die bank 04 // 2021

DIGITALISIERUNG Services

DIGITALISIERUNG Services betreiben Rechenzentren in der ganzen Welt und damit auch in Ländern, in denen die GDPR nicht gilt. Um die Speicherung und Verarbeitung von Daten auf Regionen zu beschränken, in denen die GDPR gilt, bieten Cloud Provider bei Vertragsabschluss oft an, entsprechende Regionen festzulegen. Fehlerhafte Architektur und Konfiguration Auch wenn die Nutzung von Cloud-Services oft Strukturen und Prozesse vereinfacht, so bleibt immer eine gewisse Komplexität in der Cloud-Infrastruktur. Unabhängig davon, wie viele Komponenten im Einzelfall dort betrieben werden, müssen diese sicher administriert werden. Eine fehlerhafte oder nicht ausreichend geplante Cloud-Infrastruktur führt zu mehr Komplexität und damit zu mehr Aufwand in der Wartung und Überwachung. Durch die Komplexität wird es schwieriger, einzelne Probleme oder fehlerhafte Konfigurationen zu entdecken, was die Angriffsfläche und das Risiko erhöht. Abhilfe schafft hier eine durchdachte Vorausplanung, die schon im Detail die Infrastruktur beschreibt. Nur dann kann frühzeitig analysiert werden, wo es architekturbedingte Schwachstellen im Aufbau gibt und wie man diese schließen kann. Schutzmaßnahmen Mittlerweile gibt es verschiedene Standards, die bei der Definition und Umsetzung von Schutzmaßnahmen als Orientierung dienen können. Dazu zählen der C5 des BSI, die Cloud Control Matrix der Cloud Security Alliance oder die entsprechenden Normen aus der ISO-Familie. Durch die Standardisierung und stetige Weiterentwicklung gibt es jeweils aktuelle Kataloge mit Sicherheitsmaßnahmen, die speziell auf die Nutzung und den Betrieb von Cloud-Services zugeschnitten sind. Mit einer Umsetzung der Maßnahmen kann ein ausreichendes Maß an IT-Sicherheit erreicht werden. Audit beim Cloud Provider Um die ausreichende Umsetzung von IT-Sicherheitsmaßnahmen zu prüfen, muss der Kunde die Möglichkeit haben, ein eigenes Audit vor Ort durchzuführen. Dies wird auch durch den Gesetzgeber gefordert. Der Nachweis über die Umsetzung allein durch IT-Sicherheitszertifikate und Prüfberichte Dritter ist aus Sicht des Gesetzgebers nicht ausreichend. Auf der anderen Seite ist eine Prüfung beim Anbieter oft schwer umzusetzen. Das prüfende Finanzinstitut muss entsprechend qualifizierte Ressourcen zur Verfügung haben, um diese Prüfungen durchführen zu können. Der Cloud-Betreiber sieht sich unter Umständen mit einer Vielzahl von parallelen und aufeinanderfolgenden Einzelprüfungen konfrontiert. Hinzu kommt, dass aufgrund der technischen Architektur und der Verteilung von Ressourcen auf mehrere Rechenzentren gleichzeitig mehrere Standorte geprüft werden müssten. Für diese Problematik ist noch keine abschließende Lösung, die alle Beteiligten zufriedenstellt, gefunden. Dienstleister Ein weiteres Risiko besteht in der unterschiedlichen Größe von Cloud-Dienstleistern. Große Anbieter, die weltweit eine Vielzahl von Rechenzentren betreiben, besitzen das Wissen und die Ressourcen, um IT-Sicherheit zu gewährleisten. Dem gegenüber besteht bei kleineren Dienstleistern die Gefahr, dass aus wirtschaftlichen Gründen kein Fokus auf die Umsetzung ausreichender IT- Sicherheitsmaßnahmen besteht. Autor Peter Kaminski ist Cyber Security Experte bei der Santander Consumer Bank, Mönchengladbach. FAZIT Die Anforderungen an eine dynamische und leistungsfähige IT-Architektur können durch die Nutzung von Cloud-Services erfüllt werden. Teile der eigenen IT- Infrastruktur werden dann durch den Cloud-Dienstleister administriert. Die IT-Sicherheitsrisiken für den Kunden bleiben allerdings bestehen und werden um spezifische Cloud-Risiken ergänzt. Mit einer vorausschauenden Planung und der Einhaltung der in den gängigen IT-Sicherheitsstandards definierten Maßnahmen kann aber das Risiko eines erfolgreichen Angriffs reduziert werden. Offen bleibt jedoch die Nachweis-erbringung im Rahmen eines Audits des Providers. Gemeinsam mit Thomas Becker (Lexantis) referiert Peter Kaminski beim interaktiven Web-Seminar Die Cloud im Finanzsektor: IT-Sicherheit und Datenschutz in der Cloud am Dienstag, 11. Mai 2021 Weitere Infos: https://www.bv-events.de/event/ die-cloud-im-finanzsektor-it-sicherheit-und-­ datenschutz-in-der-cloud-risiken-massnahmenund-herausforderungen-1 54 04 // 2021

DIGITALISIERUNG Web-Seminar am 10. Mai 2021, 14:00 bis 16:00 Uhr BCM-Planung und BCM-Tests zur Sicherstellung der Betriebskontinuität in Krisensituationen Pandemien, Naturkatastrophen oder Terroranschläge sind nur einige Beispiele, die zum Ausfall kritischer Prozesse in Kreditinstituten führen können. Das Business Continuity Management (BCM) dient der Aufrechterhaltung von kritischen Prozessen in Krisensituationen. Die BCM-Planung und BCM-Tests sind die Kernelemente eines funktionsfähigen Notfallkonzepts. Aufgrund der großen Nachfrage wiederholen wir unser erfolgreiches Web-Seminar. Für mehr Infos: Einfach scannen! Online-Zertifikatslehrgang vom 17. bis 18. Mai 2021 Basiswissen für Business Continuity Manager (BCM) in Kreditinstituten Business Continuity Management (BCM) zielt darauf ab, sich auf Sicherheitsvorfälle, die die Existenz Ihres Instituts bedrohen und Reputationsschäden nach sich ziehen können, vorzubereiten und die Betriebskontinuität zu sichern. Der zweitägige Online-Zertifikatslehrgang „Basiswissen für Business Continuity Manager (BCM) in Kreditinstituten“ wurde für Neu- und SeiteneinsteigerInnen konzipiert. Als TeilnehmerIn haben Sie die Möglichkeit, das Zertifikat „Basiswissen für BCM-Manager in Kreditinstituten“ zu erwerben. Voraussetzung ist die Teilnahme an allen sieben Modulen sowie das Bestehen der webbasierten Abschlussprüfung (Multiple Choice). Für mehr Infos: Einfach scannen! Anmeldung und Information: per Fax: 0221-5490-315 | Tel.: 0221-5490-133 (Stefan Lödorf) | events@bank-verlag.de JETZT ANMELDEN! Bank-Verlag GmbH | www.bv-events.de | @events_bv 04 // 2021 55