02.11.2007, 08:31 Uhr
«IT-Security verlangt Durchhaltevermögen»
Banken investieren viel in die IT-Sicherheit. Globalisierung und Regulatoren erfordern komplexe Architekturen und flexible Modelle. Gritta Wolf, Head of IT Security Architecture der Credit Suisse im weltweiten Private Banking, zeigt die Herausforderungen auf.
Computerworld: Frau Wolf, was ist IT-Security in einer Bank eigentlich? Eine technische Disziplin mit einer ausgeprägten Management-Komponente oder eine Management-Disziplin, die über die Technik implementiert wird?
Gritta Wolf: Das Interessante am Thema IT-Sicherheit ist die Vielschichtigkeit. Aus der Sicht der IT-Architektur liegt der Fokus auf dem technischen Lösungsdesign. Eine umfassende Sicherheitslösung betrifft häufig mehrere Technologie-Ebenen und viele Prozesse und muss daher in Zusammenarbeit mit den betroffenen Engineers und Entwicklern geplant und umgesetzt werden. Über die Technik hinaus spielen aber noch weitere Disziplinen eine wesentliche Rolle für das Gesamtkonzept. Business und IT müssen sich der potenziellen Risiken bewusst sein und einen gemeinsamen Nenner finden. Hier helfen uns die Disziplinen der Risk Awareness sowie des Risk Managements, um in einem strukturierten Vorgehen Entscheidungen zu treffen.
Gibt es weitere Aspekte?
Ja, zwei. Die breite Einsetzbarkeit von Lösungen und deren Benutzerfreundlichkeit. Im Designprozess müssen die Kosten der Bewirtschaftung, die Betreibbarkeit und die Akzeptanz durch die Benutzer einfliessen. Insofern ist IT-Sicherheit aus meiner Sicht eine interdisziplinäre Aufgabe, die von vielen Abteilungen eines Unternehmens - über IT und Business hinweg - getragen werden muss.
Welche Bedeutung hat die IT-Sicherheit für eine international tätige Bank wie Credit Suisse?
Aus Kosten- und Nutzensicht möchten wir möglichst viele bestehende Sicherheitsinfrastrukturen und -applikationen weltweit nutzen. Jedoch müssen wir flexibel genug sein, um auf regionale Business-Anforderungen reagieren und regulatorische Vorgaben in den verschiedenen Rechtssprechungen erfüllen zu können. Das heisst, dass in manchen Businessbereichen sehr viel Wert auf hochsichere Lösungen gelegt wird, in anderen der Fokus zusätzlich auf schnellem Time-to-market und der Aktualität von Produkten liegt. Zudem gilt es, alle rechtlichen Vorgaben einzuhalten.
Kann man heute sagen, die IT-Security ist ein Erfolgsfaktor für das Kerngeschäft einer Bank?
Ja, IT-Security ist eine der Voraussetzungen, um als Bank erfolgreich zu sein.
Was hat sich in den vergangenen Jahren im Bereich IT und Sicherheit verändert? Was sind die Herausforderungen? Ich denke da an Spionage und Trojaner bis hin zu Hacking und Phishing.
Die sich ändernden Arbeits- und Geschäftsmodelle erfordern grössere Flexibilität in den Sicherheitslösungen. Durch neue Technologien werden unsere Kunden und Benutzer immer mobiler. Mitarbeitende können flexibler von unterschiedlichen Standorten aus arbeiten. Zudem werden gewisse Geschäfts- oder IT-Bereiche auch ausgelagert. Die IT-Security muss auf all diese Anforderungen mit adäquaten Lösungen reagieren.
Was tun Sie gegen Hacker?
Wir setzen uns ständig mit potenziellem «Misbehaviour» wie Spionage-, Hacking- oder Phishing-Versuchen auseinander. Wir überwachen unsere Sicherheitsmechanismen kontinuierlich und beobachten zusammen mit Forschungseinrichtungen und unserem Research & Development-Team die aktuellen Entwicklungen im Sicherheitsbereich, um neue Lösungen und Produkte innovativ einsetzen zu können.
Wo lauern die Gefahren?
Mit der Umsetzung eines balancierten Sicherheitsportfolios ist ein adäquater Schutz möglich. Aber wir müssen gewissen Aspekten besondere Aufmerksamkeit widmen, etwa den Schnittstellen zu externen Dienstleistern und Kunden.
Wie sieht Ihr «Feind» aus?
Professionell, mobil, technisch und sozial vernetzt.
Wie sind Sie organisatorisch aufgestellt?
Jede Initiative und jedes Projekt, das relevante Daten nutzt oder Systeme modifiziert, respektive deren Business-Owner hat die Pflicht, geeignete Sicherheitslösungen zu implementieren. Zentrale Stellen wie die unsrige unterstützen die jeweiligen Projekte. Die IT-Sicherheitsarchitektur hilft dann bei der Lösungsfindung und überprüft im Verlauf der Projekte das Lösungsdesign entsprechend der definierten Sicherheitsstandards.
Wie sieht die Integration der IT-Security in das IT-Management aus?
IT-Sicherheit ist ein wesentlicher und inhärenter Bestandteil unserer IT-Prozesse sowie unserer Applikationsplattformen. Das heisst, dass viele Aspekte der IT-Sicherheit nicht individuell in einzelnen Applikationen gelöst, sondern zentral bereitgestellt werden.
Welche Rolle spielen die unterschiedlichen Regulatoren?
