SECURITY10. Juni 2016

Vorschriften führen nicht automatisch zu mehr IT-Sicherheit und Compliance im Finanzwesen

ForeScout
Markus Auer, ForeScoutForeScout

IT-Sicherheitslösungen müssen sensible Daten schützen und zudem verschiedenen Audit-Vorschriften gerecht werden. Neu erlassene Richtlinien geben aber nur selten Aufschluss darüber, wie sie in der Praxis umgesetzt werden sollen. Das setzt die Sicherheitsverantwortlichen unter Druck, da sie nur über begrenzte Ressourcen verfügen, um Sicherheit zu gewährleisten. Ziel muss letztendlich eine Realtime-Sichtbarkeit in Verbindung mit koordinierten Sicherheitssystemen sein.

von Markus Auer, Regional Sales Manager DACH, ForeScout Technologies

Das IT-Sicherheitsgesetz von 2015 betrachtet den Finanzsektor als Teil der kritischen Infrastruktur. Die neue Datenschutz-Grundverordnung (GDPR) hat einen noch breiteren Anwendungsbereich und betrifft alle Unternehmen in der gesamten EU. Beide Gesetze setzen neue Regeln für die IT-Sicherheit bei Banken und Versicherern.

Die Finanzbranche ist an strikte Vorschriften und Sicherheitsstandards bereits stärker gewöhnt als andere Sektoren – der Payment Card Industry Data Security Standard (PCI DSS) und andere Regelwerke wurden lange vor den jetzigen gesetzlichen Maßnahmen eingeführt. Die größte Herausforderung ist daher die Kombination aus digitaler Integration und der Einhaltung neuer Richtlinien bzw. Compliance-Normen.

Einfach noch mehr Sicherheitstools?

Zwei Entwicklungen erhöhen die Belastungen für die IT-Abteilungen:

ForeScout
ForeScout
1.Erstens wächst die Anzahl der Angriffe und Schadprogramme rapide: So haben sich laut aktuellem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Angriffe via Spam-Mails in der Zeit von Oktober 2015 bis Februar 2016 verzehnfacht. Weltweit sind die Zahlen um den Faktor Sechs gestiegen; in Deutschland ist die Situation also besonders bedrohlich. Bereits früher hatte das BSI deutlich gemacht, dass weitere gesetzliche Vorschriften zur IT-Sicherheit folgen werden, falls sich allein durch Marktmechanismen kein ausreichendes Schutzniveau einstellt. Wenn die Unternehmen also nicht bald Vorkehrungen gegen Cyber-Angriffe treffen, werden höchstwahrscheinlich staatliche Stellen weitere Maßnahmen ergreifen.

2.Zweites Problem ist der Trend, dass immer mehr unverwaltete Geräte in die Unternehmensnetze kommen. In der deutschen Finanzbranche spielt das Internet der Dinge (IoT) zwar noch keine große Rolle, doch das wird sich ändern. Bring-Your-Own-Device (BYOD) ist schon heute ein Thema, das Sicherheitslösungen erforderlich macht. Unternehmen mit mehreren Niederlassungen in verschiedenen Regionen müssen sicherstellen, dass ihre Mitarbeiter mobil bleiben und störungsfrei arbeiten können. Außerdem müssen auch unternehmensfremde Geräte berücksichtigt werden, die in die Netzwerke gelangen.

ForeScout
ForeScout

Angesichts der sich verändernden Bedrohungslandschaft brauchen die Finanzinstitute Tools, um Informationen zu Nutzern, Geräten und Anwendungen einzuholen. Folglich wird eine Vielzahl von Sicherheitslösungen implementiert. Das SC Magazine befragte vor kurzem 350 Führungskräfte und Consultants in der IT-Sicherheitsbranche zu ihrer aktuellen Aufstellung in diesem Bereich. Dabei stellte sich heraus, dass 52 Prozent aller Unternehmen mit über einer Milliarde Dollar Umsatz mehr als 13 verschiedene Sicherheitslösungen im Einsatz haben.

Dies führt zu folgenden Problemen: Sicherheitstools tauschen ihre Erkenntnisse zumeist nicht untereinander aus, sodass isolierte Datensilos entstehen. Die Alarme beschränken sich meist auf Warnmeldungen, die ein Sicherheitsanalytiker sichten und verstehen muss. Genau diese manuellen Aktionen sollten jedoch automatisch eingeleitet werden. Andernfalls verzögern sich die Reaktionen auf Sicherheitsprobleme massiv.

Intelligente Ereignisreaktion durch Integration von Tools

Um Kontrolle, Sichtbarkeit und Transparenz zu gewinnen, müssen die IT-Administratoren Geräte in dem Moment sehen, in dem sie sich im Netzwerk anmelden, und auf die bidirektionale Integration ihrer Sicherheitslösungen hinarbeiten. Banken und Versicherungen haben oft zahlreiche Filialen, und die sichere Übertragung sensibler Daten ist für effiziente Arbeitsabläufe unverzichtbar. Die Sicherheitsapplikationen  müssen die Einhaltung der Vorschriften gewährleisten, ohne dabei die Mitarbeiter zu behindern, da diese sonst ihre Kunden nicht bedienen können.

Gleichzeitig dürfen die Administratoren nicht mit Falschmeldungen überschwemmt werden, sondern müssen Zeit haben, sich auf die wichtigsten Aufgaben zu konzentrieren. In den Diskussionen in der Branche treten derzeit anstelle proaktiver Maßnahmen die reaktiven wieder mehr in den Vordergrund.

Autor Markus Auer
Markus AuerMarkus Auer ist Regional Sales Director DACH bei ForeScout und für den Marktaufbau in Deutschland, Österreich und der Schweiz verantwortlich. Dort ist er für Entwicklung und Umhsetzung neuer Sales-Strategien zuständig. Er hat über 20 Jahre Erfahrung bei IT-Lösungen für Unternehmen. Neben seiner Ausbildung zum Industrial Manager bei Siemens war er freiberuflicher Berater für Novell und Microsoft und arbeitete für Q1 Labs, SourceFirst, netForensics und MessageLabs.

Es gibt Mittel und Wege, um die Maßnahmen zur Reaktion auf Ereignisse zu zentralisieren und die Belastung für die IT-Sicherheitsabteilungen zu verringern. Das BSI konstatiert, dass Nezwerk-Monitoring unzureichend genutzt wird. Dabei haben sich diese Technologien in den letzten Jahren weiterentwickelt und sind gerade für den Finanzsektor hervorragend geeignet. Sie können bereits vorhandene Sicherheitstools von Drittanbietern integrieren und kombineren, etwa SIEM-Lösungen, Virenschutz oder Firewalls. Zudem können sie prüfen, ob auf Geräten unsichere Anwendungen installiert werden und alle Programme über die notwendigen Patches verfügen. So können diese Tools Sicherheit durch Sichtbarkeit gewährleisten und automatisch fein abgestufte Aktionen für jedes einzelne Gerät durchführen.

Fazit: Incident-Response-Plattformen weisen den Weg

Strenge Vorschriften stellen für den Finanzsektor keine Neuheit dar. Auditing und Controlling sind seit vielen Jahren ein wichtiges Thema und seit jeher gängige Praxis. Die Bedrohungslandschaft hat sich verändert, und die Risiken in der Cyber-Welt nehmen zu. Neue Richtlinien werden erlassen, um das Bewusstsein und das Schutzniveau in den Unternehmen zu erhöhen, doch umfassen sie oft keine praktischen Ratschläge zu ihrer Umsetzung.

Auf der anderen Seite stehen gerade für Banken, Versicherungen und ähnliche Einrichtungen zahlreiche Netzwerktools zu Verfügung. Moderne Incident-Response-Plattformen sind in der Lage, bestehende Sicherheitstools zu kombinieren und IT-Sicherheit effizienter zu machen. Die Sicherheitsadministratoren können sich auf die wahren Bedrohungen konzentrieren, während Fehlalarme auf ein Minimum reduziert werden.pp

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert