NEU im #ConfareBlog
Confare LivinIT-Trophy Nominee Markus Schmidt (Salzburg AG) – Vier-Augen-Prinzip in der Cybersicherheit
Das sind die besten IT-Projekte und IT-Teams Österreichs – ausgezeichnet mit der Confare Livin IT Trophy. Ausgewertet von einer Fachjury vergibt Confare den Award beim Confare CIOSUMMIT in Salzburg als Höhepunkt des allseits beliebten Networking Dinners.
Nominiert für die Auszeichnung und unser heutiger Interviewgast ist Markus Schmidt – CIO der Salzburg AG. Mit ihm unterhalten wir uns über die Balance aus Compliance und Flexibilität von DevOps und Cloud, die Sinnhaftigkeit des Vier-Augen-Prinzips für die Sicherheit und vieles mehr. Nominiert ist er für sein Projekt gemeinsam mit Conova. Erfahren Sie in diesem Blogbeitrag mehr.
Was waren die größten Herausforderungen beim Aufbau einer vollständig gemanagten Azure-Infrastruktur im Volloutsourcing-Modell?
Beim Aufbau unserer gemanagten Azure-Infrastruktur mit Conova standen wir vor mehreren Herausforderungen: Einerseits mussten wir höchste Sicherheits- und Compliance-Anforderungen erfüllen – etwa durch NIS-Vorgaben und ISO-Zertifizierungen. Andererseits war es entscheidend, eine Architektur zu schaffen, die sowohl skalierbar als auch hochverfügbar ist. Die Einführung einer Hub-and-Spoke-Struktur, automatisiertes Deployment via Terraform und ein fein abgestimmtes Berechtigungskonzept mit PIM und Vier-Augen-Prinzip waren zentrale Bausteine.
Gleichzeitig war die klare Rollenverteilung zwischen unseren DevOps-Teams und dem Infrastrukturpartner essenziell, um einen reibungslosen Betrieb sicherzustellen. Nicht zuletzt war auch das Vertragsmodell entscheidend: Statt eines klassischen CSP-Ansatzes entschieden wir uns bewusst für ein MCA-Modell, um die nötige Flexibilität und Kontrolle zu behalten.
Wie habt ihr es geschafft, ein hohes Maß an Sicherheit und Governance mit der Flexibilität von DevOps und Cloud zu vereinen?
Wir haben Sicherheit und Governance nicht als Gegenspieler zur Flexibilität von DevOps und Cloud gesehen, sondern als integralen Bestandteil unserer Architektur gedacht. Durch eine Hub-and-Spoke-Struktur in Azure konnten wir zentrale Steuerung mit modularer Erweiterbarkeit kombinieren. Sicherheitskritische Prozesse wie das Vier-Augen-Prinzip und Just-in-Time-Zugriffe wurden über PIM technisch umgesetzt und in unsere Betriebsprozesse integriert.
Gleichzeitig haben wir mit einem standardisierten ISMS und der Einhaltung von NIS2- und ISO-Vorgaben die regulatorische Basis geschaffen. Die Automatisierung über Terraform und Azure DevOps hat uns dabei geholfen, Geschwindigkeit und Konsistenz im Deployment zu sichern – ohne Kompromisse bei der Governance.
Lassen Sie Ihrem IT-Team Ihre Wertschätzung wissen und nominieren Sie sie für die Confare Livin IT Trophy – der Auszeichnung für die besten IT-Teams und IT-Projekte in Österreich.
Welche Rolle spielt das Vier-Augen-Prinzip in eurem Sicherheitskonzept – und wie wurde es technisch umgesetzt?
Das Vier-Augen-Prinzip ist für uns ein zentraler Baustein im Sicherheitskonzept – nicht nur organisatorisch, sondern auch technisch. Wir setzen es konsequent bei sicherheitskritischen Änderungen ein, etwa bei der Rollenzuweisung oder bei Infrastrukturänderungen. Technisch haben wir das über Azure PIM (Privileged Identity Management) umgesetzt: Administratoren erhalten nur Just-in-Time-Zugriff, wenn eine zweite Person die Freigabe erteilt. Ergänzt wird das durch automatisierte Pipelines, bei denen Änderungen ebenfalls durch zwei Personen geprüft werden müssen. So stellen wir sicher, dass Governance und Sicherheit auch bei hoher Automatisierung und Agilität nicht zu kurz kommen.
Was hat eurer Meinung nach den Projekterfolg besonders geprägt – war es die Architektur, das Teamwork oder der Automatisierungsgrad?
Was den Projekterfolg wirklich ausgemacht hat, war das Zusammenspiel mehrerer Faktoren – aber wenn ich einen hervorheben müsste, dann war es das Teamwork. Die technische Architektur – insbesondere die Einführung einer konsistenten Hub-and-Spoke-Struktur – war zweifellos ein solides Fundament. Auch der hohe Automatisierungsgrad durch Terraform und Pipelines hat uns Geschwindigkeit und Qualität im Betrieb gebracht.
Aber erst durch die enge, vertrauensvolle Zusammenarbeit zwischen den Teams der Salzburg AG und unserem Partner Conova konnten wir diese Bausteine wirklich zum Leben erwecken. Klare Rollen, gemeinsame Verantwortung und ein starker Wille zur kontinuierlichen Verbesserung haben aus einer guten Idee ein erfolgreiches Projekt gemacht.
Erfahren Sie als erstes, wer die Auszeichnung mit nach Hause nimmt und genießen Sie einen Tag mit exzellentem Networking beim Confare CIOSUMMIT Salzburg.
Wie habt ihr die Zusammenarbeit zwischen den DevOps-Teams der Salzburg AG und dem Infrastrukturpartner conova organisiert?
Die Zusammenarbeit zwischen unseren DevOps-Teams und Conova war von Anfang an klar strukturiert und auf Augenhöhe organisiert. Wir haben die Verantwortlichkeiten entlang der Architektur aufgeteilt: Während Salzburg AG die Steuerung und das Management der zentralen Hub-Infrastruktur übernahm, verantwortete Conova den Betrieb der angebundenen Spokes und der Sicherheitskomponenten wie Firewalls.
Diese Trennung wurde im SLA detailliert geregelt – inklusive Onboarding-Prozessen, Monitoring, Patchmanagement und Eskalationswegen. Entscheidender Erfolgsfaktor war aber nicht nur die technische Klarheit, sondern das gelebte Miteinander: regelmäßige Lenkungskreise, gemeinsame Architekturentscheidungen und ein hoher Grad an Vertrauen haben dafür gesorgt, dass wir als ein Team agieren konnten – trotz unterschiedlicher Organisationen.
Was würdet ihr anderen Unternehmen raten, die eine hybride Cloud-Infrastruktur aufbauen wollen und ähnliche Anforderungen haben wie die Salzburg AG?
Wenn ich anderen Unternehmen einen Rat geben müsste, die eine hybride Cloud-Infrastruktur aufbauen wollen, dann wäre es: Setzt auf Klarheit, Einfachheit und Partnerschaft. Für uns war entscheidend, früh eine klare strategische Linie zu definieren – keine Multi-Cloud, sondern ein gezielter Mix aus On-Premise bei Conova und Public Cloud über Microsoft Azure. Das hat uns nicht nur geholfen, die Komplexität zu reduzieren, sondern auch die Sicherheit und Verfügbarkeit auf ein neues Niveau zu heben.
Wichtig ist auch, die Governance nicht zu vernachlässigen: ISO 27001-Zertifizierungen, NIS2-Konformität und ein durchgängiges Berechtigungskonzept sind kein Beiwerk, sondern Grundvoraussetzung. Und: Ohne einen starken Partner wie Conova, der unsere Anforderungen versteht und mitträgt, wäre das alles nicht möglich gewesen. Wer hybride Cloud will, braucht nicht nur Technik – sondern auch Vertrauen und ein gemeinsames Zielbild.