Geldinstitute > Strategie

09.07.2018 von Hauke Moritz, Lead Consultant Cloud Security bei Computacenter

Neue Anforderungen an die Security – von Cloud-Strategie bis DevSecOps

Die Nutzung von Cloud Services entwickelt sich in der Finanzbranche außerordentlich dynamisch. Schließlich müssen auch Institute heute agil auf neue Anforderungen reagieren und individualisierte Produkte anbieten. Dies hat Folgen für Geschäftsprozesse und IT-Sicherheit, die sich mit geeigneten Schritten bewältigen lassen.

Mehrschichtiges Security-Modell sorgt für Überblick in komplexen Containerumgebungen

Es gibt viele Gründe, warum sich Finanzinstitute eingehend mit der Cloud beschäftigen müssen. Hauptsächlich möchten sie damit schneller, agiler und flexibler auf die ständig neuen Marktanforderungen reagieren können. Auch Kosteneinsparungen durch geringere Investitions- und Managementkosten sowie eine einfachere Skalierung spielen eine Rolle. Gleichzeitig wird die Einführung und Nutzung von Cloud Services immer einfacher und sie lassen sich in immer mehr Variationen individuell anpassen. Selbst ganze Infrastrukturen können durch Code abgebildet werden, wodurch fast grenzenlose Möglichkeiten entstehen.

Entsprechend sind Produktangebote heute nicht mehr durch technische Vorgaben limitiert. Stattdessen bestimmen der Kunde und die Marktanforderungen, welche Anwendungen und Services Institute bereitstellen müssen. Um die Produkte im Wettbewerb schnellstmöglich zur Marktreife zu bringen und zu veröffentlichen, werden sie nach dem Konzept des „Minimal Viable Product“ entwickelt. Das bedeutet: Im ersten Schritt stehen nur die grundlegenden Funktionen zur Verfügung, die später sukzessive erweitert und angepasst werden. Dadurch erhalten die Entwickler ein sehr zeitnahes Feedback der Anwender und können sich auf die Weiterentwicklung und Optimierung der Funktionen konzentrieren.

Herausforderungen für die IT

Dieses Vorgehen stellt neue Anforderungen an die bei der Entwicklung eingesetzte IT-Infrastruktur. Diese muss in der Lage sein, sehr kurze Iterationszyklen in der Softwareentwicklung zu bewältigen. Beispielsweise müssen virtuelle Server statt bislang in Wochen oder Monaten innerhalb weniger Minuten bereitgestellt werden. Um diese gestiegenen Anforderungen in Sachen Geschwindigkeit zu ­erfüllen, entstanden Public Clouds wie Amazon Web Services (AWS) oder Microsoft Azure. Durch eine standardisierte Bereitstellung von Infrastrukturen und zusätzlicher Dienste ist damit die geforderte Agilität realisierbar. 

FinTechs als Besonderheit

Eine besondere Rolle in der Finanzbranche nehmen die FinTech-Unternehmen im Wettbewerb ein. FinTechs bieten bereits Services an, die noch vor wenigen Jahren undenkbar waren. Ein typisches Beispiel bildet eine App, die mehrere Konten von unterschiedlichen Geldhäusern zusammenträgt und dem Anwender die Darstellung seiner gesamten Finanzsituation auf einen Blick ermöglicht. Diese Funktion hat heute schon Einzug in viele Banking Apps auch klassischer Institute gehalten. FinTechs sind häufig Startups. Somit besitzen sie keine traditionellen Strukturen wie langwierige Prozesse oder Beschaffungszyklen. Stattdessen können sie sich auf die Entwicklung innovativer Services konzentrieren, die sie häufig mit Hilfe von Cloud-Plattformen entwickeln. Dadurch agieren sie deutlich schneller als klassische Finanzhäuser, für die der Wettbewerbsdruck durch immer mehr Startups stetig steigt.

Höhere Sicherheitsanforderungen für Cloud Services

Wenn Cloud-Plattformen zum Einsatz kommen, hat das auch Konsequenzen für die Security. Denn digitale Services, die auf Cloud-Plattformen basieren, unter­liegen in der Regel höheren Sicherheitsanforderungen als Dienstleistungen, die über das eigene Rechenzentrum angeboten werden. Dies liegt daran, dass Unternehmen ­keinen direkten Zugriff mehr auf die Hardware besitzen. Damit fehlt ihnen die Möglichkeit, physischen Einfluss auf Server-Infrastrukturen zu nehmen. Zusätzlich teilen sich bei ­Public Cloud Services häufig mehrere Unternehmen ein und die­selbe Hardware. Im Extremfall laufen Dienste von konkurrierenden Unternehmen auf der gleichen Infrastruktur, ohne dass die Unter­nehmen dies wissen. 

Das geht so lange gut, bis eine Schwachstelle entdeckt und genau diese Charakteristik von Cloud-Infrastrukturen durch Hacker ausgenutzt wird. Jüngstes Beispiel sind in diesem Zusammenhang die Sicherheitslücken Spectre und Meltdown, die Anfang 2018 die IT-Sicherheitswelt in Atem hielten. Angesichts des höheren Angriffspotenzials müssen die Security-Maßnahmen für Cloud Services einen umfassenderen Schutz bieten als in ­Rechenzentren. 

Cloud-Projekte sind immer auch Security-Projekte 

Cloud Services sind daher durch eine ­Sicherheitsstrategie abzusichern, die sich an der übergeordneten IT-Strategie orientiert und durch Sicherheitsvorgaben definiert wird. Die Vorgaben beschreiben ganz allgemein, welche Richtlinien es beim Einsatz von Cloud-Plattformen zu beachten gilt. Anhand dieser allgemeinen Vorgaben lassen sich konkrete Maßnahmen entwickeln und detaillierte Sicherheits-Konzepte ausarbeiten, welche die praktische Umsetzung der Richtlinien beschreiben. 

Die allgemeinen Sicherheitsvorgaben sind meist generisch und lassen sich auf beliebige Cloud-Plattformen anwenden. Sie werden typischerweise von der IT-Security-Abteilung verfasst und dienen als Orientierungshilfe für Entwicklungs- und Betriebsabteilungen. Viele Sicherheitsvorgaben, die für herkömmliche ­Infrastrukturen entwickelt wurden, lassen sich in der Cloud wiederverwenden, beispielsweise das Konzept der Netzwerksegmentierung. 

In anderen Fällen muss die IT-Sicherheit in der Cloud neue Wege gehen: So kann es beispielweise sinnvoll sein, statt einem Virenscanner auf dem Docker Host alternativ Docker Images digital signieren zu lassen und so schadhafte Veränderungen am Image zu erkennen. Schnell wird klar, dass hier Expertenwissen gefragt ist und deshalb die IT-Security von Anfang an in Cloud-Projekte involviert werden muss, damit eine sichere Entwicklung und ­Bereitstellung von Services möglich ist.

Umdenken gefragt – organisatorisch und technologisch

So ist es nicht mehr zeitgemäß, bei der Entwicklung von digitalen Services von „DevOps“-Projekten zu sprechen – es sollte von DevSecOps die Rede sein. Die grundlegende Aussage von DevOps bleibt jedoch: Die Entwicklung von ­digitalen Services ist keine Einzeldisziplin. Denn das klassische Silodenken funktioniert in der Cloud nicht – eine abteilungsübergreifende Zusammenarbeit der ­Experten ist zwingend erforderlich. Es ist eine Führungsaufgabe, dies zu ermöglichen und eine „Kultur des Miteinanders“ zu fördern.

Auch technologisch ändert sich einiges: Da viele Entwicklungsabteilungen heute Container-Technologien nutzen, steigt die Komplexität der Infrastrukturen. ­Security-Abteilungen müssen sowohl in der Lage sein, diese Komplexität nachzuvollziehen, als auch geeignete Maß­nahmen kennen. Als Einstieg in das ­Thema bietet sich der Einsatz eines mehrschichtigen Security-Modells an, das über alle Technologieebenen hinweg die notwendigen Sicherheitskategorien auflistet und Lösungsvorschläge aufzeigt.

 

Fazit

Security-Abteilungen müssen sich – je stärker Cloud-Plattformen genutzt werden – intensiver mit den Anforderungen von Software-Entwicklungsprojekten und der flexiblen Bereitstellung von Anwendungen beschäftigen. Stand bislang der Schutz von Rechenzentren und Netzwerken im Fokus, sind nun auch Public Clouds und mobile Geräte in die Sicherheitsstrategie zu integrieren. 

Zusätzlich muss der Finanzsektor auf die Einhaltung regulatorischer Vorgaben achten. So können beispielsweise nicht alle Unternehmensdaten in die Cloud migriert werden. Dennoch bieten Cloud-Plattformen jede Menge Chancen, neue Finanz-Services zu entwickeln und auf die Anforderungen des immer schneller und agiler gewordenen Marktes zu ­reagieren.