IT-Sicherheit im Finanzsektor

IT-Sicherheit und Datenschutz sind für Banken zentrale Verkaufsargumente im Neukundengeschäft. Dr. Gerald Spiegel zeigt im Interview, wie Institute Datenpannen, wie das Durchsickern sensibler Informationen an Dritte, verhindern können.

IT-Sicherheit und Datenschutz sind für Banken zentrale Verkaufsargumente im Neukundengeschäft.

Dr. Gerald Spiegel zeigt im Interview, wie Institute Datenpannen, wie das Durchsickern sensibler Informationen an Dritte, verhindern können.

Herr Dr. Spiegel, wie kann es passieren, dass selbst bei Banken, die schon per Gesetz zu hohen Sicherheitsauflagen gezwungen sind, sensible Informationen in die falschen Hände gelangen? 


Gerald SpiegelDr. Gerald Spiegel: Datenlecks entstehen auch in den vermeintlichen Hochsicherheitstrakten der Finanzdienstleister, weil nicht ausreichend dokumentiert ist, welche Datenwege in die Bank hinein und aus ihr heraus führen. IT-Sicherheit funktioniert aber nur, wenn alle Schnittstellen, über die Information „nach außen“ dringen können, bekannt sind und ggf. überwacht werden. Dazu müssen die Sicherheitsverantwortlichen beispielsweise exakt buchführen, welche Firmen-Rechner über USB-Schnittstellen, Bluetooth, CD-Laufwerk, Drucker und SD-Kartenleser verfügen. Ferner müssen Themen, wie der unerwünschte Datenabfluss via verlorener Laptops oder Smartphones sowie allzu laute Telefonate über sensible Inhalte mit ins Kalkül gezogen werden. Jedes Mobiltelefon, das in einem Vorstandssitzungszimmer etwas verborgen liegen gelassen wird, ist eine potenzielle „Wanze“. Der Sicherheit der Außer-Haus-Kommunikation werden die Banken angesichts mobiler Vertriebsstrategien künftig noch mehr Aufmerksamkeit schenken müssen.
 
Um Schlupflöcher in den IT-Netzen abzudichten, gewinnen Schlagwörter wie Data Leak Prevention oder Data Loss Prevention (DLP) an Bedeutung. Was ist der Unterschied zu älteren Konzepten? 
 
Dr. Spiegel: DLP-Maßnahmen setzen direkt bei den Inhalten von Dokumenten, Dateien oder Datenflüssen an und beschränken sich nicht nur auf das Erteilen von Berechtigungen. Softwaretools und installierte Verfahren kontrollieren den Austausch von Informationen in den verschiedensten Kanälen im Unternehmen. Dazu gehören unter anderem E-Mails und Datenschnittstellen, USB-Sticks, Datenbanken, Dateiablagen sowie Messaging-Tools. Wichtigste Voraussetzung für den Einsatz von DLP ist, dass eine Bank seine Daten klassifiziert. Jede Information erhält eine Sicherheitsstufe – ähnlich wie bei Nachrichtendiensten oder beim Militär. Einzelne Dokumente, Listen oder Datenbanken werden inhaltlich geprüft und eingeordnet. Am Ende des Prozesses wird festgelegt, ob die Daten als sensibel und wertvoll eingestuft werden und damit beispielsweise den Stempel „vertraulich“ oder „geheim“ tragen sollen. Nur durch die Einteilung der Bankdaten in bestimmte Sicherheitsklassen vermeiden die Verantwortlichen, dass besonders wirkungsvolle, allerdings auch teurere DLP-Maßnahmen mit der Gießkanne über die gesamte IT-Landschaft verteilt werden. 
 
Wo können Banken und andere Unternehmen ansetzen, um ihre Daten und die ihrer Kunden noch wirkungsvoller zu schützen? 
 
Dr. Spiegel: Ziel muss es sein, Datendieben einen Schritt voraus zu sein. Lösungen für bestehende Bedrohungen reichen alleine nicht mehr. Immer wieder muss auf neue Szenarien und Methoden für Datenmissbrauch reagiert werden. Die ausufernde Datenmenge und die Nutzung webbasierter Anwendungen erschwert diese Aufgabe. Der immens große Kontrollaufwand von IT-gestützten Tätigkeiten ist mit manuellem Einsatz wirtschaftlich nicht mehr zu schaffen. Dafür braucht es automatisierte Methoden, z.B. SIEM (Security Information & Event Management). Dazu kommt, dass die für IT-Sicherheit zuständigen Mitarbeiter mit SAP-Systemen, Firewalls Datenbanken und vielem mehr eine scheinbar unüberschaubare Anzahl von Quellen unter die Lupe nehmen müssen. Die übersichtliche Anzahl an IT-Anwendungen, wie sie früher in Banken und Versicherungen üblich waren, gehört der Vergangenheit an.
 
************************************************
Experteninformationen:
 
Dr. Gerald Spiegel ist Senior Manager bei Sopra Steria Consulting im Bereich Information Security Solutions.
************************************************