STRATEGIE19. Oktober 2020

Cloud-Push durch Corona: BAIT fordert individuelle Sicherheitskonzepte 

Reza Mehman, Chief Innovation Officer, Onapsis <q>Onapsis
Reza Mehman, Chief Innovation Officer, Onapsis Onapsis

Die Corona-Krise verstärkt im deutschen Banksektor den Trend zur Cloud. Viele Institute schicken ihre Mitarbeiter ins Homeoffice und benötigen eine IT-Infrastruktur, die unbeschränkten Remote-Zugriff auf die Bankprozesse erlaubt. Doch sind bei Einführung und Nutzung der Cloud die Sicherheitsauflagen der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) zu beachten: Individuelle Cloud-Security-Konzepte sind gefragt.

von Reza Mehman, Chief Innovation Officer, Onapsis

Mit den Ende 2017 veröffentlichten BAIT reagierte die BaFin unter anderem auf die steigende Bedeutung von Cloud Computing in der Bankenbranche. Tatsächlich kam eine PwC-Studie zum Ergebnis, dass die deutschen Finanzinstitute – nach anfänglicher Skepsis – immer stärker auf die Dienste von Cloud-Anbietern zurückgreifen. Sie verbinden damit das Ziel, ihre Flexibilität, Skalierbarkeit und Effizienz zu steigern. Durch die Corona-Pandemie wird die Nachfrage in der Bankenwelt aktuell weiter angekurbelt. Denn die Cloud bietet den Instituten die Möglichkeit, vernetzt zu arbeiten und die Mitarbeiter an verschiedenen Standorten in die Geschäftsprozesse einzubinden.

Sicherheits-Pufferzone entfällt

Doch sind mit der Cloud-Nutzung erhöhte Sicherheits- und Compliance-Risiken verbunden, wie sich am Beispiel der Demilitarisierten Zone (DMZ) zeigt. Bei der DMZ handelt es sich um ein eigenständiges Netzwerk, das in On-Premise-Umgebungen als Sicherheitspuffer zwischen Internet und Firmennetz dient und unter anderem die Web- und Mailserver eines Unternehmens umfasst.

Werden Anwendungen in die Cloud verlagert, wird diese sozusagen selbst zur DMZ.”

Ist die Cloud dann nicht ausreichend geschützt, können neue Angriffsvektoren entstehen und Cyberkriminelle vereinfachte Zugriffsmöglichkeiten erhalten.

Dies gilt für das Account Hijacking, bei dem Hacker an Bank- und Kreditkartendaten gelangen, während Denial-of-Service-Attacken ganze Webseiten und Server einer Bank lahmlegen können. Auch Insider Threats können in Cloud-Umgebungen schwerwiegende Auswirkungen haben. So sind Angriffe durch eigene Mitarbeiter in der Cloud oft sehr schwierig zu entdecken, da es dort unter Umständen an entsprechenden Protokollierungsfunktionen mangelt. Eine weitere Gefahrenquelle stellen ungeschützte Interfaces und APIs dar, über die die Finanzinstitute mit den Cloud-Diensten kommunizieren. Schließlich können auch die Cloud-Applikationen und -Plattformen selbst riskante Schwachstellen in Code oder Konfiguration enthalten.

Autor Reza Mehman, Onapsis
Reza Mehman ist Chief Innovation Officer beim Cybersicherheits-Anbieter Onapsis (Webseite), wo er Innovationen im Bereich Cloud Security und UEBA (User and Entity Behavior Analytics) vorantreibt. Zuvor war er in derselben Position bei der Virtual Forge GmbH, die heute zu Onapsis gehört, auf die Entwicklung neuer SaaS-Produkte und Machine Learning fokussiert. Reza Mehman verfügt über jahrelange Erfahrungen als IT-Berater, die er unter anderem bei Accenture sammelte. 

