Risikomanagement garantiert „konforme“ Banken

(openPR) Für Geldinstitute bedeuten Vulnerability Assessments mehr als nur das Tracken von Sicherheitslücken auf technischer Ebene. Sie sind Teil eines ganzheitlichen Infrastruktur-Risikomanagements, dessen großer Rahmen eine übergreifende Compliance- und IT-Strategie bilden sollte.

Aschheim, 16 Oktober 2008 - Gesetzliche Auflagen wie die EU-Richtlinie zum Datenschutz oder Sarbanes-Oxley (SOX) setzen Führungskräfte aus Technologie und Wirtschaft unter Druck. Besonders stark involviert: Die Banken. Kaum ein Geldinstitut kann sich etwa der Eigenkapitalrichtlinie Basel II entziehen. Auch Versicherungsunternehmen werden sich den voraussichtlich ab 2008 geltenden EU-Vorgaben Solvency II stellen müssen.
Noch haben nicht alle Unternehmen erkannt, dass ihnen eine übergreifende Compliance- und IT-Strategie, die eine strategische Planung sowohl auf technischer als auch auf prozessualer Ebene für die kommenden fünf bis zehn Jahre vorgibt, die Erfüllung der verschiedensten Anforderungen erleichtert. Denn das Gros der komplexen Bestimmungen weist durchaus Gemeinsamkeiten auf, die sich nutzen lassen, um den Aufwand für Compliance-Anstrengungen zu verringern. Hierzu gilt es, die einzelnen Regulierungen auf ihre Basisanforderungen zu reduzieren und auf diese Weise den größten gemeinsamen Nenner zu ermitteln.

Vier IT-Bereiche sind aber laut John Hagerty, Vice President bei ARM Research, Bestandteil aller IT-relevanter Gesetze:

• Sicherheit,
• Prozess-Management, sprich: Reglementierung des Informationsflusses,
• Berichtswesen (Reporting) beziehungsweise Risiko-Management,
• Dokumenten- oder Record-Management respektive Vorhaltung bestimmter Daten

Basel II zwingt Banken zum Handeln

Als Rechenzentrum für die Volks- und Raiffeisenbanken stellt die Fiducia IT AG ihren Kunden Lösungen zur Umsetzung von Basel II zur Verfügung. Dabei muss die IT-Organisation ferner etwa die Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin erfüllen. Deshalb hat der Finanzdientleister ein ganzheitliches Risikomanagementsystem implementiert.

„Für uns bedeuten Basel II und MaRisk vor allem, dass wir quantitative Risikomessungen durchführen müssen – auch und gerade im Bereich Informationssicherheit ", erklärt IT-Manager Lutz Bleyer. „Dies muss laufend geschehen. Die gemessenen Veränderungen dienen uns als Grundlage für Anpassungen unserer Risikopolitik und unserer betrieblichen Sicherheitsmechanismen.“

Solche Messungen gelingen heutzutage mit Hilfe von Tools, die Schwachstellen erkennen können. Intrusion-Detection- sowie Intrusion-Prevention-Systeme etwa haben sich einen festen Platz in der IT-Security-Infrastruktur zumindest großer Unternehmen erobert. Manche Organisationen holen sich auch so genannte Tiger Teams ins Haus, die echte Angriffe auf die Organisation starten und somit auf Verwundbareiten aufmerksam machen.

Der Sicherheitsdienstleister Qualys hingegen macht es seinen Anwendern noch einfacher: „Unsere Kunden benötigen lediglich einen Webbrowser“, erklärt Qualys`-CEO Courtot. Der QualysGuard-Dienst scannt beim Kunden regelmäßig alles, was eine IP-Adresse besitzt. Und das sind mehr Geräte, als so manch Anwender annimmt: „Viele IT-Verantwortliche kennen einige Umgebungen recht gut, etwa die Clients oder Server. Aber es gibt im Netzwerk oft eine „Schatten-IT“, also viele Komponenten, wie Drucker, Scanner, Router oder Switches, die nie oder selten in eine Sicherheitsanalyse einbezogen werden.“, ergänzt Courtot. „Man konzentriert sich meist auf die Server, vernachlässigt aber die übrigen Komponenten. Das Bewusstsein vieler Firmen wächst nun langsam, meist wird für das Schwachstellenmanagement immer noch nur ein geringes Budget bereitgestellt“, meint der Qualys-Chef. Selbst im „Vorzeige-Finanzsektor“ sei noch viel „Room for Improvement“.

Das Tool Qualys Guard gewichtet vorhandene Schwachstellen nach dem Risiko für das Geschäft. Dazu können Vorgaben von Initiativen wie dem „Common Vulnerability Scoring System“ (CVSS) genutzt werden, die globale Standards für die Bewertung der Risiken von Schwachstellen festlegen. „Diese Standards stellen einen Meilenstein dar“, urteilt Sicherheitsexperte Olaf Lindner von Symantec, haben sich doch erstmals alle namhaften Sicherheitsanbieter zu einer einheitlichen Risiko-Bewertung von Verwundbarkeiten durchringen können.

Neue Standards

Um dem Diebstahl sowie dem Missbrauch von Kreditkartendaten vorzubeugen, setzt die in Grasbrunn bei München ansässige Wirecard Bank konsequent auf umfassende Sicherheitszertifizierungen. Das PCI- Zertifikat hat für die Anfang 2006 von der Wirecard AG – Anbieter von Zahlungssystemen und Risikomanagement-Dienstleistungen - erworbene Banking-Tochtergesellschaft haftungsrechtlich große Bedeutung, da es bei Missbrauch von gespeicherten Daten den Händler vor Schadensersatzansprüchen bewahrt.

Im Mittelpunkt steht dabei der Payment Card Industry (PCI) Data Security Standard. Bei der PCI-Zertifizierung handelt es sich um ein Programm von VISA und MasterCard, das den geschützten Umgang mit Zahlungsdaten sicherstellt, indem gemeinsame Prüfprozesse, Dokumentations- und Sicherheitsanforderungen festgelegt werden. PCI ermöglicht damit eine einheitliche Vorgehensweise bei der Umsetzung der Sicherheitsrichtlinien aller Kreditkartenorganisationen.

IT Security Portal (B2B)