Finanzdienstleister digitalisieren ihr Geschäft immer stärker, für sie ist es besonders wichtig, Maßnahmen zur IT-Sicherheit zu treffen. Nur so können sie die Chancen, welche die digitale Zukunft bietet, umfassend nutzen und sich neue Märkte erschließen. Denn leider sind auch Cyberangriffe Teil der digitalen Zukunft. Banken, Versicherungen und Asset-Manager müssen dies akzeptieren – und ihr Geschäft mit Sicherheits- und Abwehrmaßnahmen schützen.
Gerne helfen wir Ihnen bei der Analyse Ihrer individuellen und geschäftsspezifischen Bedrohungslage. Egal ob Hacking-Angriff, Computerbetrug oder Datendiebstahl – wir unterstützen Sie dabei, eine optimale Abwägung zwischen Kosten und Risiken zu treffen. Gemeinsam mit Ihnen entwickeln wir sinnvolle Maßnahmen zur Erkennung und Abwehr von Cyber-Risiken und schaffen eine Strategie für Ihre IT-Sicherheit.
Die drei wichtigsten Security-Trends
Welche Möglichkeiten haben Finanzdienstleister, um auf Bedrohungen der Informationssicherheit zu reagieren?
Auch mit umfassenden Präventionsmaßnahmen lassen sich Cyber-Attacken nicht immer vermeiden. Deshalb ist es wichtig, Angriffe schnell zu entdecken, den Schaden zu begrenzen und potenzielle Ursachen zu beseitigen.
Zur Abschwächung der Auswirkungen potenzieller Cyberattacken steht ein breiter Pool an Technologien und Verfahren zur Verfügung. Einige Beispiele sind: Identity und Access Management (IAM), risikobasierte Zugriffskontrolle, Multifaktor-Authentifizierung, Security Information and Event Management (SIEM), High-Privileged User Management (HPU/PIM), Consent Management und vieles mehr.
Doch die drei wichtigsten Cyber-Security-Trends dafür sind: Detection & Response (D&R), Identity & Access Management (IAM) und Cloud Security (CS).
Christian Nern
Partner, Financial Services
KPMG AG Wirtschaftsprüfungsgesellschaft
Eine Schwachstelle sind laut BaFin die unzureichenden Investitionen in die Fähigkeiten, Bedrohungen zu identifizieren (Früherkennung von Cyberangriffen) sowie auf eingetretene Cyberangriffe adäquat zu reagieren. Ein Lösungsansatz, um solche Detection & Response-Fähigkeiten aufzubauen, ist die Etablierung eines eigenen Security Operations Centers.
Da Cyberangreifer ihre Tools und Vorgehensweisen kontinuierlich weiterentwickeln, haben Finanzdienstleister Schwierigkeiten, mit den laufenden Veränderungen Schritt zu halten. Sie sind auf aktuelle und umfassende Lageinformationen angewiesen, um Bedrohungen richtig einschätzen zu können. Insbesondere die Sammlung und Auswertung aktueller Daten erzeugt einen erheblichen Aufwand.
Ein Security Operations Center schließt diese Lücke, er ist eine Art Schaltzentrale innerhalb einer IT-Abteilung, die für das Überwachen, Erkennen und Isolieren von Vorfällen verantwortlich ist. Dies führt zu Cyber Resilience, einer Eigenschaft, die weit über reine Cyber Security hinausgeht. Es handelt sich vielmehr um einen umfassenden Ansatz zum Schutz der IT vor Cyberangriffen und zur Sicherstellung sowie Wiederaufnahme des Betriebs nach erfolgten Angriffen. Wesentliche Bestandteile der Cyber Resilience sind Maßnahmen und Konzepte der Cyber Security, Computer-Forensik, Informationssicherheit, Disaster Recovery und des Business Continuity Managements. Das Ziel ist eine hohe Robustheit der IT-Infrastruktur gegenüber Bedrohungen zu schaffen. Gleichzeitig soll das Risiko eines Betriebsausfalls minimiert werden.
BAIT, VAIT, MaRISK, MaGo und Prüfungen der EZB weisen deutlich auf die Notwendigkeit eines geregelten SOC-Betriebes, einer 24/7-Überwachung sowie klar definierter und strukturierter Prozesse hin. Gesetzliche Vorgaben durch die DSGVO setzen zudem eine strukturierte Überwachung als „Stand der Technik“ voraus.
Digital Identities (Digitale Identitäten) und deren richtige Behandlung spielen im Rahmen der digitalen Transformation eine zentrale Rolle. Ein wesentlicher Bestandteil hier ist das sogenannte Identity & Access Management (IAM, oder auch Berechtigungsmanagement bzw. IGA), welches als eines der Fokusthemen bei Cloud Transformationen und Customer Journey Projekten ist. Auch Regulierungsbehörden wie Bafin oder EZB stellen Digital Identities im Rahmen von IT-Compliance-Prüfungen immer wieder unter besondere Beobachtung. Umfassende, nicht überwachte Zugriffsberechtigungen sowie kompromittierte Login-Daten, können bei Banken, Versicherungen und Asset-Managern als Einfallstore für Cyber-Angriffe von außen wie auch innen genutzt werden. Um das eigene Unternehmen und die sensiblen Strategie- und Geschäftsdaten vor Angriffen durch Ransomware, Phishing-Mails, Malware oder sonstigen Angriffsarten zu schützen, bedarf es eines robusten, ganzheitlichen IAM.
IAM ist der zusammenfassende Begriff für alle Richtlinien, Definitionen, Prozesse und Kontrollen, welche sich um die Verwaltung und Überwachung von Benutzern und deren Zugriffsrechten auf Funktionen und Daten drehen und ein wichtiger Teil der IT-Governance. Wesentliche Ziele stellen dabei die Sicherstellung des Minimalprinzips (o. a. Need-to-know-Principle), der Funktionstrennung (o. a. Segregation of Duties) sowie die Überwachung von sogenannten hochprivilegierten Benutzern (HPU) dar.
Ein modernes und sicheres IAM verwaltet sowohl alle Identitäten und Berechtigungen von natürlichen Nutzern (Mitarbeiter, externe Dienstleister, Kunden etc.) als auch technische und / oder funktionale Berechtigungen innerhalb der Systemarchitektur des Unternehmens. Daher ist es wichtig, dass ein IAM ganzheitlich und zentral in das Unternehmen eingegliedert wird.
Wesentliche fachliche / technische Herausforderungen sind dabei insbesondere:
- Die Implementierung einer zentralen, modernen IAM-Lösung (On-Premise oder Cloud) zur Schaffung…
- eines zentralen Soll-Bestands aller Berechtigungen (Vermeidung von Datenschiefständen).
- von einheitlichen, zentral geführten Prozessen und Kontrollen.
- von Automatisierungen und damit Effizienzhebung.
- eines zentralen Soll-Bestands aller Berechtigungen (Vermeidung von Datenschiefständen).
- Notwendige Änderungen in der Aufbau- und Ablauforganisation, z.B.:
- Schaffung einer zentralen IAM-Einheit, die über den fachlichen / technischen Support hinaus als Risikomanager für das Thema IAM fungiert
- Umfassende Einbindung der Fachbereiche in die IAM-Prozesse in ihrer Rolle als Informationseigentümer und Risikoträger
- Die Überwachung (Logging und Monitoring) und Verwaltung von HPU durch die Implementierung und den Einsatz eines geeigneten Tools (z.B. PAM-Tools)
- Implementierung eines führenden IAM-Systems und Vermeidung von doppelter Datenhaltung
- Bankweite Verzahnung des IAM durch Automatisieren der Schnittstellen zu IT-Betrieb, Informationsrisikomanagement, SIEM, BCM
- Komplexe, heterogene IT-Landschaften die häufig dazu führen, dass…
- unterschiedliche Autorisierungsverfahren angewendet werden.
- zentrale Verzeichnisdienste (z.B. ActiveDirectory, AAD) nur teilweise genutzt werden.
- unterschiedliche Tiefen bezüglich der Berechtigungsstrukturen je Anwendung / Infrastrukturkomponente existieren.
Die dritte Schwachstelle ist laut BaFin bei Banken, Versicherungen und Asset-Managern die unzureichende Überwachung von Drittanbietern und Lieferketten – wie etwa Cloud Services. Diese sind in der Finanzbranche auf dem Vormarsch und werden künftig eine wesentlich größere Rolle spielen, gerade beim Aufbau von Plattformen mit anderen Unternehmen oder der Digitalisierung der „Customer Journey“.
Die Cloud bietet dafür eine Vielzahl von Sicherheitsfunktionen, die im Rahmen eines entwickelten und implementierten Sicherheitskonzepts an die Lösung angepasst werden können. Die erste Sicherheitsbarriere ist eine Identitäts- und Zugriffsverwaltung unter Verwendung von Multi-Faktor-Authentifizierung und möglicher Verwendung der Active-Directory-Implementierung. Innerhalb der Cloud werden die Daten verschlüsselt – besonders Schlüssel und Passwörter werden nur kodiert gespeichert. Eine zusätzliche Aufteilung des Netzwerks in unterschiedliche Segmente erhöht die Sicherheit. Ferner ist es ebenfalls notwendig, die Cloud an das SOC anzubinden, um den Gesamtblick der Unternehmenssicherheit zu gewährleisten. Generell hilft hier ein übergreifender IT Security Ansatz mit dem Cloud Posture Management Framework.
Wir helfen unseren Mandanten, die aktuellen und zukünftigen Security Trends der Digitalisierung aufzugreifen und in individuelle technische Lösungen zu übertragen. Wir unterstützen Mandanten insbesondere bei der Auswahl der geeigneten Technologie, deren Konzeptionierung, der technischen Umsetzung und dem Betrieb der aufgebauten Lösung.
Zur Realisierung dieser Aufgabe können wir auf starke Kenntnis des Kundenumfelds und der zugehörigen regulatorischen Anforderungen verbunden mit einer tiefen technologischen Expertise und breiten Umsetzungserfahrung zurückgreifen.
Video
Mehr Sicherheit in der Cloud
Christian Nern (Partner, Financial Services) im Gespräch mit Michael Kleist (Area Vice President Sales, DACH-Region, CyberArk)
Haben wir Ihr Interesse geweckt oder benötigen Sie weitere Informationen? Sprechen Sie uns gerne an.