DVB Bank vereinfacht Netzwerksicherheit

Ein Artikel von red | 12.04.2021 - 06:17
digitale Transformation.jpg

Datenpakete © 3dkombinat - Fotolia

Da die Bedrohungen in Form von Anzahl und Raffinesse zunehmen, sind insbesondere Finanzinstitute einem hohen Angriffsrisiko ausgesetzt. So summiere sich auch die Angriffe auf die DVB Bank SE, ein auf das internationale Verkehrsfinanzierungsgeschäft spezialisierter Finanzdienstleister auf über 55.000 pro Jahr.  Allein die Zahl der Angriffe auf den Perimeter summiert sich auf mehrere hundert pro Tag.

Doch der reguläre Betrieb sowie das Vertrauen der Kunden hängen maßgeblich von der Sicherheit der Daten ab. Es gilt, finanzielle und Reputationsschäden zu vermeiden und darüber hinaus natürlich auch die Vielzahl an internationalen und nationalen regulatorischen Anforderungen erfüllen, u.a. von der Europäischen Zentralbank (EZB), die Bankaufsichtliche Anforderungen an die IT der BaFin (BAIT), der Bankenaufsicht in Singapur (Monetary Authority of Singapore, MAS) oder der Internationalen Organisation für Normung (ISO).

Diese Vielzahl an Compliance-Vorgaben erfordert sehr viel manuelle Arbeit. So war der Technical Information Security Officer (TISO) der DVB bislang jeden Monat eine Woche lang damit beschäftigt, die neuesten Vorgaben und Compliance-Vorgaben zu überprüfen und mit den IT-gestützten Prozessen und Systemen abzugleichen. Waren die neuesten Richtlinien dann umgesetzt, begann die Arbeit nach kurzer Zeit wieder von vorne.

Zeit, die an anderer Stelle fehlt und die besser für strategisch wichtige Aufgaben verwendet werden könnte. Zugleich sind auch die internen Anforderungen enorm gestiegen: Pandemiebedingt galt es von Jetzt auf Gleich so viele Leute wie möglich über alle Standorte hinweg produktiv in’s Home Office zu bringen. Der Bedarf an permanenter Verfügbarkeit der Systeme und automatisierter Prozesse musste schnell befriedigt werden. 

Mikrosegmentierung des Netzwerks und inhärenter Workload-Schutz

Robert Seidemann_Headshot.jpg

Robert Seidemann, Vice President (VP), Information Technology (IT), DVB Bank

Doch die DVB Bank war gut vorbereitet und setzte u.a. schon seit Jahren auf Virtualisierung und damit auf eine Unabhängigkeit von der Hardware, womit der Grundstein gelegt war. Die DVB Bank nutzt VMware NSX, eine komplette L2-L7-Plattform zur Virtualisierung von Netzwerk und Security sowie zur Mikrosegmentierung. Die Abkehr von physischen Firewall-Appliances ermöglicht es der Bank, verteilte Anwendungen auf der Workload-Ebene nahtlos und in großem Umfang zu trennen. Neben dem Zugewinn an mehr Sicherheit war die virtuelle Lösung auch die weitaus weniger arbeitsintensive Variante als eine neue physikalische Lösung zu implementieren:

 „Wenn wir uns für eine Hardware-Lösung entschieden hätten, hätten wir viele unserer eigens entwickelten Applikationen sowie die komplette Netzwerkinfrastruktur umbauen müssen. Mit NSX war es möglich, jede VM einzeln abzusichern. Unser Netz war nach dem Projekt in kleine segmentierte und geschützte Bereiche aufgeteilt. Bei der Implementierung hat uns sehr stark VMwares vRealize Network Insight Produkt geholfen, da es automatisiert die Analyse unserer bestehenden Kommunikationen zwischen VMs aber auch zu physischen Systemen übernommen hat. Dadurch war es möglich alle nötigen Verbindungen, vor der Aktivierung der Distributed Firewall auf den VMs, zu ermitteln und entsprechende Regeln dafür zu erstellen. Für uns war es phänomenal, dass wir das ohne irgendwelche Downtimes im Live-Betrieb implementieren und aktivieren konnten“, schwärmt Robert Seidemann.

Da die digitale Transformation voranschreitet und sich dadurch auch die Netzwerkarchitektur verändert, sieht sich die DVB Bank SE mit einer sich ständig verändernden regulatorischen Landschaft konfrontiert und musste zudem ihre Sicherheitsstrategie weiterentwickeln. Mit VMware Carbon Black Cloud Workload sichert die DVB Bank SE nun ihre Anwendungen auf Hypervisor-Ebene. Anstatt Bedrohungen wie bisher reaktiv zu bekämpfen, verkleinerte das Finanzinstitut damit seine Angriffsfläche. Die Lösung modelliert beabsichtigtes Anwendungsverhalten, erkennt anormale Aktivitäten und bietet Anwendungskontrolle, Reputationsbewertung bei zentralem Management und einen hohen Automatisierungsgrad.

„Im Vorfeld der Installation konnten sich die IT-Mitarbeiter so richtig austoben: Über zwei Tage lang haben wir live die verschiedensten Attacken auf eigens dafür bereitgestellten Testsystemen simuliert“, erinnert sich Seidemann. „Das System hielt dem Härtetest stand – und dann ging alles ganz schnell. Innerhalb nur eines Tages wurde VMware Carbon Black Cloud Workload bei uns installiert.“ 

DVB Bank SE

Als Tochtergesellschaft der DZ BANK Deutsche Zentral-Genossenschaftsbank, hat die DVB Bank  ihren Hauptsitz in Frankfurt am Main und gehört zur zweitgrößten Bankengruppe Deutschlands. Die weltweit rund 346 Mitarbeiter verwalten ein Kreditportfolio im Wert von rund 5,7 Milliarden Euro und finanzieren dadurch Kredite im Transportwesen.

Mit acht weiteren Standorten rund um den Globus betreut das Finanzinstitut eine weltweite Kundenbasis im Schifffahrtsbereich, bestehend aus börsennotierten und privaten Gesellschaften, multinationalen Konzernen wie auch kleineren Unternehmen im Familienbesitz. 

Verbesserte Netzwerksicherheit für Innovation und Kundenservice

Ergebnis: Die DVB Bank hat nahezu 100 Prozent ihrer kritischen Anwendungen virtualisiert. Die Anwendungen sind keiner freien Bedrohung ausgesetzt, Kundendaten und Zahlungsverkehr gut geschützt. Im IT-System der DVB Bank SE überprüft Carbon Black Änderungen automatisch und gleicht diese mit den implementierten Sicherheitsmechanismen ab. Die Wirksamkeit der bereits zuvor durchgeführten Mikrosegmentierung des Netzwerks konnte weiter verbessert werden. Dadurch wurden schnellere und detailliertere Antworten auf riskantes Workload-Verhalten möglich und die Integrität des Betriebssystems kann gewährleistet werden.

„Mit der Einführung von Carbon Black hat sich für unseren TISO das Leben verändert“, freut sich Seidemann. „Statt wie bislang eine Woche mit dem Abgleich neuester Sicherheitsregularien beschäftigt zu sein, kann er sich nun der Umsetzung innovativer Projekte widmen.“ Den Grad der Automatisierung können die IT-Mitarbeiter selbst bestimmen: Wo Anpassungen nötig sind, erhält der Security-Verantwortliche eine Meldung und kann diese justieren. In einem nächsten Schritt ist geplant, dass das System selbst diese Anpassungen vornimmt.

Die User merken von den neuen Lösungen nichts. Höchstens in der Kommunikation mit ihren entspannten Kollegen. „VMware hat die DVB Bank SE dabei unterstützt, das IT-Management so simpel wie möglich zu halten. Diesen Zugewinn an Zeit können wir nutzen, um weiter innovativ zu bleiben“, bilanziert Seidemann.