Im Gespräch mit Jochen Schneider, Leiter Informatik PostFinance, zeigt sich: Sicherheit ist in erster Linie eine Frage der Kommunikation – sowohl mit den Kunden als auch unter den IT-Mitarbeitern.
InfoWeek: Herr Schneider, Sie halten Anfang November am Finance Forum ein Referat zum Thema Security Masterplan. Was ist darunter zu verstehen?
Wie gross ist Ihr Einfluss als CIO innerhalb dieses übergreifenden Sicherheitsplans?
Ich habe Einsitz in der Geschäftsleitung, kann dadurch viele Punkte dort adressieren und im Prinzip auf allen Ebenen die Dinge mit den Geschäftsleitungskollegen ansprechen.
Security ist demnach ein permanenter Diskussionsschwerpunkt?
Wir haben die Sicherheit auf einen Level gebracht, der immer in der Geschäftsleitung diskutiert wird. Da gibt’s zyklische Reviews, und in diesem Zusammenhang werden auch die operationellen Risiken untersucht und kategorisiert – und wir haben ein Reporting dafür aufgebaut.
Trotz eines ganzheitlichen Ansatzes gibt es immer Sicherheitslücken. Was tun Sie, um diese ausfindig zu machen?
Das probateste Mittel sind sicher die Audits durch die interne oder externe Revision. Wir führen pro Jahr drei bis fünf solcher Audits durch. Hier sehen wir dann, wo wir bei der Einhaltung der Vorgaben und Anforderungen stehen und wie diese umgesetzt sind.
Meistens weiss man ja, wie man es machen müsste – nur hat man vielleicht gerade keine Zeit gehabt, weil ein Release oder ein anderer Termin drängt. Im eigentlichen Entwicklungsprozess haben wir natürlich auch einen Security-Check eingeführt, der bei neuen Releases über die Freigabe entscheidet.
Sie entwickeln viele Applikationen selber?
Den grössten Teil.
Das bedeutet einen hohen Test- und Prüfungsaufwand. Wie prüfen sie den Sicherheitsstand während der Entwicklung?
Da braucht es immer zwei Arten von Tests. Zum einen muss man schauen, dass die neuen Funktionalitäten den Spezifikationen entsprechen. Wenn diese Tests abgeschlossen sind, folgt der Regressionstest, wo man schaut, ob alles andere noch genau so funktioniert wie vor der Einführung der neuen Funktionalität.
Wir haben bei PostFinance ein flächendeckendes Release-Konzept. Das heisst, wir fahren nicht für eine Umgebung einen Release-Zyklus und für eine andere einen anderen. Wir haben drei Termine im Jahr, und auf diese hin wird praktisch die gesamte neue und überarbeitete Software eingeführt.
Wo sehen Sie die grössten Sicherheitsrisiken für die Finanzdienstleister?
Das Unsicherste ist nach wie vor das Bargeld, aber das ist hier ja nicht das Thema. Sicher haben wir vor allem im Internet-Bereich ab und zu Attacken. Aber die Sicherheitsmechanismen funktionieren. Wichtig ist, dass die Kunden sie richtig anwenden. Im elektronischen Bereich muss man das den Anwendern einschärfen.
Was können Sie von Ihrer Seite gegen Phishing und Pharming tun?
Eigentlich können wir nur informieren. Egal wie viele Sicherheitselemente existieren, die meisten kann man aus Nachlässigkeit wegschenken, wovon dann ein böswilliger Dritter profitiert. Wir haben vor ein paar Wochen eine grössere Phishing-Attacke verzeichnet. Daraufhin haben wir intensiv kommuniziert, über Pressemitteilungen und unsere Website. Zudem haben wir an unsere Kunden einen physischen Brief verschickt. Das ist wesentlich teurer als der Schadenumfang in so einem Fall. Aber seit wir diesbezüglich die Kommunikation verstärkt haben, melden sich die Kunden bei uns innerhalb von Minuten. Deshalb können wir sehr schnell reagieren. Wir verfügen in solchen Fällen über zusätzliche Kontrollmöglichkeiten. Ich will hier unseren Kunden ein Kompliment machen. Sie haben schnell gelernt.
Was tun Sie, damit den Phishern und Pharmern das Handwerk gelegt werden kann?
Wir arbeiten hier national und international mit der Polizei und
E-Banking-Spezialisten zusammen. Die Schwierigkeit besteht darin, dass es extrem viele Internet-Provider gibt, die immer wieder Phishern und Pharmern Unterschlupf bieten. Im Störungsfall erreicht man oft einen Provider nicht sofort, so dass die entsprechende IP-Adresse nicht schnell genug gesperrt wird. Andererseits ist natürlich auch klar, dass Provider nicht einfach so IP-Adressen ihrer Kunden aus dem Verkehr ziehen wollen.
Insofern ist es extrem schwierig, den Angreifern das Handwerk zu legen. Wir wissen aber mittlerweile relativ schnell, woher eine Attacke kommt. Und mit den grossen Providern haben wir auch Absprachen getroffen, die helfen, die Flut zu stoppen.
Die Anbieter von Sicherheitslösungen machen gute Geschäfte mit der Risikoangst. Wo ziehen Sie die Grenze zwischen berechtigten Bedenken und übertriebenen Ängsten?
Sicher wird die Sache hochgekocht. Das sieht man in den Medien und auch an all den Einladungen für Security-Seminare. Wir halten uns an zwei grundsätzliche Vorgaben. Zum einen an die Nationalbankverordnung und zum andern in Sachen Logik und Struktur an BS 7799. Wir haben jetzt alles auf diesen British Standard umgestellt. Daraus haben wir aufgrund einer Gap-Analyse abgeleitet, wo wir noch Handlungsbedarf haben. Daraufhin haben wir zusammen mit KPMG in Co-Audits die wichtigen Applikationen geprüft. Dann haben wir mit den Softwarelieferanten Kontakt auf- und Verbesserungen bei der Standardsoftware in Angriff genommen. Zum andern haben wir im Rahmen unserer Komponentenarchitektur zusammen mit AdNovum generische Security-Module entwickelt. Zudem gehen unsere Sicherheitsspezialisten natürlich schon an entsprechende Seminare, um zu schauen, wie der Entwicklungsstand ist.
Viele Studien orten ein hohes Risiko bei den Mitarbeitern, die absichtlich oder unabsichtlich Sicherheitsregeln nicht befolgen. Wie begegnen Sie diesem Problem?
Ja, wir haben die menschlichen Fehler, speziell diejenigen von IT-Mitarbeitern, auch als eines der zehn wichtigsten operationellen Risiken klassifiziert. Absichtliches Eindringen in Systeme und Betrug haben wir bisher bei uns nicht festgestellt. Zur Verhinderung solcher Dinge haben wir aber überall, wo es kritisch ist, etwa bei den Datenbankspezialisten, das Vier-Augen-Prinzip eingeführt. Bei den Datenbanken, auf denen die Buchungen laufen, haben wir die Vorstufe zu einem Audit-Trail implementiert, auf der alle Eingriffe geloggt werden, auch diejenigen, die an der Applikation vorbeigehen. Natürlich könnten theoretisch auch nicht löschbare Files physisch irgendwie elimiert oder verändert werden. Wir verfügen aber über ein sehr gut funktionierendes Storage Area Network, in dem alle Daten an drei Standorten synchron abgelegt werden. Aber eben: Am Schluss ist das Vertrauen in die Mitarbeiter und die Kommunikation untereinander das Wichtigste.
Wie stimmen Sie Ihre verschiedenen Betriebssysteme sicherheitsmässig aufeinander ab?
Eigentlich haben wir gar nicht viele verschiedene Systeme. Wir betreiben VMS, Unix und Windows. Bei VMS sind wir daran, es durch Unix abzulösen. Und ein Teil von Unix wird durch Linux abgelöst. Da Unix und Linux sehr ähnlich sind, laufen all die generischen Security-Komponenten, die wir entwickelt haben, auf beiden Systemen. Bei Windows 2000 haben wir einen relativ geringen Umfang an Applikationen. Entwicklungstechnisch haben wir in den letzten fünf Jahren neue Software ausschliesslich mit Java (J2EE) gemacht.
Fahren Sie relativ wenig Windows aufgrund der bekannten Sicherheitslücken?
Nicht nur – auch wegen der geringeren Performance und Skalierbarkeit, da in der Vergangenheit keine mit Unix vergleichbaren Grids möglich waren. Bei uns fallen immerhin 650 Buchungen pro Sekunde an, die sofort verarbeitet werden müssen. Wir prüfen im Moment Linux-Lösungen auf Intel- oder AMD-Prozessoren.
Also hebt Linux bei Ihnen und bei den Finanzdienstleistern generell massiv ab?
Ja. Unser Finanzportal läuft seit einem Jahr auf Linux. Wir haben es in einer Nacht-und-Nebel-Aktion von Unix auf Linux portiert.
Dann erübrigt sich praktisch die Frage nach Ihren Sicherheitsvorkehrung in Sachen Windows?
Schon nicht ganz. Es gibt doch immer wieder Neuinstallationen mit Microsoft-Standardsoftware. Auch SQL-Server ist als kostengünstige Lösung diesbezüglich ein Thema. Alles in allem haben wir mit Windows gute und schlechte Erfahrungen gemacht. 2003 etwa hat uns der Slammer-Virus – wie so viele andere Unternehmen – massiv erwischt. Danach haben wir uns intensiv mit Microsoft zusammengesetzt. Vor allem haben wir am Patch-Management gearbeitet. Denn die Hacker sind ja viel weniger intelligent, als man gemeinhin annimmt.
Wie meinen Sie das?
Die wenigsten Hacker finden neue Löcher. Sie gehen einfach auf Lecks los, die bekannt sind, weil es schon einen Patch gibt. Sie rechnen damit, dass es ein paar Tage dauert, bis die Systeme flächendeckend geflickt sind. Deshalb ist ein möglichst zeitnahes Patch-Management so wichtig.
In den letzten Jahren sind IT-Security-Kosten ständig gestiegen. Denken Sie, dass das so weitergeht?
Ich glaube nicht, dass die Kosten nochmals so stark wachsen wie in den vergangenen Jahren. Der Anteil der Sicherheits- an den Gesamtkosten wird allerdings weiterhin zwischen zwei und drei Prozent liegen. Die Zeiten, als sie noch ein Prozent ausmachten, sind definitiv vorbei.
