Geldinstitute > Security

07.08.2017 von hs

IT Services für das Plus an Sicherheit

Sensible Transaktionen mit persönlichen Daten erfordern ein hohes Sicherheits-  und Risikobewusstsein. Das dafür notwendige Risikomanagement kann man  durch entsprechend gestaltetes IT-Service Management im Hintergrund  der Prozesse unterstützen.

Sensible Daten erfordern ein hohes Sicherheitsbewusstsein

Gerade im Bereich der Datensicherheit schiebt sich das Consent Management in den Blickpunkt der IT – angefeuert auch von der neuen europäischen Datenschutzgrundverordnung (DsGvo).

Im Mai 2018 treten die DsGvo-Regeln in Kraft – was muss sich dann ändern, oder ändert sich überhaupt etwas an der Art des Umgangs mit Daten in der IT? Jedes in Europa tätige Unternehmen muss sich jetzt kritisch fragen, ob es bereit ist für die Herausforderungen des EU-Datenschutzes. Im Fokus steht dabei der Umgang mit personenbezogenen Daten in der Unternehmenssoftware, besonders im IT Service Management.

Wichtig ist dafür ein effizientes Sicherheits-Störungsmanagement und eben das sogenannte Consent Management wird durch die neue Datenschutzgrundverordnung ins Zentrum der Aufmerksamkeit gerückt. Denn die Zustimmung muss auf Service-Level gegeben werden – eine einmalige Zustimmung zur Datensammlung reicht nicht mehr. Aber jede einzelne Business Applikation anzupassen wäre mehr als mühsam – deshalb ist ein verbundenes (federated) Consent Management für alle Services mit SAML2 ­Authentifizierung eine effiziente Lösung, die Zeit und Geld spart. Bei SAML ­(Security Assertion Markup Language) handelt es sich um einen XML-basierten offenen Standard für den Austausch von Authentifizierungsinformationen – er besteht aus SAML-Assertions, dem SAML-Protokoll, aus SAML-Bindings und Profilen. Es gibt verschiedene Anwendungsfälle, wie zum Beispiel Single Sign-On, verteilte Transaktionen oder eben Auto­risierungsdienste, die alle auch für Web­services nutzbar sind. 

 

Compliance im Fokus

Compliance-Fragen treten ebenfalls in den Mittelpunkt – und dabei auch die Nutzung von mobilen Endgeräten und Cloud-Diensten. Konkret bedeutet das, dass personenbezogene Daten, Quellen von Kundendaten, im ganzen Unternehmen ohne Kontrolle der IT gespeichert werden können. Sie müssen aber dank der Neuregelungen immer im Blick der IT sein, egal wer wo welche App wie nutzt. Gerade bei Banken sind Compliance-Regelungen sehr weitgehend und betreffen im Zuge der allgemeinen Digitalisierung selbstverständlich auch die dahinterliegenden IT-Systeme. Beispielhaft kann man hier an Neuordnungen der letzten Jahre durch die MaRisk Novelle oder Vorgaben der BaFin denken, welche die Ausgestaltung der Compliance-Vorgaben beinhalten – und jetzt eben auch DsGvo. Zwar wissen Anwender heute besser über Sicherheit und Daten Bescheid als in früheren Jahren, doch die Teams in den Geschäftsbereichen denken bei der Auswahl von Diensten oder im Arbeitsalltag vielleicht nicht immer an die Datensicherheit. Ein klassischer Fall, geeignet für weitgehende Automatisierung im IT Service Management ist auch der Wechsel eines Mitarbeiters in eine andere Abteilung oder das Ausscheiden dessen aus dem Unternehmen. Dahinter liegen viele einzelne Schritte vom Löschen oder Ändern der Zugänge zu mehr oder weniger kritischen Daten bis hin zu ­Änderungen in Work-Flow-Systemen, in denen dieser Mitarbeiter involviert war.

Ob man sich diesen ganzen Herausforderungen stellt ist nicht mehr die Frage, sondern nur noch, wie man das möglichst elegant und kosteneffizient schaffen kann.