Avaloq Vermögensmanagement
STRATEGIE8. November 2018

Das auditierte IT-Versprechen: Wie Banken Vertrauen schaffen – per Software-Audits

Software-Audits-Experte: Alan Duric, CTO/COO Wire
Alan Duric, CTO/COO WireWire

Chile ist bekannt für guten Wein – seit Sommer 2018 aber auch für einen millionenschweren Hackerangriff auf die Bank of Chile. Cyber-Kriminelle erbeuteten rund zehn Millionen Dollar der zweitgrößten Geschäftsbank des Landes. Schon die Deloitte-Studie belegte, dass deut­sche Ban­ken hin­sicht­lich der di­gi­ta­len In­fra­struk­tur und dem Di­gi­ta­li­sie­rungs­grad im un­te­ren Mit­tel­feld an­ge­sie­delt sind. Spe­zi­ell im Bank- und Ver­si­che­rungs­we­sen birgt ein Si­cher­heits­di­lem­ma ei­nen im­men­sen Ver­trau­ens­ver­lust und Image­scha­den, der kaum be­ho­ben wer­den kann. Wire CTO Alan Du­ric kennt IT-Si­cher­heits­be­dürf­nis­se von Ban­ken und empfiehlt, re­gel­mä­ßi­ge Prü­fun­gen (Audits) zum Stan­dard zu machen.

von Alan Duric, CTO/COO Wire

Kunden ver­trau­en Ban­ken ih­re sen­si­bels­ten Gü­ter an – ihr Geld und die In­for­ma­tio­nen dar­über, wo­für sie es aus­ge­ben. Gleich­zei­tig er­war­ten sie den ver­trau­li­chen Um­gang mit ih­ren Da­ten, In­for­ma­tio­nen. Trans­ak­tio­nen müs­sen immer ma­xi­mal ge­schützt sein.

Was ist ein Audit?
In der Soft­ware­ent­wick­lung ist ein Au­dit ein Un­ter­su­chungs­pro­zess, um Si­cher­heits­schwach­stel­len, schlech­te Ent­wick­lungs­prak­ti­ken und Aus­wir­kun­gen auf den Da­ten­schutz zu iden­ti­fi­zie­ren und zu be­he­ben. Ein um­fas­sen­de­rer Au­dit un­ter­sucht auch, ob die Pro­zes­se, An­for­de­run­gen und Richt­li­ni­en des Un­ter­neh­mens den Bran­chen­stan­dards ent­spre­chen oder die­se über­tref­fen. Au­dits sind Un­ter­su­chungs­ver­fah­ren im Rah­men des Qua­li­täts­ma­nage­ments. Un­ab­hän­gi­ge Au­di­to­ren prü­fen, ob Pro­zes­se, An­for­de­run­gen und Richt­li­ni­en ak­tu­el­len Bran­chen-Stan­dards ent­spre­chen. In der Soft­ware­ent­wick­lung hilft die­ser Pro­zess, Si­cher­heits­lü­cken, schlech­te Ent­wick­lungs­prak­ti­ken und Aus­wir­kun­gen auf den Da­ten­schutz zu er­ken­nen und zu beheben.
Mit diesem Vertrauen überzeugen Banken ihre Kundschaft. Die Erwartungshaltung ist groß – aber auch das Thema Quantum Computing wird in den kommenden Jahren an Brisanz gewinnen, vor allem im Bereich IT-Security. Denn: Diese Quantencomputer, die sich noch in der Entwicklungsphase befinden, werden es zukünftig leicht haben, die meisten der heutigen, gängigen Verschlüsselungstechnologien zu knacken. Jetzt auf einen hohen IT-Sicherheitsstandard zu setzen, zahlt sich in Zukunft aus. Ob also Geld und Informationen auch noch in 20 Jahren bei Banken sicher sind? IT-Sicherheit in Kombination mit Vertrauen ist der Schlüssel für nachhaltig erfolgreiche Finanzunternehmen. Eine Lösung: IT-Sicherheits-Audits.

Grund 1: Regelmäßige Prüfung für Sicherheitsstandard

Die aktuelle Studie von Positive Technologies belegt diese IT-Missstände im Finanzbereich: Banken und Dienstleister sind besonders anfällig für Hackerangriffe, denn jede geprüfte Seite bzw. Webanwendung enthielt mindestens eine gravierende Sicherheitslücke. Sind bereits sichere Technologien wie z.B. Ende-zu-Ende-Verschlüsselung implementiert, müssen diese dennoch überprüft werden. Im Idealfall begutachten unabhängige Sicherheitsexperten den Code regelmäßig. Das bedeutet nicht, den Code monatlich zu prüfen, sondern beispielsweise in einem jährlichen Turnus oder wenn signifikante Neuerungen am Code vorgenommen wurden. Hacker finden immer mehr Wege, um IT-Systeme bösartig anzugreifen, daher müssen Unternehmen stets den State of the Art gewährleisten und selbst vermeintlich sichere Technologien monitoren.

Autor Alan Duric, CTO/COO Wire
Alan Duric ist CTO/COO und Vorstandsmitglied von Wire und verantwortet die Geschicke des Teams in Europa und den USA. Zusätzlich fungiert er als Berater für eine Reihe von Technologie-Startups und bringt so seine Erfahrung aus den Bereichen Open-Source, VoIP, IT-Sicherheit und Software-Architektur ein.

Grund 2: Unabhängige Zertifizierung für Vertrauen von Partnern

Das interne Entwickler-Team sollte den Fokus auf eine nachhaltige, sichere IT-Infrastruktur legen. Bei der Prüfung des vorhandenen Codes ist es jedoch ratsam, unabhängige Dritte mit der Validierung zu beauftragen. Zwar haben vor allem Konzerne eigene Abteilungen für IT-Sicherheit, allerdings ist hier die Gefahr der Betriebsblindheit groß. Es gibt eine Vielzahl renommierter Dienstleister, die eine langjährige Erfahrung und aktuelles Know-how potenzieller Sicherheitslücken mitbringen. Eine unabhängige Zertifizierung ist eine ideale Möglichkeit, um Dritten wie Kunden und Geschäftspartnern schnell zu vermitteln, dass die IT-Infrastruktur Sicherheit und Vertraulichkeit gewährleistet.

Grund 3: Integrität und Qualität für laufende Produktaktualisierungen

Nicht nur der Sicherheitsaspekt ist bei Audits von Interesse, es geht darüber hinaus auch um die Qualitätssicherung. Die Validierung von einzelnen Codesegmenten oder eines gesamten Quelltextes fördert ebenfalls die Integrität und Qualität der Software. Das ist auch bei Banking- und Versicherungs-Apps zunehmend wichtig, denn auch deren Funktionsumfang nimmt zu. Services wie das Transferieren von Geld reichen nicht mehr aus, um Kunden zu halten. Funktionen wie die Zwei-Faktor-Authentifizierung, Haushaltsbücher und Fotoüberweisungen sind da erst der Anfang. Die Herausforderung besteht darin, die Basis für eine problemlos erweiterbare IT-Infrastruktur zu legen.

Wire – das Unternehmen
Wire ist eine Kommunikations- und Kollaborationsplattform. Business-Chats, Telefonkonferenzen und Dateifreigaben – alle Inhalte werden durch Ende-zu-Ende-Verschlüsselung geschützt. Wire wird von Unternehmen in der alltäglichen Zusammenarbeit genutzt und verfügt über eine Reihe von Funktionen zur Optimierung der Geschäftsabläufe: Messenger, Telefonkonferenzen, Videoanrufe, Bildschirmfreigabe, Dateifreigabe und -suche. Wire hat seinen Firmensitz in der Schweiz, Server in der Europäischen Union und steht unter Open-Source-Lizenz. Wire entspricht den aktuellen Datenschutz-Standards und ist für den privaten Gebrauch kostenfrei. CEO des Unternehmens ist Morten Brøgger. Zusammen mit Gründer Alan Duric (CTO/COO) und Rasmus Holst (CRO). Wire hat Niederlassungen in Zug, Berlin und San Francisco.
Dadurch, dass der Code im Rahmen von Audits auch auf Integrität und Qualität validiert wird, ist der Code – im Idealfall – frei von unentdeckten Bugs oder Redundanzen. Die Fol­ge: Lau­fen­de Pro­duk­tak­tua­li­sie­run­gen und War­tungs­ar­bei­ten so­wie Er­wei­te­run­gen kön­nen ef­fek­tiv und ef­fi­zi­ent um­ge­setzt werden.

Das Software-Audits-Fazit

Auch wenn bisher große, schädliche Hackerangriffe auf deutsche Banken ausblieben – zumindest weiß die Öffentlichkeit bisher davon nichts –, die Gefahr steigt. Bitkom Research liefert zudem besorgniserregende Zahlen aus der deutschen Industrie: Auf 43 Milliarden Euro beziffert die aktuelle Studie den entstandenen Schaden durch kriminelle Cyber-Attacken. Diese Bedrohung gilt für Banken und Versicherungen gleichermaßen, denn sie werden mehr in den Fokus gelangen. Eine 100-prozentige Sicherheit in Zeiten potenzieller Sicherheitslücken ist kaum zu realisieren, mit regelmäßigen, unabhängigen IT-Sicherheitsaudits legen Banken und Versicherer nicht nur die Basis für die Weiterentwicklung ihrer digitalen Produkte. Sie schaffen auch das, was vor allem im Bereich von Geldgeschäften zählt: Vertrauen.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/80407

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert