Sicherheit und Resilienz: Fünf Lösungsansätze

Der Krieg erhöht alle Risiken. In Sachen Cyber-Sicherheit und -Resilienz waren Banken und Finanzdienstleister allerdings schon vor dem Ukraine-Krieg in einer schwierigen Lage: Sie sind ein attraktives Ziel für Kriminelle. Zugleich wollen wachsende Kundenwünsche befriedigt und ständig neue Vorschriften umgesetzt werden.

von Florian Walling, Senior Solution Sales Specialist Security & Resiliency Services, Kyndryl Deutschland

Strenge Regularien treffen auf hohe Ansprüche von privaten und Unternehmenskunden, die jederzeit und in Echtzeit Zugriff auf alle Dienstleistungen bis hin zum Hochfrequenzhandel haben wollen. Datenschutzbestimmungen treffen auf Remote Work, Remote Work trifft auf mangelnde User Awareness. Hohe Kosten für wirkungsvolle Cybersecurity- und Cyberresilienz-Maßnahmen treffen auf den Zwang zur Kosteneffizienz in einer Branche mit hohem Wettbewerbsdruck. Die Migration immer größerer Anteile der Infrastruktur in die Cloud, die ihre eigenen Sicherheits-Probleme mit sich bringt, trifft auf den Fachkräftemangel: weltweit sind 3,5 Millionen Cybersecurity-Stellen unbesetzt. Und alle fürchten den nächsten großen – politisch oder kriminell motivierten – Hackerangriff.

Mit unseren Kunden aus der Finanzindustrie verfolgen wir fünf Lösungsansätze, um die vielschichtigen Sicherheits-Probleme der Unternehmen in den Griff zu bekommen. Diese Ansätze möchte ich im Folgenden vorstellen:

1. Zero-Trust-Modelle
2. Integrierte Netzwerk- und Sicherheitsarchitektur
3. Antizipation von Bedrohungen
4. Orchestrierungslösungen für Cyberresiliency
5. User Awareness

1. Zero-Trust-Modelle

Das Prinzip „Zero Trust“ gewinnt seit fünf, sechs Jahren immer mehr Bedeutung. Die Grundidee ist einfach: Alle Zugriffsversuche auf Anwendungen im Netzwerk, egal an welchem Endpunkt, werden erst einmal als nicht vertrauenswürdig eingestuft. Jeder Zugriff auf irgendeine Anwendung wird gezielt gesteuert.

Soweit zur Theorie. In der Praxis sehen wir, dass Zero Trust in einzelnen Fachabteilungen der Finanzbranche bereits recht gut umgesetzt wird.

Zum Beispiel im Client Management im Rahmen von Home-Office-Szenarien: Hier kommen VPN-Tunnel, Radius- und Endpunktsicherheits-Technologien wie Virenschutzsoftware erfolgreich zum Einsatz.”

Aber es fehlt an Zusammenarbeit mit anderen Fachabteilungen, zum Beispiel mit dem ERP-System. Beim Übergang zu externen SaaS-Anwendungen wie Salesforce, Microsoft 365 und vielen kleineren Anbietern erfolgt eine Übergabe eines Tokens oder Single-Sign-On-Verfahrens. Und das sind die Schwachpunkte, auf die es Hacker abgesehen haben.

Ob im Client-Management, im Anwendungs-Management oder im Perimeter-Management: Es herrscht immer noch ein Silo-Denken vor.

Eine Vereinheitlichung und ganzheitliche Betrachtung des Zugriffs auf jegliche Unternehmensressourcen würde Abhilfe schaffen. Dafür gilt es, die Fachabteilungen zusammenbringen und die regulatorischen Bedingungen, denen sie jeweils unterliegen, in der Zusammenschau zu betrachten. Das ist die Basis, um gemeinsam ein übergreifendes Zero-Trust-Modell aufzubauen.

Außerdem dürfen wir in der stark vernetzten Finanzbranche nicht bei einem einzelnen Unternehmen stehenbleiben. Der Datenaustausch fast jedes B2B-Dienstleistungsunternehmens mit seinen zuweilen zahlreichen – auch internationalen – Kunden und Partnern stellt uns vor das gleiche Silo-Problem:

Jeder überblickt nur seine eigenen Regularien und Sicherheits-Maßnahmen und kann die entsprechenden Zertifikate vorweisen. Doch was eine oder zwei Schnittstellen entfernt passiert, ist unbekannt.”

