnisse von Zscaler einen viel größeren Mehrwert und sind tatsächlich umsetzbar. Darüber hinaus überprüft Zscaler regelmäßig die Qualität unserer Implementierung und unterstützt uns bei der Weiterentwicklung und der Übernahme relevanter neuer Funktionen.“

Vor der Umstellung auf eine Zero-Trust-Architektur nutzte Capitec VPNs, um User mit Anwendungen und Servern zu verbinden, sowie Intrusion Detection zur Überwachung des Traffics. Die Verwaltung dieser Tools war umständlich, manuell und schwierig zu unterstützen, insbesondere wenn Verbindungsprobleme für Remote-User auftraten. Dies führte zu einem unzureichenden Sicherheitsstatus, geringerer Produktivität und unzufriedenen Usern.

Im Rahmen eines gestaffelten Einführungsplans implementierte Capitec kurz nach der Umstellung auf ZIA Zscaler Private Access (ZPA), um VPNs zu ersetzen und den Traffic von Usergeräten zu lokalen Rechenzentren und Anwendungen in privaten Cloud-Umgebungen zu sichern. ZPA ermöglicht richtlinienbasierten Direktzugriff auf Anwendungen unter Anwendung des Prinzips der minimalen Rechtevergabe. Mit der Zscaler-Lösung werden die User nie im Unternehmensnetzwerk platziert, wodurch die Angriffsfläche verringert und die laterale Ausbreitung von Bedrohungen verhindert wird.

Zscaler vereinfachte zudem die Verwaltung und bot gleichzeitig lückenlose Transparenz über Bedrohungen, wodurch die Belastung für IT- und Sicherheitsadministratoren reduziert wurde.

Darüber hinaus verbesserte sich die User Experience insbesondere für Mitarbeitende im Homeoffice deutlich. Wie schlecht die Remote-Verbindung über VPN tatsächlich war, wurde Baker erst nach dem Umstieg auf den Zscaler Z-Tunnel 2.0 bewusst. Der Unterschied war enorm: Die Tunnelarchitektur Z-Tunnel 2.0 nutzt Datagram Transport Layer Security (DTLS), das in Südafrika weit verbreitet ist, um die Vertraulichkeit der Daten zu schützen und Manipulationen zu verhindern.

„Mit einer derart drastischen Verbesserung der Remote-Konnektivität hatten wir eigentlich gar nicht gerechnet. Die Nutzung des schnellsten Verbindungspfades zu privaten Unternehmensanwendungen und der Verzicht auf die Umleitung des Traffics über ein VPN haben zu mehr Zufriedenheit bei der Userbasis geführt. Die Unterstützung von DTLS ist in Afrika ein eindeutiger Vorteil. Wir arbeiten nun daran, das Risiko beim Betrieb eines vertrauenswürdigen Netzwerks zu beseitigen, indem wir ZPA auch dann eingeschaltet lassen, wenn wir im Büro sind“, erklärte Baker.

Um das Potenzial der Zscaler-Plattform voll auszuschöpfen, hat Baker außerdem die Zscaler Digital Experience (ZDX) implementiert. „ZDX liefert Erkenntnisse zur User Experience, die während der Migration sehr hilfreich waren, da wir viele unserer Probleme selbst lösen konnten“, sagte er.

Sobald Baker und sein Team mit der Nutzung von ZDX begannen, konnten sie ein langjähriges Problem mit der User Experience lösen. Täglich kam es vor, dass die Microsoft-Kalender der User entweder gar nicht synchronisiert werden konnten oder erneut synchronisiert werden mussten. Dies wurde zunehmend frustrierend für Personen, die bis zu 10 Kalender verwalten, wie z. B. persönliche Assistenten oder Büroleiter.

Zunächst schickten Baker und sein Team Störungsmeldungen an Microsoft, konnten die Ursache des Problems aber immer noch nicht finden. Während der Migration der Anwendung zu AWS erinnerte sich Baker auch daran, beobachtet zu haben, wie sich der ZDX-Score im Laufe eines einzigen Tages veränderte. Um 7 Uhr morgens stand er bei 90/100, aber je mehr Mitarbeitende im Büro eintrafen, desto niedriger fiel die Punktzahl für die Microsoft-Kalenderanwendung. Nach Feierabend normalisierte sich das Ergebnis wieder.

Dank ZDX konnte Capitec ein Problem im lokalen Netzwerk (LAN) identifizieren. Nachdem das Netzwerkteam das Problem genauer untersucht hatte, stellte sich heraus, dass jemand beim Konfigurieren der Internetverbindung des Netzwerks versehentlich die falsche Nummer eingegeben hatte. Aufgrund dieses Fehlers kam es im Hochleistungsnetzwerk von Capitec zu Datenverlusten und damit zu Verlangsamungen. Dies ließ sich einfach und schnell beheben, indem die richtige Nummer eingegeben wurde.

„Die durch ZDX gewonnene Beobachtbarkeit ermöglicht es uns, unsere Abläufe proaktiver statt reaktiv zu gestalten und gibt uns Einblicke in die Verbesserung der User Experience im Zuge der Umstellung auf AWS. ZDX hat vom ersten Tag an alles verändert“, sagte Baker.

Mit Zscaler war die Migration von On-Premise-Rechenzentren zu AWS ein bedeutender Schritt nach vorn. Capitec hatte seine Banking-App, die regelmäßig von 11 Millionen Bankkunden genutzt wird, neu geschrieben und von einer On-Premises-Lösung zu AWS migriert. Die Migration dauerte nur drei Sekunden, ohne Ausfallzeiten – und dank Zscaler Cloud Connector gab es keinerlei Sicherheitsvorfälle.

Im Vorfeld der Migration abonnierte Capitec Zscaler über den AWS Marketplace, um alle Cloud-Anwendungen abzusichern. Mit Zscaler und AWS verfügt keine der Anwendungen auf AWS über eine öffentliche Verbindung, Capitec kontrolliert die Regionen, auf die User zugreifen können, und die Workload-Kommunikation ist gesichert.

Capitec entdeckte einen weiteren Vorteil der Zscaler-AWS-Integration: die einfache Bereitstellung und die damit verbundenen Vorteile. Durch das direkte Abonnieren von Zscaler über den AWS Marketplace wird der Kaufprozess vereinfacht, die Abrechnung konsolidiert und Capitec erhält Anspruch auf Rabatte.

„Die Produktteams arbeiten in einer virtuellen privaten Cloud, wo sie im Grunde nichts falsch machen können. Da AWS die Infrastruktur verwaltet und Zscaler für die Sicherheit sorgt, können wir föderierte Tools und Services für die Produktteams bereitstellen“, bemerkte Baker. „Da wir uns nun keine Sorgen mehr um das Risiko machen müssen, das von öffentlichen oder privaten Subnetzen ausgeht oder wo man sich per SSH verbinden kann, hat sich unsere Produktivität und unser Arbeitsaufwand massiv erhöht.

Ein weiterer Innovationsbereich für uns war die Nutzung von Erkenntnissen aus der Vor- und Nachbereitung der Performance. Dadurch konnte das Team mit weniger Versuch und Irrtum erkennen, wo der Fokus liegen muss, um die Benutzerfreundlichkeit migrierter Anwendungen zu verbessern“, fügte er hinzu.

Baker geht davon aus, dass Zscaler künftige Fusionen und Übernahmen beschleunigen wird. Die jüngste Akquisition von Capitec, die vor der Einführung von Zscaler abgeschlossen wurde, war ein Domänenmigrationsprojekt und erforderte einen erheblichen Zeit- und Arbeitsaufwand seitens des Sicherheitsteams.

„Mit Zscaler lassen sich fusionsbedingte Integrationen wesentlich einfacher bewältigen als eine Domain-Migration. Bei Zusammenführungen überzeugt Zscaler durch unvergleichliche Geschwindigkeit und Dynamik. Eine bessere Lösung gibt es nicht“, ist Baker überzeugt.
Für die Zukunft richtet Baker seinen Blick auf Zscaler Risk360™, ein umfassendes Framework zur Risikoquantifizierung und -visualisierung, das Daten aus der Zscaler-Umgebung und externen Quellen aufnimmt, um bessere Erkenntnisse und fundierte Entscheidungen im Umgang mit Risiken zu ermöglichen.

Wie Baker hervorhebt, verfügen ländliche Gebiete in Südafrika häufig über eine veraltete Infrastruktur und langsame Internetverbindungen. Darüber hinaus gibt es täglich planmäßige Stromabschaltungen, um den Druck auf das Stromnetz zu verringern. Glücklicherweise investiert Zscaler weiterhin in Südafrika, um die Servicequalität zu verbessern, und hat sogar eigens für Capitec einen lokalen Präsenzpunkt in Kapstadt eingerichtet.

„Capitec hat als Unternehmen einen gewaltigen Sprung nach vorn gemacht“, fügte Baker hinzu. „Die Auswirkungen auf das Unternehmen sind tiefgreifend. Aus Cybersicherheitsperspektive sind wir angemessen konservativ. Unsere Priorität ist der Schutz unserer Kunden, deswegen fragen wir uns ständig: ‚Wie können wir unseren Kunden den bestmöglichen Service bereitstellen?‘ Mit Zscaler läuft es optimal.“