|  |
Sicherheit für Finanzdienstleister
 Wie können sich Banken und Versicherungen weltweit effektiv schützen?
Es gibt stets eine positive und negative Sicht auf die Dinge: Optimistisch gesehen sind die Möglichkeiten durch den Einsatz mobiler Speichergeräte wie USB-Sticks, iPods und PDAs gigantisch. Daten können unkompliziert transportiert werden und so sind die Voraussetzun-gen für einen mobilen Arbeitsplatz geschaffen. Doch die negative Seite besteht in einem „offenen“ Netzwerk, das bei fehlenden Sicherheitsvorkehrungen auch Fremden und Unberechtigten einen freien Zugang zu Firmeninterna bietet. Bei zu viel Gutgläubigkeit und Vertrauen sind die USB-Ports und Firewire nicht geschützt und mit den kleinen Speichern – die sich selbst in einem Kugelschreiber oder einer Uhr verstecken können – werden mehrere Gigabyte Dateien in Sekundenschneller herunter geladen. Tatsache ist, dass eine Kontrolle über alle Computer zu jeder Zeit nur schwer möglich ist. Wer betritt das Unternehmen zur Mittagszeit und setzt sich an einen Rechner?
Dementsprechend hoch ist der Bedarf an IT-Lösungen zur Sicherung der Endpunkte in allen Bereichen der Finanzdienstleistungsbranche. Wichtig ist dabei der Einsatz einer Software, die sowohl Anwendungen als auch externe Speicher für die Nutzung an PCs, Laptops und Servern schützt. Durch die Nutzung des White-List-Verfahrens können beispielsweise jegliche Formen von Malware oder unerwünschter Software nicht ausgeführt werden und unautorisierte Geräte werden gesperrt, so dass Datenlecks nicht entstehen können und die Integrität der Systeme geschützt wird.
Erfahrungen sprechen für die Weiße Liste
Organisationen des internationalen Finanzsektors, wie die Barclay’s Bank, Norwich Union, Gothaer, ING DiBa und BHF Bank sichern ihre Integrität und Daten nach dem White List Prinzip. Im Gegensatz zu Anti-Virus- oder anderen traditionellen Black-List-Lösungen, schützt die Software Sanctuary von SecureWave Unternehmen durch den proaktiven Policy-Ansatz nicht nur vor bekannten, sondern auch vor neuen, fremden Bedrohungen. Durch die exakte Definition der Geräte und Anwendungen, die Zugang zu PCs, Laptops und Servern haben, besteht eine sehr genaue Kontrolle.
Sensible Netze schützen
Vor allem Finanzdienstleister unterliegen sehr strengen gesetzlichen Rahmenbedingungen, durch die auch die internen Sicherheitsstrukturen der IT betroffen sind. So müssen sensible Daten vor dem Zugriff unbefugter Personen geschützt werden. Deshalb sollte ein vernünftiges Sicherheitskonzept nicht aus verschiedenen Einzelmaßnahmen bestehen, sondern jedes Unternehmen muss ein klar strukturiertes Konzept haben, dessen Fokus auf Strategie und Gesetz liegt. Aufgrund der Kosten und Effizienz sind Finanzorganisationen oftmals dazu gezwungen, sensible Daten über vernetzte Systeme oder das Internet zu verschicken oder auch Kunden und Partnern Zugang zu diesen zu gewähren. Dadurch wächst das Risikopotential enorm. Das öffentliche Ansehen des Unternehmens ist gefährdet, wenn Kunden nicht von höchstmöglicher Sicherheit und Vertraulichkeit überzeugt sind. Es darf nicht der Eindruck entstehen, dass das neue Produkt- und Serviceangebot nur durch ein erhöhtes Sicherheitsrisiko möglich ist.
Gesetze geben Rahmenbedingungen vor
In der Regel sind die Netzwerke sehr gut gesichert. Die Sicherheitslücke liegt oftmals am Endpunkt, nämlich dann, wenn externe Geräte und Anwendungen ohne vorherige Kontrolle benutzt werden dürfen. Sie bringen die sensiblen Kundendaten in Gefahr. Diese Schwachstelle kann durch spezielle Reglementierungen der Zugriffe geschützt werden.
Jeder Finanzdienstleister, ob börsennotiert oder nicht, kann für Schäden durch Hacker, Viren oder Datendiebstahl zur Verantwortung gezogen werden. Doch die Gefahr droht nicht nur von außen, auch die eigenen Mitarbeiter stellen – oftmals auch unwissentlich – eine Gefahr dar. Börsennotierte Unternehmen sind durch das Anlegerschutzverbesserungsgesetz dazu verpflichtet, ein Verzeichnis der für sie tätigen Personen anzulegen, die Zugriff zu persönlichen Daten haben. Damit dieser gesetzlichen Vorgabe auch entsprochen werden kann, ist es sinnvoll, Sicherheitstechniken mit gruppen- und benutzerbezogenen Zugriffsrechten zu verwalten.
Eine sinnvolle Option ist die Aufzeichnung der Informationen, die von Disketten, CDs/DVDs und mobilen Geräten eingelesen bzw. darauf geschrieben werden. Durch ein Audit-Protokoll über sämtlicher Ereignisse – ob es sich nun um genehmigte Aktionen oder unzulässige, gescheiterte Versuche handelt, einschließlich der Zugriffsversuche durch nicht autorisierten Code – stehen Informationen für die Kontrolle der eingerichteten Rechte sowie als Nachweis zur Einhaltung der rechtlichen Vorgaben zur Verfügung.
Eine weitere rechtliche Vorgabe ist die Anti-Spam-Richtlinie der EU, sie regelt die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze. Dazu gehören neben dem Internet selbstverständlich auch mobile Geräte. Vor allem Unternehmen mit vielen Außendienstmitarbeitern sind davon betroffen. Diese sollten ein Sicherheitspaket aus Passwortmanagement und ebenfalls der granularen Zugriffsrechteverwaltung nutzen.
„Nachdem Vorfälle wie Passwortklau, Informationsmissbrauch und Sicherheitsbrüche Schlagzeilen machten, suchen Finanzdienstleister neue Wege, ihr Unternehmen vor möglichen Katastrophen zu schützen“, sagt Bob Johnson, CEO bei SecureWave. „Sanctuary ist herkömmlichen Sicherheitslösungen voraus, weil es sich auf das konzentriert, was erlaubt ist und nicht, was verboten ist. Es ist sehr viel einfacher im Unternehmen gewünschte Applikationen und Wechselspeichermedien auf die White List zu setzen, als eine Black List all der Malware, ungewollten Software und unautorisierten Geräten – die unbekannten Bedrohungen ausgeschlossen – zu erstellen.“
04/2007, Roger Wagner
| | Seit Anfang 2003 leitet Roger Wagner als VP Sales Continental Europe bei SecureWave die Vermarktung der Sicherheitsprodukte auf dem europäischen Kontinent. Er kann auf über 20 Jahre in der IT-Industrie zurückblicken.
 Alle Experten
Publizieren Sie Ihren eigenen Fachbeitrag
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Im Februar 2005 reichte der Geschäftsmann Joe Lopez aus Florida Klage gegen die Bank of America ein, nachdem unbekannte Hacker dem amerikanischen Unternehmer 90.000 $ von seinem Konto bei der Bank of America gestohlen und nach Lettland transferiert ... | |  | | 2. Teil der Artikelserie „IT-Sicherheitsaudits“: Die folgenden wesentlichen Schritte sowie die Klärung der Fragestellungen werden bei der Planung und Durchführung von Audits empfohlen ... | |  | | Erst vor wenigen Wochen trafen sich in Los Angeles rund 7.000 Teilnehmer aus 23 Ländern in über 200 Vorträgen und Workshops, die sich allesamt um den IT-Megatrend des Jahres drehten: Virtualisierung. Welche Veranstaltung war dazu besser geeignet als ... | |  | | Gemeinsam mit der Secorvo Security Consulting GmbH aus Karlsruhe präsentiert Ihnen Securitymanager.de eine Artikelserie zum Thema „IT-Sicherheitsaudits“. Wir freuen uns über eine rege Diskussion, Kommentare und Anregungen. | |  | | IT-Sicherheit hat viele Facetten, die weit über den Schutz gegen Viren und Würmer hinausgehen. Noch zu wenig bekannt sind die Gefahren durch unzeitgemäße Auslegungen der physischen Infrastruktur in Serverräumen und Datencentern. Immer höhere ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | 95 Prozent googeln vor Kaufentscheidungen. Das Internet ist daher in vielen Branchen heute das wichtigste Instrument der Neukundengewinnung... | |  | | Im Jahre 2005 hat sich das Naturawerk für die ERP-Lösung Semiramis von Comarch (vormals SoftM) entschieden. Das System wird in nahezu allen Unternehmensbereichen eingesetzt... | |  | | Modernes Content Management sieht sich vor neuen Herausforderungen. Mit den Veränderungen in den Nutzungsgewohnheiten des Internets sind auch die Anforderungen an Content Management Systeme gewachsen... | |
| | | |
