Skip to main content
main-content

21.08.2018 | IT-Compliance | Im Fokus | Onlineartikel

So gehen Compliance-Management und IT-Innovationen Hand in Hand

Autor:
Roland Messmer
5:30 Min. Lesedauer

Innovationen bei Technik und Prozessen sind bei Finanzunternehmen meist heikel, da die Anforderungen durch Gesetze und interne Vorgaben streng sind. Ein schlankes Compliance-Management kann den IT-Abteilungen helfen, besser zu agieren.

Die IT-Abteilungen von Finanzinstituten stehen vor zwei großen Herausforderungen, die sie bewältigen müssen, um eine starke Netzwerksicherheit zu gewährleisten, ohne den Geschäftsbetrieb zu behindern:

  1. Die Einhaltung der eigenen Compliance sowie der gesetzlichen Vorgaben.
  2. Die Verbesserung ihrer eigenen Dienstleistungen, um am Markt erfolgreich zu sein.

Da die Zahl der Vorschriften, die die Unternehmen befolgen müssen, erheblich zugenommen hat, ist die erste Herausforderung in den letzten Jahren immer größer geworden. Die Einhaltung von Gesetzen und Regulierungen wie PCI-DSS, PSD2 und anderen erfordern einen hohen Aufwand, insbesondere im Hinblick auf den Datenschutz und die Netzwerksicherheit.

Empfehlung der Redaktion

2018 | OriginalPaper | Buchkapitel Open Access

Digitale Transformation aus Sicht von IT-Entscheidern

Digitale Transformation ist eines der zentralen Themen auf der Agenda von Entscheidungsträgern in Unternehmen. Allerdings fehlt vielfach eine klar definierte Strategie für diese digitale Transformation. 


Gleichzeitig sind die etablierten Finanzinstitute stark gefordert, die Interaktionen mit ihren Kunden zu verändern, um dem Innovationsdruck und der Konkurrenz durch agile Fintech-Unternehmen standzuhalten. Daher wird es immer schwieriger, der Nachfrage nach neuen Diensten gerecht zu werden und gleichzeitig die Sicherheit und Compliance der Netzwerke und Anwendungen zu gewährleisten. Die komplexe Netzwerkumgebung in modernen Finanzunternehmen erschwert diese Aufgabe, weil sie aus zahlreichen Firewalls und Geräten zur Stärkung der Netzwerksicherheit besteht, die dazu meist von unterschiedlichen Anbietern stammen und deshalb nur gelegentlich aufeinander abgestimmt wurden.

IT-Sicherheit wird zum Flaschenhals

In diesen komplexen Umgebungen verlassen sich viele Sicherheitsteams immer noch auf manuelle Prozesse, wenn die Netzwerksicherheit angepasst werden muss, um zum Beispiel neue Anwendungen zu unterstützen oder Audit-Anforderungen gerecht zu werden. Diese händischen Arbeitsabläufe sind allerdings oft langsam und fehleranfällig, weshalb die IT-Sicherheit häufig zum Flaschenhals wird, der den geschäftlichen Fortschritt ausbremst und die Einführung neuer Funktionen für die Kunden verzögert.

Wenn Finanzinstitute diesen sicherheitsbedingten Engpass beseitigen und gleichzeitig für ausreichenden Schutz sorgen wollen, während sie die ständig steigenden Compliance-Anforderungen erfüllen, dann müssen ihre Sicherheitsteams bei den Netzwerkanpassungen neue Wege gehen: Änderungen müssen anders geplant und implementiert werden.

Sichtbarkeit ist das A und O

Um diese Herausforderung zu meistern, benötigen die Teams Sichtbarkeit im Netzwerk: Das heißt einen ganzheitlichen Blick auf die Sicherheit in ihren Netzwerkumgebungen und die Möglichkeit, die Vielzahl verschiedener Sicherheitskontrollen über eine einzige Konsole zu verwalten. Ohne diese Sichtbarkeit ist es bislang oft schwierig, die relevanten Richtlinien konsequent über die gesamte Umgebung hinweg anzuwenden, ohne sich auf fehlerträchtige, ineffiziente manuelle Verfahren zu verlassen oder Doppelarbeit zu leisten.

Um diese Sichtbarkeit herzustellen, müssen die Teams zunächst sämtliche Anwendungen ermitteln, die Kundentransaktionen unterstützen und Kundeninformationen verwalten. Dazu können sie Automatisierungstools einsetzen, die die Kommunikations- und Datenflüsse zwischen allen Geschäftsanwendungen des Unternehmens erkennen und abbilden. Dies zeigt den IT- und Sicherheitsmitarbeitern genau, wo und wie ihre Daten im Netzwerk fließen, und hilft, Lücken und Risiken in der gesamten Unternehmenssicherheit aufzudecken.

Die Einführung neuer Dienste erfordert in der Regel Änderungen an der Netzwerkkonnektivität und den Sicherheitsrichtlinien, die sie unterstützen. Die Transparenz ermöglicht den Teams daher, genau zu wissen, auf welche Geräte und Konnektivität jede Anwendung angewiesen ist, um korrekt zu funktionieren. Außerdem können die Anwendungen während des Erkennungs- und Mapping-Prozesses anhand der Vorschriften klassifiziert werden, die für sie gelten – zum Beispiel PCI-DSS für Anwendungen, mit denen Karteninhaberdaten verwaltet werden. So lässt sich die Einhaltung von Vorschriften im Rahmen von Audits leichter feststellen und nachweisen.

Automatisierung optimiert die Änderungsprozesse

Der nächste Schritt besteht darin, die Änderungen von Sicherheitsrichtlinien zu vereinfachen und zu verbessern. Eine Lösung zur Verwaltung von Sicherheitsrichtlinien im Netzwerk kann dazu einen großen Beitrag leisten, indem sie den gesamten Change-Management-Prozess von der Änderungsanforderung bis hin zur Definition und Implementierung automatisiert. Auf diese Weise können sämtliche Änderungen ohne manuelle Eingriffe auf allen relevanten Sicherheitsgeräten ausgerollt werden, sofern keine Ausnahmen eintreten, die vorab festgelegt werden können.

Dazu kommen proaktive Risikoanalysen durch die Automatisierungslösung, bevor Verbindungen oder Sicherheitsrichtlinien für Anwendungen geändert werden, um zu gewährleisten, dass dadurch keine Sicherheitslücken oder Compliance-Verletzungen entstehen. Die Lösung wird alle Änderungen automatisch zu Audit-Zwecken dokumentieren – und den Sicherheitsverantwortlichen helfen, die Einhaltung der anwendbaren Regulierungsstandards fortlaufend sicherzustellen.

Automatisierung des Compliance-Managements

Die Herausforderungen für die Verwaltung von Sicherheitsrichtlinien in komplexen Netzwerkumgebungen werden am Beispiel der Fiducia IT deutlich. Als einer der größten IT-Anbieter für rund 1.100 Banken verwaltet das Unternehmen über 130.000 Endpunkte für seine Kunden. Allein für die Absicherung des ein- und ausgehenden Datenverkehrs werden in diesem Ökosystem über 80 Firewall-Cluster eingesetzt und jede Änderung muss genau abgestimmt werden, um Angriffe zuverlässig abzuwehren, ohne legitime Geräte zu blockieren. In einer solchen Umgebung sind die Security-Mitarbeiter auf technische Lösungen angewiesen, um Schwachstellen zu finden, Zeit zu sparen und das Netzwerk vollständig überblicken und verstehen zu können.

Zusammen mit Algo Sec hat der IT-Anbieter eine Lösung implementiert, die Sichtbarkeit und Automatisierung in dieser Netzwerkumgebung ermöglicht. Mit dieser Technologie kann die Sicherheitslandschaft über alle Kundennetzwerke hinweg herstellerunabhängig und transparent dargestellt werden, um die Grundlage für das Sichterheitsmanagement zu schaffen. Änderungen werden durch die Software außerdem bereits vor der Live-Schaltung analysiert und priorisiert, sodass absehbare Zwischenfälle vermieden werden können. Auf Basis dieser Priorisierung anhand der Auswirkungen auf die Geschäftsprozesse können die Sicherheitsteams zukünftige Änderungen und Routineaufgaben geschäftsorientiert planen.

Die dritte Säule der Lösung ist die kontinuierliche Evaluation der Compliance anhand gängiger Richtlinien, Standards, Gesetze und unternehmensinterner Vorgaben. So stellen IT-Abteilungen leichter fest und weisen nach, dass das Netzwerk die Anforderungen erfüllt. Die Sichtbarkeit, Priorisierung und Automatisierung ermöglicht es den Security-Fachkräften, sich auf die Risikoreduzierung, Optimierung und Weiterentwicklung der Netzwerke und ihrer Verwaltung zu konzentrieren. Wenn ein Zwischenfall eintritt, dann kann das ein entscheidender Zeitvorteil dabei sein, die Ursachen zu identifizieren, zu beseitigen und auf das Ereignis zu reagieren.

Fazit

Wenn Finanzinstitute ihre Compliance-Ziele einhalten und die Wünsche ihrer Kunden nach neuen, innovativen Zugriffsmöglichkeiten auf ihre Dienste erfüllen möchten, müssen sie dafür sorgen, dass ihre Abteilung für IT-Sicherheit nicht zum Flaschenhals wird. Die Automatisierung der Sicherheitsmanagementprozesse im Netzwerk trägt dazu bei, die kontinuierliche Einhaltung der Vorschriften sicherzustellen, die notwendigen Anpassungen der Netzwerksicherheit erheblich zu beschleunigen und Audits zu vereinfachen. Die Sicherheitsteams können sich dann ganz darauf konzentrieren, den geschäftlichen Anforderungen gerecht zu werden und technische Innovationen rascher bereitzustellen. Sind diese Anforderungen erfüllt, unterstützt eine automatisierte Sicherheitslösung die Geschäftsanforderungen und kann das Unternehmen aktiv voranbringen. Besonders im Finanzbereich ist es eine kritische Fähigkeit, auf Sicherheitsvorfälle schnell zu reagieren und jederzeit Sichtbarkeit gewährleisten zu können, um finanzielle Schäden und Reputationsverluste zu vermeiden.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

Premium Partner

    Bildnachweise