STRATEGIE2. Februar 2024

Jetzt anfangen: Warum Zero‑Trust für Banken im Cloud-Zeitalter unverzichtbar ist

Luca Stassar – Head of Banking, Financial Services & Insurances Germany, Expleo<q>Expleo</q>
Luca Stassar – Head of Banking, Financial Services & Insurances Germany, ExpleoExpleo

Der Weg zu innovativen An­wen­dungen, maß­geschnei­derten Produkten und modernen Arbeitsmodellen führt über die Cloud. Klassische On-Premise-Lösungen haben ausgedient. Doch Vorsicht: Banken und Finanzdienstleister sollten beim Umstieg ihre Sicherheitsstrategie anpassen. Luca Stassar beleuchtet die Notwendigkeit einer angepassten Sicherheitsstrategie und die Rolle von Zero Trust in der Transformation.

von Luca Stassar, Head of Banking, Financial Services & Insurances Germany, Expleo

Welchen Stellenwert das Thema Cloud in der Bankenwelt mittlerweile eingenommen hat, zeigen die Ergebnisse der Expleo-Studie “Die Zukunft des Bankings“: 55 Prozent der befragten Finanzdienstleister räumen der Einführung von Cloud-Infrastrukturen und -Plattformen höchste Priorität ein. Das ist eine deutliche Steigerung gegenüber dem Vorjahr, als nur 44 Prozent diese Einschätzung teilten. Ein ähnliches Bild zeigt sich bei Cloud-gehosteten Geschäftsanwendungen (SaaS), die nun von jedem zweiten Institut als Top-Priorität eingestuft werden (Vorjahr 2022: 40 Prozent).

Für die Institute stellt sich also nicht mehr die Frage, ob und wann sie in die Cloud gehen. Offen ist nur, welche Anwendungen künftig in einer Cloud-Umgebung laufen und wie diese Cloud aufgebaut bzw. gehostet wird. Kurz: Alles, was in Zukunft nicht aus der Cloud kommt, gilt als Legacy.

Der Wandel von On-Premise-Lösungen hin zu Cloud-Technologien verändert also die IT-Systemlandschaft bei Finanzdienstleistern grundlegend.”

Damit geht zudem ein Kulturwandel einher, da ein vormals starres System durch ein kooperatives Modell ersetzt wird, in dem Aufgaben und Verantwortlichkeiten geteilt und gemeinsam überwacht werden.

Expleo - Warum gehen Banken in die Cloud?
Warum gehen Banken in die Cloud? Expleo

Geteilte Arbeit bietet doppelte Sicherheit

Luca Stassar
Luca Stassar, Head of Ban­king, Fi­nan­ci­al Ser­vices & In­suran­ces Ger­ma­ny bei Ex­pleo (Website), blickt auf ei­ne 25-jäh­ri­ge Kar­rie­re in der IT und IT-Be­ra­tung für Ban­ken und Ver­si­che­run­gen zu­rück. Seit mehr als 15 Jah­ren be­klei­det er so­wohl re­gio­na­le als auch glo­ba­le Po­si­tio­nen in­ner­halb der Ex­pleo Group und ist der­zeit für das Kun­den­port­fo­lio von Ex­pleo im Be­reich Ban­king, Fi­nan­ci­al Ser­vices und In­suran­ce (BFSI) in Deutsch­land verantwortlich.
Durch die Integration einer neuen Technologie in die bestehende IT-Infrastruktur, die teilweise ersetzt wird, entstehen potenziell neue Risiken und Schwachstellen. Sie sind jedoch beherrschbar und können letztlich sogar zu einer Erhöhung der Sicherheit des Gesamtsystems führen. Dieser Aspekt ist gerade in der stark regulierten Bankenwelt von Bedeutung, da das Geschäftsmodell auf der Arbeit mit hochsensiblen Daten basiert.

Die Frage, inwieweit Finanzinstitute ihre kritischsten Prozesse und Informationen externen Partnern anvertrauen können, ist von entscheidender Bedeutung.

