Aufrufe
vor 2 Monaten

die bank 07 // 2021

  • Text
  • Wwwbankverlagde
  • Zahlungsverkehr
  • Privat
  • Mitglieder
  • Sparkasse
  • Markt
  • Deutsche
  • Deutschen
  • Kundinnen
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT 2 |

MANAGEMENT 2 | Compliance aus der Cloud durch automatisierte technische Prozesse Übersicht ISO 27001 Anforderungen und Anzahl zugehöriger Sicherheitsziele ISO 27001 Sicherheitsziele über 7 Sicherheitsebenen Physische Sicherheit: Physische Sicherheit der Azure Rechenzentren Identität/Zugang: Azure Active Directory/Single Sign-On, Multi-Factor-Authentification Perimeter: Distributed-Denial-of-Service-Protection, Azure Firewall, Log Analytics Netzwerk: Logging & Auditing Network Access Control, Monitoring & Threat Detection Verarbeitung: Härtung Virtueller Maschinen (VM), Endpoint Protection, Housekeeping Application: VM (mit Back-up, Verschlüsselung etc.), Container-Sicherheit Daten: Hoch verfügbare Datenbanken, Verschlüsselung in transport & at rest HLS 1 4 5 6 7 8 9 10 Security Controls A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 A.16 A.17 A.18 1 3 2 2 3 1 2 1 2 2 3 2 2 2 2 3 3 3 3 4 3 4 3 6 4 5 5 2 6 7 13 3 12 4 5 5 6 7 4 4 14 7 7 7 71 von 136 Sicherheitszielen können ganz oder teilweise mit technischen Maßnahmen von Microsoft Azure umgesetzt werden 8 7 10 1 13 14 14 15 1 High Level Structure Erfüllte Sicherheitsziele Nicht erfüllte Sicherheitsziele Quelle: COREresearch2021. In Anbetracht der hohen Ausgaben der diversen Hyperscaler für Sicherheit, von denen alle AnwenderInnen überproportional profitieren, wird der hohe Schutzstandard der eigenen Daten in der Cloud gegenüber der eigenen Datenhaltung ersichtlich. Im konkreten Beispiel Azure bedeutet das, dass 3.500 SicherheitsexpertInnen nur am Thema Sicherheit arbeiten. Informationssicherheit aus der Cloud Mit Maßnahmen der Informationssicherheit werden Informationen und Endgeräte gesichert; Beispiele dafür sind die Tools Z Endpoint Manager (auch Mobile Device Management, MDM): Er ermöglicht u. a. Z Remote Wipe, also das Ausrollen von Unternehmensrichtlinien und die Überwachung der Endgeräte auf Compliance, sowie das Defender for Identity Portal, das u. a. die Überwachung der Nutzeraktivitäten, den Schutz der Benutzeridentitäten und Anmeldeinformationen übernimmt. Um den XaaS-Nukleus herum hat Azure ein Ökosystem mit Tools aufgebaut, die in der Abbildung ÿ 2 illustriert in ihrer Gesamtheit über sieben Sicherheitsebenen – von physischer Sicherheit bis hin zu den Daten – auf die CyberSicherheit des Tenanten einzahlen. Von den 136 Themenstellungen des ISO-Standards 27001 (High Level Structure 4 bis 10 sowie die Security Controls A.5 bis A.18) können mit dem Öko-System von Azure 71 ganz oder zumindest teilweise erfüllt werden. Beispielsweise wird die physische Sicherheit durch die Azure-Rechenzentren gewährleistet. Ausweis der Güte der physischen Sicherheit sind entsprechende Zertifikate wie ISO 27001, TISAX (Automobilindustrie), ISO 27018 und BSI C5. Auch Business Continuity Management (BCM) ist fester Bestandteil einer Cloud. Zentral sind Back-ups und ihre funktionssichere Wiedereinspielung (Restore). Hierbei unterstützt Azure auf mehreren Wegen: Einerseits durch automatische Back-ups aller Speicherin- 38 07 // 2021

MANAGEMENT stanzen eines Tenanten wie Festplatten, Datenbanken und virtuellen Maschinen zugeordneten Speichern. Andererseits wiederum durch die automatisierten Back-ups einer als SaaS bezogenen Microsoft 365-Instanz. AnwenderInnen erhalten somit aus Azure heraus nicht nur Maßnahmen für ihre eigenen Tenanten, sondern auch für ihre eigene Unternehmensinfrastruktur. Um Dinge wie Personal, Governance und alle in der Abbildung ÿ 2 „nicht erfüllten Sicherheitsziele“ muss er sich weiterhin selbst kümmern. Mit 116 Tools befasst sich etwa ein Viertel aller Azure Tools direkt mit dem Thema Sicherheit, siehe ÿ 3. Ein Beispiel ist die Informationsklassifizierung („Information Protection“) von Microsoft 365. Office-Dokumente werden automatisch mit Vertraulichkeitsklassen beschriftet (Labelling) und mit unternehmensweiten Richtlinien (Policies) je Vertraulichkeitsklasse versehen. Diese Richtlinien entfalten auch ihre Wirkung, wenn Anwenderinnen die klassischen Dokumente per E-Mail mit Outlook versenden wollen, beispielsweise an bestimmte KundInnen oder bei Nennung bestimmter Worte mit automatischer Verschlüsselung. Für das Identitäts-Management zeichnen 25 Tools verantwortlich. Die Verwaltung von Identitäten und Zugriffen (engl. Identity and Access Management, IAM) übernimmt in der Microsoft Cloud Azure Active Directory (AAD), das mit dem On-Premise AD von Microsoft synchronisiert werden kann. Die Komplexität der möglichen Zugangsund Zugriffsberechtigungen ist abhängig von der Anzahl der Rollen, der Tools und der Aktivitäten innerhalb der Tools, mit denen Prinzipien wie Segregation of Duties, Vier-Augen- Prinzip, Least Privilege, Just-in-Time (JIT)- Access beim Wartungszugriff auf Produktionsdaten, Multi- Faktor-Authentifizierung (MFA) und ein Passwort-Reset im Self Service in die Praxis umgesetzt werden. Des Weiteren steht mit PIM (Privileged Identity Management) die Verwaltung von privilegierten Konten (z. B. Admins) bereit. Mit der Automatisierung der Verwaltungstätigkeit wird nicht nur die Fehlerrate reduziert, sondern auch der zeitliche und operative Aufwand. Außerdem werden diese Aktivitäten automatisch protokolliert und sind im Fall einer internen Stichprobe oder eines Audits nachvollziehbar. Ein weiteres interessantes Werkzeug zu IAM ist „Conditional Access“, das verschiedene Signale zusammenführt, um auf deren Basis Entscheidungen zu treffen und Richtlinien durchzusetzen, die entweder einen Zugriff blockieren, gewähren oder kraft MFA einen zweiten Faktor anfordern. Beispiele sind die vom Aufenthaltsort (Büro/Zuhause, Ausland) abhängige MFA oder ein per Künstlicher Intelligenz (KI) automatisch errechneter Risiko- Score des Logins. Datenschutz aus der Cloud Als zentrales Prinzip des Datenschutzes wurde auch die Gewährleistung von Datensicherheit gesetzlich verankert (Art. 5 Abs. 1 lit. f und Art. 32 EU-DSGVO). Datensicherheit ist der Schutz personenbezogener Daten mit geeigneten technischen und organisatorischen Maßnahmen (im DSGVO-Jargon: TOM). Die Schutzziele sind Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Wie gezeigt, trägt Azure in Form von Maßnahmen der ITund Informationssicherheit als TOM zur Datensicherheit bei. Darauf aufbauend unterstützt Azure Datenschutz direkt mit den zwei Tools „Data Subject Requests“ und „Records Management“. Die DSGVO regelt in den Artikeln 12 bis 20 die sogenannten Betroffenenrechte. Dazu gehört das Recht auf transparente Information, ein Auskunftsrecht, ein Recht auf Berichtigung und auf Löschung, das Recht auf Datenübertragbarkeit. Mit dem Tool „Data Subject Requests“ können Nutzerkonten im 07 // 2021 39

die bank

© die bank 2014-2020