SECURITY16. November 2023

Ran­som­ware-An­grif­fe auf Fi­nan­z­in­sti­tu­te: War­um ei­ne resi­li­en­te IT- & Cloud-In­fra­struk­tur die Lö­sung sein könn­te

Vaike Metzger, Partnerin bei KPMG
Vaike Metzger, KPMG KPMG

Mehr als zwei Drittel aller Finanzinstitute in Deutschland wurden in den vergangenen zwölf Monaten das Ziel eines Ransomware-Angriffs. Cloud-Plattformen waren jedoch deutlich seltener von Ransomware-Attacken betroffen als On-Premise-Infrastrukturen wie die Studie „Cloud-Monitor 2023: Financial Service“ belegt. Cloud-Lösungen werden in der Branche zunehmend wichtiger, um eine resiliente digitale IT-Infrastruktur zu gewährleisten. Wie die Institute eine widerstandsfähige Umgebung schaffen, erklären Vaike Metzger und Markus Tomanek.

von Vaike Metzger, Partnerin, und Markus Tomanek, Senior Manager, bei KPMG

Um sich vor Cyber-Angriffen zu schützen, setzen immer mehr Finanzinstitute in Deutschland auf Cloud-Lösungen. Eine wichtige Rolle spielt in diesem Zusammenhang die Cloud-Sicherheitsstrategie. Der Anspruch an die Cloud lautet, sicher, widerstandsfähig und regulatorisch compliant zu sein. Das heißt:

Markus Tomanek, Senior Manager bei KPMG
Markus Tomanek, KPMG KPMG

Neben dem grundsätzlichen Verständnis der Anwendungsfälle in der Cloud beinhalten Sicherheitsstrategien auch Notfallstrategien in Form von Exitoptionen, Datenschutz, Weiterverlagerungen und Multi-Cloud-Adoptionen.”

Die eigentliche Herausforderung in diesem Kontext ist jedoch nicht, eine Cloud-Sicherheitsstrategie zu haben, sondern eine Strategie zu formulieren, die zum jeweiligen Unternehmen passt. Hier sind eine Reihe von Kriterien zu beachten wie die Unternehmensgröße, Konzernstruktur, organisatorische Abhängigkeiten, Handlungsfelder und Ziele, die das Unternehmen verfolgt. So sind bei großen, multinational agierenden Banken und Versicherungen ganz andere Rahmenbedingungen vorzufinden als bei kleinen und mittelständischen Pendants. Für die letzteren steht die Bereitschaft zur Investition in einen höheren Reifegrad im Fokus.

Konzeption einer resilienten Cloud-Plattform

Eine Cloud-Landschaft ist dann resilient oder widerstandsfähig, wenn sie sowohl im normalen Betrieb als auch im Fall einer Cyber-Bedrohung störungsfrei funktioniert.

Aus der Compliance-Perspektive bedeutet das: Jedes Finanzinstitut hat durch konkrete Maßnahmen Leitplanken zur Verringerung der Verletzlichkeit zu setzen.”

Vaike Metzger, KPMG
Vaike Metzger, Partnerin bei KPMG
Vaike Metzger, KPMG KPMG

Vaike Metzger be­sitzt über 26 Jah­re Be­rufs­er­fah­rung im Fi­nanz­dienst­leis­tungs­be­reich. Nach Ih­rem Stu­di­um der Wirt­schafts­ma­the­ma­tik an der Uni­ver­si­tät Ham­burg star­te­te sie 1997 ih­re Lauf­bahn bei KPMG (Website). Sie ist Part­ne­rin im Be­reich Fi­nan­ci­al Ser­vices und be­rät Ver­si­che­run­gen, Ban­ken und As­set Ma­na­ger so­wie de­ren IT-/Cloud-Dienst­leis­ter zu The­men­stel­lun­gen im Be­reich IT Com­p­li­an­ce und Cy­ber Se­cu­ri­ty. Sie lei­tet zu­dem die ak­tu­el­le In­itia­ti­ve zu EU DO­RA (Di­gi­tal Ope­ra­tio­nal Resi­li­ence Act) in Europa.