Schließlich wird das Sicherheitsniveau maßgeblich durch den jeweiligen Cloud-Partner beeinflusst, der in der Regel die Verantwortung für die Sicherheit der unteren Infrastrukturebenen übernimmt.”

Diese geteilte Verantwortung stellt die bisher eher zentralistisch organisierten Finanzinstitute vor neue Herausforderungen.

Bereits im Vorfeld müssen daher wichtige Punkte der Cloud-Migration von der Evaluierung bis zum langfristigen Betrieb geklärt werden. Dazu gehören: die Analyse des Anwendungsportfolios, die Definition des Zielbetriebsmodells und der Cloud-Strategie sowie das Design und der Support der Cloud-Infrastruktur.

Bedarf an Sicherheitsmaßnahmen steigt

Die Expleo-Studie zeigt, wie entscheidend robuste Sicherheitsmaßnahmen sind: 51 Prozent der Finanzinstitute erwarten, dass sie in den nächsten 12 Monaten Opfer eines Cyberangriffs oder einer Datenschutzverletzung werden. Und 65 Prozent sind überzeugt, dass die hypervernetzte und ineinandergreifende Natur neuer Technologien ihre Organisation einem höheren Cybersicherheitsrisiko aussetzt.

Obwohl 52 Prozent der Finanzinstitute die Cybersicherheit als eine der größten Herausforderungen für die Transformation ihrer Organisation ansehen, gibt es keine Alternative zu einer stärkeren Digitalisierung, einschließlich der Anpassung an die Cloud.

Die Herausforderung besteht darin, die größere Angriffsfläche wirksam zu schützen und gleichzeitig die strengeren Compliance-Vorschriften zum Schutz der Privatsphäre und der Daten einzuhalten.”

Schließlich ermöglicht die zunehmende Nutzung von Cloud-Technologien auch die Einführung von Telearbeit und hybriden Arbeitsformen, die wiederum zuverlässige Cybersicherheitsmaßnahmen erfordern. Die Mitarbeitenden müssen in der Lage sein, von überall auf gemeinsam genutzte Tools und Anwendungen zuzugreifen und Daten von verschiedenen Geräten abzurufen. Dies erschwert die Überwachung der Systeme, insbesondere angesichts der zu erwartenden Zahl von Angriffen auf IT-Systeme mit weltweit verteilten Prozessen und Funktionen.

Die Vertrauensfrage wird immer wieder neu gestellt

Den Sicherheitsrisiken sollte im Rahmen einer Zero-Trust-Strategie begegnet werden, die drei zentrale Themen abdeckt: Kontrolle, Zugriffsrechte und Cyber-Angriffe. Das bedeutet:

Explizit verifizieren: Authentifizierung und Autorisierung immer auf Basis aller verfügbaren Datenpunkte durchführen.
Zugriff beschränken: Kontrolle des Benutzerzugriffs durch Just In Time/Just Enough Access (JIT/JEA) in Kombination mit risikobasierten adaptiven Richtlinien und Datenschutzregeln.
Vorbereitet sein: Mögliche Auswirkungen von Sicherheitsverletzungen sowie Angreifern durchspielen und präventiv Gegenmaßnahmen ergreifen durch Segmentierung des Zugriffs nach Netzwerk, Benutzer, Gerät und Anwendung.

Zero Trust folgt dem Prinzip „Never Trust, Always Verify“.”

Anstatt wie bisher eine Mauer um das gesamte System (Perimeter) zu errichten, geht es in einer Cloud-Umgebung vielmehr darum, einzelne Transaktionen zu schützen, indem die Sicherheit auf die Ebene der einzelnen Geräte heruntergebrochen wird.

Darüber hinaus beinhaltet Zero Trust eine kontinuierliche Überwachung und Verifizierung der Geräte, um sicherzustellen, dass diese weiterhin Zugriff auf die angeforderten Daten haben. Damit erfüllt das Sicherheitssystem die Anforderungen der Finanzindustrie, da kein Anwender ohne entsprechende Berechtigung auf Daten zugreifen oder in das interne System eindringen kann. Mögliche Angriffe werden erkannt und abgewehrt, was das Vertrauen in die Robustheit der technischen Systeme stärkt.

Partner mit Know-how sind entscheidend für den Erfolg

Finanzinstitute zögern, ihre Sicherheitsarchitektur in hohem Maße von Technologiepartnern abhängig zu machen. Bei der Cloud-Technologie liegt dies jedoch in der Natur der Sache. Und: Externe Partner können mögliche Kompetenzlücken im Bereich Sicherheit schließen.

Wichtig ist die Zusammenarbeit mit einem Cloud-Experten, der das gesamte Technologie-Ökosystem nutzt, um eine einheitliche Management-Systemlösung für Cloud, Netzwerke und Rechenzentren zu schaffen.”

Während die Anbieter von Cloud-Plattformen für die Sicherheit der Infrastruktur verantwortlich sind, müssen die Banken die Kundendaten vor Ort, bei der Übertragung und in der Cloud schützen. Dies unterscheidet sich nicht von der Verantwortung in ihren Rechenzentren. Zudem ist Sicherheit kein statisches, sondern ein dynamisches System, das sich durch neue Gesetze und Vorschriften verändert.

Cloud-Plattformen ermöglichen es, Compliance- und Sicherheitspraktiken auf Richtlinienebene zu vereinheitlichen und so die Berichterstattung zu vereinfachen.”

Zero Trust
Die Implementierung von Zero Trust in einer größeren Organisation umfasst eine Reihe von Schritten:
1. Einsatz ei­nes Se­cu­re Ac­cess Ser­vice Edge (SA­SE), um SD-WAN- und Netz­werk­si­cher­heits­lö­sun­gen in ei­nem zen­tra­len, Cloud-na­ti­ven Ser­vice zu ver­ein­heit­li­chen. Die­ser soll­te sich naht­los in die be­ste­hen­de Netz­werk­ar­chi­tek­tur integrieren.
2. Einsatz von Mi­kro­seg­men­tie­rung, um Si­cher­heits­pe­ri­me­ter in klei­ne­re Be­rei­che zu un­ter­tei­len. Dies ist not­wen­dig, um ei­nen se­pa­ra­ten Zu­gang zu Tei­len des Netz­werks zu de­fi­nie­ren, so dass das Un­ter­neh­men be­stimm­ten Be­nut­zern, An­wen­dun­gen oder Diens­ten Zu­gang zu be­stimm­ten re­le­van­ten Be­rei­chen ge­wäh­ren kann, wäh­rend der Zu­gang zu an­de­ren Be­rei­chen ein­ge­schränkt wird.
3. Obligatorische Ver­wen­dung ei­ner Au­then­ti­fi­zie­rung (MFA) für Be­nut­zer mit ei­nem Wis­sens­fak­tor (z. B. PIN) und ei­nem Be­sitz­fak­tor (z. B. Karte).
4. Umsetzung des Prin­zips der ge­rings­ten Rech­te (Least Pri­vi­le­ge Prin­ciple, PoLP), um den Zu­gang und die Rech­te der Be­nut­zer auf das zur Er­fül­lung ih­rer Auf­ga­ben er­for­der­li­che Mi­ni­mum zu be­schrän­ken. Be­nut­zer, die nur Le­se­zu­griff auf be­stimm­te Da­tei­en be­nö­ti­gen, soll­ten nicht das Recht ha­ben, die­se Da­tei­en zu än­dern oder zu lö­schen.
Ver­trau­en Sie kei­nem Ge­rät, das nicht ver­trau­ens­wür­dig ist. Bei Ze­ro Trust müs­sen al­le End­ge­rä­te va­li­diert werden.

Die Expleo-Studie „Die Zukunft des Bankings“ können Sie hier gegen Angabe Ihrer Kontaktdaten herunterladen.Luca Stassar, Expleo

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/199345

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert