Best Practice

Security-Automatisierung

Die ganzheitliche Steuerung der Sicherheit wird vor allem in großen Unternehmen immer aufwendiger und komplexer. Die DZ BANK hat sich dieser Herausforderung gestellt und erfolgreich ein Projekt zur Integration, Standardisierung und Automatisierung ihrer Prozesse im Bereich der Unternehmenssicherheit aufgesetzt.

Security-Automatisierung

© Nmedia - Fotolia.com

Security-Automatisierung

Die meisten Unternehmen beschäftigen sich schon seit Jahren intensiv mit dem Thema Sicherheit, sowohl im Bereich Informationssicherheit als auch in anderen Bereichen wie der physischen Sicherheit. In vielen Fällen ist der Blick jedoch auf eine Organisationseinheit oder Abteilung beschränkt, oder es werden einzelne Themen sehr isoliert betrachtet ("Silos"). Sowohl der Zusammenhang mit anderen Prozessen als auch die Sicht auf das Gesamtunternehmen kommt dabei oft zu kurz.

Ein weiteres Problem der verteilten Strukturen ist die Schwierigkeit, sich einen Überblick u?ber den Status der Sicherheit im Ganzen zu verschaffen. Unterschiedlichste Prozesse und Projekte definieren Maßnahmen, die umgesetzt und nachgehalten werden mu?ssen. In den unterschiedlichen Bereichen werden Bewertungen oft mit verschiedenen Ansätzen durchgefu?hrt, die sich später nur schwer zu einem Gesamtbild zusammenfu?gen lassen.

Zudem fallen auch viele Routinetätigkeiten an, die sehr viel Zeit in Anspruch nehmen - zum Beispiel Berichte erstellen, Maßnahmen nachhalten oder dezentral Analysen durchfu?hren. Diese Zeit könnte, wenn diese Routinetätigkeiten automatisiert wären, deutlich sinnvoller eingesetzt werden. Wichtige Informationen stu?nden auch schneller zur Verfu?gung, da Auswertungen in Sekunden statt Tagen erstellt werden könnten.

Kernfelder bei Unternehmenssicherheit

Die Unternehmenssicherheit bei der DZ BANK - der viertgrößten Bank in Deutschland und Zentralinstitut der Genossenschaftsbanken - behandelt die Kernfelder personelle, physische und Informationssicherheit sowie Notfall und Krisenmanagement. Daru?ber hinaus gibt es zentrale Services wie etwa eine zentrale Sicherheitsvorfallbehandlung und das Berechtigungsmanagement.

Um den IT-Bereich bei der Erstellung von Sicherheitsmaßnahmen zu unterstu?tzen, suchte die DZ BANK nach einer flexiblen Softwarelösung. Verschiedene Faktoren hat sie bei der Auswahl beru?cksichtigt, darunter die Flexibilität. Diese ist besonders wichtig, da jedes Softwaretool fu?r einen bestimmten Anwendungsfall entwickelt wird.

Weil in jedem Unternehmen kein Prozess gleich aussieht, ist es entscheidend, dass ein Tool flexibel mit den jeweiligen Rahmenbedingungen (Prozessen, Rollen, und Datenquellen) umgehen kann.

Gefordert war auch eine umfasssend konfigurierbare Reporting-Engine, denn die gesammelten Daten mu?ssen auf jeweils passende Art und Weise ausgewertet werden können. Natu?rlich legte die DZ BANK besonders hohen Wert auf ein umfassendes Berechtigungskonzept. Schließlich ist die Unternehmenssicherheit ein sensibler Bereich, die Informationen aus allen Kernfeldern und zentralen Services mu?ssen zuverlässig geschu?tzt werden.

Cockpit für die Notfallkoordinatoren

© Hersteller / Archiv

Unternehmenssicherheit im Überblick: das Cockpit für die Notfallkoordinatoren.

Die DZ BANK entschied sich nach einem sorgfältig durchgefu?hrten Auswahlprozess fu?r die Lösung RSA Archer eGRC Solutions und setzte in der ersten Projektphase zunächst die Themen Notfallmanagement, Krisenmanagement, Sicherheitsrisikomanagement und physische Sicherheit um. In einer weiteren Projektphase wird die bestehende Lösung 2013 um weitere Kernfelder und zentrale Services erweitert. Zusätzlich ist geplant, weitere Prozesse außerhalb der Unternehmenssicherheit zu integrieren.

Fachliche Anforderungen

Die DZ BANK hat im Projekt zunächst die fachlichen Anforderungen formuliert. Im Rahmen von Workshops wurden diese Anforderungen konkretisiert, um die Basis fu?r die Erarbeitung eines Datenmodells zu schaffen. Dabei hat man zusätzlich festgelegt,

  • wann welche E-Mail-Benachrichtigungen mit welchen Inhalten verschickt werden sollen,
  • welche Rollen jeweils benötigt werden und welche Berechtigungen diese Rollen im System haben sollen,
  • welche Auswertungen und Dashboards erstellt werden sollen sowie
  • welche Schnittstellen zu anderen Systemen geschaffen werden sollen.

Bei den einzelnen Kernfeldern erfolgt die technische Unterstu?tzung der Prozesse sehr unterschiedlich und individuell. Im Bereich Notfallmanagement werden beispielsweise die Business-Impact-Analysen und Geschäftsfortfu?hrungspläne direkt mit RSA Archer erstellt und gepflegt. Daru?ber hinaus hat man fu?r die Notfallkoordinatoren in den einzelnen Geschäftsbereichen ein Cockpit erstellt, um die Arbeit mit dem Tool so einfach wie möglich zu gestalten. Fu?r die physische Sicherheit wird die Klassifikation einzelner Gebäude und Sicherheitszonen in RSA Archer fu?hrend verwaltet und durch Audits die Einhaltung der zentralen Vorgaben u?berwacht.

Insbesondere bei den zentralen Services kommt der integrierte Ansatz der Prozesse und der zentralen Datenhaltung voll zur Geltung. In den einzelnen Themenfeldern werden Risiken erfasst, bewertet und daraus Maßnahmen zur Reduktion dieser Risiken definiert.

Das u?bergreifende Sicherheitsrisikomanagement kann auf die dezentral erfassten Informationen zugreifen, um die Aufgabe der zentralen Koordination der Unternehmenssicherheit der DZ BANK wahrnehmen zu können. Fu?r die Behandlung von Sicherheitsvorfällen hat das Geldinstitut fu?r alle Themenfelder einen Prozess definiert, egal, ob es sich dabei um einen Einbruch in einen Standort oder einen Hackerangriff handelt. Dadurch ergeben sich viele Synergien innerhalb des gesamten Managementsystems.

Gemeinsame Sprache entscheidend

Immer wenn mehrere Prozesse, mehrere Abteilungen oder auch nur mehrere Personen eine Software nutzen, ist es wichtig, dass alle dieselbe Sprache sprechen. Dies betrifft beispielsweise

  • Begrifflichkeiten ("Was verstehen wir genau unter einem Risiko?"),
  • Bewertungsschemata (etwa Schadensund Wahrscheinlichkeitsklassen fu?r ein Risiko) oder
  • Prozesse (wie die Behandlung von Vorfällen in den jeweiligen Themenfeldern).

Werden diese Voraussetzungen nicht im Vorfeld geschaffen, lassen sich weder bestehende Prozesse harmonisieren noch kann ein Softwarewerkzeug sinnvoll in unterschiedlichen Prozessen eingesetzt werden.

Viele Projekte scheitern nicht, weil die fachlichen Ergebnisse nicht ausreichen, sondern weil man wichtige Rahmenbedingungen u?ber das Inhaltliche hinaus nicht beru?cksichtigt hat. Die Unterstu?tzung des Managements und das fru?hzeitige Einbinden aller Interessengruppen sind gerade bei Projekten, die tief in das tägliche Arbeiten von Mitarbeitern eingreifen, entscheidend fu?r den späteren Erfolg.

Fazit

Die DZ BANK hat zusammen mit der Secaron AG als Implementierungspartner erfolgreich die RSA Archer eGRC Solutions eingefu?hrt. Die Lösung ist die Grundlage fu?r die neuen Prozesse in der Unternehmenssicherheit und die Basis dafu?r, dass sich die Vorteile dieses integrierten Managementsystems in der täglichen Arbeit auch wirklich auszahlen.

Verbessert haben sich beispielsweise die Steuerungsmöglichkeiten, indem Bewertungsschemata harmonisiert und Ergebnisse u?ber die Grenzen der Themenfelder hinweg vergleichbar wurden.

Daru?ber hinaus konnte die DZ Bank Prozesse zusammenfu?hren und automatisieren - die Kernforderung bei der Suche nach einem passenden Produkt. Der Aufwand ließ sich dadurch sowohl bei der Unternehmenssicherheit als auch in den Fachbereichen spu?rbar reduzieren. Zu guter Letzt stärkten die integrierten Prozesse die Akzeptanz der Unternehmenssicherheit innerhalb der Bank.

Mehr zum Thema

VPN-Zugang mit der Fritz
Fritzbox einrichten

Wie sie sich einen verschlüsselten Fernzugang übers Internet ins heimische Netz einrichten, erfahren Sie bei uns.
Apple Pay, Mobile Payment
IT-Recht: Datenschutz

Noch steckt das mobile Bezahlen in Deutschland in den Kinderschuhen. Das dürfte sich in den nächsten Jahren allerdings ändern.
Ransomware Zerolocker
Cybercrime als Geschäftsmodell

Der Markt für illegale Dienstleistungen wächst. Das Organisierte Verbrechen verdient mit Hackern, Spammern und Cyber-Attacken riesige Summen.
Symbolbild für Internet-Sicherheit und Spionage
IT-Sicherheit

Cyberkriminelle richten ihr Augenmerk längst auf kleine und mittlere Unternehmen. Fünf einfache Maßnahmen helfen, das Risiko zumindest deutlich zu…
Carbanak Hacker
Datensicherheit

Microsoft stellt mit Windows 8.1 Enterprise eine spezielle Version für Unternehmen zur Verfügung. Wir zeigen wichtige Sicherheits-Features.