It's the economy, stupid* BankGeheimnisse «Skyfall» heisst der neue James-Bond-Film, der im November in die Kinos kam. Ein Genre, das mit regelmässiger Zuverlässigkeit das Bild vom diskreten Banking zementiert. Aus allen Wolken fallen dürften allerdings wir alle als Bankkunden, wenn uns bewusst wäre, welchen Gefahren unsere Finanzdaten ausgesetzt sein könnten. Wenn ihnen nicht ein ausreichender Schutz gewährt wird. von Casha Frigo Schmidiger, Publizistin Um weitgreifende Vertrauensverhältnisse geht es nicht Die Bankenwelt allerdings als wenig sicherheitsbewusst nur bei Geschäftsbanken. Als eigentliche Superbank sind anzuprangern und darzustellen, dass diese Gilde Sicher- umso mehr auch weltweit die Zentral- und National- heitslücken geradezu unter den Tisch wischt, greift viel banken hohen Risiken ausgesetzt. Sie sind oberste Hüter zu kurz. Gerade bei Zentralbanken stehen Sicherheits- der Geld- und Währungspolitik, müssen die Preisniveau- fragen mit zuoberst auf der geschäftlichen Agenda: «Als und Geldwertstabilität wahren sowie die Geschäfts- IT-Security-Architekt/in verantworten Sie fachlich die banken refinanzieren. Sie bilden so das Rückgrat eines IT-Security-Architektur. Sie konkretisieren die Vorgaben nationalen Bankensystems. des Chief Information Security Officers für die Informatik und erarbeiten entsprechende Konzepte. Sie sind In vielen Ländern sind Abteilungen der Zentralbank aus für die Erkennung von Schwachstellen im Bereich der historischen und politischen Gründen in mehreren Lan- IT-Security und Ausarbeitung entsprechender Massnah- desteilen angesiedelt. Die Netzwerkverbindungen zwi- men zur Reduktion der identifizierten Risiken verant- schen den regional getrennten Abteilungen bestehen wortlich.» So lautet ein Auszug aus einem veröffentlich- aus redundant aufgebauten Inhouse-Netzwerken. Hin- ten Stelleninserat im letzten August. ter dem Austausch der Nationalbank mit ihren verschiedenen Geschäftsstellen, jedoch auch mit den verschiede- Das Augenmerk bei der Informationssicherheit nur auf nen Geschäftsbanken ihres Landes sowie mit internatio- die Technologien und Prozesse, die sogenannte logische nalen Gremien wie der Europäischen Zentralbank EZB Sicherheit zu legen, wäre allerdings verfehlt. Denn diese oder der Weltbank stehen gigantische Datenmengen. ist nur so gut wie das schwächste Glied in der Kette – IT-Systeme bestimmen oft auch den Ablauf wichtiger und das ist nach wie vor der Mensch. Es muss mit aller Deutlichkeit gesagt werden, dass der Informations- Unternehmensprozesse. So gehört die Thematik «Big Data» zu den grössten Herausforderungen der Zukunft, denen auch Banken und Nationalbanken begegnen müs- sicherheit nicht nur mit Technologien beizukommen sen. Es entstehen Datenmengen, die das bereits heute griffen werden, damit keine Daten auf Abwege geraten. ist. Ebenso müssen organisatorisch alle Massnahmen er- vorhandene riesige Ausmass noch bedeutend übertreffen werden. Die Erfassung, Verarbeitung und vor allem der Was also kann gerade eine Zentralbank tun, um ihre Schutz dieser Flut ist jedoch noch weitestgehend unklar Informationen zu schützen? für die Finanzinstitute. Umfassende Informationssicherheit – Geld – das wichtigste Lebenselixier ein Zwei-Punkte-Programm einer Volkswirtschaft Das Thema «Datensicherheit» wird die Finanzindustrie 1.People, Process, Technology: Organisatorische, in Zukunft zunehmend in seine eisernen Klauen nehmen. Denn diese gerät sowohl unter Druck von kriminel- physische und logische Sicherheit im Dreiklang Die Implementation von Informationssicherheit be- len Kräften als auch von Seiten zukünftiger Trends wie inhaltet wie ausgeführt längst nicht nur ein reines intelligenter digitaler Netze. Ganz zu schweigen von ge- Anbringen von Hardware. Sie umfasst auch noch zielten Angriffen aus der unendlichen Weite des Cyber- zahlreiche Dienstleistungen von der Ist-Analyse bis space. So hat der Virus Gauss – ein «Verwandter» von hin zum Life Cycle Management. Dabei wird die Infor- Stuxnet – bereits über 2'500 Computer in israelischen, mationssicherheit in Form eines logischen Projekt- libanesischen und palästinensischen Banken infiziert. prozesses realisiert und umfasst vier Phasen: Wem es gelingt, den Zahlungsverkehr einer Grossbank oder den Datenfluss einer Zentralbank zu manipulieren, Das Security Assessment entspricht einer SWOT- der schädigt eine ganze Volkswirtschaft. Wird der Geld- Analyse, in welcher die Stärken und Schwächen sowie hahn zugedreht, ist nicht mehr viel zu wollen. die Chancen und Gefahren der bisherigen Informationssicherheitsstrategie geprüft werden. Dazu erfolgen eine Bestandesaufnahme und eine Überprüfung von 6 FOCUS CRYPTOMAGAZINE 3-12 Mensch, Prozess und Technologie. Denn ein rein technologisches Assessment ist nicht ausreichend und zeigt nicht das ganze Bild. Ausgehend von der starken Gefährdung durch den Menschen, wird das Sicherheitsbewusstsein der Mitarbeiter einer kritischen Prüfung unterzogen. Bei der im Einsatz stehenden Technologie überprüfen die Crypto-Assessoren, welche Sicherheitsarchitektur besteht (Firewalls, Chiffrierung usw.). Überprüft wird dies unter Beizug von Ethical-Hackern sowie Social-Engineering- oder Phishing-Attacken vor Ort. Ebenso werden beim Assessment die in der Organisation vorherrschenden Prozesse unter die genug, damit zwischen den einzelnen Speicher- Lupe genommen: Werden die kritischen Parameter bereichen die Daten im Klartext ausgetauscht wer- beherrscht? Bestehen interne definierte Abläufe, wie den können. Werden jedoch Links extern, über beispielsweise bei einem Verlust von Daten vorgegan- öffentlich zugängliches Gebiet, eben Glasfasern, gen wird? geführt, ist eine hochsichere Chiffrierung des Datenflusses zwingend. Denn auch die enorme Übertra- Sind die Sicherheitsanforderungen klar, wird in gungskapazität von 10 Gigabit pro Sekunde stellt nur der zweiten Phase eine auf die Kundenbedürfnisse eine vermeintliche Sicherheit dar. Selbst bei diesem und -rahmenbedingungen zugeschnittene technische Sicherheitsarchitektur für höchste Sicherheit erar- Datendurchsatz kann sich kein einziges Byte «in der Menge verstecken». Denn jedes noch so schnell beitet. Sie beinhaltet ein Zonen- und Zonenüber- verschickte Datenpaket hat eine Ziel- und eine Ab- gangskonzept für die unterschiedlichen Sicherheits- senderadresse nach genau definierten Strukturen stufen im Netzwerk. (Frames). Gegen moderne Angriffstechniken hilft hier nur eine lückenlose, hochsichere Chiffrierung aller Sicherheit als kontinuierlicher transportierten Informationen. Beispielsweise mit dem Verbesserungsprozess weltweit schnellsten Chiffriergerät HC-8555 Gigabit Die Phase 3 beinhaltet die Realisierung und Definition eines Prozessablaufes. Dies umfasst die Adaption Ethernet Encryption der Crypto AG, welches eine leistungsstarke Ethernet Link Encryption garantiert. von Prozeduren und Rollen nach verschiedenen Best Practice-Vorgaben an ein auf den Kunden abgestimmtes Process Framework. Somit erhält auch die im Obertitel zitierte berühmte Aussage* von James Carville, Kampagnenleiter von Bill Clinton, ihren tieferen Sinn: «Es ist die Wirtschaft, Regelmässige Audits vonnöten Dummkopf, welche die Wohlfahrt eines Landes aus- Sicherheit ist nur so gut, wie sie auch gelebt wird. Um macht.» Mit ihr die Zentralbanken, welche eine Geld- ein gewisses Standardmass an Informationssicherheit wertstabilität garantieren. Ein so wichtiger Pfeiler wie zu gewährleisten, ist die regelmässige Überprüfung der einer nationalen Geldpolitik wird nicht öffentlich von organisatorischen und technologischen Massnah- verhandelt. Dank Datenverschlüsselung und der lücken- men zur Risikominimierung und -dezimierung Pflicht. losen Kontrolle von Mensch, Prozess und Technologie In der vierten Phase des Consultings der Crypto AG, werden die Finanzstrategien vertraulich behandelt und dem Controlling, erfolgt eine konzise Messung der garantieren das Prosperieren eines Landes. verabschiedeten Massnahmen. 2.Backbone als äusserst verwundbares Rückgrat der Datenübertragung Zentralbankdaten unterliegen Höchstsicherheitsanforderungen von Seiten der Gesetzgeber und ihrer Kunden, den Geschäftsbanken. Die dem Datenaustausch zugrunde liegende Storage-Area-NetworkInfrastruktur besteht aus mehreren physisch und geografisch getrennten Teilen. Der Datentransport erfolgt über optische Glasfaserverbindungen, die Interswitch Links. Auch heute im Jahre 2012 sind diese immer noch einfach abhör- und attackierbar. Storage-Zentren sind als geschützte Zonen in der Regel sicher CRYPTOMAGAZINE 3-12 FOCUS 7