Die Lösung liegt in verbesserter Abstimmung zwischen den beteiligten Unternehmen: Zum Beispiel, wenn der Dienstleister, der das Zentrum eines Netzwerks bildet, die Initiative ergreift und sich mit seinen Partnern auf eine gemeinsame Zertifikats-Infrastruktur einigt.

2. Integrierte Netzwerk- und Sicherheitsarchitektur mitsamt Management

Der Kauf von Firmen oder Firmenbestandteilen gehört bei allen größeren Banken und Finanzdienstleistern zum Alltag. Damit nimmt die Komplexität der Sicherheitsarchitektur immer weiter zu. Es reichen ein paar Firmenzukäufe und schon hat ein Unternehmen Perimeterschutz, Firewalls und Intrusion-Detection-Systeme verschiedener Anbieter in seinem System: zum Beispiel von Palo Alto, Cisco, Intel oder Nokia.

Jede dieser Infrastrukturen braucht eigene Administratoren mit Spezialkenntnissen. Wenn sich Regularien ändern, müssen diese für jede Infrastruktur einzeln – und oftmals manuell – umgesetzt werden. Das ist teuer und birgt ein hohes Fehlerrisiko.

Es gibt inzwischen jedoch gute Lösungen für Firewall-Management-Plattformen am Markt, um heterogene Netzwerk-Infrastrukturen zentral und automatisiert zu managen. Ein Beispiel ist FireMon, dessen Lösung alle APIs bei allen Netzwerk-Infrastruktur-Anbietern anspricht und diesen Zugang auch nachhält.

Solche zentralen Firewall-Management-Plattformen vereinfachen nicht nur das Management von heterogenen Infrastrukturen erheblich. Sie erleichtern auch den Nachweis, dass das Unternehmen notwendige Änderungen aufgrund neuer Regularien umgesetzt hat. Diese Lösungen müssten in der Finanzbranche viel häufiger eingesetzt werden.

Ein anderes Problem: Aufgaben wie die Anpassung von Netzwerken an neue Regularien werden häufig an externe Dienstleister ausgelagert. An sich ist das vollkommen in Ordnung. Aber es ist wichtig, sich nicht einfach nur auf den Dienstleister zu verlassen – sondern seine Arbeit kritisch zu begleiten. Sinnvoll ist auch, den Einsatz einer der oben beschriebenen Netzwerk-Management-Lösungen ins Service Level Agreement zu schreiben.

Auch beim schnellen Weg in die Cloud mit DevOps, SecDevOps und Containerization ist übrigens Vorsicht geboten. Denn die Microsofts, Amazons und Googles dieser Welt übernehmen nur Verantwortung für den sicheren Transport der Daten, nicht aber für die Sicherheit der Endpunkte. Daher muss jedes Unternehmen seine Cloud-Anwendungen in ein ganzheitliches Sicherheits-System integrieren. Dies wird in der Praxis öfter übersehen.

3. Antizipation von Bedrohungen

Die Regeln für kritische Infrastrukturen werden immer wieder nachgeschärft. Zudem ist absehbar, dass auch Infrastrukturen, die nicht unter die KRITIS-Regularien fallen, sich künftig an deren Standards orientieren werden.

Der Anspruch von IT-Verantwortlichen in der Finanzbranche sollte jedoch noch höher sein: Cyber-Angriffe zu antizipieren, ist die wichtigste Maxime der Cyber-Sicherheit.”

Statt abzuwarten, müssen IT-Verantwortliche ihre Systeme immer wieder durchleuchten, um Sicherheitslücken zu finden, bevor die Hacker es tun. Dazu gehört:

• Anomalien im Netzwerk wie Impossible Travel, unübliche Logins und ungewöhnliche Datenflüsse analysieren.
• Threat Hunting – proaktiv nach potenziellen Bedrohungen im eigenen Netzwerk suchen, auch ohne konkreten Verdacht auf einen Angriff.
• Laufend sicherstellen, dass die bereits vorhandenen Security-Maßnahmen funktionieren und korrekt konfiguriert sind:
  • Besonderes Augenmerk auf Backup und Recovery legen.
  • Bei Netzwerken auf Windows-Basis eine Kopie des Active Directory anlegen.
• Patches für Internet Facing-Systeme, Remote Access Service und alle anderen Tools immer aktuell halten

4. Orchestrierungslösungen für Cyberresiliency

Die Unternehmen der Finanzbranche haben viel Geld in Back-up- und Restore-Recovery-Technologien investiert. Das ist schon allein deshalb nötig, weil sie immer strengere Nachweispflichten erfüllen und ihren Wirtschaftsprüfern zeigen müssen, dass sie ihre Systeme schnell wiederherstellen können.

