Starre Sicherheitsarchitekturen machen es den Informatikabteilungen immer schwerer, sich bei betrieblichen Veränderungen neuen Anforderungen anzupassen. Auch fordern Hackerattacken, Spionage und gestohlene Daten die Verantwortlichen in den Sicherheitsabteilungen einer Firma.
Und die Anforderungen wachsen. Regelmässig werden neue Angriffsvarianten und -vorgehensweisen entdeckt, die nur ein Ziel haben: Sicherheitsmassnahmen zu untergraben und zu durchbrechen. IT Security Management wird deshalb zu einem immer wichti-geren Thema, denn es beinhaltet nicht nur Prävention, sondern auch Erkennung und Reaktion und wird immer stärker als gesamtheitlicher Prozess betrachtet.
IT Security Management hat zum Ziel, die den Informationen zugrundeliegenden Daten und Services gemäss ihrem Wert für das Unternehmen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Dies ist in heterogenen IT-Umgebungen ohne Baupläne kaum mehr machbar. Das Finanzinstitut Credit Suisse begann deshalb vor einigen Jahren mit dem Aufbau seiner eigenen IT-Sicherheitsarchitektur. Diese wird im Rahmen der Gesamtarchitektur der Credit Suisse IT sowie der Sicherheitsstrategie eingesetzt.
Hauptgrund für den eigenen Weg war, wie bei vielen anderen Konzernen, die historisch gewachsene und heterogene Systemlandschaft. Diese setzt sich bei der Credit Suisse aus Komponenten verschiedener Hersteller zusammen, welche sehr oft auch innerhalb ihrer Produktfamilien eine eigene Architektur aufweisen. Es gab nur wenige interoperable Standards und klare Schnittstellen. Aus diesem Grund kooperieren die Modelle der verschiedenen Lieferanten meist nur schlecht und überschneiden sich häufig in ihrer Funktionalität.
«Wir klassifizierten mit der Einführung unserer Sicherheitsarchitektur alle unsere Produkte und Technologien und können damit Doppelspurigkeiten vermeiden», erklärt Dr. Gritta Wolf, Head of IT Security Architecture Credit Suisse Private Banking. «Ein zweiter Grund für die Erstellung einer eigenen Sicherheitsarchitektur ist die Einbettung in unsere Gesamtarchitektur gewesen. So konnten wir die Sicherheitsfunktionen gleich von Anfang an integrieren», erklärt Wolf. «Unsere IT-Sicherheitsarchitektur besteht grundsätzlich aus zwei Teilen: Das ist zum einen ein generisches Modell, welches die Sicherheitsmassnahmen in Beziehung zueinander setzt. Dazu gehören auch gewisse Grundprinzipien und Prozessbeschreibungen für den Einsatz der technischen Sicherheitsmittel. Zum zweiten gibt es eine Roadmap, welche den aktuellen Status festhält und die Zielarchitektur beschreibt». Zusätzlich werden in der Roadmap die zur Zielarchitektur notwendigen Vorhaben aufgelistet und priorisiert.
Gute Erfahrungen
«Seit dem ersten Release der Sicherheitsarchitektur haben wir sehr gute Erfahrungen damit gemacht», erläutert Gritta Wolf. «Das Modell IT-Security hat in der gesamten IT Spuren hinterlassen». Auch langfristige Vorhaben und Umbauten der Sicherheits-Landschaft hätten ohne dieses Instrument kaum erfolgen können. Für eine Portfoliosteuerung sei die Roadmap zudem ein wichtiges Instrument.
Die Durchsetzung des skizzierten Soll-Zustandes kann dabei durchaus einige Jahre beanspruchen und verlangt deshalb viel Zeit und Geduld. Zu beachten ist laut Wolf zudem, dass eine grosse IT-Organisation nur ein gewisses Mass an Evolution zur gleichen Zeit verkrafte. Dies sorge für Wellenbewegungen zwischen der Weiterentwicklung der Architektur und deren Umsetzung. Ganz wichtig ist nach den Erfahrungen der CS ausserdem, dass die IT-Sicherheitsarchitektur im IT-Management stark verankert ist, damit man für diese langfristige Perspektive gewappnet sei. Die Verantwortung könne nicht alleine von den Fachleuten der IT-Security getragen werden, erläutert Wolf ihre Erfahrungen.
Zentrale Sicherheitsinfrastruktur
Globale Ausbreitung
einer ESA
Seit 2006 arbeiten diverse Bereiche der Credit Suisse gemäss der «One Bank»-Strategie an einer gemeinsamen Enterprise Security Architecture (ESA). «Die ESA hilft uns, unser gesamtes IT-Portfolio und die daraus entstehende Beeinflussung der Sicherheitsmechanismen auf globaler Ebene noch besser zu verstehen», erläutert Wolf. «Dafür braucht es ein gemeinsames Vokabular und eine gemeinsame Struktur als Basis für die Kommunikation und Entscheidungsfassung, beispielsweise während Konvergenzaktivitäten, sowie integrierte und ausgewogene Sicherheitsmechanismen auf IT-Infrastrukturebene».
Die ESA-Arbeitgruppe müsse dafür Sicherheitsstandards definieren, die die Anforderungen aller Businessbereiche wie Private Banking, Investment Banking oder auch Asset Management erfülle. Es sei das Ziel der Arbeit, Standardwerte im Sicherheitsbereich zu setzen, die in allen Umgebungen angewandt werden können und die es der Credit Suisse dadurch ermöglichen, Anwendungen global einzusetzen. Mit anderen Worten stellt die globale Enterprise Security Architecture sicher, dass:
- jede Sicherheitsfunktion nur einmal aus Kosten- und Effizienzgründen implementiert wird,
- Sicherheitsfunktionalitäten, wo immer möglich, in eine existierende Anwenderplattform integriert werden, so dass Ingenieure und Entwickler sie direkt verwenden können, und
- Sicherheitsbasisdaten möglichst automatisch verwaltet werden.
«Ein Beispiel für eine ESA-Vision ist», erklärt Wolf, «dass ein Angestellter nur noch ein Passwort kennen muss». Über dieses Passwort erhält der Benutzer Zugang zu allen berechtigten Anwendungen und Plattformen. Nach dem Anmelden am Arbeitsplatzrechner wird der Berechtigungsnachweis des Users auf einem sicheren Weg an alle Anwendungen übermittelt.
Dieses Vorgehen generiert folgenden Nutzen:
- Anwendungsentwickler können sich auf die grundlegende Sicherheitsimplementierung verlassen.
- Das System Engineering muss nur eine Lösung aufbauen und verwalten, die Gesamtkosten werden dadurch massiv reduziert.
- Es müssen weniger Berechtigungen verwaltet werden.
- Die sauber definierten Sicherheitsstufen sind in allen Anwendungen implementiert und reduzieren die Aufwendungen sowie das Gesamtrisiko.
Daraus wird ersichtlich: Die Interessengruppen einer Enterprise Security Architecture verteilen sich auf das IT-Management, den Infrastrukturprovider, die Anwendungsentwicklung und natürlich auch auf die IT-Risk-Organisation.
Um das Vorhaben anzugehen, wurde in einem ersten Schritt ein gemeinsames Sicherheitsarchitekturmodell definiert. Vorhandene Beispiele aus dem CS Private Banking und CS Investment Banking halfen, schnell zu einem gemeinsamen Verständnis zu kommen. Das ESA-Modell der Credit Suisse besteht aus sechs Technologie-Ebenen («Technology Stacks», siehe Grafik Seite 33) und spezifischen Definitionen für Übergänge zwischen Sicherheitsdomänen, wie beispielsweise vom Internet zum Intranet.
In jedem Stack bescheibt ein Dokument den aktuellen Status sowie die strategische Zielarchitektur. Die Enterprise Security Architecture berücksichtigt dabei die bestehenden Unterschiede und schlägt danach in der Roadmap der Aktivitäten vor, wie das strategische Ziel erreicht werden soll. «Innerhalb des ESA-Frameworks liefern wir dabei auch Infrastrukturhandbücher, um die Implementierung von Sicherheitsmechanismen beispielsweise für den globalen Rollout von digitalen Zertifikaten für all unsere User zu beschreiben. Bestandteil des Frameworks sind weiterhin Integrationshandbücher, die beschreiben, wie in Plattformen wie .Net oder Java integrierte Sicherheitsmechanismen durch Entwickler genutzt werden müssen.
Das ESA-Modell und die Sicherheitsprinzipien wurden vom CTO Council der Credit Suisse 2006 abgesegnet. Auf dieser Grundlage fokussiert die aktuelle Arbeit darauf, die strategische Zielarchitektur einzelner «Technology Stacks» zu definieren. Am höchsten priorisiert sind dabei diese, bei denen die Opportunitäten für Standardisierung und Konvergenz am grössten sind.
Die «Technology Stacks» der Enterprise Security Architecture
Herausforderungen nicht zu unterschätzen
Gemeinsame Sicherheitsprinzipien für unterschiedliche Geschäftsbereiche in einem globalen Umfeld sind ein riesige Herausforderung. «Wir müssen Sicherheitsfunktionalitäten für unterschiedliche Regularien wie etwa das Schweizer Bankgeheimnis, unterschiedliche Datenschutzgesetze und individuelle staatliche Verschlüsselungsbestimmungen zur Verfügung stellen. Deshalb müssen wir definieren, wie man eine Infrastruktur gemeinsam benutzen kann, wenn Länder gegensätzliche Erfordernisse haben.
Manchmal können die Regularien nicht einfach auf technische Lösungen angewandt werden. Es ist deshalb zwingend, auch Sicherheitslösungen für unterschiedliche Kundenprozesse, verschiedene Governance-Anforderungen und eine Vielzahl von Plattformen liefern», beschreibt Wolf die Herausforderungen. «Schliesslich müssen wir uns auch damit auseinandersetzen, dass die Zeitlinien bei der Implementierung von Applikations-Projekten nicht mit dem Ausbau der globalen Infrastruktur übereinstimmen. Hier muss deshalb sichergestellt werden, dass die Implementierungen dem strategischen Fokus folgen».
Die ESA-Arbeitsgruppe ist derzeit daran, diverse Grundprinzipien im Bereich strategischer Sicherheits-Architektur zu definieren. Das neu etablierte «CTO-Security and Identity Programm» unterstützt die Credit-Suisse-Teams und hilft, die vereinbarten Meilensteine zu erreichen. Im Rahmen des Programms wird sichergestellt, dass Sicherheitsaktivitäten klar ausgerichtet sind, Abhängigkeiten richtig verwaltet werden und die ESA entsprechend der Vorgaben implementiert wird.