Aufrufe
vor 5 Jahren

die bank 06 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Risiken
  • Banking
  • Mitarbeiter
  • Institute
  • Deutsche
  • Anforderungen
  • Deutschland
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Durchgehende Ende-zu-Ende-Verschlüsselung Eine Ende-zu-Ende-Verschlüsselung beginnt auf dem Endgerät des Versenders und erstreckt sich über den gesamten Übertragungsweg bis hin zum Empfänger ” 3. Der Versender kann der Mitarbeiter einer Bank oder der eines Geschäftspartners sein und natürlich auch ein Bankkunde. Die Ende-zu-Ende-Verschlüsselung folgt dem Zero-Knowledge-Prinzip, das unter Sicherheitsexperten als wirksamstes Mittel gegen Cyber-Kriminalität und Überwachung gilt. Der Begriff Zero-Knowledge beschreibt die Tatsache, dass nicht einmal der Anbieter einer Verschlüsselungslösung, eines Datentransfer-Systems oder eines Cloud-Speicherdienstes an den zur Entschlüsselung benötigten Key herankommt und so einen Einblick in die Daten seiner Kunden erhalten könnte. fl Ist die Verschlüsselungslösung so einfach zu bedienen wie ein E-Mail-Programm, wird sie auch von den Anwendern akzeptiert und verwendet. Um die Anforderungen an eine gesicherte Datenübertragung einhalten zu können, spielt die eingesetzte Verschlüsselungstechnologie eine wichtige Rolle. Der Advanced Encryption Standard (AES) ist der Nachfolger des immer noch verbreiteten Data Encryption Standard (DES), dessen Wurzeln bis in die Mitte der 1970er Jahre reichen. AES kommt beispielsweise in den USA zum Einsatz, wenn staatliche Dokumente mit der höchsten Geheimhaltungsstufe verschickt werden. Mit einer Schlüssellänge von 256 Bits bietet AES-256 einen sehr hohen Schutz. Selbst AES-128 gilt in Expertenkreisen noch als verhältnismäßig sicher. Bei der Auswahl einer Lösung für die Ende-zu-Ende-Verschlüsselung sollten Banken darauf achten, dass bereits auf der Seite des Absenders mindestens mit AES-128 oder besser noch mit AES-256 verschlüsselt und erst bei einem Empfänger wieder entschlüsselt wird. Der Schutz der Daten wird mit elektronischen Schlüsseln nach dem Public-Private-Key-Prinzip sichergestellt. Die Public Keys sind zentral gespeichert und dienen zur Verschlüsselung der Daten: Person A verschlüsselt eine Nachricht für Person B mit einem Public Key. Person B kann dann die Datei mit ihrem persönlichen Private Key entschlüsseln. Die Private Keys werden ebenfalls verschlüsselt abgelegt und sind nur über das Passwort des jeweiligen Benutzers verfügbar. Ein zusätzlicher Schutz entsteht, wenn auch die Passwörter der Benutzer verschlüsselt abgelegt sind. Der Public Key ist allgemein zugänglich, der Private Key dagegen bleibt geheim beziehungsweise ist nur dem Empfänger zugänglich. Einfach zu bedienende Lösungen fördern die Akzeptanz Die Ende-zu-Ende-Verschlüsselung von Nachrichten und Dateien war lange Zeit eine sehr komplexe Angelegenheit und erforderte aufwendige Schulungen der Mitarbeiter. Heute gibt es erste Lösungen, die im Gegensatz beispielsweise zu PGP und S/Mime einfach zu handhaben, rasch in bestehende Systeme integrierbar und individuell an die Erfordernisse von Unternehmen anpassbar sind. Ist die Verschlüsselungslösung so einfach zu bedienen wie ein E-Mail-Programm und nahtlos darin integriert, wird sie auch von den Anwendern akzeptiert und verwendet. Wichtig ist, dass die ausgewählte Software eine durchgängig verschlüsselte Übertragung von Daten gewährleistet und der Transfer zwischen beliebigen Personen stattfinden kann, ohne dass dazu aufwendig Schlüssel erstellt oder Zertifikate installiert werden müssen. Die technische Basis dafür bildet ein Server, der nach dem Zero-Knowledge-Prinzip entweder direkt im Unternehmen steht, das die sichere Datenübertragung nutzen möchte, oder im Rechenzentrum seines Dienstleisters. Die Daten des Anwenders werden vor dem Versand automatisch mit einer Kombination der Krypto-Verfahren AES 256 sowie einer RSA-Schlüssellänge von 4096 Bit verschlüsselt, segmentiert und verschickt. Entscheidend dabei: Auf dem gesamten Trans- 2 Segmentierung von Geschäftsdaten Datei (Ursprung) Segmente Segmente Datei (Ziel) 48 diebank 6.2015

IT & KOMMUNIKATION ó 3 Durchgängige Ende-zu-Ende-Verschlüsselung zwischen Absender und Empfänger Sender Server Empfänger ? ? ? Admin User Hacker portweg bleiben die Daten verschlüsselt und werden erst beim Empfänger wieder in ein lesbares Format umgewandelt. Die verschlüsselten Daten befinden sich in einem virtuellen Datenraum, über den auch mehrere Personen gesichert voreinander Geschäftsunterlagen austauschen und bearbeiten können ” 1. Dieser Datenraum wiederum befindet sich entweder im eigenen Rechenzentrum einer Bank oder dem eines IT-Dienstleisters. Entscheidend dabei ist, dass nur autorisierte Benutzer die verschlüsselt gespeicherten Geschäftsunterlagen und Verträge einsehen oder bearbeiten können. Kein Administrator – weder einer aus dem eigenen Rechenzentrum oder dem eines Providers – hat die Möglichkeit, die verschlüsselten Dateien in dem virtuellen Datenraum zu öffnen. Mehrere Sicherheitsstufen Wer Daten, vertrauliche Geschäftsdokumente oder Vertragsentwürfe verschickt, sollte zwischen mehreren Sicherheitsstufen wählen können: 1. Der Empfänger erhält eine Mail mit einem sicheren Link zum Datenraum und kann von dort die Datei herunterladen. 2. Der Empfänger erhält eine Mail mit einem sicheren Link plus Login. 3. Der Empfänger erhält eine Mail mit einem sicheren Link plus Login und verschlüsselte Dateien. 4. Der Empfänger erhält eine Mail mit einem sicheren Link plus Login plus verschlüsselte Dateien und verschlüsselte Nachricht. Im einfachsten Fall benötigt der Mail-Empfänger keine spezielle Software, um die Nachricht zu öffnen. Der Datenversand ist dadurch geschützt, dass er einen SSL-gesicherten Link zum Verschlüsselungs-Server erhält. Ab Sicherheitsstufe zwei muss er sich beim Verschlüsselungsserver anmelden, um die Datei öffnen zu können. Stufe drei und vier erfordern darüber hinaus noch die Eingabe eines persönlichen Ende-zu-Ende-Verschlüsselungs- Passworts. Auf der vierten Stufe ist zunächst keine Nachricht zu sehen, denn hier wird auch der Text der Nachricht verschlüsselt. In allen Branchen, in denen Sicherheit und Nachvollziehbarkeit bei der Übertragung vertraulicher Daten gefragt sind , kommen Unternehmen an einer Ende-zu-Ende-Verschlüsselung der Daten nicht vorbei. Sie sollte so einfach in der Bedienung sein, dass sie einem Benutzer nicht weiter auffällt. Dazu ist erforderlich, dass sie sich nahtlos in nahezu jede vorhandene IT-Umgebung einfügen lässt. Über einen virtuellen Datenraum können berechtigte Mitarbeiter von Banken und Geschäftspartnern jederzeit und überall von jedem Endgerät aus auf vertrauliche Daten zugreifen. fl Verschlüsselung ist letztlich ein integraler Bestandteil für IT-Compliance und IT-Sicherheit. Weitere Auswahlkriterien bei einer Lösung sind die garantierte Zustellung, bei der ein Absender eine automatische Bestätigung über die vollständige und unveränderte Dateizustellung erhält, und die revisionssichere Protokollierung. Die Verschlüsselungslösung sollte dabei in der Lage sein, sämtliche Vorgänge für eine lückenlose Nachweisbarkeit der Zugriffe aufzuzeichnen, für die sich sowohl die interne Bankenrevision als auch die externe Bankenaufsicht verstärkt interessieren. An diesen Punkten wird deutlich, dass die Verschlüsselung letztlich ein integraler Bestandteil einer umfassenden Lösung für IT-Compliance und IT-Sicherheit ist. ó Autor: Stephan Niedermeier ist Gründer und Geschäftsführer der FTAPI Software GmbH, einem Unternehmen der QSC AG. 6.2015 diebank 49

die bank