.svg)
Als wichtiger Bestandteil im Finanzsystem und in der Wirtschaft eines jeden Landes spielt für Banken seit jeher das Thema Sicherheit eine essenzielle Rolle. Externe Vorgaben verpflichten Banken zur Umsetzung spezifischer Maßnahmen, um die Auswirkungen von IT-Risiken auf IT-Systeme zu minimieren. Im Folgenden lernen Sie, wie die „Contextual Security“ von deviceTRUST dazu beiträgt, diesem Ziel durch technische Maßnahmen näher zu kommen.
Externe Vorgaben
Am 17.01.2025 ist es so weit: Der „Digital Operational Resilience Act“ (DORA) wird als EU-Verordnung wirksam. Danach „müssen Finanzunternehmen belastbare IKT-Systeme und -Tools einrichten sowie pflegen, um mit der sich schnell entwickelnden Cyberbedrohungslandschaft Schritt zu halten“. 1https://www.bankinghub.eu/finance-risk/dora-digital-operational-resilience-act
Die in DORA enthaltenen Anforderungen sind vielfältig. Für die folgende Betrachtung spielt vor allem das in Kapitel 2 behandelte „IKT-Risikomanagement“ eine besondere Rolle. So fordert Artikel 9 Abs. 4 (c) hinsichtlich „Schutz und Prävention“ beispielsweise: Finanzunternehmen „implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und legen zu diesem Zweck eine Reihe von Konzepten, Verfahren und Kontrollen fest, die auf Zugangs- und Zugriffsrechte gerichtet sind, und gewährleisten deren gründliche Verwaltung“. 2https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554
Wie die Umsetzung im Detail auszusehen hat, macht DORA „keine spezifischen Vorgaben; die Anforderungen orientieren sich an einschlägigen internationalen, nationalen sowie branchenspezifischen Standards, Leitlinien und Empfehlungen.“ 3https://www.bankinghub.eu/finance-risk/dora-digital-operational-resilience-act
Wenn man in Deutschland den Blick auf solche „Standards, Leitlinien und Empfehlungen“ richtet, finden sich unter anderem die sogenannten „Bankaufsichtlichen Anforderungen an die IT (BAIT)“. Als Verwaltungsleitlinien in Form von Rundschreiben „interpretieren […] die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.“4https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2017/meldung_171106_BAIT.html
Technische Maßnahmen mit deviceTRUST
Dass technische Maßnahmen in Punkto Sicherheit zielführender sind als organisatorische Maßnahmen, liegt auf der Hand, siehe auch Schutz vor ‚Layer 8‘ – Wie deviceTRUST die Sicherheit mit technischen Maßnahmen erhöht..
Welche technischen Maßnahmen explizit dazu beitragen, die Sicherheit gemäß den BAIT-Vorgaben zu erhöhen, erfahren Sie im Folgenden.
Kontextbasierte Zugangskontrollen
Was die oben erwähnten Zugangs- und Zugriffsrechte betrifft, kommt den in Kapitel 6.2 der BAIT behandelten Berechtigungskonzepten eine besondere Bedeutung zu. Diese „legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme (Zugang zu IT-Systemen sowie Zugriff auf Daten) […] für alle bereitgestellten Berechtigungen fest. […]. Berechtigungen können, je nach Art, für personalisierte sowie für nicht personalisierte Benutzer (inkl. technische Benutzer) vorliegen. […] Zugangs- und Zugriffsberechtigungen auf den IT-Systemen können auf allen Ebenen eines IT-Systems (z. B. Betriebssystem, Datenbank, Anwendung) vorliegen.“ 5https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html
deviceTRUST hilft hier weiter: Durch kontinuierliche Prüfung des Kontextes wird technisch sichergestellt, dass digitale Arbeitsplätze und bereitgestellte Anwendungen nur dann genutzt werden können, wenn alle Sicherheits- und Compliance-Anforderungen erfüllt sind – JEDERZEIT und ohne Benutzerinteraktion. Gewisse unternehmenskritische Anwendungen oder Datenbanken lassen sich beispielsweise nur dann verwenden, wenn sich das Personal in bestimmten WLAN-Netzen oder an gewissen (Geo-) Lokationen befindet. Einen guten Einblick in das Thema „Conditional Application Access“ gibt der folgende
Tech Talk: Conditional Application Access.
Damit die Berechtigungskonzepte den Sicherheitsanforderungen standhalten, fordern die BAIT in Kapitel 6.8 dazu auf: „durch begleitende technisch-organisatorische Maßnahmen […] einer Umgehung der Vorgaben der Berechtigungskonzepte vorzubeugen.“ 6https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html
Als technisch-organisatorische Maßnahmen werden in diesem Zusammenhang beispielsweise die folgenden Punkte genannt (die Möglichkeiten mit deviceTRUST finden sich jeweils darunter stehend):
Auswahl angemessener Authentifizierungsverfahren
(u. a. starke Authentifizierung im Falle von Fernzugriffen)
Mit deviceTRUST nutzen Sie Ihre Geräte als zusätzlichen Sicherheitsfaktor und schaffen somit eine sehr starke Authentifizierung. Mehr Informationen zum Thema „Gerät als 3. Faktor“ finden sich in den beiden folgenden Blog-Beiträgen:
- Sicherere und einfachere Multi-Faktor-Authentifizierung mit deviceTRUST
- Eine effektive Lösung zur Verbesserung Ihrer Multi-Faktor-Strategie
Automatische passwortgesicherte Bildschirmsperre
Die Konfiguration einer passwortgesicherten Bildschirmsperre auf einem verwalteten Firmengerät ist in der Regel kein Problem. Wie lässt sich jedoch sicherstellen, dass die Bildschirmsperre automatisch nach einer gewissen Zeit startet und somit zentral bereitgestellte Anwendungen und Daten geschützt werden, wenn von einem nicht-verwalteten Gerät zugegriffen wird, also von einem BYOD externer Partner oder einem Privatgerät eines Mitarbeitenden?
deviceTRUST ermöglicht die einfache Identifizierung der Endgeräte: Durch die Verwendung von granularen Domänenmitgliedschaftsinformationen oder Seriennummern erhalten Sie genaue Auskünfte darüber, ob es sich um ein selbst verwaltetes oder ein fremd verwaltetes Gerät handelt. Kommt der Zugriff von einem fremden Gerät, lässt sich die Remote-Sitzung mit deviceTRUST nach einer gewissen Zeit durch eine passwortgesicherte Bildschirmsperre auch in BYOD-Szenarien schützen.
Operative Sicherheits-Maßnahmen und -Prozesse
Um die Anforderungen des Informationssicherheitsmanagements umzusetzen und die operative Informationssicherheit zu gewährleisten, hat „das Institut […] angemessene, dem Stand der Technik entsprechende, operative Informationssicherheitsmaßnahmen und Prozesse zu implementieren.“ 7https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html
Hierbei geht es der BAFIN unter anderem um die „Segmentierung und Kontrolle des Netzwerks (einschließlich Richtlinienkonformität der Endgeräte) oder den „mehrstufigen Schutz der IT-Systeme gemäß Schutzbedarf (z. B. vor Datenverlust, Manipulation oder Verfügbarkeitsangriffen oder vor nicht autorisiertem Zugriff).“ 8https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html
deviceTRUST hilft auch hier weiter: Mit kontextbasierter Windows-Firewall-Kontrolle kann deviceTRUST bei der Netzwerk-(Mikro-) Segmentierung helfen. Basierend auf kontextbezogenen Informationen kann deviceTRUST lokale Firewall-Regeln setzen und aufheben, um die Netzwerkkommunikation für jeden Benutzer individuell zu kontrollieren. Dies ermöglicht eine granulare Netzwerkkontrolle auf jedem Client und für jeden Benutzer.
Durch die Unterstützung von „Multi-Hop-Szenarien“ wird ferner sichergestellt, dass Anwendungen und Ressourcen, die prinzipiell nur über „Jump-Server“ zu erreichen sind, tatsächlich nur dann verwendet werden können, wenn das zugreifende Endgerät jederzeit den Anforderungen an Sicherheit und Compliance entspricht. Somit können nicht autorisierte Zugriffe auf digitale Arbeitsplätze und Anwendungen einfach und komfortabel unterbunden werden.
Manipulationssichere Implementierung der Protokollierung
Auch hinsichtlich Protokollierung bietet deviceTRUST eine Lösung. Für einen umfassenden Überblick lassen sich alle Aktionen protokollieren und an externe Systeme liefern. Somit kann jederzeit nachvollzogen werden, ob die Zugriffe den Anforderungen an Sicherheit & Compliance entsprechend erfolgt sind.
Andere Länder ähnliche Sitten
Die oben genannten Beispiele beziehen sich auf den deutschen Markt mit seinen diesbezüglichen Anforderungen. Andere Länder haben ähnliche Vorgaben, bei denen es ebenfalls darum geht, die Zugriffe auf Umgebungen und Ressourcen zu kontrollieren.
Auf jedes Land im Speziellen einzugehen, würde den Rahmen dieses Beitrags sprengen, weshalb hier nur ein kurzer Blick in die Schweiz erfolgen soll. Dort fordert die eidgenössische Finanzmarktaufsicht FINMA hinsichtlich der verwendeten Informations- und Kommunikationstechnologie beispielsweise:
„Kritische Daten sind im Betrieb und während der Entwicklung, Veränderung und Migration von IKT vor dem Zugriff und der Nutzung durch Unberechtigte angemessen zu schützen. […] Die Bestandteile der IKT, die kritische Daten speichern oder verarbeiten, sind besonders zu schützen. Dabei ist der Zugriff auf diese Daten systematisch zu regeln und laufend zu überwachen.“ 9https://www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/myfinma/rundschreiben/finma-rs-2023-01-20221207.pdf
Auch hier hilft deviceTRUST (technisch) weiter – beispielsweise dadurch, dass gewisse „kritische“ Anwendungen nur dann verwendet werden können, wenn sich der Mitarbeitende tatsächlich im Land befindet. Wenn er oder sie die Grenze überschreitet, lässt sich mit deviceTRUST der Zugriff auf die Anwendung sofort entziehen.
Banken vertrauen auf deviceTRUST
Banken unterliegen externen Regelungen, die sie umsetzen müssen. Zu betonen ist, dass mit DORA „das Leitungsorgan persönlich stärker verpflichtet wird, das IKT-Risikomanagement zu steuern und zu verantworten.“ 10https://www.bankinghub.eu/finance-risk/dora-digital-operational-resilience-act
deviceTRUST ist für Banken eine bewährte Lösung, die als „unsichtbarer Security-Layer“ unkompliziert dabei hilft, die gestellten Anforderungen technisch umzusetzen und somit die Sicherheit auf ein höheres Niveau zu heben.
Bei Fragen, wie wir Ihnen im Detail weiterhelfen können, sprechen Sie uns gerne an.
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Quellen:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
