Warum ein Umdenken in der IT-Security dringend von Nöten ist

Ein Artikel von Christiane Weber & Thorsten Landich, Ostertag DeTeWe | 20.07.2021 - 07:56

Gleichzeitig steht das Finanzwesen nicht nur von Cyberkriminellen unter Beschuss. Vielmehr unterliegen die Geldhäuser auch einer riesigen Flut von Vorschriften – die ständig erweitert und verschärft werden und obendrein verschiedene Motive und damit Regulierungsbehörden haben: Die Themen IT-Sicherheit, aufsichtsrechtliche Vorgaben für Banken und Versicherungen und die Eigenschaft als Betreiber von „Kritischen Infrastrukturen“ überlagern sich. Einen zusätzlichen Dreh haben diese Herausforderungen durch die verstärkte mobile Arbeit seit Ausbruch von Corona erhalten: die Angestellten nutzen viel mehr mobile Geräte an allen möglichen Orten – auch außerhalb der Firmenzentrale. All das wird eingerahmt durch die angespannte wirtschaftliche Situation der Branche, die bis auf den Wertpapierhandel kaum noch lukrative Einnahmequellen hat.

Ideallösung Generalunternehmer

Christiane_Weber.JPG

Christiane Weber, Diplom-Betriebswirtin, ist Key Account Managerin bei Ostertag DeTeWe für das Finanzwesen.

Keine leichte Aufgabe für die IT-Abteilungen, die neben dem eigentlichen Finanzgeschäft inzwischen den operativen Kern von Finanzhäusern ausmachen. Die entsprechenden Vorstände müssen ständig damit rechnen, dass ihr Bereich – und damit ihre Karriere – ins Fadenkreuz von Kriminellen gerät. Da liegt es auf der Hand, dass man auf spezialisierte Dienstleister zurückgreift. Selbst wenn man „nur“ eine neue Telefonanlage installiert, kann man nicht mehr den Handwerker von nebenan beauftragen – so passend das gerade für eine lokal agierende Bank wäre. Die Vorgaben sind so umfassend, dass kein einzelner Installateur mehr mithalten kann.

„Make or buy“, „sonstiger Fremdbezug“ oder „wesentliche Auslagerung“ –  wie weit man als Institut geht, hängt neben der Größe, dem Risiko und der eigenen IT-Kompetenz vor allem auch von der IT-Strategie des Vorstandes ab. Große Systemhäuser setzen als Generalunternehmer (GU) stark auf individuelle Lösungen, die viele traditionelle Dienstleister nicht bieten. Das Lösungsportfolio im dediziertem Vertical Finance der Ostertag DeTeWe umfasst daher die Bereiche UCC, LAN/WLAN, WAN/SD-WAN, Firewall & Voice und beinhaltet auch den Status eines sogenannten Teilnehmernetzbetreibers.

Das Schließen von Bankfilialen und die zunehmende mobile Arbeit werden Web- und Videolösungen sowie Video-Ident-Verfahren weiter boomen lassen. „Bring-your-own-Device“-Integrationen bedürfen einer Anpassung der IT-Sicherheitskonzepte. Lösungen wie Microsoft Teams zu nutzen und zu managen, ist dabei ein fester Bestandteil der Leistungen geworden, welche gefordert werden. Themen wie DSGVO und der CLOUD Act müssen hier zwingend Beachtung finden. Firewall- und Netzwerklösungen wiederum sollten eine vollwertige SIEM- und NOC-Umsetzung im 24/7 Betrieb umfassen. Ein zentraler Punkt für Dienstleister ist daher ein Managed Firewall-Konzept, das sich an die BaFin-Anforderung anlehnt.

Alles aus einer Hand – und die Verantwortung ist delegiert

Thorsten_Landich.JPG

Thorsten Landich ist Director Sales & Pre Sales bei Ostertag DeTeWe.

Die von allen Marktteilnehmern mit Spannung erwartete 6. Novelle der BAIT wird voraussichtlich einen erheblichen Handlungsbedarf bei den Themen IT-Notfallmanagement, Auslagerungen & sonstiger Fremdbezug, die operative Informationssicherheit und insbesondere die Identifikation und Bewertung sicherheitsrelevanter Ereignisse und Reaktionen (SOC/SIEM) nach sich ziehen. Die Gefahr von Attacken ist ungebrochen und ist mit der nun weiter verbreiteten mobilen Nutzung und Heimarbeit noch größer geworden. Das Risiko eines „Angriffs von innen“ ist hierdurch deutlich erhöht. Des Weiteren sollte bei Vor-Ort-Standorten der Banken wiederum eine moderne Netzwerksegmentierung greifen. Jeder Standort erhält eine eigene Firewall, ja die typische Situation in angemieteten Bürohäusern in der Fußgängerzone muss auch beachten werden: unten die Filiale, die Kundenbetreuung sitzt weiter oben – und dazwischen ein ganz anderer Mieter. Bei solchen Risiken der Zutritts- und Zugangskontrolle sollte ein MACsec Switch zum Einsatz kommen.

Natürlich müssen bei all den strengen Rahmenbedingungen die Angestellten arbeitsfähig bleiben. Die Customer- bzw. in diesem Fall Mitarbeiter-Experience ist daher ein wesentlicher Aspekt. Viele Dienstleister bieten nur Standardlösungen mit eingeschränkten Funktionen, dabei lohnen sich individuelle Konzepte fast immer.

Ob Omnichannel, Sprachaufzeichnung, Managed Service oder das Hosting in Rechenzentren. GUs, wie die Ostertag DeTeWe, übernehmen gleichzeitig die komplette Steuerung der nachgelagerten Unternehmen sowie besonders die Einhaltung aller rechtlichen und branchenspezifischen Anforderungen: von MaRisk, BAIT, §25 KWG bis zu MiFID II. Dass die Spezialisten all die Leistungen und Standards bringen, sollte sich ein Auftraggeber durch Nachweise dokumentieren lassen. Die Aufwendungen für das Durchsetzen von Prüfungsrechten kann durch einen IDW PS 951 Typ 2 Prüfbericht eines Dienstleisters minimiert bzw. vereinfacht werden. Neben diesen Berichten wird die Bank durch Notfallkonzepte und -übungen, Sicherheitskonzepte, Risikoberichte, Dokumentationen und Penetrationstests unterstützt. Wer einen auditierten Generalunternehmer engagiert, ist somit „sicherer“ unterwegs – womit gerade die für IT zuständigen Vorstände fester im Sattel sitzen und ruhiger schlafen können.