Banken haften für Cloud-Sicherheit

Da Banken eine Schlüsselrolle in den Finanzsystemen spielen, können Cyberattacken verheerende Folgen für die gesamte Volkswirtschaft haben. Daher verschärfte die BaFin mit den BAIT auch die Sicherheitsvorschriften bei der Auslagerung von IT-Dienstleistungen, die einem Institut über ein Netz bereitgestellt werden – ob Rechenleistung, Speicherplatz, Plattformen oder Software (Ziffer 8 Tz. 52 BAIT). Zugleich wird in den BAIT betont, dass die Banken ihre Verantwortung für ausgelagerte IT-Dienste nicht aufgeben können. Tatsächlich haften die Cloud-Nutzer weiterhin für die Sicherheit ihrer Geschäftsprozesse, Daten, Geräte und Nutzerkonten. Die physische Sicherheit der Cloud-Infrastruktur, Netzwerke und Betriebssysteme liegt meist im Verantwortungsbereich des Cloud-Anbieters. Im Falle eines Datenmissbrauchs muss nachgewiesen werden, wie die Daten kompromittiert wurden und ob der Vorfall auf ein Versäumnis des Anbieters zurückzuführen ist.

Risikobewertung des Cloud-Anbieters

Damit die Cloud-Nutzer ihrer Sicherheitsverantwortung nachkommen, schreiben die BAIT mehr Kontrollen über Provider und Services vor, allen voran eine Risikobewertung des Auslagerungsunternehmens. Dazu empfiehlt es sich für die Banken, zunächst eine individuelle IT-Sicherheitsstrategie zu entwickeln und bei der Auswahl eines Cloud-Anbieters darauf zu achten, dass dessen Services in Einklang mit den eigenen Anforderungen stehen.

Nützlich ist eine Checkliste, zum Beispiel mit folgenden Punkten:

  • Setzt der Provider Verfahren und Tools für die Datenverschlüsselung und Protokollierung ein, die den neuesten Industriestandards entsprechen?
  • Sind seine Schnittstellen durch effektive Authentifizierungsverfahren und Zugangskontrollen vor unbefugten Zugriffen geschützt?
  • Sind die vom Provider zur Verfügung gestellten Schnittstellen mit den bankinternen technologischen Voraussetzungen kompatibel?
  • Werden die Cloud-Anwendungen regelmäßigen Sicherheitspatches und Penetrationstests unterzogen?
  • Bezieht der Cloud-Anbieter eventuell verwendete Software-Frameworks von Drittanbietern in seine Sicherheitsmaßnahmen ein?
  • Bindet der Provider andere IT-Dienstleister ein, die ebenfalls auf Einhaltung der Sicherheitsmaßnahmen überprüft werden müssen?

Auf etablierte Zertifizierungen achten

Zudem sollten die Banken Wert auf geeignete Sicherheitszertifizierungen ihres Cloud-Anbieters legen. Angesichts der Vielzahl nationaler wie internationaler Standards bietet sich zur Orientierung der C5-Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) an. Er hat sich in Deutschland als Basisrichtlinie durchgesetzt und formuliert alle Kriterien, die ein Cloud-Dienstleister erfüllen sollte, um ein Mindestmaß an Schutz für seine Services zu bieten.

Ein wichtiges Zertifikat stellt auch ISO/IEC 27001 dar, das einem Cloud-Anbieter bescheinigt, alle Anforderungen an die Bereitstellung und den Betrieb eines Informationssicherheitssystems zum Schutz vertraulicher Daten zu erfüllen. ISO/IEC 27002 hingegen enthält Empfehlungen für Kontrollmechanismen für die Informationssicherheit.”

Zusätzlich müssen die Anbieter die Einhaltung der Europäischen Datenschutz-Grundverordnung (DSGVO) gewährleisten. Dazu bietet die BSI-Publikation „Sichere Nutzung von Cloud-Diensten“ einen Überblick.

