STRATEGIE4. Februar 2021

Sparkassen sollten IT‑Sicherheits­beauftragte entlasten

Sparkassen
Olaf Pulwey, FoconisFoconis

Die ohnehin umfangreichen Regularien für Sparkassen fokussieren mehr und mehr auf die IT-Sicherheit. Entsprechend gelten inzwischen strenge Vorgaben für die Institute. So haben sie beispielsweise der Verpflichtung nachzukommen, die Ausgestaltung der eingesetzten IT-Systeme auf gängige Standards abzustellen und die zugehörigen Ereignisse und Prozesse sicherheits- und risikoorientiert zu überwachen.

von Olaf Pulwey, Foconis

Das Rahmenwerk „Sicherer IT-Betrieb“ (SITB) aus dem Sparkassen-Verbund soll dabei helfen, den vielseitigen Anforderungen zu entsprechen, ein höheres Sicherheitsniveau zu erreichen und bestehende IT-Risiken auf ein Minimum zu reduzieren. Parallel dazu müssen auch die Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der Daten sichergestellt sein.

Höchste Priorität hat die Gewährleistung der Nachvollziehbarkeit aller sicherheitsrelevanten Ereignisse mit dem Ziel, entsprechende Vorfälle zu identifizieren und revisionssicher zu dokumentieren.”

Mit der Umsetzung dieser durchaus komplexen Aufgabe sind viele Institute auf sich allein gestellt. Welche Optionen erweisen sich hier als Best Practices? Mit bewährten Methoden und Werkzeugen lassen sich die Anforderungen aus dem Rahmenwerk „Sicherer IT-Betrieb“ effizienter umsetzen.

Kein Spielraum für Nachlässigkeit

Eine minutiöse Kontrolle und Dokumentation der IT-Protokolle, um eine lückenlose Überwachung zu etablieren: Die heutigen Anforderungen an die IT-Sicherheit von Banken und Sparkassen setzen diese zunehmend unter Druck. Die Verpflichtungen aus dem Rahmenwerk „Sicherer IT-Betrieb“ (SITB) gelten dabei auch für Verbund- sowie Drittanbietersysteme. In der Praxis erstellt der Informationssicherheitsbeauftragte (ISB) eines Kreditinstituts etwa der Sparkassenfinanzgruppe das Informationssicherheitsmanagement (ISM)-Konzept. Dabei bewertet er alle im Einsatz befindlichen Anwendungen und stuft deren Schutzbedarf ein. Bewährt hat sich gemäß der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die Anzahl der Anwendungen, bei welchen die Protokolle oder Logs geprüft werden müssen, bereits so weit wie möglich zu reduzieren. Schließlich umfassen diese, je nach Software, nicht nur alle Anmelde-Ereignisse (wie Login, Logout, Login-Versuche), sondern auch sämtliche vorgenommenen Änderungen.

Autor Olaf Pulwey, Foconis
Olaf Pulwey ist seit 1990 in der IT-Industrie als Unternehmer und Vorstand tätig. Seit 2005 ist er Mitglied des Vorstands der Foconis AG (Website) mit Standorten in Köln und Vilshofen an der Donau. Seitdem unterstützt er mit seiner Expertise Kunden aus dem Finanzsektor bei der Optimierung von Geschäftsprozessen im Zusammenspiel mit diversen Kernbankverfahren. Der Schwerpunkt liegt dabei auf den Herausforderungen der Regulatorik sowie der notwendigen Datenqualität vor dem Hintergrund von Big-Data-Analysen.
So entstehen täglich, wöchentlich und monatlich Dokumente verschiedenster Strukturen und Formate mit vielen Tausend Zeilen. Alleine die kritischen protokollierten Interaktionen sind so umfangreich, dass nur ein geübter Blick in den schwer lesbaren Listen Unregelmäßigkeiten aufspüren kann. Aufgrund der Masse der Daten kann das nur oberflächlich stattfinden. Eine manuelle Kontrolle und im Bedarfsfall die Bearbeitung all dieser Ereignisse sind so nicht mehr realisierbar. Mehr noch: Eine lückenlose, nachvollziehbare und dokumentierte Kontrolle aller relevanten Ereignisse ist in diesem Zusammenhang auf manuellem Wege schlicht unmöglich.

Automatisierte Kontrollen

Um den Einsatz spezialisierter Systeme kommen Sparkassen mittelfristig also nicht herum. Nur intelligente und automatisierte Überwachungstechniken können eine konsequente Umsetzung des sicheren IT-Betriebs gewährleisten. Und das, ohne auf der anderen Seite den heutigen Faktor Nummer eins negativ zu beeinflussen: die Mitarbeiterkapazitäten.

Bei der Automatisierung der ISM-Kontrollen verspricht eine intelligente, elektronische Listenauswertung Erfolg: Diese reduziert den Kontrollaufwand im Bereich der IT-Sicherheit auf ein Minimum und unterstützt gleichzeitig den Informationssicherheitsbeauftragten. Um die Informationssicherheit nach einem standardisierten Informationssicherheits-Managementsystem zu gewährleisten, sollte der SITB-Standard verbindlich eingesetzt werden.

Mit intelligenten Lösungen lässt sich die aufwändige Prüfung der Daten automatisieren.”

Bewährt haben sich Systeme, die gemäß ISM-Konzept die zu kontrollierenden Protokolle verarbeiten und die Sachverhalte zur Vorlage bringen, die auf Unregelmäßigkeiten und Probleme hindeuten. In der Einführungsphase lernen die Systeme idealerweise über eine Parametersteuerung der Kontrollen, welche Auffälligkeiten die Aufmerksamkeit des ISM bedürfen und welche nicht – meist zusätzlich zu den idealerweise bereits im Standard definierten Kontrollen. Das Protokoll in Form einer Textliste oder CSV-Datei kommt aus der Anwendung, die beim entsprechenden Kreditinstitut im Einsatz ist. Das Protokoll landet wiederum in einem Verzeichnis des ISB, dessen Inhalt bisher manuell kontrolliert werden musste. Diese Dateien werden nun jedoch automatisiert über eine zentrale, durch die Sparkasse definierte Stelle (ebenfalls ein Verzeichnis) an die Lösung geleitet und dort verarbeitet.

Alle Auffälligkeiten bekommt der ISB in Form eines Vorgangs vorgelegt, wobei, je nach Art, zuvor der Verursacher oder Auslöser eine Stellungnahme abgeben kann.”

So kontrolliert der Informationssicherheitsbeauftragte nur noch den kompletten Sachverhalt, ohne diesen zuvor aufwändig und manuell recherchieren oder mit den notwendigen Stellungnahmen der Verursacher per E-Mail oder Telefon dokumentieren zu müssen.

Fazit

Mit intelligenter, automatisierter Listenauswertung und zugehörigen, gezielten Ereigniskontrollen schaffen es Sparkassen, den Kontrollaufwand im Bereich der IT-Sicherheit auf ein Minimum zu reduzieren und somit ihren Informationssicherheitsbeauftragten zu entlasten. Neben dem deutlich spürbaren Effizienzgewinn überzeugt vor allem die Qualität der Kontrollen: Denn die IT-gestützte Auswertung wird in aller Regel immer mehr Vorgänge aufdecken, als dem menschlichen Auge im Zuge manueller Kontrollprozesse auffallen.Olaf Pulwey, Foconis

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert