Die Cloud ist überall auf dem Vormarsch: auch in der Finanzbranche. Bereits haben einige
Finanzunternehmen den Sprung gewagt. Doch damit ist es noch nicht getan. Der Sicherheitsaspekt spielt eine ebenso grosse Rolle wie die rechtliche Absicherung.
Im Rahmen des Security-Council-Meetings erläuterte Roman Gruber, CISO der INNO Group, die Veränderungen im Finanzsektor und warum diese so nicht absehbar waren: «Viele Banken haben lange Zeit auf persönlichen Service in Filialen gesetzt und Kunden intensiv beraten. Durch digitale Innovation entspricht dies aber nicht mehr der Erwartungshaltung, und die Mehrzahl der Institute haben ihren Kurs geändert. Selbst kleine Unternehmen setzen auf Online-Angebote, Mobile Banking und Self-Service-Portale.»
Für den Sicherheitsexperten verdeutlicht dies das Ausmass der Transformation. Eine solche Veränderung stellt neue Anforderungen an die IT-Infrastruktur, weshalb in nur kurzer Zeit viele Unternehmen den Sprung in die Cloud gewagt haben. Die Notwendigkeit dazu fasst der neue Leitfaden für sicheres Cloud Banking der Schweizerischen Bankiervereinigung (SBVg) zusammen: «Bei Schweizer Banken ist ein zunehmendes Bewusstsein für die Vorteile von Cloud Computing und der Wunsch nach einem Wechsel in die Cloud zu beobachten. Gleichzeitig hat sich zwischen nationalen und internationalen Cloud-Anbietern erfreulicherweise eine Wettbewerbssituation eingestellt. Aufgrund ihrer besonderen
Bedürfnisse können Banken diese Dienstleistungen namentlich für kundenbezogene Daten noch nicht vollumfänglich nutzen. Die zunehmende Inanspruchnahme von Cloud-Dienstleistungen wird den Finanzplatz und das Finanzökosystem in der Schweiz in Zukunft aber weiter stärken.»
Veränderungen spürbar
Klassische Finanzunternehmen denken um, sind dabei aber nicht kompromisslos. Bei besonderen Bedürfnissen geht es unter anderem um die Frage der rechtlichen Sicherheit – die Cloud kennt keine Ländergrenzen. Verlassen Daten aber das Staatsgebiet, gilt die Schweizer Rechtsprechung nicht mehr. Die Branche hat durch die Digitalisierung an Dynamik gewonnen. Dennoch darf hierbei das Thema Sicherheit nicht auf der Strecke bleiben. Finanzdaten und persönliche Kundeninformationen sind kritische Assets, und das Vertrauen der User ist die Grundlage jeder Finanztransaktion.
In der Praxis sind die Vorteile der Cloud-Nutzung die schnellere Verfügbarkeit, Skalierbarkeit und garantierte Performance. Diese Aspekte sind wichtig, damit IT-Abteilungen Apps und Online-Angebote für die Nutzer bereitstellen können, die deren Erwartungen entsprechen. Hier liegt die Messlatte hoch, denn Direktbanken und Internetriesen etablieren eigene Angebote, die seit jeher Wert auf eine optimale Nutzererfahrung setzen.
Der springende Punkt ist, dass sich die Rolle des Sicherheitsverantwortlichen verändert. In der On-Premise-Welt wurde IT-Infrastruktur noch wortwörtlich aufgebaut. Rechenzentren,
Server und Speichermedien waren physisch greifbar. Durch Cloud Computing finden diese Prozesse nur noch virtuell statt. Softwareentwickler bestimmen selbst über die genutzten Speicherressourcen und rollen diese aus. Das ist effizient, allerdings wird es schwierig für IT-Teams hier Sicherheitspolicies durchzusetzen.
Für die Kunden stellt sich daher die Frage, auf Basis welcher Architektur ein Finanzunternehmen mit einem Cloud-Anbieter zusammenarbeitet, da diese elementar in
Bezug auf den Schutz der Userdaten ist. Hier gibt es zwei Herausforderungen: Zum einen müssen grundlegende Sicherheitsmechanismen wie durchgehend starke Verschlüsselung, Key Management und Access Control auch in der Cloud umgesetzt werden. Zum anderen müssen Security- Prozesse auf die enorme Entwicklungsgeschwindigkeit angepasst werden.
Wann vertrauen?
Es geht um die Prozesse, die man als Nutzer nicht erkennt. In der Praxis ist ein Developer
fokussiert auf die Fertigstellung einer Software – dabei hat Security erst einmal keine Priorität. In den meisten Einrichtungen ist dies die Aufgabe des CISO. Dieser ist aber nicht ohne Weiteres in der Lage, Skripte zu lesen. DevOps hilft, Schwachstellen zu erkennen, allerdings müssen diese Schwachstellen dann auch beseitigt werden. Daher ist es sinnvoll, einen Entwickler für die Beseitigung von Sicherheitsproblemen bei laufenden Entwicklungen abzustellen, der sich neben anderen IT-Themen auch mit Security-Themen auskennt.
Bei den Schutzmechanismen muss bedacht werden, dass kein Institut sofort seine On- Premise-Infrastruktur verlässt. Im Gegenteil, nicht jede App oder Information ist in der
Cloud gut aufgehoben. In den meisten Organisationen sind hybride Ansätze mit sogar oftmals mehreren Cloud-Providern bereits Alltag. Entsprechend muss auch die Absicherung aufgestellt sein. Hier sollte man als Kunde kritisch nachfragen.
Die meisten Cloud-Anbieter offerieren zubuchbare Services zum Schutz der Daten. Diese sind zwar bequem, führen aber schnell zu einer einseitigen Abhängigkeit. Oftmals kommen hier proprietäre Systeme zum Einsatz, sodass es schnell zum Vendor-Lock-in kommt, da ein Wechsel eines Providers mit nur sehr hohem Aufwand möglich wäre. Ausserdem liegt das Schlüsselmaterial und damit die Hoheit über die eigenen Daten beim Anbieter – nicht mehr beim eigenen Unternehmen. Ein seriöses Finanzunternehmen darf so etwas nicht zulassen.
Es ist wenig sinnvoll, bestehende Ansätze für die neue virtuelle Infrastruktur zu nutzen, nur weil diese bereits verfügbar sind. Das Mass der Dinge in Sachen Sicherheit ist starke Verschlüsselung unter Kontrolle der eigenen Bank. Sicherlich ist es sinnvoll, Schlüsselmaterial in einem Hardware-Sicherheitsmodul (HSM) zu verwalten, allerdings
verpuffen viele Vorteile der Cloud schnell, wenn die Sicherheitsarchitektur nicht angepasst
wird. Ein Best-Practice-Einsatz ist also die Nutzung von Services unabhängiger Sicherheitsexperten.
Im besten Fall gehen alle Informationen verschlüsselt in die Cloud, und der Provider hat keinen Zugriff auf die Schlüssel. Müssen Daten im Klartext zur Weiterverarbeitung vorliegen, dann sollten diese in der Cloud ver- und wieder entschlüsselt werden. Die Keys werden im Idealfall von dem Institut selbst verwaltet.
Organisationen sollten daher schon vor einem Migrationsprojekt mit Datenschutzexperten
zusammenarbeiten, um ihre Informationen richtig zu schützen. Als Nutzer gilt es, kritisch zu sein. Fast jedes Finanzunternehmen nutzt Cloud-Ressourcen. Bei der Auswahl eines Angebots muss die Absicherung stimmen, und ein Anbieter sollte hier entsprechend Auskunft geben können.
Fazit: Ja, aber …
Im Bereich Manufacturing und Industrie wurden schon sehr früh Ressourcen in die Cloud gelegt. Erst im Zuge der Vernetzung über Unternehmensgrenzen hinaus erkannte man die Sicherheitsprobleme und begann, sich dieser anzunehmen. Die Finanzwelt hat sich erst in den vergangenen Jahren stärker mit der Cloud befasst und das Thema Sicherheit stets an erster Stelle gesehen und von Anfang an berücksichtigt.
Allerdings müssen sich Bezahldienste und Finanztransaktionen am Puls des digitalen Zeitalters befinden. Und das ist auch der Grund, weshalb mittlerweile die meisten Organisationen ihre IT-Strategie angepasst haben und fest mit der Cloud planen. Ressourcen stehen auf Knopfdruck bereit, allerdings reichen einige Mausklicks nicht aus, um für hinreichende Sicherheit zu sorgen.