KLARTEXT - Sparkassenzeitung

Weitere Magazine

Empfehlungen

Info

20 FORUM Wikileaks: Sind Geschäftsdaten Auch Banken geraten ins Visier der Enthüllungsplattform. Wie steht es um die Informationssicherheit 1. Grundsätzlich bin ich davon überzeugt, dass der technische Schutz bei Finanzdienstleistern ausreichend ist. Allerdings gilt auch für Finanzdienstleister, dass es häufig an der sauberen Umsetzung hapert. Wikileaks hat gezeigt, dass Dokumente relativ problemlos aus Behörden und Unternehmen herausgeschmuggelt werden können, weil zu viele Personen regulären Zugriff auf sie haben. Das Need-toknow-Prinzip und die restriktive Vergabe und der Entzug der Zugriffsrechte werden nicht immer konsequent umgesetzt. Auf die in Wikileaks kürzlich veröffentlichten Diplomaten-Depeschen hatten offenbar Millionen Menschen regulären Zugriff. 2. Die Skandale um Wikileaks haben den Finger auf eine sensible Wunde gelegt. An dieser Stelle sind nicht Berater gefragt, sondern die Unternehmensleitung: Sie muss konsequent dafür sorgen, dass der Zugriff auf Daten beschränkt bleibt und nur derjenige Zugriff hat, der ihn qua Aufgabenstellung haben muss. Wenn dem nicht so ist, wäre das eine Sorgfaltspflichtverletzung des Managements. Zwar ist gerade in Finanzinstituten das Problembewusstsein vorhanden, dennoch herrscht auch in dieser Branche eine gewisse Nachlässigkeit. Führungskräfte verlassen sich zu oft auf ihre IT und kontrollieren nicht hinreichend selbst. Und weil Führungskräfte in Finanzunternehmen in der Regel keine Techniker sind, wissen sie nicht immer, was zu prüfen ist und welche Fragen sie ihrem IT- Leiter stellen müssten. Das IT-Problem ist also kein rein technisches, sondern immer auch ein organisatorisches. 3. Wer ein sicheres Unternehmen haben will, braucht die Sensibilität auf der obersten Führungsebene – als Vorbild und Forderung. Es geht um die Sorgfalt bei der Umsetzung von Schutzmechanismen PRO „Grundsätzlich bin ich davon überzeugt, dass der technische Schutz bei Finanzdienstleistern ausreichend ist.“ Dirk Fox, Geschäftsführer Secorvo Security Consulting und bei der Organisation von Sicherheit im Unternehmen nach grundsätzlichen Prinzipien wie dem Need-toknow-Prinzip, um klare Verantwortungszuweisungen und um gegenseitige Kontrolle. Wird das konsequent umgesetzt, entstehen die meisten Probleme gar nicht. Dazu muss man keine einzige neue Technik einführen und keine zusätzlichen Überwachungssysteme installieren, weil einer Vielzahl von Bedrohungen die Grundlage entzogen wird. Natürlich ist es nicht auszuschließen, dass eine Person sich mit böser Absicht oder unter Überschreitung ihrer Befugnisse widerrechtlich Dokumente verschaffen will. Dieses Risiko bleibt – es lässt sich aber durch die Überwachungssysteme, die derzeit diskutiert werden, nicht wirksam reduzieren. 4. Bei Verstößen gegen die Verschwiegenheitspflicht versuchen Unternehmen üblicherweise, den Informationsabfluss unter Nutzung technischer Logfiles zu belegen. Dabei muss extrem vorsichtig vorgegangen werden, um dem Ganzen nicht den Beweiswert zu nehmen. Unabdingbar ist dabei, dass die Vorgehensweise sauber dokumentiert wird. In jedem Einzelfall ist vorher zu prüfen, ob die Aufklärer auf bestimmte Dokumente überhaupt zugreifen dürfen, vor allem dann, wenn in Unternehmen die Privatnutzung von Telekommunikations- oder IT- Systemen erlaubt ist. Viele Unternehmen neigen dazu, – oft ein Auswuchs der Technikbegeisterung mancher Führungskräfte – sich auf technische Beweismittel zu fokussieren und das Einfachste unter den Tisch fallen zu lassen: das persönliche Gespräch. Welche Konsequenzen ein Unternehmen arbeitsrechtlich daraus zieht, hängt letztlich vom Einzelfall ab. 5. Wenn sensible Daten zum Schaden des Unternehmens nach draußen gelangen, gehören immer zwei dazu: der Datendieb Fragen an die Kontrahenten 1. Sind Daten, Hard- und Software, von Finanzdienstleistern ausreichend abgesichert? 2. Sind die Reaktionen auf Wikileaks hysterisch und andere Sicherheitsprobleme viel entscheidender? 3. Sollte der Schwerpunkt auf Achtsamkeit gelegt werden – oder auf Hard- und Software? Herausforderung für Datensicherheit und Kultur des agieren im Namen der Wahrheit und können mit viel und die Unternehmenskultur. Mitarbeiter, die stolz auf ihr Unternehmen sind, wollen diesem nicht schaden. Wenn, wie im Fall Wikileaks, Daten nach außen gegeben wurden, schien das den Handelnden offenbar der einzig gangbare Weg, um auf Missstände hinzuweisen. Eine Vertrauenskultur, die Kritik zulässt, hohe Loyalität und Identifikation mit dem Unternehmen sind ein extrem starker Schutzschild gegen Verrat. Deshalb waren die Security-Awareness-Kampagnen, die wir auch in vielen Unternehmen der Finanzbranche durchführten, im Kern Loyalitätskampagnen. 6. Es sind die einfachen Dinge und eine positive Sicherheitskultur, mit denen man vorbeugen kann. Die meisten unerwünschten Informationsabflüsse basieren nicht auf aufwendiger Spionagetechnik, sondern jemand greift häufig ganz regulär auf Dokumente zu, die er im Rahmen seiner Arbeit nicht benötigt. Zwar schafft auch die beste Unternehmenskultur keine perfekte Sicherheit, aber sie ist ein starker Schutzschild. n S P A R K A S S E F E B R U A R 2 0 1 1
FORUM 21 ausreichend gesichert? deutscher Finanzdienstleister? Reicht der aktuelle Schutz vor Hackern, Whistleblowern & Co.? 4. Müssen stärkere Sicherheits- und Überwachungsmaßnahmen künftig auch für Mitarbeiter gelten? 5. Ist Schutz überhaupt technisch zu gewährleisten – oder muss sich die Unternehmenskultur ändern? 6. Der Geist scheint aus der Flasche. Lässt er sich mit neuen technischen Mitteln wieder einfangen? Unternehmens: Maskierte Wikileaks-Aktivisten Interesse der Medien rechnen. FOTO: DPA 1. Es gibt keine hundertprozentige Sicherheit, nirgends. Ob beim Feuerschutz oder bei Soft- und Hardware-technischen Lösungen – es bleibt immer ein Restrisiko. Gerade bei komplexen Systemen wie einer Banksoftware, die sich aus Kerntechniken, Marketing-, Controlling- und Überwachungsinstrumenten zusammensetzt, finden Angreifer immer wieder Lücken. Die meisten Betrachter fokussieren bei einer Banksoftware nur das Frontend: Geldautomaten, Schaltertische oder Webpage. Aber die kritischen Zonen sind an anderer Stelle. Von den Arbeitsräumen des Unternehmens aus gelangen die Mitarbeiter ins Internet und können sich dort mit allem Möglichen infizieren. Nicht von der Banking-Anwendung, vom 08/15-PC des Mitarbeiters geht die Gefahr aus. Dabei sind wir in Deutschland besser geschützt als in anderen Ländern. 2. Geheimnisverrat hat es immer schon gegeben. Wikileaks ist wegen der Brisanz und der Menge der „ge-leakten“ Daten präsent. Eine solche Plattform gab es zuvor noch nicht. Vor diesem Phänomen haben Politik und Unternehmen eine Riesenangst, beide wollen, dass Informationen über sie geheim bleiben. Problematischer als Wikileaks ist allerdings der Identitätsdiebstahl, dazu gehören etwa Phishing und Trojaner. Dieser Bereich hat sich zu einer Underground- Economy entwickelt. Malware, „bösartige Software“, und die dazugehörigen Kommunikationsmechanismen programmieren und hosten rund 100 junge Russen oder Ukrainer und ihrer Helfershelfer dort, wo die Polizei dieser Welt wenig Zugriff hat. Bei dieser Industrie kann man 100.000 infizierte Rechner in Deutschland buchen, um beispielsweise ein Finanz institut anzugreifen. 3. Awareness, die Aufmerksamkeit für mögliche Gefahren, und der Einsatz von Hard- und Software lassen sich nicht gegeneinander ausspielen. Hardware allein löst das Problem nicht. Man denke an die Token, Hardwarekomponenten zur Identifizierung und Authentifizierung von Benutzern, die mathematisch gelungen sind. Auf Seiten des Nutzers aber gibt es ein Problem: Wen ihn ein „Trojaner“ auf eine Internetseite führt und behauptet, sein Token sei nicht mehr synchronisiert, er möge seine Daten noch einmal eingeben, macht der User unter Umständen genau das. In diesen Fällen schützt kein Sicherheitsmechanismus. Genau hier verläuft eine Grenze: Banken arbeiten für die ganze Bevölkerung. Um jeden zu bedienen, darf man keine Technik einsetzen, die ein Großteil der Kunden nicht verstünde. Das schränkt die Möglichkeiten ein. 4. Wir brauchen einen offenen Umgang mit dem Thema und strategisches Investment. Alles läuft auf ein klassisches Drei-Säulen-Konzept wie beim Militär hinaus: Protect, Detect und React. Schützen, soweit es geht, Minimieren des Restrisikos und bei einem Vorfall schnelle CONTRA „Es gibt keinen vollständigen technischen Schutz. Zudem werden die Sicherheitsabteilungen häufig nur als Kostenfaktor gesehen.“ Christoph Fischer, Geschäftsführer BFK edvconsulting Reaktion und konsequentes Law-Enforcement, Strafverfolgung der Täter. Überträgt man dies auf das Online- Banking, erfordert das zum einen Aufklärung des Kunden. Auch die Mitarbeiter müssen intensiv geschult werden und Sicherheitsmechanismen an die Hand bekommen. Mitarbeiter lassen sich nicht überwachen, das ist in Deutschland durch Datenschutz und Fernmeldegeheimnis stark limitiert. 5. Es gibt keinen vollständigen technischen Schutz. Zudem werden die Sicherheitsabteilungen häufig nur als Kostenfaktor gesehen und finden oft nicht das nötige Gehör. Man muss prinzipiell eine Unternehmenskultur forcieren, in der solche Lecks nicht auftauchen können. Eine gewisse Geschäftsethik gehört ebenfalls dazu. Dennoch kann es immer einen unzufriedenen Mitarbeiter geben, der mit einem USB-Stick oder Wissen im Kopf das Unternehmen verlässt und Daten weiter trägt. 6. Der Krieg wird weitergehen. Die Täter sind enorm kreativ, sie reagieren auf jede Änderung. Das ist ein Rüstungswettlauf, bei dem beide Seiten ständig neue Mittel einsetzen. Das kostet Geld. Auf der anderen Seite summieren sich die einzelnen kleinen Schadensfälle mittlerweile zu Milliardensummen. Clevere Techniken, die Zusammenarbeit von Banken, Industrie und Staat sind ebenso gefragt, wie eine bessere internationale Zusammenarbeit beim Law- Enforcement. Dabei kommt es auch auf Schnelligkeit an. In Deutschland sind die Gerichte mit der richtigen Einschätzung dieser Themen und Fälle oft überfordert. Hier sind Lücken zu schließen. Wenn die Beteiligten nicht aufpassen, könnten die Menschen das Vertrauen ins Internet, ins Onlinebanking oder das E-Government verlieren. n Die Fragen stellte Thomas Schindler. S P A R K A S S E F E B R U A R 2 0 1 1
Seite 1 und 2: M A N A G E R M A G A Z I N D E R S
Seite 3 und 4: EDITORIAL 3 Weltweit aktiv - weltwe
Seite 5 und 6: KOLUMNENTITEL INHALT 5 Ausgabe 2 Fe
Seite 7 und 8: NAMEN & NACHRICHTEN 7 Onlinebanking
Seite 9 und 10: NAMEN & NACHRICHTEN 9 Das Foto zeig
Seite 11 und 12: FOTOS: MARTIN EGBERT (5), DPA
Seite 13 und 14: MANAGEMENT 13 „Wenn die Banken di
Seite 15 und 16: MANAGEMENT 15 Man denke nur an die
Seite 17 und 18: MANAGEMENT 17 Auch für die eigene
Seite 19: MANAGEMENT 19 Dienstleisterverträg
Seite 23 und 24: MANAGEMENT 23 fen sich nicht aussch
Seite 25 und 26: MÄRKTE & KUNDEN 25 alle von ihnen
Seite 27 und 28: Chronik 27 31. Januar Laut Angaben
Seite 29 und 30: MÄRKTE & KUNDEN 29 USA Weniger Tei
Seite 31 und 32: FINANZGRUPPE 31 Am runden Tisch (v.
Seite 33 und 34: FINANZGRUPPE 33 Aufeinander eingesp
Seite 35 und 36: FINANZGRUPPE 35 Eigenkapital, um we
Seite 37 und 38: FINANZGRUPPE 37 Beteiligungs-GmbH s
Seite 39 und 40: PERSPEKTIVEN 39 FOTOS: MARTIN JOPPE
Seite 41 und 42: FORUM 41 der Berater an die kurze L
Seite 43 und 44: PERSPEKTIVEN 43 Organe gespendet -
Seite 45 und 46: PERSPEKTIVEN 45 Sparkassenmanager B
Seite 47 und 48: International besser ankommen Das I

KLARTEXT - Sparkassenzeitung

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?