Aufrufe
vor 5 Jahren

die bank 08 // 2018

  • Text
  • Banken
  • Verbriefungen
  • Unternehmen
  • Markt
  • Insbesondere
  • Mitarbeiter
  • Investoren
  • Kreditfonds
  • Fugger
  • Deutschland
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG 2015 in

DIGITALISIERUNG 2015 in Kanada geschah – eine Keksfabrik handelt. Dabei ist das Schadensausmaß meist weit höher, als die größten Pessimisten im Unternehmen es vorhergesagt hätten. Im Fall der Keksfabrik verstopften die Rohre durch den Teig, und die komplette Fabrikationsanlage musste ausgetauscht werden. Auch der oben erwähnte Bankraub mit dem Ziel, 1 Mrd. US-$ zu erbeuten, ist schwer vorstellbar. Daher sollte man stets davon ausgehen, dass die Eintrittswahrscheinlichkeit in naher Zukunft nahezu 100 Prozent beträgt – und sei es durch schnell wachsende Möglichkeiten des Hackings. Die Schadenshöhe ist immer weit höher als erwartet. Und die hinzukommenden Reputationsschäden können eine Firma durchaus an den Rand des Ruins treiben. Somit brauchen wir einen anderen Weg, der im folgenden beschrieben wird. Kenne Dein System Heutzutage ist es Teil eines Information-Security-Management-Systems, dass man die Risiken eines Systems betrachtet. Das ist aber nicht mit willkürlichen Zeitangaben („einmal in hundert Jahren“) und schwer einzuschätzenden Auswirkungen („erwartete Schadenhöhe ist 424.000 €“) zu bewerten. Ein tiefergehendes Verständnis des Systems ist schon ein wichtiger Schritt. So seltsam es klingen mag, machen sich viele Risikomanager und Projektbeauftragte nicht die Mühe, sich zu fragen, was die Kern- kompetenzen ihrer Firma sind. Nehmen wir willkürlich ein Unternehmen, das Marktführer in Sachen Joghurt ist, sein Kerngeschäft ist die Herstellung, Lagerung und der Vertrieb von Joghurt. Allerdings sollte man nicht vergessen, dass auch die Patente, die die Firma hält, um den besonderen Geschmack zu erzeugen, wesentlich zur Existenz der Firma beitragen. Zudem sind die Gehaltszahlungen und das Vorhandensein von Kapital zum Einkauf der Rohstoffe ein wichtiger Faktor, den es zu beschützen gilt. Wie steht es um „C.I.A.“? Für jeden der Kernprozesse sollte man nun die drei Sicherheitsziele bestimmen (und zur Not die Fachabteilungen befragen). C. I. A. steht hier für Confidentiality (Vertraulichkeit), Integrity (Integrität der Daten) und Availability (Verfügbarkeit). Die Kernprozesse werden nun auf diese drei Sicherheitsziele untersucht, die grob qualitativ bewertet werden (unwichtig, gewisse Wichtigkeit oder essenziell wichtig). Die Herstellung von Joghurt lässt in der Theorie vermutlich die Frage aufkommen, wieso die Vertraulichkeit der Daten hier wichtig sei. Vermutlich sind keine personenbezogenen Daten in der Produktionsstraße erforderlich. Würde jemand die Daten aus den Kabeln der Produktionsstätten auslesen, so könnte er vielleicht mittelfristig Produktionsstätten in billigeren Ländern nachbauen, doch ist die Vertraulichkeit der Daten – außer bei Patenten – nicht so wichtig. Also wäre hier eine mittlere Vertraulichkeit gegeben. Die Integrität der Daten hat mindestens eine mittlere Wichtigkeit. Denn eine falsche Zusammensetzung der Einzelteile kann zu fehlerhaften Chargen, Reputationsverlust und Schadenersatzansprüchen führen. Möglicherweise ist in unserem Beispiel die Verfügbarkeit besonders wichtig. Denn der Joghurt kann nicht beliebig gelagert werden. Meist gibt es klare Prozesse, die die Lieferung von Plastikbechern und den Abtransport in sehr engen Zeitfenstern regeln. Hier können gerade bei verderblichen Waren und einem heißen Sommer sehr schnell Schäden entstehen, ja sogar eine Gesundheitsgefahr drohen. Somit ist die Verfügbarkeit der Produktionsstraße und Lagerhalle ein sehr wichtiger Faktor. 72 08 // 2018

