Sicherheit der Bank-Kunden hängt an sicheren Mitarbeiter-Endgeräten

Für viele Banken ist ein VPN-Tunnel das Mittel der Wahl, um Home-Office- und Mobile-Worker abzusichern. Doch auf diese Weise kann man sich auch unliebsame Besucher vom Endgerät ins Unternehmensnetz holen. Check Point gibt Tipps zur Sicherheit unterschiedlicher Endgeräte-Klassen und warum eine Zero-Trust-Strategie gerade für Finanzinstitute unerlässlich ist.

 

Lockdows, Abstandsgebote und Selbstisolation – in Zeiten von Covid-19 gibt es eine ganze Reihe von Gründen, zum Arbeiten nicht ins Büro zu gehen. Auch in Zukunft werden Teile der Belegschaft das Home-Office und Mobile Work nutzen und damit eine Arbeitsumgebung außerhalb der geschützten Unternehmens-IT.

Nach den Erfahrungen von Check Point Software Technologies (Website) setzen aktuell noch viele Banken auf VPN-Tunnel, um den Zugriff auf das Unternehmensnetzwerk abzusichern. Dabei entspricht diese Technologie nicht mehr den aktuellen Anforderungen. Sie kann im Gegenteil neue Risiken für Institutionen mit hochsensiblen Daten, wie Banken und Finanzdienstleister, schaffen. Denn eine aktivierte VPN-Verbindung leitet jeden Datenverkehr durch das Unternehmensnetzwerk. Surft man dann entweder mit dem Firmenlaptop privat im Netz oder nutzt umgekehrt den privaten Laptop für die Arbeit, entstehen Sicherheitsrisiken. Denn jede Malware, die das Gerät befällt, kann sich über den VPN-Tunnel direkten Zugang zum Unternehmen verschaffen.

Im Fokus der Security

Lothar Geuenich, VP Central Europe / DACH bei Check Point Software Technologies, empfiehlt Kreditanstalten einen fortschrittlichen Schutz für Remote-Mitarbeiter. Dieser sollte alle relevanten Endgeräte umfassen: Desktop-PC und Mobilcomputer, Smartphones und Tablets, egal ob von der hauseigenen IT verwaltete oder BYOD-Geräte (Bring Your Own Device). Besonderes Augenmerk verdienen das Surfen im Internet, die Nutzung von E-Mail sowie von Collaboration-Apps. Statt eines Wildwuchses verschiedener Anbieter für diese Aufgaben empfiehlt der Sicherheitsberater, ganzheitliche Schutzmaßnahmen zu implementieren. Ebenso wichtig ist der vertrauenswürdige Zugriff auf Unternehmensanwendungen von jedem Ort aus.

Hinzu kommt laut Geuenich ein weiterer Risikofaktor, der branchenübergreifend häufig übersehen wird: Die Absicherung Dritter, einschließlich Auftragnehmer, Berater und Partner, die auf Geräte und Anwendungen zugreifen. Deren Umsetzung von Compliance und IT-Richtlinien kann von außen nicht nachvollzogen werden, weswegen eine standardmäßige Absicherung ab Werk zu empfehlen ist.

Angepasste Sicherheitsmaßnahmen

Die Arbeitsgeräte von Mitarbeiterinnen und Mitarbeitern der Finanzbranche lassen sich grob in zwei Klassen einteilen: Geräte mit Desktop-Betriebssystem und solche mit einem Mobile-OS. Die Prioritäten und Fokuspunkte der IT-Sicherheit unterscheiden sich jeweils, und es stellt sich die Frage, wie die unterschiedlichen Endgeräte optimal abgesichert werden können.

Für Mobile Devices wie Smartphones sind die wichtigsten Punkte zur Absicherung:

• Vollständiger Schutz vor Netzwerkangriffen einschließlich Phishing, Smishing (Phishing über SMS oder Textnachrichten) und anderen Angriffstypen.
• Blockierung von nicht konformen Geräten und Schwachstellen im Betriebssystem.
• Verbesserte Einhaltung der GDPR (Datenschutzgrundverordnung).
• Vollständiger Schutz der Privatsphäre der Nutzer.
• Hohe Skalierbarkeit mit Mobile Device Management für die Zero-Touch-Bereitstellung für alle Mitarbeiter.

Für Endgeräte wie Notebooks sind die wichtigsten Punkte zur Absicherung:

• Vollständiger Endpunktschutz und EDR (Endpoint Detection and Response).
• Eine konsolidierte Sicherheitsarchitektur, die Bedrohungen in Echtzeit verhindert.
• Nahezu vollständige Automatisierung der Erkennung, Untersuchung und Behebung von Angriffen.
• Schutz vor und automatische Behebung und Wiederherstellung nach erfolgten Ransomware-Angriffen.
• Hohe Produktivität mit Content Disarm and Reconstruction (CDR).
• Reduzierte TCO (Total Cost of Ownership) mit einer einzigen Lösung, die erweiterte Überwachungs- und Berichterstattungsfunktionen für schnelle Problemlösung enthält.

 

Abgesicherte Endgeräte reichen jedoch nicht aus. Auch der Datenverkehr zwischen ihnen muss lückenlos geschützt sein. E-Mail und Collaboration-Apps sind heutzutage zu den wichtigsten Tools für Unternehmen geworden – aber auch zu den beliebtesten Zielen von Hackern.“

Lothar Geuenich, VP CE / DACH, Check Point

Null Vertrauen als Leitfaden

Der Check-Point-Manager verweist auf die Fülle von Applikationen wie Outlook, SharePoint, Teams, OneDrive und vielen weiteren, bei deren Schutz man nicht den Überblick verlieren dürfe. Eine Anwendung sollte diese gemeinsam überwachen und dabei sowohl für Schutz vor Malware, Phishing, bösartigen Links, Kontoübernahmen und mehr sorgen. Schließlich seien Banken für die Sicherheit von sensiblen Geschäfts- und Finanzinformationen ihrer Kunden verantwortlich und müssten dafür Sorge tragen, dass diese nicht im Darknet landen.

Dementsprechend muss ein Zero-Trust-Konzept oberster Leitfaden der Sicherheitsarchitektur sein, mahnt Geuenich, der angesichts der aktuellen Bedrohungslage eine Null-Vertrauen-Policy als alternativlos ansieht. Banken sollten deshalb bei der Umsetzung von Zero Trust folgendes sicherstellen:

• Least-Privilege-Zugriff auf Webanwendungen.
• Sichere Shell-Server, Remote-Desktops und Datenbanken.
• Zugriffsmanagement für Plattformen wie Splunk, interne WeApps, AWS-Ressourcen, etc.
• Administratoren die Verfolgung von Benutzeraktivitäten mit aufgezeichneten Sitzungen und Prüfpfaden ermöglichen.

Die IT-Sicherheit der Endgeräte ihrer Mitarbeiter trotz Telearbeit im Blick zu behalten, ist demnach für Finanzinstitute und Kredithäuser oberstes Gebot – denn diese ist unmittelbar mit der Sicherheit ihrer Kunden und deren Daten verbunden. hj