Im internationalen Umfeld besteht neben dem Bankgeheimnis in der Schweiz eine Reihe verschiedener regulatorischer Vorgaben, die bei der gemeinsamen Strategiedefinition berücksichtigt werden müssen. Uns stellt sich vielfach die Frage: Wie können wir die zahlreichen juristische Anforderungen technisch umsetzen? Wichtig bei der internationalen Arbeit ist aber auch, dass man sich über die bestehenden geographischen Kulturen, respektive Business-Kulturen im Klaren ist und bewusst mit diesen umgeht.
Ist die Arbeit schwieriger geworden?
Durch die «Internationalität» sind die Aufgaben der Sicherheitsarchitektur um ein Vielfaches interessanter geworden.
Gibt es Aspekte, die eine besondere Rolle im Rahmen einer internationalen Ausweitung der IT-Architektur-Arbeit spielen?
Ja, und zwar im Wesentlichen sechs Stück.
Priorisieren: Welche Sicherheitstechnologien haben höchste Priorität für eine gemeinsame Strategie? Sie sind die Basis für die Ermöglichung eines globalen Rollouts von Applikationen. Dazu gehören zum Beispiel Authentisierungsmechanismen und Identifier-Verwaltung.
Zeit: Es ist unabdingbar und wichtig, so zeitig wie möglich mit der Strategiedefinition zu beginnen, um die Rahmenbedingungen und Leitplanken für laufende oder neue Aktivitäten zu setzen, die im Zuge der Internationalisierung der IT angegangen werden.
Priorisieren: Welche Sicherheitstechnologien haben höchste Priorität für eine gemeinsame Strategie? Sie sind die Basis für die Ermöglichung eines globalen Rollouts von Applikationen. Dazu gehören zum Beispiel Authentisierungsmechanismen und Identifier-Verwaltung.
Zeit: Es ist unabdingbar und wichtig, so zeitig wie möglich mit der Strategiedefinition zu beginnen, um die Rahmenbedingungen und Leitplanken für laufende oder neue Aktivitäten zu setzen, die im Zuge der Internationalisierung der IT angegangen werden.
Kultur: Mit den kulturellen Unterschieden in Business, IT und in der Architektur-Arbeit muss bewusst umgegangen werden.
Erwartungen: Aus den verschiedenen Ansätzen entstehen auch verschiedene Erwartungshaltungen an die Architekturdienstleistungen. Mit diesen muss man bewusst umgehen.
Konformität: Wenn in solchen Phasen ad-hoc-Entscheidungen getroffen oder Übergangslösungen implementiert werden müssen, haben die Architekten sicherzustellen, dass diese konform sind mit der Strategie. Oder dass sie der Realisierung der Strategie zumindest nicht im Wege stehen.
Erwartungen: Aus den verschiedenen Ansätzen entstehen auch verschiedene Erwartungshaltungen an die Architekturdienstleistungen. Mit diesen muss man bewusst umgehen.
Konformität: Wenn in solchen Phasen ad-hoc-Entscheidungen getroffen oder Übergangslösungen implementiert werden müssen, haben die Architekten sicherzustellen, dass diese konform sind mit der Strategie. Oder dass sie der Realisierung der Strategie zumindest nicht im Wege stehen.
Welche sind ihre wichtigsten Ansprechpartner innerhalb und ausserhalb der Firma?
Das sind fast alle Bereiche, besonders Research & Development, Peer Architects, Legal and Compliance, Business und IT-Risk. Und natürlich das Engineering und die Entwickler. Dazu kommen externe Partner wie Behörden und Regulatoren der verschiedenen Länder sowie die Provider von Sicherheitsinformationen und Sicherheitsdienstleistungen.
Wie beurteilen Sie die generelle Situation in Bezug auf Online-Kriminalität?
Wir beobachten, dass die Personen, die Online-Kriminalität betreiben, immer besser organisiert auftreten. Dies betrifft nicht nur die genutzte Technik des Angriffs und deren weite Verbreitung, sondern auch das Verständnis der möglichen Angriffsstellen sowie die Spezialisierung und Vernetzung der Angreifer. Deshalb müssen die Sicherheitsvorkehrungen laufend optimiert werden.
Was heisst das für den Online-Bankkunden?
Wichtig für den Endbenutzer ist, dass er bei seinen Internet-Transaktionen und am Heim-Computer die wichtigsten Grundregeln befolgt. Dazu gehören die Nutzung von Firewalls und regelmässige Virenschutz- und Betriebssystem-Updates. Wichtig ist auch das kritische Hinterfragen von verdächtigen Aktionen auf dem PC.
Wie können sich Banken gegen diese Gefahr schützen?
Nicht nur die Finanzinstitute, die Wirtschaft generell muss der organisierten Online-Kriminalität entgegentreten. Der regelmässige Austausch über Erfahrungen mit den verfügbaren Produkten und Lösungen, aber auch über den Status der Online-Kriminalität, ist sehr wesentlich für den erfolgreichen Schutz.
Welche Herausforderungen kommen auf die Banken im Umfeld der IT-Security zu?
Ich denke, dass sich die genannten Trends fortsetzen werden. Wir sind konfrontiert mit einer immer höheren Mobilität der Benutzer und Dienstleister. Hinzu kommt, dass Firmen immer mehr Standorte haben. Auf der anderen Seite nimmt die Professionalisierung der Computerkriminalität bis hin zur Industrialisierung zu. Damit einher gehen wird aber auch ein immer grösseres Angebot von Sicherheitstools, -produkten und -services. Dies bedeutet, dass mehr Aufwand in die Evaluation von hilfreichen Lösungen investiert werden muss. Fazit: Die hohe Aufmerksamkeit des Unternehmens und des Managements für das Thema IT-Sicherheit wird auch in Zukunft unabdingbar sein.
Volker Richert
