Security Awareness

IT-Sicherheit mit Mensch und Maschine

| Autor / Redakteur: Dirk Emminger* / Stephan Augsten

Gerade im Bereich des Finanz- und Versicherungswesens kursieren viele schützenswerte Daten.
Gerade im Bereich des Finanz- und Versicherungswesens kursieren viele schützenswerte Daten. (Warakorn - Fotolia.com)

Alleine auf technischer Ebene ist der Kampf gegen Cyber-Kriminelle, Internet-Spione oder Hacktivisten nicht zu gewinnen. Unternehmen benötigen ein ganzheitliches IT-Sicherheitskonzept, das nicht nur auf technische Unterstützung setzt, sondern auch Mitarbeiter für potenzielle Risiken sensibilisiert.

Bankräuber haben die Zeichen der Zeit längst erkannt und agieren zunehmend virtuell. Ihnen gegenüber stehen spezialisierte IT-Sicherheitsexperten, die mit modernster Technik Banküberfälle und Hacker-Attacken verhindern wollen. Der Hacker-Angriff auf den Bundestag oder der Milliarden-Coup der Carbanak-Gang haben gezeigt, dass die Angriffsszenarien sich verändert haben.

Insbesondere letztgenannter zeigt, dass Finanzdienstleister mit ihren sicherheitsrelevanten IT-Infrastrukturen besonders gefährdet sind. Cyber-Kriminelle, Internet-Spione und auch Hacktivisten klügeln stets neue Methoden aus und finden immer wieder neue Schlupflöcher.

Für Banken und Versicherungen besitzt das Thema IT-Sicherheit schon seit jeher eine große Relevanz, denn der Umgang mit sensiblen, besonders schützenswerten Kundendaten ist ein zentrales Asset im Wettbewerb. Im Zuge der vermehrt stattfindenden Überprüfungen bei Finanzinstituten rücken die Aufsichtsbehörden auch das Risikogebiet der Datensicherheit in den Mittelpunkt. Hier sind nicht nur die Institute selbst gefordert, sondern auch die beteiligten IT-Dienstleister, ein lückenloses Sicherheitskonzept auszuarbeiten und umzusetzen.

Branchenfokussierte IT-Dienstleister wie Finanz Informatik Technologie Service (FI-TS) profitieren dabei von ihren Erfahrungen im Umgang mit vertrauenswürdigen Daten. Vor dem Hintergrund der steigenden Komplexität von Cyber-Angriffen hat das Unternehmen ein ganzheitliches IT-Sicherheitskonzept umgesetzt. Dieses fokussiert nicht nur technische Aspekte, sondern bezieht auch ein verantwortungsvolles Handeln von Mitarbeitern ein. Das Konzept umfasst vier Säulen:

  • 1. Technische Maßnahmen
  • 2. Organisatorische Maßnahmen
  • 3. Sensibilisierung der Mitarbeiter
  • 4. Monitoring

Technische Maßnahmen

Die Sicherheit der IT beginnt bei der Technik. Modernste Sicherheitslösungen wie Virenscanner oder Firewalls sorgen für einen soliden Schutzwall. Hohe regulatorische Branchenvorgaben machen den ausschließlichen Einsatz von zertifizierten Komponenten erforderlich.

Ein umfassender Schutz für sensible Kundendaten lässt sich über eine herstellerunabhängige Auswahl von IT-Partnern erreichen. Denn auf diesem Weg können für redundante Systeme stets zwei unterschiedliche Lösungen genutzt werden, um den gleichzeitigen Ausfall beider Systeme zu verhindern. Das heißt, dass auch im Verdachtsfall umgehend reagiert und die betroffene Hardware unverzüglich ausgetauscht werden kann.

Gerade gegenüber ihren Kunden stehen IT-Dienstleister in der Verantwortung, Ausfallzeiten gering zu halten. Die Erfahrungen zeigen, dass die technischen Maßnahmen einen weitreichenden Schutz bieten. Gleichzeitig funktionieren sie nur im Zusammenspiel mit organisatorischen Maßnahmen und unter Einbindung der Mitarbeiter.

Organisatorische Maßnahmen

Angesichts der aktuellen Bedrohungslage muss die IT-Sicherheit in der Organisation zentral verankert sein. Aus einer eigenen Abteilung können die verantwortlichen Information Security Manager die Sicherheit des Unternehmens auf allen Ebenen steuern.

Um abteilungs- und auch standortübergreifend in kürzester Zeit handlungsfähig zu bleiben, gehören dezentrale Sicherheitsbeauftragte zur erweiterten Sicherheitsorganisation. So sind bei kritischen Sicherheitsfragen kurze Entscheidungswege und eine schnelle Reaktionsgeschwindigkeit sichergestellt.

Konzeptionell müssen auch alle sicherheitsrelevanten Aufgaben zusammengefasst werden. Diese Sicherheitsregeln sind für alle Mitarbeiter bindend. Dazu zählen etwa Passwort-Regeln, die Länge, Komplexität sowie Turnus für regelmäßige Änderungen vorgeben.

Im Rahmen der Organisationsstruktur sind Mitarbeiter-Rollen und damit verbundene Berechtigungen definiert. So haben Mitarbeiter nur Zugriff auf die Daten, die mit ihrer unmittelbaren Arbeit zusammenhängen. Auch der Zugang zu einzelnen Räumen wie Daten-Archive ist nur einem ausgewählten Personenkreis erlaubt. Ebenfalls definiert sind Handlungsanweisungen bei Verdachtsfällen oder Störungen im IT-Betrieb. Auf Basis des Sicherheitskonzepts sind alle Mitarbeiter gefordert, die Regeln umzusetzen und mit Leben zu füllen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43718191 / Risk Management)