Provider-Pflichten vertraglich fixieren

Als nächstes fordern die BAIT, die aus der Risikobewertung abgeleiteten Maßnahmen angemessen in der Vertragsgestaltung mit dem Cloud-Anbieter zu berücksichtigen (Ziffer 8, Tz. 55 BAIT). Dazu empfiehlt sich die Vereinbarung folgender Verfahren und Werkzeuge:

  • zeitnahes Einspielen von Patches, um offenkundige Schwachstellen in den Cloud-Anwendungen schnell beseitigen zu können
  • regelmäßige Penetrationstests, um mithilfe kontrollierter Hacker-Angriffe verborgene Sicherheitslücken zu entdecken
  • Security-Information-and-Event-Management-Systeme (SIEM), mit denen Sicherheitsvorfälle in Echtzeit erkannt und Bedrohungen abgewendet werden können
  • Governance-Risk-and-Compliance-Verfahren, um behördliche und gesetzliche Vorgaben zu erfüllen
  • Cloud Access Security Brokers (CASB), die die Kommunikation zwischen Anbieter und Anwender überwachen, protokollieren und steuern
  • Multi-Faktor-Authentifizierung, um die Account-Sicherheit zu verbessern
  • Zoning/IP-Whitelisting, damit nur als vertrauenswürdig eingestufte IP-Adressen auf die Cloud-Anwendungen zugreifen können
  • interne Audits, entweder vor Ort beim Anbieter oder remote, auch unter Beteiligung externer Auditoren
  • Notfallmanagement, um durch Cyber-Attacken beeinträchtigte Cloud-Ressourcen und -Services zeitnah wiederherzustellen
<strong>Onapsis-Plattform: Sicherheit und Compliance für SAP-Cloud-Migrationsprojekte</strong>
  • Transparenz zur Identifizierung, Bewertung und Beseitigung von Schwachstellen auf Code-, Anwendungs- und Systemebene
  • Prüfung von Change-Management-Aktivitäten durch stetige Kontrollen
  • Überwachung von Logdateien
  • Echtzeit-Alarm bei Sicherheitsvorfällen, Compliance-Verstößen und unerlaubten Konfigurationsänderungen

Umfassende Dokumentation erforderlich

In Ziffer 8 Tz. 54 fordern die BAIT von den Cloud-nutzenden Finanzinstituten, die Erbringung der Services entsprechend der Risikobewertung zu steuern und zu überwachen. Dazu muss das IT-Sicherheitsniveau des Anbieters jederzeit transparent sein. Die Banken sollten daher von ihren Providern verlangen, ihre Datenschutz- und Compliance-Maßnahmen umfassend zu dokumentieren und dabei Fragen wie diese zu beantworten:

Welche Art der Da­ten­ver­schlüs­se­lung wird ge­nutzt? Wie wer­den die Hard­ware-Res­sour­cen der ein­zel­nen Kun­den in der Cloud-Um­ge­bung, wie die Net­ze ge­trennt? Wel­che Pro­to­kol­le wer­den genutzt?”

Zusätzlich sollte der Provider zur zeitnahen Information des Kunden verpflichtet werden, wenn es zu relevanten Cloud-Sicherheitsvorfällen kommt. Welche Themen und Bereiche dazugehören, kann in einer entsprechenden Liste festgehalten werden.

Strategie bei Anbieter-Ausfall und Vertragsverletzung

Für den möglichen Ausfall eines Cloud-Dienstleisters schreiben die BAIT eine Exit- und Alternativstrategie vor (Ziffer 8 Tz. 55 BAIT). IT-Sicherheitsexperten raten den Cloud-Nutzern zudem, sich gegen eventuelle Vertragsverletzungen abzusichern. So sollte der Provider verpflichtet werden, den Kunden über eine Vertragsverletzung unverzüglich zu informieren. Außerdem ist es ratsam, Vertragsstrafen zu vereinbaren – zum Beispiel die Rückerstattung der Nutzungskosten, ein vorzeitiges Vertragsende, Support-Gutschriften oder direkte Geldstrafen. Joe Garber, Micro Focus

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/112932

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert