Sichere Kommunikation mit der Zentrale
Sichere Kommunikation mit der Zentrale Die ausgeprägte Filialstruktur ist einer der großen Pluspunkte deutscher Banken, gleichzeitig aber auch eine der größten IT-technischen Herausforderungen.
Die Informationstechnik hat sich im Markt für Finanzdienstleitungen zu einem wichtigen Wettbewerbsfaktor entwickelt. Die simultane Bereitstellung von Informationen an jedem Ort weltweit unterstützt neue Vertriebskanäle und sorgt dafür, dass alle Mitarbeiter vom Wissensfundus des Unternehmens profitieren können. Über unterschiedliche Portale können Mitarbeiter und ausgewählte Kundenkreise auf diesen Fundus zugreifen. Dabei darf es keine Rolle spielen, ob die Mitarbeiter, die die Dienste nutzen und pflegen, in der Zentrale oder in einer Außenstelle sitzen. Das hat natürlich zur Folge, dass die Sicherheits- und Verfügbarkeitsanforderungen bei der Anbindung von Bankfilialen an die Zentrale enorm hoch sind. Wurde früher die Online-Anbindung über spezielle Standleitungen aufgebaut, die eine Punkt-zu-Punkt Verbindung ermöglichte, wird heute, vor allem bei kleineren Außenstellen, auch das Internet in Kombination mit starker Verschlüsselungstechnik genutzt. Die dabei verwendeten Sicherheitsgateways sollten nicht nur hinsichtlich der eingesetzten Techniken auf dem neuesten Stand sein. Da die Außenstellen selten über ausgewiesenes Wartungspersonal verfügen, müssen sie auch möglichst wartungsarm beziehungsweise aus der Ferne zu steuern sein.
Vorkonfigurierte Sicherheitsboxen
Hier bieten sich möglichst umfassend ausgelegte, vorkonfigurierte Universalboxen, die als Komplettlösungen schnell installiert sind und ohne großen Folgeaufwand laufen, als Sicherheitsschleusen geradezu an. Da die Funktion der Box genau festgelegt ist, können alle nicht benötigten Betriebssystemkomponenten, Treiber und Dienste entfernt werden. Die Basis der Sicherheitsbox bleibt so klein und fehlerresistent wie möglich. Anbieter wie Securepoint gehen sogar so weit, den sonst zur Verwaltung eingesetzten HTTP-Dienst nicht zu verwenden. Stattdessen gibt es hierfür eine eigens entwickelte Anwendung. Mögliche Sicherheitslücken in den diversen Webservern stellen damit kein Problem dar. Selbstverständlich müssen solche Anwendungen auch mehrere solcher Boxen verwalten können, denn unter Umständen sind ja Hunderte, manchmal sogar Tausende von Filialen mit dem Sicherheitsgateway ausgestattet. Es sollten also größere Mengen von Geräten zu Gruppen zusammengefasst und verwaltet werden können. Die Verwaltung der Einstellungen wird dabei durch Formatvorlagen automatisiert, sodass der Sicherheitsverantwortliche gewünschte Einstellungen gruppenweise verteilen kann. Dass dabei auch unterschiedliche Modelle der Sicherheitsbox verwaltet werden können, sollte selbstverständlich sein. Schließlich ist es in großen Netzwerken sehr wahrscheinlich, dass nicht nur ein Modell eingesetzt wird, sondern je nach Filialgröße verschieden große und unterschiedlich leistungsfähige Systeme.
Skalierbarkeit und Protokollvielfalt
Das Transaktions- und Datenvolumen bei Banken steigt stetig an. Ein Sicherheitsgateway sollte das steigende Übertragungsvolumen gut verkraften können. Wird beispielsweise nachträglich von einer ISDN- oder Frame-Relay-Leitung auf einen xDSL-Anschluss aufgerüstet, steigt der Durchsatz um mehrere Größenordnungen. Dabei muss immer auch noch die Redundanz berücksichtigt werden. Praktisch jede Zweigstelle wird über mindestens zwei Leitungen angebunden, wenn möglich auch über zwei getrennte Diensteanbieter. Selbst kleine Sicherheitsboxen sollten derartige Skalierbarkeitsanforderungen erfüllen. Angesichts solcher Szenarien ist es überaus sinnvoll, wenn der jeweilige Hersteller auch Gateways für Zentralen oder Niederlassungen mit Konzentratorfunktion im Angebot hat. Nur so bleibt die Verwaltung des Gesamtsystems einfach und überschaubar. Der Trend geht zwar zu offenen Standards, doch in vielen Banken sind nach wie vor Großrechner-Anwendungen im Einsatz. Das wird auch auf absehbare Zeit so bleiben. Eine Sicherheitsbox muss insofern auch mit anderen Protokollen als TCP/IP zurechtkommen. Und natürlich muss sie auch alle gebräuchlichen Kommunikationsprotokolle wie SMTP und POP3 verarbeiten können. Auch wenn ein Mailserver in der Regel in der Zentrale betrieben wird, rufen die Mitarbeiter ihre E-Mails über die Sicherheitsbox ab, ein direkter Internetzugang ist in Filialen praktisch nie vorgesehen oder gewünscht. Darum muss das Sicherheitsgateway mit den Paketen korrekt umgehen können. Die Mails werden bereits in der Zentrale auf ihr Gefährdungspotenzial (Viren, Spam et cetera) geprüft und entsprechend bereinigt. Falls doch aus irgendeinem Grund die Überprüfung auf Viren und unerwünschte Mails auf den Filialrechnern stattfinden soll, sind Application-Proxys zusätzlich hilfreich. Sie bilden für die Außenwelt den einzigen Kontaktpunkt und stellen sicher, dass jede Mail auf Datenpaketebene untersucht und falls nötig verworfen wird.
Sicherheitsmassnahmen im Verbund
Sicherheit hört nicht bei Werbemüll und Viren auf. Die Firewall in der Sicherheitsbox muss klar regeln, welche Anwendung und welcher Anwender Zugriff auf die internen Ressourcen hat. Und gerade wenn kein Administrator vor Ort ist, um bei Warnmeldungen sofort im Netzwerk nach dem Rechten zu sehen, leistet ein Einbruchssensor wertvolle Dienste. Eine solche Automatik identifiziert und sperrt verdächtige Verbindungen, wobei der Administrator in der Zentrale zeitnah benachrichtigt wird. Darüber hinaus muss ein leistungsfähiges Sicherheitsgateway mit Analyse- und Statistikfunktionen und einer entsprechenden grafischen Aufbereitung ausgestattet sein. Mit dazu gehört auch eine klassische Syslog-Automatik, die Meldungen an ein Protokolliersystem schickt. Eine der wichtigsten Aufgaben des Sicherheitsgateways ist der Schutz der Verbindung zur Gegenstelle. Das gilt sowohl für die Anbindung an die Zentrale als auch für einzelne Accounts, wenn sich Mitarbeiter von außen im Netzwerk anmelden. Ein stabiler VPN-Server mit der Möglichkeit der Nutzung von RSA-Verfahren und X509-Zertifikaten ist dabei die Grundlage, auf der alle weiteren Schutzmaßnahmen aufbauen. Generell gelten IPSec-VPN-Verbindungen als komplex und schwierig einzurichten. Ganz wird sich die Komplexität nie auflösen lassen, doch automatische grafische Helfer, die die Eingaben auf Plausibilität prüfen und nur sinnvolle Werte zulassen, verhindern Leichtsinnsfehler und lange Fehlersuche.
Plausibilitätskontrollen
Was viele Nutzer großer, verteilter Sicherheitsarchitekturen beklagen, ist die Unübersichtlichkeit der oft sich überlappenden Regeln und Maßnahmen. Eine grafische Darstellung der Sicherheitsvorgaben, in der Verknüpfungen klar werden und Abhängigkeiten leicht zu sehen sind, kann hier viel helfen. Noch besser ist es, wenn der Administrator bei der Aktualisierung der Regeln durch Plausibilitätskontrollen und Optimierungsläufe unterstützt wird. Dabei sollte dieser Vorgang tunlichst aktive Verbindungen nicht beeinträchtigen, und die Sicherheitsvorgaben sollten dabei nicht nur Geräten, sondern auch Benutzern zugeordnet werden können. Die Berechtigungen müssen also dem Mitarbeiter innerhalb des Netzwerks folgen. Portalstrukturen für Mitarbeiter und ausgewählte Kundenkreise gehören heute ganz selbstverständlich zum Leistungsangebot von Finanzdienstleistern. Ein Sicherheitsgateway, das diese Zugriffe kanalisiert und sichert, ist damit unabdingbarer Bestandteil jeder Banken-IT-Infrastruktur.
Elmar Török ist freier Journalist in Schongau
