Banken sind bevorzugtes Ziel für elektronische Angriffe. Darauf hat die Branche mit modernen Security-Strategien reagiert und die elektronischen Möglichkeiten zur Abwehr solcher Attacken verschärft. Sicherheitsrisiken gehen jedoch auch von mangelnden Kontrollen bei Mitarbeitern, Geschäftsprozessen und räumlichen Gegebenheiten innerhalb des Unternehmens aus.

Ein extremes Beispiel für «hausgemachte» Risiken liefert der als Fünf-Milliarden-Mann weltweit bekannt gewordene Franzose Jérôme Kerviel. Der Händler hatte auf dem Termingeschäftemarkt fast 5 Mrd Euro zu Lasten der Société Générale verzockt. Analysten sehen diesen Skandal nicht nur als Betrugsfall, sondern massgebend als Verdikt im Risikomanagement der Bank.

Es besteht Handlungsbedarf: Sicherheitsexperten von Unisys raten, neue Strategien nicht mehr primär auf die Abwehr unerwünschter Ereignisse aufzubauen, sondern umfassende Transparenz zu schaffen, die präventives Handeln ermöglicht.

Richtige Analysemethode wählen

Nehmen wir an, bei der Bank werden bei verschiedenen manuellen Eingabeprozessen Sicherheitsmängel vermutet. Wie sehen Sicherheitsanalysen aus, die den Mensch einkalkulieren? Wie lassen sich Lücken aufspüren? Und wie können die Analyseergebnisse effizient in die Praxis umgesetzt werden?

Anzeige

Zunächst müssen bei einem Sicherheitsprojekt branchenspezifische Aspekte berücksichtigt und die Auswahl der passenden Analysemethode und -tools getroffen werden. Transparenz ist hier der Schlüssel zum Erfolg – egal, ob Sicherheitsmängel bewertet, die IT-Infrastruktur geschützt, das Identitätsmanagement überarbeitet oder die Zugangskontrolle zu physischen und logischen Ressourcen implementiert wird.

Risiken aufdecken

Im Security Operations Center von Unisys können Sicherheitsszenarien durchgespielt und im Rahmen von Workshops erste Schritte erarbeitet werden. Bestandteil der Analyse sind Einzelinterviews mit Führungskräften aus IT und den operativen Abteilungen. Es gilt herauszukristallisieren, wo die grössten Risiken und Probleme anzusiedeln sind. Der Fokus der Analyse liegt dabei auf der Sicherheit des gesamten Geschäftsprozesses.

Ergänzend führen Spezialisten ein Risk Assesment mit dem Unisys Beato Tool durch. Dieses unterstützt die Bewertung operativer Risiken, indem es auf internationale Standards und regulative Vorgaben zurückgreift. Das Ergebnis: Eine grafische Darstellung, die dem Kunden illustriert, was er bereits gut macht, was er benötigt, um sich zu verbessern, und wo die höchsten Sicherheitsrisiken angesiedelt sind.

Bei Analyseprozessen identifiziert Unisys immer wieder ähnliche Sicherheitsmängel:

Mangelnde Klassifizierung: Kritische Daten sind nicht als solche definiert.

Unzureichende räumliche Trennung: Mitarbeiter aus anderen Abteilungen haben freien Zutritt zu Büroräumen, in denen sensible Transaktionen getätigt werden.

Fehlender Sichtschutz: Unbefugte haben uneingeschränkte Sicht auf Bildschirme und Eingabemasken.

Unklare Verantwortungsbereiche: Ohne klare Verantwortungsregelung bei Sicherheitsfragen bleiben Lücken über lange Zeiträume unentdeckt.

Interdisziplinäre Ansätze

Nach der Analysephase werden erste Designprinzipien formuliert. Um optimale Ergebnisse zu erzielen, arbeiten Experten Hand in Hand zusammen. Sie definieren die physische, technische, persönliche und geschäftsprozessbezogene Sicherheit eines Unternehmens. Das Praxisbeispiel der Bank macht den interdisziplinären Ansatz deutlicher:

Oberstes Designprinzip ist die Integration von Protokollen zur Nachweisbarkeit. Verantwortlichkeiten können so jederzeit zurückverfolgt und eindeutig zugewiesen werden.

Der Einsatz einer ID-Card für den physischen und logischen Zugang unterstützt das zentrale Identity Management.

Registrierung und Abmeldung über alle Identitäts- und Zugangskontrollen hinweg.

Ein virtueller Bunker

Auf der mehrstufigen Sicherheitsanalyse und den klar definierten Regeln des Sicherheitsdesigns basiert die praktische Umsetzung des Projektes bei unserer Bank. Kritische Daten und Vermögenswerte können durch folgende Massnahmen vor Manipulationen geschützt werden: Im Geschäftsgebäude wird eine Ebene definiert, die nur mit einer Smart Card und strenger mehrfacher Authentifizierung betreten werden kann. Denkbare Zutrittstechnologien sind hier Iris- und Fingerabdruckscan oder ein Gesichtsscan. Innerhalb dieser Sicherheitszone stehen Schliessfächer bereit, in denen elektronische Geräte der Mitarbeiter sowie jegliches Papier aufbewahrt werden. Zugang zum Arbeitsplatz bekommt man nur, wenn das Identity- und Access-Management-System den Namen des Mitarbeiters, die Karte und den Zugangscode erkennt.

Auf dem Schreibtisch steht ein Thin Client, also ein PC mit minimaler Ausstattung, ohne USB-Anschluss und CD-Laufwerk. Dokumente aus Papier durchlaufen zuvor einen Sicherheitscheck und stehen in diesem Raum nur als digitalisierte Datei zur Verfügung. Zusätzlich zu einem Sicherheitsmann, der die Einhaltung aller Prozeduren überwacht, werden die Geschäftsprozesse aus einem isolierten und gesicherten Raum gestartet. Die gesamte Wartung der Sicherheitstechnologie wird remote über das Unisys Security Operations Center abgewickelt.

Das Beispiel zeigt, dass moderne Ansätze zur Unternehmenssicherheit heute aus dem Portfolio unterschiedlichster Disziplinen schöpfen müssen, die alle Geschäftsprozesse berücksichtigen. Die strategische Verbindung von physischer und elektronischer Sicherheit ist eine effiziente und effektive Methode, um auf immer komplexere Sicherheitsbedrohungen reagieren zu können.