Die Wertschöpfungsketten in der Finanzindustrie werden aber immer komplexer. Verschiedene Anwendungen, Datenbanken und Betriebssysteme werden dafür miteinander integriert und in der Cloud veröffentlicht.

Um im Fall eines erfolgreichen Hacker-Angriffs die Business Continuity wahren zu können, müssen die Verantwortlichen erkennen können, welche Anwendungen betroffen sind.”

Es geht nicht mehr nur um Daten, die man wieder einspielt, sondern um komplexe Anwendungsketten, bei denen ein Glied ins andere greift. Diese gilt es in einer sicheren Umgebung automatisiert wiederherzustellen, zu überprüfen und dann wieder zu veröffentlichen.

Für die Wiederherstellung dieser komplexen Wertschöpfungssysteme gibt es unterschiedliche Disaster-Recovery-Plattformen am Markt. Allerdings sind sie in der Mehrzahl so ausgelegt, dass sie für jeweils einen bestimmten IT-Anbieter funktionieren, zum Beispiel Dell oder VMware. Die meisten Unternehmen haben aber aus den oben genannten Gründen mehrere Systeme in ihren Rechenzentren – und nur wenige Lösungen haben alle Wertschöpfungsketten im Blick.

Mit einer Orchestrierungslösung, die die Anwendungen der verschiedensten Anbieter abbildet, können die Anwendungsketten in einem Clean Room wiederhergestellt, überprüft und erneut veröffentlicht werden.”

Zudem kann die Wiederherstellbarkeit der Systeme, zum Beispiel nach Änderungen, vorschriftsgemäß nachgewiesen werden – ohne dass sie in der Realität aufwändig durchexerziert werden muss.

5. User Awareness

Last but not least: der Faktor „Mensch“. Cybersicherheit und -Widerstandsfähigkeit sind nicht nur technische, sondern auch psychologische Aufgaben.”

Die Fähigkeit jedes einzelnen Nutzers, Risiken einzuschätzen und zu vermeiden, hat größte Bedeutung für Cybersecurity und -resiliency.

85 Prozent aller Sicherheits-Vorfälle in Unternehmen gehen auf einen menschlichen Fehler zurück. Dieses Risiko lässt sich durch regelmäßige Schulung der Endnutzer mindern. Dafür ist es wichtig, die Personalabteilung und auch die Unternehmenskommunikation frühzeitig an Bord zu holen und immer wieder daran zu erinnern, bei diesen Themen nicht locker zu lassen.

Ein zentrales Problem ist Phishing, gerade für die Finanzbranche. Das Interpol Cyberthreat Assessment 2020 zeigte auf, dass sich mehr als 20 Prozent aller Phishing-Versuche gegen Finanzdienstleister richteten. Dies zeigt, dass das Bewusstsein der Mitarbeitenden und Kunden für ihr Verhalten besonders im Umgang mit E-Mails erhöht werden muss.

Neben dem Erkennen von betrügerischen E-Mails ist die Sicherung von Passwörtern ein wichtiges Thema, auf das Mitarbeitende und Kunden immer wieder hingewiesen werden sollten. Ebenso wie auf regelmäßige Updates und die Installation von Firewalls und Virenscannern im Homeoffice.

Auch im Fall eines erfolgreichen Cyber-Angriffs kommt es auf die Menschen an: Eine schnelle und korrekte Reaktion der Mitarbeitenden ist entscheidend, um den Schaden zu begrenzen.”

Deshalb müssen die geplanten Abläufe regelmäßig in Simulationen trainiert werden. Nicht nur das IT-Team, sondern alle relevanten Mitarbeitenden aus den Bereichen Business Continuity, Krisenmanagement und Unternehmenskommunikation müssen die Cyber Security Playbooks kennen und genau wissen, wie sie einen Cyberangriff melden.

Aufeinander abgestimmte Lösungen führen zum Erfolg

Keine der oben genannten Lösungen ist dafür gedacht, isoliert umgesetzt zu werden. Erfolgsversprechend ist nur eine ganzheitliche, abteilungs- und methodenübergreifende und abgestimmte Herangehensweise. Damit können es die Unternehmen der Finanzindustrie Hackern tatsächlich schwer machen. Und vielleicht noch wichtiger: Damit können Banken und Finanzdienstleister am ehesten sicherstellen, dass ihre Systeme nach einem erfolgreichen Angriff schnell wieder laufen.Florian Walling, Kyndryl