Es gibt sicherlich wenige Unternehmen und Organisationen, bei denen ähnlich hohe Anforderungen an die IT-Sicherheit gestellt werden, wie bei Banken. Dabei gilt es für die Kreditinstitute, die Infrastruktur für die Kommunikation der Standorte untereinander zu gewährleisten und den kontrollierten Internetzugriff sowie auch die Netzanbindung der Bankautomaten in den Filialen sicherzustellen. Derart kritische Infrastrukturen erfordern natürlich beständige Weiterentwicklungen der Sicherheitsarchitektur. Dabei ist es ebenso erforderlich, wesentliche Optimierungen der Kundensicherheit und des Managements zu realisieren.
Individuelle Richtlinien
Im Mittelpunkt der Überlegungen steht dabei nicht allein der Schutz vor externen Bedrohungen, sondern auch die Segmentierung der Kunden untereinander. Darüber hinaus verfügen die Finanzinstitute meist über individuelle Richtlinien für die Internet- und Netzwerknutzung ihrer Mitarbeiter, die ebenfalls mit vertretbarem Managementaufwand abgebildet werden müssen. Weiterhin gehört es zu den alltäglichen Anforderungen, dass jede Filiale mit einer eigenen Firewall geschützt werden muss – bei ein paar Hundert Filialen bedeutete das ebenso viele implementierte Firewalls. Von der Security-Software wird somit extreme Skalierbarkeit und vor allen Dingen ein überragendes Management der eingesetzten Architektur verlangt.
Schäden abwenden
Der Bedarf an Sicherheit im Bankensektor wächst analog zu der fortschreitenden Vernetzung der IT-Systeme. Eine transparente Planung und stetige Überwachung der IT-Security ist unerlässlich, was für die Kreditinstitute teilweise mit recht hohen Investitionen verbunden ist. Der Nutzen sorgfältig geplanter und durchgeführter IT-Sicherheitsmaßnahmen liegt in der Abwendung technischer, wirtschaftlicher und juristischer Schäden sowie in der Vermeidung der entsprechenden Risiken. Werden die juristischen Belange hinsichtlich der IT-Sicherheit nicht beachtet, kann dies unter Umständen zur Haftung der Bank führen.
Gesetzgeber hat reagiert
Inzwischen berücksichtigt natürlich auch der Gesetzgeber die ansteigenden Bedrohungen im Bereich der Informationstechnologie. So wurden aktive Maßnahmen für das Risikomanagement im IT-Bereich per Gesetz reguliert. Unter anderem müssen die Banken Überwachungssysteme bzw. validierte Security-Software implementieren, die zur Früherkennung von Gefährdungspotenzialen dienen. Neben der Erstellung und ständigen Anpassung eines IT-Sicherheitskonzepts ist für die Kreditinstitute obligat, Schutzmaßnahmen je nach Schutzbedarfsanalyse abzuleiten und zu überprüfen. Für alle Mitarbeiter muss eine professionelle Schulung durchgeführt werden sowie die Erhaltung der Maßnahmen für IT-Sicherheit sichergestellt sein.
Notfallkonzept erforderlich
Weiterhin ist eine regelmäßige Abstimmung mit dem Beauftragten für Datenschutz und Datensicherheit vorzunehmen. Von großer Bedeutung ist des Weiteren die Erstellung und Anpassung eines Notfallkonzepts sowie die Durchführung regelmäßiger, entsprechend geeigneter Notfalltests. Neue Anwendungen und Systeme müssen entsprechend in das Sicherheitskonzept integriert werden. Dazu zählen auch mobile Geräte und Zugänge sowie ein System zur Realisierung von Voice over IP (Internettelefonie). Für die Banken sind im Rahmen des IT-Security-Konzeptes ein sicheres Schnittstellenmanagement und die sichere Datenübertragung zu externen Partnern zu gewährleisten.
Hartmut Hermanns - Dipl.-Kaufmann (FH), BWL-Studium an der Fachhochschule Aachen/Fachbereich Wirtschaft. Berufliche Stationen waren nach einer 8-jährigen ...
