Wie die EZB-Compliance die Automatisierung von Sicherheitsrichtlinien vorantreibt

Das Tempo der digitalen Transformation und die explosionsartige Zunahme neuer Anwendungen im Bankwesen bringt enorme Herausforderungen mit sich. Die Aufgabe der Sicherheitsteams besteht nun darin, die gesamten Sicherheitsrichtlinien des Netzwerks bis hin zur Anwendungsebene zu verwalten; hier kann Automatisierung ent­schei­dend helfen. Unzureichende Transparenz kann hierbei jedoch zu erheblichen Sicherheits- und Compliance-Problemen führen. So fehlen oft grundlegende Informationen, wie z. B. was im Netzwerk mit wem kommuniziert.

von Nick Lowe, VP EMEA von Tufin

Genau diese Herausforderung müssen Banken jedoch in den Griff bekommen, um den Richtlinien der EZB zu entsprechen, die im Bewertungsleitfaden für die Sicherheit von Internetzahlungen veröffentlicht wurden. Zu den Anforderungen der EZB gehören eine Reihe von Sicherheitsmaßnahmen, z. B dass der Zugriff auf Anwendungen und Workloads nachweislich auf Personen beschränkt sein muss, die diesen für ihre Arbeit benötigen, die Zertifizierung der ordnungsgemäßen Umsetzung sowie ein vollständiger und manipulationssicherer Audit-Trail für den gesamten Prüfzeitraum.

Wenn Banken versuchen, diese Informationen manuell für die Wirtschaftsprüfer zusammenzustellen und zu präsentieren, stehen sie vor erheblichen Herausforderungen. Allein aufgrund der Komplexität, des Ressourcenbedarfs und der Notwendigkeit eines Audit-Trails ist dieses Bemühen oft zum Scheitern verurteilt.”

Die Lösung dieses Problems liegt in der Automatisierung. Denn mit einem umfassenden automatisierten System zur Erkennung, Bereitstellung und Überprüfung von Sicherheitsrichtlinien, das sich in Genehmigungs- und Zugriffsworkflows integrieren lässt, können Banken genaue und zeitnahe Informationen zur geschäftlichen Rechtfertigung von Sicherheitsrichtlinien bereitstellen und darlegen, wie Assets diese Richtlinien einhalten und während des jeweiligen Zeitraums konform bleiben.

Der Wettlauf um die Technologie

Traditionelle Banken investieren verstärkt in neue Technologie-Innovationen. Sie erkennen, dass sich das Bankwesen durch den Einsatz von FinTech-Lösungen von einem Geschäftsmodell mit realen Verkaufsstellen und persönlichem Kontakt in ein äußerst agiles, für Kunden stets verfügbares Modell verwandelt. Vor allem klassische Banken sehen die Notwendigkeit, mit Finanzinstituten in Konkurrenz zu treten, die diese digitale Herausforderung bereits erfolgreich bewältigen und keine Unmengen von Geld und Ressourcen in das Betreiben von Filialen oder größeren Büros investieren müssen. Aufgrund dieser Innovationen sind kleinere Banken in der Lage, ihren Kunden die gleichen Dienstleistungen wie größere Banken anzubieten, haben jedoch nur einem Bruchteil der Kosten ihrer älteren Konkurrenten.

Je komplexer die Netzwerktopologien herkömmlicher Banken bei der Einführung von technologiebasierten Modellen sind, desto größer ist das Risiko, dass ihre Systeme Bedrohungen ausgesetzt und dadurch komprimiert werden. Genau aus diesem Grund führt die EZB Audits durch.”

Sanktionen für die Nichteinhaltung solcher Audits stehen noch nicht fest. Doch wenn ein Audit auf unsichere Anwendungen stößt, sieht die EZB vor, dass die Organisation das Problem innerhalb eines bestimmten Zeitraums beheben muss bzw. die betroffene Anwendung außer Kraft setzt, bis das Problem beseitigt ist. Dabei muss man bedenken, dass die letztere Option schwerwiegende Folgen für die Bank haben könnte, wenn die Anwendung eine Schlüsselfunktion hat. Keine Bank möchte schließlich das Risiko eingehen, wegen eines Audit-Fehlers an Funktionalität einzubüßen.

Compliance ohne Automatisierung ist problematisch

Ein Audit der IT-Sicherheit ist für Banken erst seit diesem Jahr obligatorisch, obwohl die EZB erste Beratungen und Überlegungen zu diesem Prozess bereits im Jahr 2014 gestartet hat. Dieser lange Zeitraum könnte ein Hinweis sein, dass die Verantwortlichen die Komplexität des Themas möglicherweise unterschätzt haben.

Banken nahmen an, dass eine definierte Liste von Richtlinien zur Kontrolle der Netzwerkkonnektivität ihrer Anwendungen sowie die für den Zugriff autorisierten Personen ausreichend sei, um die EZB zufriedenzustellen. Sie mussten jedoch feststellen, dass die Zugriffskontrolle komplizierter geworden ist. Um Compliance zu gewährleisten, müssen Banken verschiedene Maßnahmen ergreifen, einschließlich der Dokumentierung jeder Zugriffsanfrage, deren Begründung, dem Verantwortlichen und ob die Anfrage genehmigt wurde.

Darüber hinaus muss jede Zugriffsanfrage mit der jeweiligen Firewall oder Vorrichtungsregel verbunden sein. Für diese Regeln muss ein Verantwortlicher festgelegt sein, und es muss eine Bestätigung vorliegen, dass sie den Standards des Unternehmens entsprechen.”

Zugriffsrechte müssen von Benutzern und Anwendungen genau kontrolliert werden. Die Zugriffsrechte geänderter oder außer Kraft gesetzter Anwendungen sind zeitnah zu entfernen. Für Benutzerrechte wird der Ansatz der minimalen Rechtevergabe (Least Privilege) angewandt, d. h., Benutzer erhalten nur Zugriff auf Ressourcen, die für ihre Jobrolle erforderlich sind.

Zu guter Letzt muss eine Aufgabentrennung gewährleistet sein, d.h. die Person, die eine Änderung anfordert, sollte nicht dieselbe sein, die diese auch genehmigt oder bereitstellt. Man benötigt einen manipulationssicheren Audit-Trail, der alle Änderungen über einen bestimmten Zeitraum erfasst. Hierzu kommt, dass hunderte oder sogar tausende von Zugriffsrichtlinien im System verschachtelt sind und ständig von verschiedenen Benutzern innerhalb der Organisation geändert werden. Banken haben in der Tat ein Gewirr von hunderten, miteinander verbundenen Richtlinien und Anwendungen geschaffen. Verändert man nun ein Element, könnte sich das auf andere Stellen im System auswirken. Um Compliance zu demonstrieren und das Audit-Verfahren zu bestehen, müssen diese Auswirkungen sichtbar gemacht und einfach und verständlich präsentiert werden.

Viele Verantwortliche gingen anfangs davon aus, dass eine Tabellenkalkulationen für dieses Vorhaben ausreichend sei, während andere den Prozess mit Datenmanagement-Tools (z. B. Splunk) verwalteten. Diese Systeme erfordern jedoch fortlaufende Pflege, bieten für Audit-Zwecke nur eine Momentaufnahme und sind darüber hinaus unheimlich arbeitsintensiv. Die erhoffte Vereinfachung des Prozesses durch die Einführung von Technologie war mit diesen Systemen stark eingeschränkt.

Wie Automatisierung hilft

Die meisten Banken haben erkannt, dass Automatisierung der Schlüssel zu erfolgreichen Audits ist. Automatisierte Lösungen prüfen die Compliance von Änderungsanfragen sofort gegenüber relevanten Standards. So kann im Handumdrehen ein Ticket erstellt werden, das angibt, ob die Änderung ein geringes Risiko darstellt, und das Sicherheitsteam kann reagieren. Ist die Änderung unwesentlich, kann sie sofort genehmigt werden. Es gibt jedoch auch Ausnahmen, die vor der Genehmigung eine zusätzliche Analyse erfordern. Kommt es bei Anfragen zu einem ernsthaften Konflikt oder ist die Zugriffsanfrage riskant, wird sie vom Sicherheitsteam blockiert. Der Benutzer wird aufgefordert, die Anfrage nochmal zu überdenken und eine andere Option in Betracht zu ziehen.

Automatisierung ermöglicht es dem Sicherheitsteam, bei Audits den aktuellen Stand des Richtlinienmanagements jederzeit zu demonstrieren. Was manuell möglicherweise Wochen oder Monate dauert, erledigt eine automatisierte Lösung in wenigen Minuten.”

Die Lösung erstellt eine Liste von Zugriffsanfragen, die konform sind, genehmigt werden müssen oder eine Ausnahme darstellen.

Wenn für Banken Agilität und optimierte Prozesse das vorrangige Ziel eines Wechsels zu einem technologiebasierten Modell sind, dann sollte das Audit-Verfahren zum Erreichen dieses Ziels beitragen. Die Vorteile gehen weit über das Audit selbst hinaus: von der Produktivität über die damit verbundenen Kosteneinsparungen bis hin zu einem verbesserten Sicherheitsstatus. Die zunehmende Orchestrierung der Richtlinien für Netzwerksicherheit und der Einsatz von Automatisierungstechnologien ermöglichen es Banken, EZB-Audits schnell und einfach zu bewältigen.Nick Lowe, VP EMEA von Tufin