IT-Sicherheit
"Security-as-a-Service" – auch für streng regulierte Branchen
Foto: mipan - shutterstock.com
Das Bewusstsein für eine verstärkte Security ist auf den Chefetagen angekommen. Laut einer Umfrage des CIO-Magazins planen 67 Prozent der befragten CIOs Investitionen in neue Security-Tools - das ist der zweithöchste Wert nach Business-Automation-Tools.
Besonders bei Banken und Versicherungen stehen hier umfangreiche Investitionen an, denn diese Unternehmen zählen seit Jahren zu den präferierten Zielen von Cyberkriminellen. In einer aktuellen Studie von KPMG und Lünendonk berichten 84 Prozent dieser Institute von einem Anstieg der Angriffe gegenüber dem Vorjahr.
Banken: stark bedroht und stark reguliert
So ist bei Finanzdienstleistern der Schutz vor Cyber-Angriffen ein zentrales Thema, doch eine wirksamen Security aufzubauen, ist hier nicht so einfach. Die Verarbeitung der äußerst sensiblen Kunden- und Geschäftsdaten ist an viele regulatorische und gesetzliche Vorgaben gebunden.
Zudem hat die steigende Nutzung von Cloud-Diensten zu neuen Auflagen geführt. Gefordert werden angemessene Vorkehrungen, um übermäßige Risiken zu vermeiden, die durch das Auslagern von Prozessen und Daten entstehen. Insbesondere muss jedes Institut ein Risikomanagement implementieren, das die ausgelagerten Aktivitäten mit einbezieht.
Dabei sind die "Mindestanforderungen an das Risikomanagement - MaRisk" der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu beachten. Hier sind die Security-Strategien und die Einrichtung von internen Kontrollen geregelt.
Des Weiteren gilt die vom BaFin herausgegebene "Bankaufsichtlichen Anforderungen an die IT" (BAIT). Das ist ein flexibler und praxisnaher Rahmen für die technisch-organisatorische Ausstattung - insbesondere zum Managen von Risiken und IT-Ressourcen. Bei der Auswahl eines Cloud-Anbieters empfiehlt die BaFin ausdrücklich, Nachweise oder Zertifikate auf Basis gängiger Standards heranzuziehen, etwa die ISO/IEC 2700X oder den C5- Anforderungskatalog des BSI.
Security und DSGVO-Compliance ist kein Widerspruch
Neben den branchenspezifischen Vorgaben gelten natürlich auch die allgemeinen Compliance-Regeln wie die DSGVO. Um Sicherheit und Integrität der IT-Systeme, -Dienste und Daten aufrechtzuerhalten, können im Rahmen der Bedrohungserkennung und Angriffsabwehr auch personenbezogene Daten erhoben und für eine begrenzte Zeit gespeichert werden. Das betrifft beispielsweise die URL, die IP-Adresse oder die E-Mail-Adresse eines Angreifers, sowie verdächtige Web-Aktivitäten von Nutzern.
Dabei ist die Verarbeitung dieser personenbezogenen Daten durch eine Cybersicherheitslösung datenschutzrechtlich zulässig, da sie der Wahrung der berechtigten Interessen des Unternehmens dient; insbesondere, um sich vor Angriffen auf die IT-Infrastruktur zu schützen.
Trend Vision One: Cloud-basierte Sicherheit
Der japanische Security-Spezialanbieter Trend Micro betreibt eine entsprechende Cloud-basierte Cybersicherheitslösung. Deren "Security-as-a-Service" Plattform "Trend Vision One" enthält die Sicherheitsfunktion "eXtended Detection & Response" (XDR). Das ermöglicht es Unternehmen, ihre individuelle Bedrohungslage zu analysieren, identifizierte Risiken und Bedrohungen abzuwehren und automatisierte Gegenmaßnahmen zu definieren.
Hierbei korreliert Trend Vision One alle bekannten Bedrohungsinformationen mit umfangreichen Telemetriedaten, die sowohl von eigenen Sensoren als auch von Drittanbietern bereitgestellt werden. XDR sammelt und korreliert Informationen aus den übermittelten Sensordaten der angeschlossenen Produkte wie E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke des Unternehmens hinweg. So können auch harmlos erscheinende Events als Indicators of Compromise (IoC) identifiziert werden.
Im Einzelfall kann bei Untersuchungen von auffälligen Geräten, ungewöhnlichen Datenbewegungen oder angegriffenen Schwachstellen auf Servern und Endpunkten auch ein Personenbezug zu den dabei verwendeten Daten bestehen. Trotzdem sind diese Aktivitäten rechtmäßig, da sie dem übergeordneten Sicherheitsinteresse des Unternehmens dienen - die Interessen der betroffenen Personen gelten als untergeordnet.
Trend Vision One: nach BSI-Vorgaben testiert
Auch das vielfach geforderte C5-Testat des BSI wird von der Trend-Micro-Lösung erfüllt. Bereits im Januar 2022 wurde nach einer Prüfung von Deloitte das C5-Testat für Trend Vision One und XDR erteilt. Damit ist Trend Micro einer der wenigen SaaS-Anbieter, die sich auch für Anwendungen in stark regulierten Branchen wie dem Finanzsektor eignen - aber auch im Gesundheitswesen oder bei Kritis-Unternehmen nutzen lässt.