Digitalisierung der Finanzindustrie: Diskussion rund im die Cloud beim Thales Security Council in Zürich

Das Thales Security Council hatte im Oktober 2018 bereits einige Ausblicke zum Thema Datenschutz in einem Bericht veröffentlicht. Vor wenigen Tagen hat zudem die Schweizerische Bankiervereinigung (SBVg) den Leitfaden für sicheres Cloud Banking vorgestellt und zeigt auf Basis nicht-verbindlicher Richtlinien, was Finanzunternehmen bei ihrem Weg in die Cloud beachten müssen.

Im Mai 2019 folgten Roman Gruber, CISO bei der INNO Group (Website), und Markus Künzler, Head of Consulting bei der NTT Schweiz (Website), der Einladung von Thales (Website) nach Zürich. Beide sind Mitglieder des Security Councils und trafen sich, um mit Pius Graf, Director Sales Switzerland Thales Cloud Protection & Licensing, die Auswirkungen der Digitalisierung auf die Finanzbranche speziell in der Schweiz zu besprechen.

Hätte man mir vor fünf Jahren prognostiziert, dass die Cloudmigration bei Banken zum heutigen Zeitpunkt schon so weit fortgeschritten ist, hätte ich sicherlich ungläubig geschmunzelt. Fakt ist aber, dass die Branche die Vorteile erkannt hat und sich entsprechend verändert.“

Pius Graf, Director Sales Switzerland Thales Cloud Protection & Licensing

In seiner Einleitung stellt der Gastgeber fest, dass es nur selten um eine komplette Veränderung geht. Cloud Computing ergänzt die bestehende Infrastruktur, und gleichzeitig werden auch immer mehr Elemente virtualisiert. Dies erlaubt zwar eine unglaubliche neue Dynamik beim Deployment, bringt aber auch Konsequenzen in Bezug auf Sicherheit mit sich. Bekannte Mechanismen und Prozesse greifen so nicht mehr. Für den Finanzbereich hat das Thema Sicherheit jedoch oberste Priorität – der veröffentlichte Leitfaden bietet daher eine gute Orientierung.

Council sieht gute Awareness beim Thema Security

Markus Künzler stimmt ihm zu: Er weiß durch seine Tätigkeit als Sicherheitsverantwortlicher eines DAX-Unternehmens, vor welcher Herausforderungen Unternehmen stehen. Im Rahmen seiner CISO-Tätigkeit zertifizierte er in weniger als drei Jahren über 100 Applikationen. Dabei erstellte er ein internes Policy-Framework, das es so vorher noch nicht gab. Genau dies war am Anfang ein großes Problem, da Programmierer zunächst keinerlei Sicherheitsvorgaben beachten mussten.

Ich glaube nicht, dass es bei Schweizer Finanzorganisationen zu riesigen Incidents kommen kann, die in anderen Bereichen für Schlagzeilen sorgen. Es gibt bereits strenge Vorgaben, jetzt gilt es, Mechanismen auf neue Technologien anzupassen. Sicherlich wird nicht alles reibungslos laufen, aber gerade für Banken hat das Thema Sicherheit Priorität. In keinem anderen Sektor ist das Vertrauen von Kunden und Partnern so wichtig. Daher glaube ich, dass Finanzunternehmen von der Innovation Cloud besonders profitieren können.“

Markus Künzler, Head of Consulting bei der NTT Schweiz

Er bewertet die Leitlinien als wichtigen Schritt, sieht dies aber nur als ein Element im Rahmen eines längerfristigen Veränderungsprozesses. Ansätze wie Blockchain zeigen Potenzial und erste Produkte erreichen bereits die Marktreife, allerdings drängen gleichzeitig aber auch Born Digitals mit eigenen Bezahl-Apps und -Systemen auf den Markt und machen den traditionellen Einrichtungen Konkurrenz. Die Rechenleistung aus der Wolke ist ein gutes Mittel, um dynamisch auf neue Anforderungen reagieren zu können und neue Angebote besser an die Kunden zu bringen.

IT-Entscheider müssen dennoch mit Bedacht handeln. Sie müssen stets ihre eigenen Bedürfnisse und Anforderungen im Fokus behalten und dürfen auch vor Internetriesen nicht einknicken. Nur so lassen sich Unsicherheiten aus dem Weg räumen. Beim Thema Sicherheitsmechanismen lohnt es sich, hart zu bleiben. Die meisten Cloud-Anbieter reden nur ungern über ihre Architektur, Backuplösungen und Ähnliches – besteht man darauf, sind Anbieter jedoch gewillt Transparenz zu zeigen. Daher sollte der Weg der Daten und die genutzten Schutzmechanismen bekannt sein und zudem schriftlich im Vertrag festgehalten werden. Nur so können rechtliche Probleme verhindert werden.

In der Diskussion stellten die Teilnehmer fest, dass gerade in Bezug auf das Thema Sicherheit der Einsatz von durchgehend starker Kryptografie nach wie vor essentiell ist. Hierbei stehen die Bereiche Access Control, Schlüsselmanagement und die Ver- und Entschlüsselung im Mittelpunkt. Daten sollten im Idealfall nur verschlüsselt in die Cloud gegeben werden. Findet dieser Prozess in der Cloud statt, wird bereits ein Teil der Kontrolle über die Daten abgegeben. Dann macht es Sinn, zumindest den Schlüssel selbst zu kreieren und in die Cloud einzubringen (BYOK: „Bring your own key“).