DIGITALISIERUNG Detailfragen stellen Wie lange darf das betrachtete System (z. B. die Lagerhalle) „down“ sein? Ab wann verwandelt sich der Incident (Vorfall) in eine Krise? Angenommen die Kapazität der Lagerhalle ist durch den täglichen Abtransport so geregelt, dass sie nur für einen Tag plus einen Tag Sicherheitszeitraum ausreicht. Dann beträgt die maximale Downtime (mit Sicherheitspuffer) einen Tag. Kann der Jogurt nach einer Woche nicht abtransportiert werden, hat man nicht nur den Schaden der betroffenen Tagesproduktionen. Eventuell verdirbt auch der Joghurt, der nicht abgefüllt werden konnte, in den Rohren und setzt dort Schimmel an. Somit wäre der Ausfall des Kühlhauses nach zwei Tagen ein Störfall, aber spätestens nach vier Tagen würde er zur Krise werden, die – Stichwort „Schimmel in den Rohren“ – die Existenz der Firma bedroht. Hat man das verstanden, ergeben sich die angemessenen Sicherheitsmaßnahmen fast von selbst. Schnittstellen definieren Der Herstellungsprozess des Joghurts ist im Prinzip wie folgt: Auf die Lieferung der Rohstoffe folgen die Verarbeitung, die Verpackung, die Lagerung und schließlich der Versand. Das oben besprochene Kühlhaus hat also zwei direkte Schnittstellen, die Verpackung und den Versand. Greift ein Hacker also die Verpackungsstraße an, kann es sein, dass das Kühlhaus keine Ware bekommt. Kann der Lagerbestand nicht mehr abgeholt werden, entsteht dieselbe Folge wie bei einem nicht funktionierenden Lagerhaus: der Joghurt wird „alt“. Würde also ein Computervirus die Bestellung der Versand-Lkw stören, hätte dies auch schwerwiegende Folgen in anderen Bereichen der Produktionskette. Dies könnte man umgehen, indem es z. B. ein Notfallsystem mit „Papier und Bleistift“ gäbe, mit dessen Hilfe per Telefon Lastwagen bestellt werden könnten. Das Verständnis dieses Zusammenspiels erzeugt also Szenarien („Ein Computervirus legt den PC lahm, der für die Bestellung von Lastwagen zuständig ist“). Dies wiederum erzeugt die Abwägung und Planung von Schutzund Alternativmaßnahmen, den berühmtem „Plan B“. Damit versteht der Lagerverwalter wie und warum ein Hackerangriff auf das Kühlsystem des Lagerhauses die ganze Produktionskette erst stört und schließlich eventuell das ganze Unternehmen gefährdet. Mithilfe der Fachexperten – also der IT-Fachabteilungen, des Risk Managements und des Sicherheitsoffiziers – kann er dann Gegenmaßnahmen treffen, wobei auch der BSI-Grundschutzkatalog oder die ISO 27001 bzw . 27020 hilfreich sein können. FAZIT Anstelle willkürlich festgelegter Abschätzungen – wie Eintrittswahrscheinlichkeit oder Auswirkungen – sollte versucht werden, das zu betrachtende System aus den Sicherheitsaspekten Vertraulichkeit, Verfügbarkeit und Integrität der Daten zu betrachten. Die maximal zulässigen Ausfallzeiten bestimmen dabei die Kritikalität eines Vorfalls. Diese kann abgestuft sein: Nach zwei Stunden ist es ein Incident, nach 24 Stunden eine Störung (vielleicht mit Kunden- und Reputationsverlust) und nach 72 Stunden eine firmengefährdende Krise. Dann betrachtet man die Schnittstellen im Gesamtsystem und versteht die Auswirkung von Problemen. Die Probleme können auf verschiedene Ursachen heruntergebrochen werden, etwa einen Hackerangriff, einen Virus auf dem Computer oder eine Sabotageaktion. Diese Szenarien erfordern Maßnahmen zur Eindämmung des Risikos. Somit entsteht eine realistische Risikoabschätzung, die – obwohl nicht quantitativ – dennoch genauer ist als eine mit (falsch geratenen) Zahlen erfolgte Risikobewertung. Dieser Weg ist neu. Aber das war der Seeweg für Kolumbus auch. Er wusste nicht, ob hinter dem Horizont sein Schiff von der Erde fällt oder ob dort eine neue Welt liegt. Wir werden sehen, wohin uns dieser neue Weg führt. Autor Dr. Sebastian Broecker, CISSP, ist seit neun Jahren Chief Information Security Officer bei der Deutschen Flugsicherung GmbH. Nebenberuflich arbeitet er als Fachjournalist für IT-Sicherheit. 08 // 2018 73

die bank