Anzeige
| IT Sicherheit

Ganzheitlicher Schutz aus einer Hand

Pistole und Strumpfmaske – die Symbole klassischer Banküberfälle haben ausgedient. Die Waffe moderner Bankräuber ist der Computer. Angesichts steigender Cyberrisiken investieren Kreditinstitute massiv in die IT-Sicherheit. Die Finanz Informatik (FI) hat ein zentrales Security Operations Center (SOC) für Sparkassen etabliert. Hier bündelt der IT-Dienstleister seine Aktivitäten, um Cyberangriffe abzuwehren.

Anzeige

Geld und Daten von Kreditinstituten und deren Kunden sind ein lukratives Ziel für Cyberkriminelle. Das zeigen in der Öffentlichkeit bekannt gewordene Fälle: Vereinzelt gelingt es Tätern, Millionenbeträge zu erbeuten. Dazu kommt eine zunehmende Bedrohung durch digitale Sabotage. Nicht nur die Zahl der Angriffe steigt. Die Angreifer setzen auch modernste Technologien ein. Ihr Ziel: Schwachstellen finden und diese ausnutzen.

Daher müssen auch Sparkassen ihre IT-Sicherheit stets auf dem aktuellen Stand der Technik halten, um Attacken frühzeitig zu erkennen und abzuwehren. Hinzu kommt, dass die Institute massiv in die Digitalisierung investieren und damit ihre Angriffsfläche vergrößern, wenn nicht gleichzeitig auch die IT-Sicherheit gestärkt wird. Die von den Kunden gewünschte und erwartete Rund-um-die-Uhr-Verfügbarkeit der digitalen Kanäle und Services ist inzwischen ein wichtiger Faktor im Wettbewerb. Verfügbarkeit und Sicherheit der IT-Systeme sind von zentraler Bedeutung für einen langfristigen Geschäftserfolg.

Der steigende Wertschöpfungsbeitrag der IT erhöht aber auch die Wirkung von Angriffen auf die IT-Systeme. Die Manipulation oder die Nicht-Erreichbarkeit von Diensten stellen somit ein ernsthaftes Risiko dar. Der besonderen Bedeutung der Finanzwirtschaft und deren IT-Strukturen tragen auch Gesetzgeber und Aufsicht Rechnung. So plant das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ab 2020 Prüfverfahren in der Bankbranche mit dem Schwerpunkt „IT-Sicherheit“.

Auch die Bafin als zuständige Behörde bezieht IT-Sicherheit in aktuellen Vorgaben ein wie etwa bei den „Mindestanforderungen an das Risikomanagement“ (MaRisk) oder den „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT). Gleichzeitig überlegt sie, das von der Europäischen Zentralbank veröffentlichte „Europäische Rahmenwerk zur Prüfung der Widerstandsfähigkeit des Finanzsektors gegenüber Cyberattacken“ (TIBER-EU) für die Durchführung von Cyber-Stresstests im Bankenumfeld zu nutzen. Die IT-seitige Umsetzung dieser Anforderungen innerhalb der Sparkassen-Finanzgruppe liegt zu großen Teilen in der Verantwortung des zentralen IT-Dienstleisters FI. Dazu zählt etwa die Erfüllung aktueller technischer Standards.

Ganzheitliches Denken
Operative IT-Sicherheit über klassische technische Sicherheitselemente wie Virenscanner oder Firewalls als isolierte Schutzmaßnahmen und primär am Übergang vom öffentlichen Netz in das private Unternehmensnetzwerk zu gewährleisten, reicht bei der gegenwärtigen komplexen Bedrohungslage nicht mehr aus. Neben einer Integration von technischen Schutzmaßnahmen auf jedem System und jeder Anwendung müssen auch die Verfahren und Prozesse und die IT-Nutzer in einem gesamtheitlichen Informationssicherheitsmanagementsystem Berücksichtigung finden.

Auf technischer Seite ist ein holistischer Ansatz zur Integration und Vernetzung der etablierten Schutzfunktionen erforderlich, um die Effizienz und Effektivität bei der Identifikation und Abwehr von Cyberangriffen deutlich zu verbessern. Mit dem Aufbau eines SOC etabliert der IT-Dienstleister eine zentrale Unternehmenseinheit, die für die operative IT-Sicherheit verantwortlich ist – von den Prozessen bis hin zu den Technologien.

Das SOC fungiert als Leitstelle für sicherheitsrelevante Dienste und Daten der von der FI verantworteten IT-Infrastruktur. Dabei geht der Ansatz über das reine Bündeln von Sicherheitstechnologien hinaus. Es vereint unterschiedliche Disziplinen der operativen IT-Sicherheit und sorgt für eine ganzheitliche Sicht auf dieses Thema. Speziell ausgebildete Mitarbeiter analysieren permanent die Bedrohungslage der IT. Sie nutzen State-of-the-Art-Technologien, um sicherheitsrelevante Informationen quasi in Echtzeit zu überwachen und auszuwerten.

Unter anderem können sie dazu auf Konfigurations- und Protokolldaten (Log-Daten) von Servern, Computern und Netzwerken zugreifen, diese analysieren und miteinander korrelieren. Ihre Aufgabe ist es, nicht nur aktuelle Vorfälle zu erkennen und abzuwehren, sondern auch komplexe Angriffsmuster zu identifizieren und Anomalien sowie Unregelmäßigkeiten frühzeitig aufzudecken. Informationen aus verschiedenen Quellen werden zusammengeführt und können damit deutlicher schneller Angriffe auf die eigene IT-Infrastruktur entlarven. Zudem wird durch das SOC die Anfälligkeit der von der FI verantworteten IT gegen bereits öffentlich bekannt gewordene Schwachstellen ermittelt und dafür gesorgt, dass diese kurzfristig von den Fachabteilungen beseitigt werden.

Austausch auf vielen Ebenen
Ein wesentlicher Erfolgsfaktor für das Erkennen und Abwehren von Angriffen ist es, die sich stetig ändernde Bedrohungslage konsequent zu beobachten und die Auswirkungen dieser Veränderungen umgehend in Bezug auf die erbrachten IT-Service zu bewerten Dies erhöht die Handlungsfähigkeit und reduziert gleichzeitig die Reaktionszeiten. Wesentlich dafür ist ein enger Austausch mit Partnern wie dem S-CERT, Lieferanten, dem BSI aber auch anderen Markteilnehmern im Bankenumfeld.

Gleichzeitig unterhält die FI eigene Kommunikationskanäle zu den Instituten. Hier erhalten die IT-Verantwortlichen regelmäßige Informationen zu aktuellen Bedrohungen wie etwa Phishing-Mails oder schadhaften E-Mail-Anhängen. Betroffene Institute bekommen Hinweise zu umgesetzten Abwehrmaßnahmen, wenn das SOC beispielsweise infizierte Server deaktiviert oder ungewollte Kommunikationsverbindungen unterbricht. Eine weitere Komponente ist der Austausch mit den eigenen FI-Kollegen. Erkenntnisse des SOC zu aktuellen Bedrohungen und neuen Angriffsszenarien fließen in die Berichterstattung an das Management der FI und die Fortschreibung der IT-Services ein. Mit all diesen Maßnahmen wird die Sicherheitslage gesamthaft verbessert.

Vom Vorteil der FI als Zentralinstanz profitieren alle Sparkassen. Nicht nur auf der Kostenseite durch Skaleneffekte dank gemeinsam genutzter Ressourcen, sondern auch durch einen besseren Schutz. Denn das gebündelte Wissen des SOC hilft allen, wie folgendes Beispiel zeigt: Nach erfolgreicher Abwehr eines Trojanerangriffs auf eine einzelne Sparkasse hat das SOC erweiterte Detektionsregeln definiert und die Schutzmaßnahmen ausgeweitet, um andere Institute dadurch besser und früher zu schützen. Mit diesem Vorgehen dämmte die FI das bestehende Risiko schneller ein und konnte eine reale Gefahr von anderen Instituten abwenden. Ein weiterer Vorteil: Das Wissen der FI in Bezug auf das Umsetzen regulatorischer Vorgaben sowie die bankfachliche Expertise der Mitarbeiter.

Vom SOC zum Cyber Defense Center
Allerdings hat der Schutz auch seine Grenzen. IT-Systeme, die Institute noch in Eigenregie betreiben, kann das SOC nicht überwachen. Angesichts der steigenden Risiken und zunehmender regulatorischer Anforderungen zum Betrieb dieser IT-Systeme ziehen immer mehr Sparkassen eine Rezentralisierung dieser Infrastrukturen in Betracht. Darüber hinaus empfiehlt es sich, in Instituten eine geeignete Sicherheitskultur aufzubauen und die eigenen Mitarbeiter für IT-Sicherheit zu sensibilisieren etwa vor dem Öffnen von Links aus E-Mails oder E-Mail-Anhängen aus unbekannten Quellen.

Zurzeit überwacht die FI in der ersten Ausbaustufe des SOC die IT-Infrastruktur (Netzwerk, Serversysteme, Betriebssystem, Datenbanken und installierte Sicherheitselemente). In weiteren Stufen erfolgt der Ausbau des Monitorings bis zur Anwendungsebene. Die Roadmap für die Umsetzung weiterer Maßnahmen hat die FI definiert und plant die Weiterentwicklung bis hin zu einem Cyber-Defense-Centers. Dabei erweitert sich der Fokus hin zu einer risikoorientierten Bewertung der technologischen Entwicklung. So sind die FI und die Sparkassen gewappnet für die künftigen Aufgaben.

Die Autoren Christopher Bormann, Lutz Bleyer und Thomas Biege sind als Mitarbeiter der Finanz-Informatik tätig.