Gerade beim Thema Datenschutz droht schnell ein Vendor-Lock in, da eine Migration zurück ins eigene Rechenzentrum oder zu einem anderen Anbieter ohne unabhängige Sicherheitsarchitektur zu hohen Kosten führen können, wenn auf proprietäre Services zurückgegriffen wird. Da es viele Rahmenbedingungen zu beachten gibt, findet Markus Künzler es richtig, dass es unverbindliche Leitlinien und keine gesetzlichen Vorgaben gibt: Der Bankensektor sei im Bereich Sicherheit von Natur aus gut aufgestellt. Starre Gesetze sind langfristig das falsche Mittel der Wahl, denn Sicherheitsrisiken lassen sich nicht verbieten, sondern entstehen durch Nachlässigkeit. Vielmehr müssen Unternehmen dauerhaft am Ball bleiben und ihre Schutzmechanismen ständig evaluieren.

Unternehmen müssen sich über ihren Teil der Verantwortung bewusst werden

Fügt an, dass gewisse Vorgaben durchaus Sinn machen. Beispiel wäre eine Meldepflicht, bei der Unternehmen Incidents ab einem gewissen Umfang an Behörden melden müssen. Dies sei wichtig, damit Opfer nicht in Gefahr geraten oder Kommunikation nur über öffentliche Medien geschieht:

Security kostet Zeit und damit Geld, aber ohne Sicherheit können Finanzmärkte dauerhaft nicht existieren. Es ist nicht möglich, immer die maximale Sicherheit zu gewährleisten – das wäre nicht realistisch – aber Security hat trotzdem immer Vorrang.“

Roman Gruber, CISO bei der INNO Group

Beim Thema Cloud gibt zu jedem Zeitpunkt eine Shared Responsibility. Der Anbieter sichert die physische Umgebung und garantiert die Verfügbarkeit – mehr aber auch nicht. Roman Gruber berichtet von seiner langjährigen Tätigkeit als Sicherheitsverantwortlicher bei einem internationalen Finanzdienstleister und meint, dass die meisten Provider hier gut aufgestellt sind. Er stimmt aber auch zu, dass Unternehmen ihren Standpunkt deutlich machen müssen.

Die vertragliche Ausarbeitung, Prüfung und Zertifizierung ist immer nur der erste Schritt. Fehler im Betrieb, die zu Sicherheitsproblemen führen, passieren ständig. Mit nur wenigen Klicks wird zum Beispiel aus Versehen eine Datenbank öffentlich zugänglich gemacht. Deshalb sieht auch Roman Gruber Verschlüsselung als eine Schlüsseltechnologie an.

Da IT sich weitgehend von der Hardware entkoppelt, Stichwort Infrastructure as Code, bauen Softwareentwickler sich ihre Infrastruktur selber. Die Hauptpriorität eines Entwicklers ist aber nicht Security. Ein Developer kümmert sich in erster Linie um die Funktion der Applikation und nicht um die Sicherheit – ein CISO muss also dafür sorgen, dass der geschriebene Code sicher ist, bevor eine Applikation live geht.“

Für die meisten Sicherheitsfachkräfte ist das Lesen von Skripten aber Neuland. DevOps und Security Frameworks können helfen, mögliche Schwachpunkte vorzeitig zu erkennen, sind aber in der Praxis nicht ausreichend. Die Prüfung ist wichtig, langfristig braucht es allerdings einen Security Champion im Entwicklerteam, der über ausreichend Programmierkenntnisse verfügt und sich nicht mit der Weiterentwicklung der Produkte, sondern der Beseitigung von Sicherheitsproblemen beschäftigt. Ansonsten stockt die Entwicklung oder Gefahren werden nicht beseitigt.

Finanzunternehmen sollten laut der Council-Mitglieder weiter an der Umstellung ihrer Infrastruktur arbeiten. Allerdings muss dabei genau auf das Thema Sicherheit geachtet werden. Es gibt keinen einzelnen perfekten Weg in die Cloud. Je nach Organisationen werden sich sehr unterschiedliche Multi-Cloud-Umgebungen ergeben, daher ist es wichtig, die essenziellen Sicherheitsmechanismen unter allen Bedingungen umzusetzen: Schutz von Identitäten und Zugängen sowie durchgehend starke Verschlüsselung mit einem passenden Key Management. Der Anbieter darf dabei nicht an nur einen Cloud-Provider oder an Hardware-Appliances gebunden sein, sondern muss sich auf die Kunden einstellen können.

Fazit

Pius Graf freut sich, dass die beiden Mitglieder des Gremiums die Zeit für das Treffen genommen haben.

Kein Unternehmen wird alle Assets in die Cloud bringen und hybride Ansätze werden sicherlich noch viele Jahre zum Alltag in der Branche gehören, aber es gibt keinen Weg zurück – Hardware spielt natürlich auch weiterhin eine Rolle. Gerade beim Thema Verschlüsselung. Kryptografische Schlüssel, die ich bei mir auf dem Campus erstelle und in einem Sicherheitsmodul lagere, ist beim Thema Security immer noch unangefochten.“

Pius Graf, Director Sales Switzerland Thales Cloud Protection & Licensingaj