Die Implementierung von IT-Security kostet zunächst Geld. Und ein direkter Return on Investment ist hiermit nicht zu erzielen. Und dennoch gibt es gute Gründe für den CIO, das Budget seines CSO gegen eine einseitige IT-Konzentration auf Marketing- und Sales-Belange zu verteidigen. Er muss seinem Unternehmen, vom Marketeer bis zum Controller, verständlich machen, dass es durch Nachlässigkeiten bei der Datensicherheit in seiner Marktposition und in seinem Image geschädigt werden kann.
Ein verwundbares System ist weder ausfallsicher noch sind Datenlecks der Reputation eines Unternehmens in der Öffentlichkeit förderlich. Garantierte Hochverfügbarkeit ist Grundvoraussetzung und Rückgrat jedes Business vom Service über Marketing bis zum Vertrieb. IT-Security ist somit keineswegs alleine ein technologisch, sondern sogar in erster Linie ein betriebswirtschaftlich getriebenes Thema.
Angreifbare Systeme sind Cost-Driver, zumal dann, wenn bei Verlust sensibler Daten Strafzahlungen, Zivilklagen, Ausfallzeiten in Produktion und Vertrieb, Patent- oder Strategiediebstahl sowie aufgekündigte Geschäftspartnerschaften und Kundenbeziehungen drohen. Eine Imagekampagne, die den angeschlagenen Ruf eines in die Schlagzeilen geratenen Unternehmens wiederherstellen soll, ist dann nicht selten kostspieliger, als es die Lizenzen und rechtzeitige Implementierung einer Security-Lösung gewesen wären.
Cost-Cutting bedeutet für den CIO demnach nicht Einsparung von, sondern Einsparung bei IT-Security, indem er die für sein Haus geeignete Lösung auswählt und sie unter TCO-Aspekten betrachtet: Neben der Frage nach den Lizenzkosten tritt dann die nach einer fristgerechten Implementierung in wenigen Manntagen bei möglichst kurzer Downtime und geringen Umstellungskosten.
Warum IT-Security?
Der Banken-CIO muss einen lückenlosen Delivery of IT-Service sicherstellen. Wenn es darum geht, Störungen und Systemschädigungen zu vermeiden, erweist sich IT-Security demnach als genauso entscheidend wie etwa die Anschaffung leistungsstarker Hardware mit hohem Datendurchsatz und stabil laufenden Programmen oder Applikationen. Datensicherheit ist eine der Kernaufgaben, an denen der CIO gemessen und von seinem Unternehmen bewertet wird. Dabei sind es vor allem zwei Faktoren, die IT-Security gegenwärtig zu einem Schlüsselthema machen.
Compliance (Basel II, SOX 404, EURO-SOX): Ein Verstoß gegen eine stetig strenger werdende Gesetzgebung kann zu Klagen, Auflagen, Einschränkung der Geschäftsfähigkeit oder anderen juristischen (strafrechtlichen oder finanziellen) Sanktionen führen.
Industriestandards wie der PCI-Standard: Der PCI-Standard ist eine Antwort großer Kredikartenunternehmen wie VISA, Mastercard und American-Express auf die schnell steigenden Zahlen bei Kreditkartenbetrug und Identitätsdiebstahl. In Reaktion auf zum Teil gravierende Schadensfälle – man denke hier nur an die bis zu 100 Millionen ausgespähten Daten bei dem US-amerikanischen Einzelhandelsriesen TJX – haben die Anbieter ihre anfangs individuell entwickelten Standards vereinheitlicht und – zunächst in den USA – verbindlich eingeführt. Demnächst gilt allerdings auch für Europa: Wer die Kreditkartendaten seiner Kunden nicht verschlüsselt und weiterhin auf FTP-Protokolle setzt, wird mit Sanktionen seiner Kreditkartenpartner rechnen müssen – von Konventionalstrafen bis hin zur Beendigung der Geschäftsbeziehung, was für viele Retailer, sei es die Tankstellenkette, seien es Online-Portale, katastrophale Umsatzeinbrüche bedeuten würde. Wer sich nicht an die zwölf „Gebote“ des PCI DSS hält, die gerade für große Handelshäuser unter anderem regelmäßige Audits, Reportings, starke Authentifizierung und Verschlüsselung im Dateien- und Datentransfer verlangen, sieht sich zum Teil mit erheblichen Strafzahlungen konfrontiert. Wer etwa nicht bereit ist, das unsichere FTP-Protokoll durch verschlüsseltes SFTP lückenlos zu ersetzen, kann sogar schlimmstenfalls vom Kreditkartengeschäft ausgeschlossen werden. Hinzu kommen Ansehens- und Vertrauensverlust in der Öffentlichkeit, wie ihn zum Beispiel TJX erleiden musste, hatte man doch – gegen Sniffing-Attacken ungeschützt – Kreditkartendaten einfach per WLAN verschickt. Zivilklagen geschädigter Kunden, eventuell auch staatliche Sanktionen der Gewerbeaufsichtsbehörden oder Konventionalstrafen der großen Kreditkartenbetreiber vor Augen, haben große Unternehmen in den USA (und demnächst auch in Deutschland) keine Alternative dazu, „compliant“ zu sein. Dazu gehört es auch, Standards nicht nur zu erfüllen, sondern deren Befolgung jederzeit auch nachweisen zu können – ein Beispiel: Eine zentralisierte Vergabe und Verwaltung der Schlüssel ist bei starker Authentifizierung nicht nur eine Frage von Sicherheit und kosteneffizienter Nutzung der Lösung, sondern auch eine von überprüfbarer Transparenz, jederzeit zu wissen und einem Auditor gegenüber dokumentieren zu können, wie der Sicherheitsstatus des Systems aussieht. Meinolf Schulte: „Eine Security-Software muss zentrale Management-Funktionalitäten umfassen, die dem CIO übersichtliche Reportings ermöglichen. Sie muss zudem den Sicherheitsstatus eines Systems aktuell anzeigen und dabei die Kosten für die konsequente Umsetzung einer gesetzeskonformen Security Policy senken.“
IT-Security – Probleme bei der Implementierung
Ist einem Unternehmen juristisch oder auf der Ebene eines neuen Industriestandards eine Deadline verbindlich gesetzt und müssen vorgeschriebene Fristen der Auditoren eingehalten werden, dann steht der CIO einer Bank häufig vor einem schier unlösbaren Problem: Telnet und FTP vollständig aus der IT-Umgebung einer Firma zu verbannen, das klingt einfacher, als es ist. Zum Teil seit Jahrzehnten gewachsene IT-Umgebungen, eine „Erbschaft“ längst ausgeschiedener Programmierer und Administratoren, machen die IT-Landschaft eines Unternehmens unübersichtlich. Auch eine lange Unternehmensgeschichte an M&As hinterlässt oftmals ihre Spuren auf der IT-Ebene, wenn die hier eigentlich fällige Homogenisierung unterbleibt: Unternehmen fusionieren, ihre IT-Strukturen nicht. Das bedeutet zum einen: Häufig genug ist dem CIO gar nicht ohne Weiteres klar – bei Tausenden von Servern –, wo überall das FTP-Protokoll überhaupt geöffnet ist. Häufig droht er schon an seiner Dokumentationspflicht zu scheitern, weil er dann kaum nachweisen kann, alle FTP-Protokolle durch verschlüsselte Transfers ersetzt zu haben. Will er dennoch alle FTP-Protokolle inhouse „per Hand“ in zahllosen Manntagen „umschreiben“ lassen, so wird eine seriöse Zeitplanung für ihn fast ein Ding der Unmöglichkeit. Zum anderen erzwingen die heterogenen IT-Strukturen für den Ersatz von FTP durch SFTP eine Lösung, die sowohl mit Mainframe, Linux, Unix oder Windows-Servern kompatibel ist, ohne dass dazu wiederum erst aufwändig programmiert und getestet werden muss. Der Termindruck bei der Implementierung kann dabei enorm werden, wie Meinolf Schulte aus dem Praxisfall eines weltweit führenden Automobilherstellers weiß: „Unternehmen sind häufig verpflichtet, ihre IT in verbindlich gesetzten Fristen umfangreich zu schützen. Allein in jüngster Zeit erinnere ich mich an Kunden, die aufgrund anstehender oder nicht bestandener Audits gezwungen waren, innerhalb von nur drei bis vier Monaten Lösungen zu sicherem Dateitransfer komplett neu zu implementieren. Ein Verfehlen solcher Deadlines kann mit empfindlichen Strafen geahndet werden. Daher wird IT-Security heute längst nicht mehr allein daran gemessen, wie sie als Produkt funktioniert, sondern nicht zuletzt auch daran, wie sie als Projekt innerhalb bestimmter Fristen zum Funktionieren gebracht werden kann.“ Gerade Mainframes sind in diesem Zusammenhang ein leidiges Thema, wenn es darum geht, sie in ein lückenloses Netz verschlüsselter Dateitransfers zu integrieren, da neben SFTP nur eingeschränkt praktikable Lösungen wie FTPS zu Verfügung stehen. Meinolf Schulte: „FTPS erweist sich zumeist als eine Lösung, die bei Implementierung und Verwaltung über heterogene Plattformen hinweg große Ressourcen beansprucht. Die Stärke von SSH Tectia besteht dagegen in der Plattform- und Systemunabhängigkeit von Windows Desktop über Unix (Sun Solaris, IBM AIX, HP UX) oder Linux bis hin zu IBM Mainframe.“
Open Source ist in Deutschland ein wichtiges Thema. Inhouse mit den eigenen Spezialisten, denen man vertraut, eine eigene Security-Architektur zu entwickeln, erscheint auf den ersten Blick attraktiv, zumal keine Lizenzgebühren für die Software anfallen. Andererseits wird der CIO neben den reinen Anschaffungskosten in Fragen effizienter Vergabe seiner Mittel auch TCO-Betrachtungen anzustellen haben: Hier fallen dann all die Kosten ins Gewicht, die durch Adaptation, Installation, Patchings, aber auch Verwaltung, Pflege und Betrieb der implementierten Lösung entstehen. Dann muss abgewogen werden, ob die Manntage der eigenen Spezialisten auf die Dauer nicht mehr Finanzmittel verschlingen, als dies bei einer Lösung der Fall ist, die sich an Software-Standards orientiert und so, ohne umfangreichen Eingriff in die bestehende IT-Landschaft, mehr als 95 Prozent aller FTP-Protokolle im Hintergrund automatisch durch SFTP austauscht. Meinolf Schulte: „IT-Abteilungen haben ihre Dateitransfersysteme über viele Jahre hinweg entwickelt. Dabei sind Hunderte, wenn nicht Tausende von Skripten und Programmen entstanden. Solche Systeme Skript für Skript abzusichern, ist sehr zeitintensiv: Nicht nur müsste dann jede einzelne Applikation zunächst konvertiert, sondern danach auch auf volle Funktionsfähigkeit getestet werden. Unsere Kunden, meistens Großunternehmen, haben weder die Zeit noch die Ressourcen, um solche Projekte durchzuführen. Daher sind sie dankbar für eine Lösung, die Dateitransfers sicher und vor allem automatisch verschlüsselt. So sparen sie Kosten und haben volle Transparenz über ihren Sicherheitsstatus. Wenn man, wie einer unserer Kunden, weit mehr als 200 Systeme in weniger als vier Monaten absichern muss, um ein SOX-Audit zu bestehen, dann ist eine Einzelumstellung jedes Skripts, jeder Applikation und jedes Systems auf geschützten Dateitransfer nicht möglich.“
Was manche vergessen: Nicht nur Installation und Updates, sondern auch die ganz reguläre Verwaltung einer Software-Lösung kostet Geld. So ist, um nur ein Beispiel zu nennen, unter TCO-Gesichtspunkten nicht in erster Linie eine sichere Authentifizierung, die auch Open Source bieten kann, als solche das allein ausschlaggebende Kriterium bei der Auswahl einer Lösung. Was hier zählt, sind Faktoren wie eine effektive Schlüsselverwaltung, die Verwechselungen oder umständliche Zuteilungen an zugangsberechtigte Personen vermeidet und gleichzeitig die geforderte Transparenz bietet, um IT-Auditoren rechtskonforme Reportings zu garantieren.
Ebenso müssen Opportunitätskosten abgewogen werden: Denn statt sich auf das Kerngeschäft zu konzentrieren, also etwa die Modernisierung eines Core-Banking-Systems oder einer CRM-Software voranzutreiben, müsste der CIO z.B. einer Bank seine Spezialisten auf Aufgaben ansetzen, mit denen sie nicht so ohne weiteres vertraut sind. Sie wären blockiert und nehmen mit ihrer eigentlichen Expertise an Wertschöpfungsprozessen kaum mehr teil.
Neben einer solchen TCO- und Opportunitätskosten-Berechnung ist auch die Geschwindigkeit beim Ersatz von FTP oder Telnet ein wichtiger Faktor bei der Wahl zwischen Open Source und einer kommerziellen Lösung. Abgesehen von einer finanziellen (Dauer der Umstellungs- und Ausfallzeiten) hat dieser Faktor auch eine juristische Aspektierung: Sind Deadlines einzuhalten gegenüber Geschäftspartnern, staatlicher Rechtsprechung oder bestellten Auditoren, kann jeder Tag Verzögerung zu empfindlichen Sanktionen führen. Gerade im Geschäft mit Kreditkarten werden Händlern, die nicht PCI DSS-compliant sind, von VISA, MasterCard oder American Express Strafzahlungen in Höhe von bis zu 500.000 US-Dollar angedroht – wenn es nicht sogar zum Verlust der Geschäftsbeziehungen mit den Kreditkartenunternehmen und damit zu massiven Umsatzeinbrüchen kommt. So hat Visa die Fifth Third Bank, die für das Einzelhandelsunternehmen TJX das Kreditkartengeschäft abwickelt, zu einer Zahlung von insgesamt 880.000 USD verpflichtet, da 45,7 Millionen Kreditkartendaten von TJX-Kunden durch Hacker entschlüsselt werden konnten. So genannten Level-One Merchants, die mehr als sechs Millionen Kredittransaktionen pro Jahr durchführen, hat VISA darüber hinaus ein Bußgeld in Höhe von 25.000 US-Dollar angedroht, wenn sie nicht PCI DSS-konform agieren.
Für den CIO ist es demnach entscheidend, dokumentieren und darstellen zu können, dass er sämtliche Sicherheitsauflagen fristgerecht umsetzt, ohne durch verhängte Sanktionen, entstandenen Datenverlust oder jederzeit drohende Man-in-the-Middle- bzw. Sniffing-Angriffe dazu gezwungen zu sein. Ein Teil der eigenen Verantwortung an Anbieter zu delegieren, die häufig mehr Erfahrung als die eigenen IT-Fachleute im Haus und über Jahre hinweg verlässliche Standards erarbeitet haben, ist auch im Sinne eines Nachweises eigener Schutzmaßnahmen meistens Inhouse-Projekten mit ungewissem Ausgang vorzuziehen. Gerade ein sensibles Feld wie IT-Security ist längst ein Outsourcing-Thema, was nicht zuletzt die namhaften Großbanken beweisen, die auf SSH Communications Security als ihren Lösungsanbieter setzen.
Fazit
IT-Security ist von einer Bank unter drei Aspekten zu betrachten: Technologisch muss die Lösung vor allem durch Encryption bei vollständigem Ersatz von FTP und Telnet effektiv vor Man-in-the-Middle- oder Sniffing-Attacken deutlich besser schützen, als VPN oder Tunneling dies können. Wirtschaftlich muss die Lösung in ihrer Implementierung Downtime und die Zahl lohnintensiver Manntage reduzieren und sich an einer kritischen TCO-Bewertung sowie umfassenden Betrachtung der Opportunitätskosten messen lassen. Und angesichts verpflichtender Industriestandards und einer zunehmend verschärften Gesetzgebung muss Datensicherheit in bestimmten Fristen herstell- und dann auch dokumentierbar sein. Nicht selten zeigt sich dann, dass die lizenzierte, schnell zu implementierende Lösung eines Lösungsanbieters wie SSH Communications Security am besten hilft, Auditoren, aber auch den Controller zufriedenzustellen. Und wenn sie zudem in der Lage ist, kritische Herausforderungen wie heterogene IT-Umgebungen, das „Problem Mainframe“, versteckte FTP-Protokolle und die komplexe Schlüsselvergabe bei starker Authentifizierung zu meistern, dann wird auch die IT-Abteilung „inhouse“ eine solche Lösung zu schätzen wissen.