Zero-Trust-Zugriff mit beem

Zero-Trust-Zugriff auf Business-Anwendungen

Mit dem Zero-Trust-Zugriff auf Business-Anwendungen von beem greifen Mitarbeitende und Geschäftspartner immer und von überall sicher auf Unternehmensdaten zu, beispielsweise auf Buchhaltungssoftware, E-Mails, Dateiablagen oder CRM-Systeme.

Mit dem Zero-Trust-Zugriff von beem sicher auf Unternehmensdaten zugreifen

Administratoren definieren Zugriffsrichtlinien feingranular und zentral pro Anwendung, die bei jedem Zugriffsversuch durch Benutzer kontinuierlich überprüft werden. 

Der beem Zero-Trust-Zugriff greift dabei von überall (im Büro, Homeoffice und unterwegs) und für alle Anwendungen (on-Premises, Cloud und browser-basierte Software). Remote Access Service (RAS) oder VPN-Lösungen werden obsolet und der Schutz Ihrer Unternehmensdaten wird markant erhöht. Dank einer Vielzahl von vorintegrierten Funktionalitäten geht beem weit über herkömmliche Lösungen für Zero Trust Network Access (ZTNA) hinaus, erspart Ihnen Zusatzkosten, zusätzliche Hardware vor Ort und aufwändige Integrationen – und macht Zero Trust endlich einfach für KMU und Grossunternehmen. 
Alle Erklärvideos

Warum es Zero Trust braucht

Daten sind essenziell für den Geschäftsbetrieb

Wir alle arbeiten täglich mit digitalen Unternehmensdaten: Handwerker prüfen unterwegs Materiallisten, Managerinnen rufen auf Geschäftsreise ihre E-Mails ab und Buchhalterinnen erfassen Transaktionen in der Buchhaltungssoftware.

Zugriffe auf Business-Anwendungen und Daten sind essenziell, damit der tägliche Betrieb läuft und sollten umfassend geschützt werden. Denn wenn Cyberkriminelle Zugriff erhalten, können Daten gestohlen, verschlüsselt oder zerstört werden – im schlimmsten Fall kommt der Geschäftsbetrieb zum Stillstand.

Bisherige Sicherheitskonzepte und lokale Security-Lösungen am Standort («Perimeter-Sicherheit») können heutigen Cyberrisiken jedoch kaum mehr standhalten.

Schwache Authentifizierung und Phishing

  • Schwache oder mehrfach verwendete Passwörter bieten grosse Angriffsflächen für Phishing-Angriffe. Gefährdet sind insbesondere Applikationen, die ins Internet exponiert werden, sowie der Fernzugriff aufs Firmennetzwerk mittels VPN (Remote Access Service, RAS).
  • Gängige Multifaktor-Authentifizierungen wie SMS oder Authenticator Apps sind nicht Phishing-resistent.
  • Cyberkriminelle können so Zugriff auf Business-Anwendungen (z. B. Namen, E-Mail-Adressen, Lohnabrechnungen oder Bestellungen) oder Zugriff zum Firmennetzwerk erhalten.

Kontext des Zugriffs wird nicht berücksichtigt

  • Meist wird beim Zugriff nur die Benutzeridentität geprüft (z. B. Benutzername, Passwort und evtl. zweiter Faktor).
  • Benutzer können mit beliebigen Geräten zugreifen. Diese Geräte könnte durch Schadsoftware kompromittiert oder unsicher konfiguriert sein.
  • Zugriffe sind aus allen Ländern möglich – auch aus Regionen, wo die Firma weder Standorte noch Mitarbeitende besitzt, dafür aber viele Cyberkriminelle stationiert sind. Zudem kann der Zugriff aus bestimmten Ländern die Datenschutz- oder Compliance-Richtlinien verletzen.
  • Bei SaaS-Applikationen (browser-basierte, vom Hersteller betriebene Software) können Zugriffsrichtlinien häufig nicht gemäss Firmenanforderungen durchgesetzt werden und Zugriffe sind nicht protokolliert.

Uneingeschränkte Zugriffe auf alles im Netzwerk

  • Am Standort oder per VPN haben Benutzer in den meisten Fällen Zugriff auf das gesamte Firmennetzwerk.
  • Mit kompromittierten Zugangsdaten können so auch Cyberkriminelle Zugang aufs das Firmennetzwerk erhalten.
  • Ist ein Hacker erst mal im Netzwerk, ist es für diesen meist einfach, Zugang zu weiteren Daten, Geräten, lokalen Servern sowie Administratorenrechte und Konfigurationen zu erhalten («Lateral Movement»).
  • Kriminelle können so beispielsweise Schadsoftware wie Ransomware einschleusen oder Systeme und damit den ganzen Betrieb zum Stillstand bringen. 

Zero-Trust-Zugriff löst heutige Security-Herausforderungen

Der Zero-Trust-Zugriff von beem adressiert diese Sicherheitsrisiken. Er basiert auf dem Zero-Trust-Prinzip «niemals vertrauen, immer verifizieren». Dabei wird keinem Benutzer oder Gerät automatisch vertraut, sondern jeder Zugriff wird authentifiziert und kontinuierlich feingranular überprüft.

Mit dem beem Zero-Trust-Zugriff können Benutzer sowohl per Fernzugriff sicher auf Unternehmensdaten zugreifen (Zero Trust Network Access, ZTNA), wie auch vom Standort innerhalb des LAN (Zero Trust everywhere). Zudem bietet beem eine nahtlos integrierte Benutzerverwaltung mit Phishing-resistenter Authentifizierung sowie eine tief integrierte Geräteverwaltung. Hinzu kommt die einzigartige Integration von beem ins Swisscom Netz, womit beemNet einfach an Firmenstandorten aktiviert werden kann, um Business-Anwendungen auf lokalen Servern einzubinden – ohne zusätzliche Hardware oder Software vor Ort. 

In 3 Schritten sicher auf Daten zugreifen 

Passwortlose Authentifizierung im beemNet

Mit einer kryptografisch starken Authentifizierung greifen Benutzer sicher auf das beemNet und Unternehmensdaten zu. Sie authentifizieren sich schnell, einfach und sicher – ganz ohne Passwort, sondern mithilfe von Passkeys. Benutzer loggen sich dabei mittels Benutzername und Fingerabdruck, Gesichtserkennung oder PIN ein. 

Passkeys nutzen ein kryptografisches Verfahren mit einem Schlüsselpaar. Im Vergleich zu Passwörtern und Multifaktor-Authentifizierung sind diese Phishing-resistent und zudem benutzerfreundlich.  

Check der Zugriffsrichtlinien

Im beemNet definieren Sie Zugriffsrichtlinien zentral pro Business-Anwendung. Diese werden kontinuierlich geprüft, sobald jemand auf diese Anwendung zugreifen möchte. Sie können den Zugriff auf Benutzergruppen, bestimmte Länder, definierte Zeiten, sensible Daten und andere Kriterien einschränken. Auch an Geräte können Sie Vorgaben stellen, sodass beispielsweise nur Geräte mit verschlüsseltem Speicher, PIN und aktuellem Betriebssystem Zugriff erhalten. Nur wenn alle Vorgaben erfüllt sind, wird der Zugriff auf die benötigte Business-Anwendungen für einen bestimmten Zeitraum gewährt. 

Mit beem binden Sie Anwendungen, die lokal an Ihrem Standort laufen (on-Premises), ganz einfach ans beemNet an. Nur beemNet am Standort aktivieren – ohne komplizierte Server-Konfiguration und ohne zusätzliche Software oder Hardware vor Ort. Swisscom stellt eine hochverfügbare, georedundante und resiliente Zugriffskontrolle sicher. 

Authentifizierung in der Business-Anwendung

Sobald beem den Zugriff freigibt, kann sich der Benutzer wie gewohnt in der Anwendung anmelden – entweder über das jeweilige Login oder, sofern die entsprechende Anwendung angebunden ist, bequem per Single Sign-On (SSO).

Durch die vorgelagerte Authentifizierung im beemNet und die Überprüfung der Zugriffsrichtlinien sind Business-Anwendungen indirekt geschützt und schwache Logins können kompensiert werden. 
connect Testsieger: Breitband-Netztest

Vorteile von beem gegenüber anderen Zero-Trust- und ZTNA-Lösungen

beem bietet eine Vielzahl von vorintegrierten Funktionalitäten für den sicheren Zugriff auf alle Unternehmensdaten, von überall und mit höchster Resilienz. Dank der nahtlos integrierten Benutzer- und Geräteverwaltung sowie der mühelosen Aktivierung von beemNet an Firmenstandorten wird Zero Trust mit beem einzigartig einfach – für KMU und Grossunternehmen.

Mit beem setzen Sie Zero Trust überall um: für alle Anwendungen (Cloud, SaaS und on-Prem), auf allen Geräten (IT-Arbeitsplätzen, Smartphones, Produktionsmaschinen, IoT-Geräten etc.) und von überall (vom Standort, auswärts oder unterwegs). Sogar bei Zugriffen vom Standort auf Daten am Standort (im LAN).

Sowohl die Benutzerverwaltung sowie die Geräteverwaltung sind integraler Bestandteil von beem – keine Mehrkosten für Drittlösungen oder Integrationsaufwände. Anwendungen auf lokalen Servern binden Sie ganz einfach ein, indem Sie beemNet an Ihrem Firmenstandort aktivieren – ohne komplizierte Konfiguration, oder zusätzliche Software oder Hardware vor Ort. So setzen Sie Zero Trust mit beem einfach und kostengünstig um.  

beem läuft auf vier georedundanten Swisscom Rechenzentren in der Schweiz. Das Sicherheitswissen von über 300 Swisscom Security-Fachpersonen stellt den resilienten Betrieb und die sichere Anbindung Ihrer Standorte und Anwendungen sicher – Sie können sich entspannt zurücklehnen.

Jetzt Unternehmensdaten schützen mit beem

Zero-Trust-Zugriff mit beem bestellen

Bestellen Sie die beem Security Edition «Basic» und profitieren Sie vom Zero-Trust-Zugriff sowie weiteren Funktionalitäten.

Mehr beem Vorteile entdecken

beem bietet noch weitaus mehr als Zero-Trust-Zugriff auf Unternehmensdaten – beispielsweise sicheres Surfen im Internet, tagesaktueller Schutz aller Geräte sowie umfassender Schutz vor Datenabfluss. 

beem erleben

beem ganz konkret. Erleben Sie die Vorteile von beem in einem Webinar.

Häufige Fragen zum Zero-Trust-Zugriff mit beem

Was benötige ich, um den Zero-Trust-Zugriff mit beem zu nutzen?

Um den Zero-Trust-Zugriff von beem nutzen zu können, benötigen Sie folgende Bausteine:

  • beem Security Edition Basic, Plus oder Premium.
  • beem Benutzerlizenzen für alle Mitarbeitenden und Geschäftspartner, die Zugriff auf Business-Anwendungen benötigen.
  • Falls Sie Business-Anwendungen, die auf einem eigenen Server an einem Standort laufen (on-Premises), anbinden möchten, müssen Sie diesen Standort ans beemNet anbinden. Wählen Sie dazu einen Swisscom Anschluss mit beemNet (beem Office, Smart Business Connect oder Enterprise Connect) oder aktivieren Sie beemNet für bestehende Abos. 
Wie können Business-Anwendungen angebunden werden?

Private Anwendungen auf lokalen Servern (On-Premises) können angebunden werden, indem Sie den Standort des Servers mit dem beemNet verbinden

Auch andere private Anwendungen im Rechenzentrum oder in der Cloud lassen sich nahtlos und sicher ins beemNet integrieren. 

SaaS-Anwendungen können direkt über einen Katalog im beem Verwaltungsportal «Concerto» ausgewählt und konfiguriert werden. SaaS-Anwendungen, die nicht im Katalog aufgeführt sind, können manuell erfasst werden. Ein inline Cloud Access Security Broker (CASB) setzt den Zero-Trust-Zugriff wahlweise mithilfe eines Reverse oder Forward Proxy für Client-Geräte innerhalb und ausserhalb des beemNet durch.

Übrigens: Swisscom bietet ein Application Discovery an, bei dem Ihr Datenverkehr durchleuchtet wird und somit alle genutzten Business Anwendung identifiziert werden können. Damit gewinnen Sie volle Klarheit über Ihre Anwendungen und damit die Basis für die Festlegung differenzierter Zugriffsrichtlinien.
Unterstützt Swisscom bei der Konfiguration der Zero-Trust-Zugriffe?

Ja. Swisscom Experten unterstützen Sie auf Wunsch bei der Konfiguration der Zero-Trust-Zugriffe sowie weiteren Einstellungen von beem. Swisscom bietet dazu standardisierte Onboarding-Pakete, Hilfe beim Identifizieren relevanter Business-Anwendungen (Application Discovery) sowie weitere Dienstleistungsangebote an, um Sie bei der Inbetriebnahme zu unterstützen.

Zukünftig kann Sie auch ein zertifizierter IT-Partner bei der Inbetriebnahme begleiten. Falls Sie beem mit einem Partner umsetzen möchten, konfigurieren Sie beem auf unserer Webseite und im anschliessenden Kundengespräch empfehlen wir Ihnen einen passenden Partner.

Funktionsweise & Möglichkeiten

Wie funktionieren Swisscom Passkeys und warum sind diese Phishing-resistent?

Benutzer erhalten einen Swisscom Business Account um dafür Passkeys zu erstellen. Anstatt dass sie ein Passwort wählen, werden automatisch Schlüsselpaare («Passkeys») generiert. Jedes Paar besteht aus einem öffentlichen Schlüssel (Public Key), der auf einem Server von Swisscom gespeichert wird, und einem privaten Schlüssel (Private Key), der auf einem Gerät, Passwortmanager oder einem physischen Security Key des Benutzers gespeichert wird.

Gegenüber herkömmlichen Authentifizierungslösungen mit Passkeys bietet beem mehrere Varianten, um die Sicherheit von Passkeys weiter zu erhöhen. Optional kann die Mobile ID von Swisscom als weiteren Authentifizierungsschritt ergänzt werden – für digitale Souveränität made in Switzerland. Alternativ können Sie durch die Nutzung der beem Geräteverwaltung oder von Hardware Security Keys die Speicherorte der Private Keys proaktiv steuern.

Wenn sich Benutzer im beemNet anmelden möchten, sendet der Swisscom Server eine Anfrage an deren Gerät. Das Gerät bittet den Benutzer um Bestätigung mit Fingerabdruck, Gesichtsscan oder PIN. Damit wird sichergestellt, dass die Bestätigung wirklich vom Benutzer kommt. Dann versendet das Gerät die mit dem privaten Schlüssel (Private Key) signierte Bestätigung and den Swisscom-Server und dieser validiert mit dem zugehörigen öffentlichen Schlüssel (Public Key). Stimmt alles überein, wird das Gerät mit dem beemNet verbunden. 

Phishing-resistent sind Passkeys, weil kein Passwort oder weitere Faktoren in einer Webseite oder Anwendung eingegeben werden müssen, die potenziell von Angreifern abgefangen werden können. Der private Schlüssel wird nie mit Swisscom geteilt, sondern bleibt immer beim Benutzer. Passkeys sind zudem an eine bestimmte Web-Domäne gebunden. Auf einer gefälschten Website ist keine Anmeldung möglich, da dort der passende öffentliche Schlüssel fehlt.
Speichert Swisscom biometrische Daten?

Nein. Biometrische Daten wie Fingerabdruck oder Gesichtsscan sind immer auf dem Gerät des Benutzers gespeichert und werden niemals an Swisscom übermittelt.
Welche Zero-Trust-Sicherheitsrichtlinien können konfiguriert werden?

Sie haben feingranulare Konfigurationsmöglichkeiten, um Zugriffe auf Business-Anwendungen einzuschränken. Hier einige Beispiele:

  • Zugriffsrechte: Mit beem können Sie für Business-Anwendungen definieren, welche Benutzer bzw. Benutzergruppen darauf zugreifen können.
  • Netzwerk: Zugriffe können eingeschränkt werden basierend auf dem Netz bzw. Netzwerk, in dem sich der Benutzer oder die Business-Anwendung befinden. Beispielsweise können Zugriffe nur aus dem beemNet, von einem Firmenstandort oder aus dem Swisscom Mobilfunknetz zugelassen werden.
  • Geräte: Mit der in beem integrierten Geräteverwaltung kann der Zugriff auf bestimmte Geräte eingeschränkt werden, z. B. nur Zugriff für Geräte die durch beem verwaltet werden und deshalb bestimmte Einstellungen oder ein bestimmtes Betriebssystem haben.
  • Geräte-Eigenschaften: Mit der beem App und der beem Geräteverwaltung können Geräte-Eigenschaften für den Check der Zugriffsrichtlinien verwendet werden (Proactive und Continuous Device Posture). Damit kann beispielsweise eingeschränkt werden, dass der Zugriff nur von Geräten mit verschlüsseltem Gerätespeicher, bestimmten Passwortrichtlinien oder mit einem aktuellen Antivirus möglich ist.
  • Datenklassifikation: Zugriffe können anhand der Datenklassifikation eingeschränkt werden, beispielsweise, dass auf vertrauliche Daten und Kundendaten nur von einem Firmengerät aus der Schweiz oder von spezifischen Benutzergruppen zugegriffen werden kann.
  • Ort: Zugriffe können basierend auf dem Ort des Benutzers eingeschränkt werden (Geofencing). Es können einzelne Länder oder Regionen aus- oder eingeschlossen werden.
  • Datum & Zeit: Zugriffe können auch zeitlich eingeschränkt werden, beispielsweise können bestimmte Tage oder Zeiträume ein- oder ausgeschlossen werden. 

Konfigurationen lassen sich flexibel für einzelne oder Gruppen von Business Anwendungen erstellen. 
Hat der Zero-Trust-Zugriff von beem Einfluss auf Benutzerrechte in Business-Anwendungen?

Nein. Benutzerrechte innerhalb von Business-Anwendungen, beispielsweise welche Personen auf welche Daten in einer Applikation zugreifen dürfen oder welche Rechte sie innerhalb der Applikation haben, werden grundsätzlich über die Business-Anwendung verwaltet und nicht über beem. In beem verwalten Sie, welche Benutzer unter welchen Voraussetzungen überhaupt auf die Business-Anwendung zugreifen dürfen.
Können bestehende Identitätsdienste angebunden werden?

Ja. Der Identitätsdienst von beem kann mit Microsoft Entra ID oder auf Anfrage mit beliebigen Verzeichnisdiensten (z.B. Active Directory) integriert bzw. föderiert werden. Damit können die bestehende Benutzerverwaltung, Authentifizierungsmethoden und Ihre SSO-Integrationen fortgeführt werden und das Erstellen, die Änderung und das Löschen von Swisscom Business Accounts wird damit automatisiert. 

Schreiben Sie uns im Chat

Rufen Sie uns an. Jetzt oder zu Ihrer Wunschzeit.

Rückruf vereinbaren

Kontaktieren Sie uns schriftlich