Österreich
Secure Your Business
 

Websicherheit im Bankenbereich 


Raiffeisen Rechenzentrum Süd sichert Webdienste mit
Security-Prozessen nach ISO 27001

(NL - Dez 2011)

  

Im Bankenbereich werden für die verpflichtenden jährlichen IT-Prüfungen technische Regelwerke wie Cobit oder SAS 70 eingesetzt. Damit ergeben sich im Raiffeisenrechenzentrum Süd aktuell inhaltliche Synergien von rund 75 Prozent, um auch den übergreifenden Aspekt der Informationssicherheit nach ISO/IEC 27001 abzudecken. Der internationale Standard gewährleistet über die rein technische IT-Sicherheit hinaus auch den umfassenden Schutz von Informationen – egal ob auf dem Schreibtisch, am Laptop oder in den Köpfen der Mitarbeiter. Auch zum Thema Websicherheit bietet ISO 27001 einen umfassenden und „ganzheitlichen“ Zugang: Mit ihrem Prozessdenken ermöglicht die Norm das effiziente Abbilden von Sicherheitsprozessen über Abteilungs- und Unternehmensgrenzen hinaus. Diese Sichtweise ist etwa beim Hosting von Kundenapplikationen erforderlich.


„Kritische“ Webzugänge
Das Raiffeisenrechenzentrum Süd ist als IT-Dienstleister verantwortlich für den vollumfänglichen d02_SchlarBetrieb der IT-Infrastruktur der steirischen Raiffeisen Bankengruppe. Ziel ist es mit Hilfe der ISO-27001-Zertifizierung einen international gültigen Nachweis für die erfolgreiche Umsetzung der drei Säulen in der Informationssicherheit „Vertraulichkeit / Integrität / Verfügbarkeit“ von unabhängiger Stelle zu erhalten. „Im Bereich Websicherheit haben wir definiert, dass alle über Internet zugänglichen Dienste wie Mailserver, FTP-Server oder Webapplikationen per se dem Hochsicherheitsbereich zuzurechnen sind“, erklärt Dietmar Schlar, Raiffeisenrechenzentrum-Süd-Geschäftsführer für den Bereich
IT-Operations.


Risiken & Business Ziele
Im Rahmen der gemäß ISO 27001 durchzuführenden Risikoanalyse wurden sämtliche IT-d02_PaierKomponenten die zur Bereitstellung von Internet Services verwendet werden als sicherheitskritisch eingestuft. „Grund dafür ist die Tatsache, dass diese Systeme rund um die Uhr Angriffen von beliebigen Systemen weltweit ausgesetzt sind“, betont Ulfried Paier, Geschäftsführer für den Bereich Business Development. Die Art und Beschreibung der Daten- und Informationsklassifizierung obliegt dem Unternehmen, allerdings fordert ISO 27001, sich eingehend mit der Bewertung einzelner Risiko-Spots zu beschäftigen und Sicherheitsmaßnahmen im Sinne der Business Ziele abzuleiten.


Schwachstellen findend02_Hefler_web-kurz
Ein Kernpunkt der ISO 27001 ist das Vulnerability Management. „Dieser syste- matische Ansatz zum ständigen Aufdecken und Beheben von Schwachstellen ist auch ein Erfolgsfaktor für den Betrieb sicherer Websysteme“, so IT-Security Officer Markus Hefler. „Eine Webseite die heute als sicher gilt, kann schon morgen aufgrund eines Softwarefehlers für Angreifer ein lohnendes Ziel darstellen. Solche Risiken werden durch das Leben standardisierter Prozesse minimiert.“


Software-Fehler
Die Stabstelle Information Security and Audit des Raiffeisen Rechenzentrum Süd stellt unter anderem sicher, dass laufend Informationen über die neuesten Schwachstellen in Softwareprodukten gesammelt und an jene Personen weitergegeben werden, die für die Behebung dieser Schwachstellen verantwortlich sind. Wesentlich dabei ist die Prüfung und Beurteilung der Relevanz und Priorität der Schwachstellen.


Dauerhafte Sicherheit
Das Einspielen von Patches erfolgt zum Großteil automatisiert anhand festgelegter Regeln. Die Umsetzung sämtlicher Änderungen sowie der Rollout unterliegt den nach ISO 20000 gelebten Prozessen Change- und Release-Management. Somit ist sichergestellt, dass nur getestete und freigegebene Software installiert wird. „Für die reibungslose Umsetzung ist eine nachvollziehbare Dokumentation unentbehrlich. Für jede Änderung ist die Erstellung eines sogenannten Request for Change verpflichtend. So werden rasche Fehlerdiagnosen und eventuell notwendige Roll-Backs, also das Zurücksetzen von Änderungen, ermöglicht oder stark beschleunigt“, betont Hefler. Durch standardisiertes Vorgehen werden sowohl Beauftragungs- als auch Umsetzungsfehler stark reduziert. Mit Hilfe eines effektiven Softwareschwachstellen-Managements ist es dem Raiffeisenrechenzentrum Süd möglich Softwareschwachstellen rasch zu beheben und dadurch die Sicherheit der Websysteme dauerhaft zu gewährleisten. Zudem entspricht das Vorgehen gemäß ISO 27001 dem gesetzlich geforderten „Sorgfaltsanspruch“, so dass gleichzeitig auch die Haftung bei Datenpannen minimiert wird.

 

 

CIS - Certification & Information
Security Services GmbH
Salztorgasse 2/6/14
A-1010 Wien
Tel: +43 (0)1 532 98 90
Email: office@cis-cert.com
Web: www.cis-cert.com


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB