Aufrufe
vor 2 Jahren

die bank 04 // 2021

  • Text
  • Vorgaben
  • Wertpapiere
  • Marisk
  • Nutzung
  • Insbesondere
  • Risiken
  • Auslagerungen
  • Unternehmen
  • Anforderungen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG PRIVATKUNDENBETREUUNG Sicherheitsrisiken bei der Nutzung von Cloud-Services Cloud-Services bieten eine flexible Lösung für die Ansprüche an eine moderne und dynamische IT- Architektur. Die hohen Anforderungen an einen sicheren Betrieb der IT bleiben dabei bestehen. Daneben gibt es aber zusätzliche Risiken, die sich aus der Nutzung von Cloud-Services ergeben oder durch diese zumindest verstärkt werden. Damit werden zusätzliche Sicherheitsmaßnahmen nötig, um diesen spezifischen Risiken zu begegnen. In einer sich dynamisch entwickelnden Welt der Bankinstitute und ihrer Finanzdienstleistungen werden hohe Anforderungen an die IT-Infrastruktur gestellt. Online Banking, Mobile Banking, kürzere Zyklen bei der Einführung von Produkten und die Notwendigkeit der Umsetzung regulatorischer Maßnahmen erfordern flexible und skalierbare Lösungen. Für viele Banken führt daher der Weg aus einer monolithischen IT-Infrastruktur hin zu einer Cloud-gestützten Architektur. Lösungen, die innerhalb der Cloud entwickelt und für diese optimiert werden, können diese Anforderungen erfüllen. Als Folge der wachsenden Nutzung durch die Banken werden Cloud-basierte Systeme immer wichtiger für die Aufrechterhaltung des Geschäftsbetriebs. Damit geraten Cloud-Services immer stärker in den Fokus des Gesetzgebers. In Deutschland sind dies das IT- Sicherheitsgesetz zu kritischen Infrastrukturen, zu denen viele Banken gehören, und die BAIT. Beide werden ergänzt durch die entsprechenden Vorgaben aus dem europäischen Raum. Im Gegensatz zu der privaten Nutzung eines Cloud-Services, die im All- 52 04 // 2021

DIGITALISIERUNG gemeinen aus der Nutzung von Datenspeichern besteht, ist die IT-Architektur für eine betriebliche Nutzung wesentlich komplexer. Dabei spielt es keine Rolle, welcher Art der genutzte Service ist und ob nur Teile der IT oder die gesamte IT in die Cloud ausgelagert sind. Werden große Teile der Infrastruktur des eigenen Rechenzentrums ausgelagert, so bestehen die einzelnen Komponenten in einer vir tualisierten Form weiter. Sie müssen also genauso administriert, konfiguriert und vor allem abgesichert werden, wie dies beim Betrieb eines Rechenzentrums nötig ist. Damit bleiben grundsätzlich alle bisherigen IT-Sicherheitsrisiken und die Anforderungen an die Implementierung notwendiger Schutzmaßnahmen bestehen. Dazu gehören u. a. das Management der Informationssicherheit im eigenen Unternehmen, das Asset Management in der Cloud, das auch für virtualisierte Komponenten gilt oder das Identitäts- und Berechtigungsmanagement. Allerdings kommen neben diesen klassischen Themen neue Risiken hinzu, die durch die Nutzung von Cloud Services entstehen oder zusätzliche Bedeutung erhalten. Zu diesen zählen der Lock-in-Effekt, die Kompromittierung der Zentralen Steuerungsebene, der Datenschutz, eine fehlerhafte IT-Architektur in der Cloud bzw. in der Nutzung mit dieser. Lock-in-Effekt Ein Cloud-Anbieter offeriert standardisierte Services, damit er bei der Nutzung durch viele Kunden entsprechende Skaleneffekte realisieren kann. Als Kunde hat man also bestimmte Rahmenbedingungen, die sich nicht ändern lassen. Diese Rahmenbedingen, z. B. das Angebot an Datenbanken, Netzwerkkomponenten etc., kann von Anbieter zu Anbieter sehr unterschiedlich sein. Ein Stück weit ist die Nutzung eines Cloud-Services damit immer auf das Angebot des Cloud-Dienstleisters angepasst. Hinzu kommen noch individuell entwickelte Schnittstellen zwischen internen Programmen und den Cloud-Komponenten. Sollte es zu der Entscheidung kommen, den Cloud-Anbieter zu wechseln, z. B. aufgrund einer Änderung der Geschäftsstrategie oder steigender Kosten, führt dies zu einem erheblichen Aufwand und damit verbundenen Kosten. Eine einfache Kopie von Daten, Netzwerkkomponenten, Datenbanken etc. zu einem anderen Anbieter ist nicht möglich. Im schlimmsten Fall müssen weite Teile der genutzten Services oder der virtuellen Infrastruktur komplett neu geplant und entwickelt werden, um diese an das Angebot des neuen Dienstleisters anzupassen. Auch wenn damit verbundene Neuentwicklungen bzw. Änderungen nicht komplett vermieden werden können, so kann durch eine vorausschauende Planung der Aufwand reduziert werden. Je weniger individualisiert Datenstrukturen, Software und virtualisierte Hardware sind, desto einfacher ist eine spätere Migration. Zentrale Steuerungsebene Die zentrale Steuerungsebene, auch Management Interface oder Control Plane genannt, ist der sensibelste Teil beim administrativen Zugriff des Kunden auf seine Cloud-Services. Auch wenn nicht alle Einzelkomponenten hier gesteuert und betrieben werden, können zentrale und wesentliche Teile der genutzten Cloud-Plattform durch einen erfolgreichen Angreifer unter Kontrolle gebracht werden. Nur durch ein sehr striktes Authentisierungs- und Authorisierungskonzept können hier die Risiken eines erfolgreichen Angriffs reduziert werden. Dazu gehört es, nur die minimal notwendigen Rechte zuzuweisen und eine Multifaktor-Authentifizierung einzurichten. Datenschutz Auch wenn Datenschutz kein originäres IT- Sicherheitsthema ist, so spielt es bei der Nutzung von Cloud-Services eine große Rolle. Die Anforderungen an den Schutz personenbezogener Daten innerhalb der EU sind sehr hoch und durch die Datenschutz-Grundverordnung (GDPR) beschrieben. Durch die Grundarchitektur der Cloud und der verteilten Speicherung und Nutzung von Daten ist aber nicht von vornherein festgelegt, in welcher Region diese gespeichert sind. Große Anbieter von Cloud- 04 // 2021 53

die bank