Eine der wichtigsten Maßnahmen ist die verlässliche Einrichtung einer Ausfall- und Redundanzen-Steuerung: Kritische Anwendungen werden über verschiedene Regionen oder Verfügbarkeitszonen des Cloud-Dienstanbieters verteilt (sogenannter Warm Standby). Alternativ wird auf Multi-Cloud-Strategien gesetzt, um so Anwendungen auf verschiedenen Clouds parallel zu hosten. Eine weitere Maßnahme ist die kontinuierliche Prüfung und Überwachung der Funktionalitäten. Das umfasst den Einsatz eines Security Information and Event Management (SIEM) sowie eines Security Operations Center (SOC). Aber nicht nur: Dazu gehören auch der Umgang mit technischen Limitationen und neu entdeckten Schwachstellen in der Cloud-Architektur sowie die Anpassung an die sich dynamisch entwickelnden Potenziale der Cloud-Plattform.

Durch die fortschreitende und rapide Entwicklung im Bereich der „Generative AI“-gestützten Anwendungen werden auch die Ressourcen der Cloud selbst stärker denn je gefragt.”

Wahl des Cloud-Providers: Worauf zu achten ist

Bei der Entscheidung für einen Cloud-Provider sollten die Finanzinstitute darauf achten, ob der in Frage kommende Provider in der Lage ist, auch bei sich wandelnden regulatorischen Anforderungen diese künftig zu erfüllen. Darüber hinaus sollte der Fokus auf Skalierbarkeit liegen. Lassen sich die bestehenden Ressourcen erhöhen, um einem wachsenden Bedarf Rechnung zu tragen? Des Weiteren sind bei der Suche des passenden Betreibers die Funktionalitäten der jeweiligen Cloud entscheidend: Bieten sie einen Mehrwert für die eigene IT-Infrastruktur? Sind diese und die Tools des Anbieters anwendbar auf die Ziele, die das jeweilige Finanzinstitut verfolgt?

Ein Unternehmen, das seine Datenbanken in der Cloud stabil laufen lassen will, hat andere Ansprüche als eines, das die Cloud für die Datenanalyse und Steuerung von Künstlicher Intelligenz (KI) einsetzen will. Es kommt also darauf an, ob das Leistungsportfolio des Anbieters auch zum tatsächlichen Anwendungsfall passt.”

Spagat zwischen Compliance und Security schaffen

In der Vergangenheit ergaben sich Herausforderungen für Banken und Versicherungen, wenn es darum ging, die genutzten Public-Cloud-Lösungen in die bestehende IT-Infrastruktur zu integrieren.

Zum einen stehen die Finanzinstitute vor der Herausforderung, regulatorische Vorgaben zu erfüllen, zum anderen gibt es auch aus der Perspektive der Sicherheit Mindestanforderungen, die einzuhalten sind.”

Deshalb empfiehlt es sich, bei der Integration der Cloud in die eigene IT-Infrastruktur einige grundlegende Punkte zu berücksichtigen: Zuerst sollten die Finanzdienstleister prüfen, ob die eigenen Daten, Datenbanksysteme und Tools bereit für die Cloud sind. Je reifer die Infrastruktur ist, desto schneller können Daten und Tools in die Cloud migriert werden. Dann sollten sich die Organisationen über die Anbindung an das eigene Netzwerk Gedanken machen. Hier rücken Programmierschnittstellen (APIs) und die Latenzen von Backend-Systemen in den Mittelpunkt.

Weiter stellt sich die Frage, wie das Unternehmen die Transparenz und Visibilität der Daten in der Cloud sicherstellen kann.”

Eine Möglichkeit stellen Third Party Tools wie das Cloud Security Posture Management (CSPM) dar. Es liefert Informationen, mit denen die Cloud überwacht und die Sicherheit effizient und effektiv gestaltet werden kann. Alternativ können die nativen Cloud-Anwendungen der Anbieter – wie Microsoft Defender, GCP Security Command Center und Amazon GuardDuty – helfen, die in der Cloud gehosteten Anwendungen zu schützen.

Um eine hohe Widerstandsfähigkeit der Cloud zu erreichen, dürfen sich Compliance und Security nicht ausbremsen, sondern sollten miteinander harmonisieren.”

Damit das gelingt, müssen Cloud Resilienz ganzheitlich gedacht und alle betroffenen Disziplinen wie Informationssicherheit, Risikomanagement und Business Continuity Management einbezogen werden. Ermöglicht wird dies durch ein entsprechend aufgesetztes Cloud-Operating-Modell.

Das Cloud-Operating-Modell (COM) dient dazu, den Rahmen zu setzen, wie ein Unternehmen in der Cloud agieren will.”

Im Zielbetriebsmodell sind Szenarien definiert, wie Potenziale der Cloud effizient ausgeschöpft werden können, sowie Szenarien zur Vermeidung von Sicherheitsvorfällen, Kontrollverlust und hohen Kosten aufgrund unzureichender Ressourcenplanung. Dabei ist das COM eines Finanzinstituts individuell zu betrachten, da sich die Struktur der Verantwortlichkeiten und die Verteilung der Kompetenzen innerhalb der Organisationsbausteine je nach Hyperscaler, Anwendungslandschaft, tatsächlichem Konsum der Cloud-Funktionalitäten sowie nach innerbetrieblichen Bedürfnissen unterscheiden. Einen Einfluss haben hier die Wahl des Cloud-Providers, des unterstützenden Dienstleisters, bereits vorhandene Prozesse sowie die interne Positionierung der kritischen Erfolgsfaktoren.

Damit die Cloud compliant, sicher und resilient betrieben werden kann, empfiehlt es sich, ein Gerüst aus den Blöcken Governance, Sicherheit, Outsourcing und Reporting vorzudenken, sodass das „Haus“ ein stabiles Fundament bekommt.”

Resilienz im Zeitalter von KI

Eine Erhöhung der Resilienz geht mit der Verringerung von negativen Vorfällen wie etwa Fehlkonfigurationen einher. Die hier erwähnten verstärkten Überwachungsmaßnahmen durch CSPM bieten bereits KI-gestützte Dienste, welche fortgeschrittene Analyseverfahren und Algorithmen basierend auf maschinellem Lernen nutzen. Diese Funktionalitäten unterstützen die kontinuierliche Auswertung von Bedrohungsmustern und die Aufdeckung fehlkonfigurierter Ressourcen sowie nicht eingehaltener Richtlinien und Schutzfunktionen der Cloud-Plattform. Gleichzeitig wird sich jedoch auch die Bedrohungslandschaft unter Anwendung von KI-gestützten Technologien erweitern und dynamischer auf verletzliche Cloud-Infrastrukturen fokussieren.

Bereits jetzt ist es notwendig, die vorherrschende Strategie und das Zielbetriebsmodell der Cloud anzupassen und prozessuale sowie technische Kontrollmaßnahmen zu definieren.”

Markus Tomanek, KPMG
Markus Tomanek, Senior Manager bei KPMG
Markus Tomanek, KPMG KPMG

Mar­kus To­ma­n­ek be­sitzt über 7 Jah­re Be­rufs­er­fah­rung im Fi­nanz­dienst­leis­tungs­be­reich. Er star­te­te sei­ne Lauf­bahn in der Ri­si­ko­prü­fung bei ei­ner „Big Four“ Wirt­schafts­prü­fungs­ge­sell­schaft, mit ei­nem kom­bi­nier­ten Stu­di­um der Wirt­schafts­in­for­ma­tik an der Dua­len Hoch­schu­le Ba­den-Würt­tem­berg. Seit 2023 ist er Se­ni­or Ma­na­ger bei KPMG (Website) im Be­reich Fi­nan­ci­al Ser­vices. Er fo­kus­siert sich auf die Har­mo­ni­sie­rung der IT Com­p­li­an­ce und Cy­ber Se­cu­ri­ty und be­rät Ban­ken, Hedge­fonds und Ver­si­che­run­gen zur Ge­stal­tung von IT & Cloud-Ar­chi­tek­tu­ren.

Diese beschreiben klar, was zu tun ist und wer agieren muss unter Berücksichtigung von u. a. KPIs, identifizierten Risiken und Auslastungspeaks. Das steigert am Ende nicht nur die Resilienz, sondern entlastet die Governance- und IT-Sicherheitsteams von der Bürde, mit überwältigenden Datenmengen umzugehen, einschließlich sogenannter „false positives“ aufgrund überdurchschnittlich potenter Überwachungstools.

Fazit

Cloud-Lösungen sind für die Finanzindustrie ein geeignetes Werkzeug, um die Daten und Anwendungen vor Cyber-Angriffen zu schützen. Damit die Cloud auch tatsächlich widerstandsfähig wird, sollten Compliance- und Security-Anforderungen nicht als Gegensätze, sondern als zwei Seiten derselben Medaille gedacht werden. Ergänzend braucht es konkrete Sicherheitsmaßnahmen und Notfallstrategien, mit denen Cyber-Bedrohungen aktiv ausgesteuert werden können. Das wird durch ein strukturiertes und integriertes Cloud-Operating-Model begünstigt, welches die organisatorischen Prozesse lenkt und adäquat die Bedürfnisse des Finanzinstituts an die Cloud im Allgemeinen und die IT-Funktionalitäten berücksichtigt – insbesondere im Zeitalter der sich entwickelnden künstlichen Intelligenz. Vaike Metzger und Markus Tomanek, KPMG

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert