Blog

Wie Banken ihre Sicherheit mit deviceTRUST erhöhen

Als wichtiger Bestandteil im Finanzsystem und in der Wirtschaft eines jeden Landes spielt für Banken seit jeher das Thema Sicherheit eine essenzielle Rolle. Externe Vorgaben verpflichten Banken zur Umsetzung spezifischer Maßnahmen, um die Auswirkungen von IT-Risiken auf IT-Systeme zu minimieren. Im Folgenden lernen Sie, wie die „Contextual Security“ von deviceTRUST dazu beiträgt, diesem Ziel durch technische Maßnahmen näher zu kommen.

Externe Vorgaben

Am 17.01.2025 ist es so weit: Der „Digital Operational Resilience Act“ (DORA) wird als EU-Verordnung wirksam. Danach „müssen Finanzunternehmen belastbare IKT-Systeme und -Tools einrichten sowie pflegen, um mit der sich schnell entwickelnden Cyberbedrohungslandschaft Schritt zu halten“. 1https://www.bankinghub.eu/finance-risk/dora-digital-operational-resilience-act

Die in DORA enthaltenen Anforderungen sind vielfältig. Für die folgende Betrachtung spielt vor allem das in Kapitel 2 behandelte „IKT-Risikomanagement“ eine besondere Rolle. So fordert Artikel 9 Abs. 4 (c) hinsichtlich „Schutz und Prävention“ beispielsweise: Finanzunternehmen „implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung“. 2https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554

Wie die Umsetzung im Detail auszusehen hat, macht DORA „keine spezifischen Vorgaben; die Anforderungen orientieren sich an einschlägigen internationalen, nationalen sowie branchenspezifischen Standards, Leitlinien und Empfehlungen.“ 3https://www.bankinghub.eu/finance-risk/dora-digital-operational-resilience-act

Wenn man in Deutschland den Blick auf solche „Standards, Leitlinien und Empfehlungen“ richtet, finden sich unter anderem die sogenannten „Bankaufsichtlichen Anforderungen an die IT (BAIT)“. Als Verwaltungsleitlinien in Form von Rundschreiben „interpretieren […] die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.“4https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2017/meldung_171106_BAIT.html

Technische Maßnahmen mit deviceTRUST

Dass technische Maßnahmen in Punkto Sicherheit zielführender sind als organisatorische Maßnahmen, liegt auf der Hand, siehe auch Schutz vor ‚Layer 8‘ – Wie deviceTRUST die Sicherheit mit technischen Maßnahmen erhöht..

Welche technischen Maßnahmen explizit dazu beitragen, die Sicherheit gemäß den BAIT-Vorgaben zu erhöhen, erfahren Sie im Folgenden.

Kontextbasierte Zugangskontrollen

Was die oben erwähnten Zugangs- und Zugriffsrechte betrifft, kommt den in Kapitel 6.2 der BAIT behandelten Berechtigungskonzepten eine besondere Bedeutung zu. Diese „legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme (Zugang zu IT-Systemen sowie Zugriff auf Daten) […] für alle bereitgestellten Berechtigungen fest. […]. Berechtigungen können, je nach Art, für personalisierte sowie für nicht personalisierte Benutzer (inkl. technische Benutzer) vorliegen. […] Zugangs- und Zugriffsberechtigungen auf den IT-Systemen können auf allen Ebenen eines IT-Systems (z. B. Betriebssystem, Datenbank, Anwendung) vorliegen.“ 5https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html

deviceTRUST hilft hier weiter: Durch kontinuierliche Prüfung des Kontextes wird technisch sichergestellt, dass digitale Arbeitsplätze und bereitgestellte Anwendungen nur dann genutzt werden können, wenn alle Sicherheits- und Compliance-Anforderungen erfüllt sind – JEDERZEIT und ohne Benutzerinteraktion. Gewisse unternehmenskritische Anwendungen oder Datenbanken lassen sich beispielsweise nur dann verwenden, wenn sich das Personal in bestimmten WLAN-Netzen oder an gewissen (Geo-) Lokationen befindet. Einen guten Einblick in das Thema „Conditional Application Access“ gibt der folgende
Tech Talk: Conditional Application Access.

Damit die Berechtigungskonzepte den Sicherheitsanforderungen standhalten, fordern die BAIT in Kapitel 6.8 dazu auf: „durch begleitende technisch-organisatorische Maßnahmen […] einer Umgehung der Vorgaben der Berechtigungskonzepte vorzubeugen.“ 6https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html

Als technisch-organisatorische Maßnahmen werden in diesem Zusammenhang beispielsweise die folgenden Punkte genannt (die Möglichkeiten mit deviceTRUST finden sich jeweils darunter stehend):

Auswahl angemessener Authentifizierungsverfahren
(u. a. starke Authentifizierung im Falle von Fernzugriffen)

Mit deviceTRUST nutzen Sie Ihre Geräte als zusätzlichen Sicherheitsfaktor und schaffen somit eine sehr starke Authentifizierung. Mehr Informationen zum Thema „Gerät als 3. Faktor“ finden sich in den beiden folgenden Blog-Beiträgen:

Automatische passwortgesicherte Bildschirmsperre

Die Konfiguration einer passwortgesicherten Bildschirmsperre auf einem verwalteten Firmengerät ist in der Regel kein Problem. Wie lässt sich jedoch sicherstellen, dass die Bildschirmsperre automatisch nach einer gewissen Zeit startet und somit zentral bereitgestellte Anwendungen und Daten geschützt werden, wenn von einem nicht-verwalteten Gerät zugegriffen wird, also von einem BYOD externer Partner oder einem Privatgerät eines Mitarbeitenden?

deviceTRUST ermöglicht die einfache Identifizierung der Endgeräte: Durch die Verwendung von granularen Domänenmitgliedschaftsinformationen oder Seriennummern erhalten Sie genaue Auskünfte darüber, ob es sich um ein selbst verwaltetes oder ein fremd verwaltetes Gerät handelt. Kommt der Zugriff von einem fremden Gerät, lässt sich die Remote-Sitzung mit deviceTRUST nach einer gewissen Zeit durch eine passwortgesicherte Bildschirmsperre auch in BYOD-Szenarien schützen.

Operative Sicherheits-Maßnahmen und -Prozesse

Um die Anforderungen des Informationssicherheitsmanagements umzusetzen und die operative Informationssicherheit zu gewährleisten, hat „das Institut […] angemessene, dem Stand der Technik entsprechende, operative Informationssicherheitsmaßnahmen und Prozesse zu implementieren.“ 7https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html

Hierbei geht es der BAFIN unter anderem um die „Segmentierung und Kontrolle des Netzwerks (einschließlich Richtlinienkonformität der Endgeräte) oder den „mehrstufigen Schutz der IT-Systeme gemäß Schutzbedarf (z. B. vor Datenverlust, Manipulation oder Verfügbarkeitsangriffen oder vor nicht autorisiertem Zugriff).“ 8https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html

deviceTRUST hilft auch hier weiter: Mit kontextbasierter Windows-Firewall-Kontrolle kann deviceTRUST bei der Netzwerk-(Mikro-) Segmentierung helfen. Basierend auf kontextbezogenen Informationen kann deviceTRUST lokale Firewall-Regeln setzen und aufheben, um die Netzwerkkommunikation für jeden Benutzer individuell zu kontrollieren. Dies ermöglicht eine granulare Netzwerkkontrolle auf jedem Client und für jeden Benutzer.

Durch die Unterstützung von „Multi-Hop-Szenarien“ wird ferner sichergestellt, dass Anwendungen und Ressourcen, die prinzipiell nur über „Jump-Server“ zu erreichen sind, tatsächlich nur dann verwendet werden können, wenn das zugreifende Endgerät jederzeit den Anforderungen an Sicherheit und Compliance entspricht. Somit können nicht autorisierte Zugriffe auf digitale Arbeitsplätze und Anwendungen einfach und komfortabel unterbunden werden.

Manipulationssichere Implementierung der Protokollierung

Auch hinsichtlich Protokollierung bietet deviceTRUST eine Lösung. Für einen umfassenden Überblick lassen sich alle Aktionen protokollieren und an externe Systeme liefern. Somit kann jederzeit nachvollzogen werden, ob die Zugriffe den Anforderungen an Sicherheit & Compliance entsprechend erfolgt sind.

Andere Länder ähnliche Sitten

Die oben genannten Beispiele beziehen sich auf den deutschen Markt mit seinen diesbezüglichen Anforderungen. Andere Länder haben ähnliche Vorgaben, bei denen es ebenfalls darum geht, die Zugriffe auf Umgebungen und Ressourcen zu kontrollieren.
Auf jedes Land im Speziellen einzugehen, würde den Rahmen dieses Beitrags sprengen, weshalb hier nur ein kurzer Blick in die Schweiz erfolgen soll. Dort fordert die eidgenössische Finanzmarktaufsicht FINMA hinsichtlich der verwendeten Informations- und Kommunikationstechnologie beispielsweise:
„Kritische Daten sind im Betrieb und während der Entwicklung, Veränderung und Migration von IKT vor dem Zugriff und der Nutzung durch Unberechtigte angemessen zu schützen. […] Die Bestandteile der IKT, die kritische Daten speichern oder verarbeiten, sind besonders zu schützen. Dabei ist der Zugriff auf diese Daten systematisch zu regeln und laufend zu überwachen.“ 9https://www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/myfinma/rundschreiben/finma-rs-2023-01-20221207.pdf

Auch hier hilft deviceTRUST (technisch) weiter – beispielsweise dadurch, dass gewisse „kritische“ Anwendungen nur dann verwendet werden können, wenn sich der Mitarbeitende tatsächlich im Land befindet. Wenn er oder sie die Grenze überschreitet, lässt sich mit deviceTRUST der Zugriff auf die Anwendung sofort entziehen.

Banken vertrauen auf deviceTRUST

Banken unterliegen externen Regelungen, die sie umsetzen müssen. Zu betonen ist, dass mit DORA „das Leitungsorgan persönlich stärker verpflichtet wird, das IKT-Risikomanagement zu steuern und zu verantworten.“ 10https://www.bankinghub.eu/finance-risk/dora-digital-operational-resilience-act

deviceTRUST ist für Banken eine bewährte Lösung, die als „unsichtbarer Security-Layer“ unkompliziert dabei hilft, die gestellten Anforderungen technisch umzusetzen und somit die Sicherheit auf ein höheres Niveau zu heben.

Bei Fragen, wie wir Ihnen im Detail weiterhelfen können, sprechen Sie uns gerne an.

 

Quellen:

Über den Autor:

Marc Stieber

Sales Manager EMEA

Sales Manager EMEA mit langjähriger Erfahrung in der IT-Branche. Seine Leidenschaft für Marketing und Yoga inspiriert ihn, in seiner Arbeit innovative Lösungen zu finden, um Kunden zu unterstützen und zu begeistern.