Informationssicherheit im Finanzwesen: So stellt sich die Frankfurter Sparkasse der Mammutaufgabe

4. Juli 2024

Mit dem digitalen Wandel im Finanzsektor sind auch neue Angriffsflächen für Cyberkriminelle und damit erhebliche Gefahren für Unternehmen entstanden. Die Folge: Stetig wachsende interne und externe Anforderungen an die Informationssicherheit von Finanzinstituten und ihren Dienstleistern. Dies kann für Organisationen eine erhebliche Belastung darstellen. Wie die Frankfurter Sparkasse diese Herausforderung mit Hilfe der usd AG meistert, lesen Sie hier.

Informationssicherheit bei der Sparkasse

Die meisten Sparkassen setzen für die Planung, Umsetzung und Dokumentation ihres Informationssicherheitsmanagements nach den Normen der ISO 27000-er Reihe das Produkt „Sicherer IT-Betrieb“ (SITB) des SIZ ein, um den internen und externen Anforderungen an das Informationssicherheitsmanagement gerecht zu werden. Der SITB enthält insgesamt über 1.000 Anforderungen, die zu verschiedenen Anforderungsprofilen gebündelt sind. Jedem IT-Asset innerhalb der Sparkassen muss ein solches Profil zugeordnet und die Einhaltung der dort enthaltenen Anforderungen sichergestellt werden.

Üblicherweise werden neue Versionen des SITB etwa einmal jährlich und zusätzlich bei größeren Änderungen der Bedrohungslandschaft oder der Einführung neuer relevanter Regulatorik herausgegeben. Mit Version 20 des SITB kam ein umfangreiches Update auf die Sparkassen zu, mit dem eine Vielzahl neuer Anforderungen einhergingen. Die Umsetzung innerhalb des eigenen Instituts zu überprüfen, nimmt viele Ressourcen in Anspruch. Deshalb unterstützte ein Expertenteam der usd AG, unter Leitung von Simon Weickart und Philipp Konow, die Frankfurter Sparkasse strategisch und operativ bei der Umsetzung.

Die Frankfurter Sparkasse ist innerhalb des Sparkassen-Verbunds eines der größten Institute mit etwa 1500 Mitarbeitenden und einer Vielzahl schützenswerter Assets. Informationssicherheitsprojekte oder groß angelegte Veränderungen im Anforderungswesen werden bei uns daher schnell sehr komplex und extrem aufwändig für alle Beteiligten. Deshalb war es uns wichtig, externe Expertise dazu zu holen. Mit der usd AG haben wir einen vertrauenswürdigen Partner gefunden, der über weitreichende Erfahrungen in der Informationssicherheit und fundierte Branchenkenntnisse im Finanzwesen verfügt.


Jens Heinisch, Leiter Betriebs- und Prozessorganisation, Frankfurter Sparkasse

Hands-on Hilfe

Das Team der usd AG startete das Projekt mit einer eingehenden Soll-Ist-Analyse, um Abweichungen zu den neuen Vorgaben des SITB 20 innerhalb der Frankfurter Sparkasse zu ermitteln und zu dokumentieren. Daraus resultierende Risiken wurden im nächsten Schritt im Rahmen des Risikomanagements erfasst, analysiert und bewertet. In dieser Phase des Projekts wurden zudem bestehende Prozesse geschärft. Eine lückenlose Dokumentation aller Projektschritte war dabei von zentraler Bedeutung für den Erfolg des Projektes und kommende Prüfungen.

Bei einem Unternehmen in der Größenordnung der Frankfurter Sparkasse erfordern all diese Aktivitäten neben dem benötigten Know-how vor allem eins: Zeit. Zeit, die den Mitarbeitenden der Frankfurter Sparkasse zur Erfüllung ihrer Kernaufgaben fehlen würde. Für unsere Experten war es deshalb selbstverständlich, sie nicht nur beratend, sondern in diesem Fall auch ganz praktisch beim Erfüllen ihrer Aufgaben zu unterstützen.

Wie der Großteil der Unternehmen im Finanzsektor lagert auch die Frankfurter Sparkasse viele Prozesse an externe Dienstleister aus. Da mit jeder Auslagerung erhebliche Informationssicherheitsrisiken einhergehen können, ist die Sicherheit der Lieferkette in nahezu allen Regularien eine zentrale Anforderung. Daher wurde der Projektrahmen schnell von internen Prozessen und Assets auf externe Dienstleister ausgeweitet.

Egal wie unser originärer Projektrahmen abgesteckt ist: Stellen wir im Rahmen unserer Beratungstätigkeit Verbesserungspotenziale für die Informationssicherheit unserer Kunden fest, dann machen wir sie darauf aufmerksam und unterstützen natürlich dabei, durch gezielte Stellschrauben diese Potenziale auszunutzen. Wir freuen uns sehr, dass die Frankfurter Sparkasse für unsere Hinweise überaus offen war. Mit ein paar praktischen Umsetzungshilfen konnten wir die Informationssicherheit im Unternehmen noch über die Anforderungen des SITB hinaus verbessern.


Philipp Konow, Senior Security Consultant, usd AG

Manchmal kommt es anders…

Noch während das Umsetzungsprojekt zu SITB 20 in vollem Gange war, erschien SITB 21 – und damit erneut ein veränderter Anforderungskatalog.

Wer kennt das nicht: Kaum ist man in einem Projekt auf der Zielgeraden, erscheint eine neue Regulatorik oder neue Version eines Standards und der Kurs ist plötzlich neu gesteckt. In einer solchen Situation heißt es schnell und flexibel reagieren. Darauf konnten wir uns bei unseren Ansprechpartnern der usd AG voll verlassen: Kurzfristig haben sie es möglich gemacht, betroffene Projektschritte noch einmal zu wiederholen und waren bei Rückfragen jederzeit für uns erreichbar.


Stefan Sohn, Gruppenleiter Projekt- und Prozessmanagement, Frankfurter Sparkasse

Nichts in der Finanzwelt ist statisch, seien es Cyber-Risiken, regulatorische Anforderungen oder die Finanzinstitute selbst. Da liegt es in der Natur der Sache, dass wir in Projekten der Informationssicherheit häufig mit sich verändernden Bedingungen umgehen müssen. Das wird um ein Vielfaches einfacher, wenn man eine stabile Grundlage schafft, etwa in Form von guten Richtlinien, einer sauberen Inventarisierung und klar definierten Prozessen. Genau diese Grundlage wird der Frankfurter Sparkasse bei ihrem nächsten großen Informationssicherheitsprojekt helfen: DORA.


Simon Weickart, Managing Security Consultant, usd AG

DORA am Horizont

Mit dem Digital Operational Resilience Act (DORA), der ab dem 17.01.2025 Anwendung finden wird, muss sich der Finanzsektor wieder einer neuen Flut von Anforderungen stellen. Auch die Frankfurter Sparkasse macht sich mit Unterstützung der usd AG bereit, die EU-Verordnung umzusetzen.

Es ist ein beachtliches Engagement der Frankfurter Sparkasse, sich von einem großen Security-Projekt nahezu nahtlos ins nächste zu begeben. Wir freuen uns, dass wir sie auch bei ihrem DORA-Projekt als Partner begleiten dürfen und uns nach eingehender Vorarbeit nun bereits mitten in der Umsetzung befinden. Damit ist die Frankfurter Sparkasse vielen anderen Instituten bereits ein gutes Stück voraus.


Felix Schmidt, Verantwortlicher für die Finanzbranche, usd AG

Nach dem Projekt ist vor dem Projekt, so ist das in unserer Branche häufig. Vor allem, wenn man dem so wichtigen Thema Informationssicherheit gerecht werden möchte. Bis zur vollständigen Umsetzung von DORA gibt es für uns sicherlich noch einiges zu tun, aber wir sind optimistisch, dass wir auch dieses Projekt gemeinsam mit der usd AG erfolgreich meistern werden.


Denan Solaković, Gruppenleiter IT-Governance, Projektleiter DORA, Frankfurter Sparkasse


Über die Frankfurter Sparkasse

Die Frankfurter Sparkasse wurde im Jahr 1822 gegründet und ist heute Marktführerin im Privatkundengeschäft im Rhein-Main-Gebiet. Sie bietet als Teil des Konzerns der Helaba Landesbank Hessen-Thüringen und mit ihren Partnern aus der Sparkassen-Finanzgruppe sämtliche Finanz­dienstleistungen für Privat-, Gewerbe- und Firmenkunden. Sie berät Kundinnen und Kunden mit Empathie und Kompetenz und ist für sie persönlich und digital da: mit ihrem dichten Netz an Filialen und Beratungscentern, am Telefon und im Internet. Die Frankfurter Sparkasse übernimmt in der Region seit jeher gemeinsam mit ihren Stiftungen nachhaltig Verantwortung für Menschen, Unternehmen und Umwelt.

https://www.frankfurter-sparkasse.de

Auch interessant:

Security Advisory zu AXIS Webcam

Security Advisory zu AXIS Webcam

Die Pentest Professionals des usd HeroLabs haben während der Durchführung ihrer Pentests die AXIS Webcam (P1364) untersucht. Unsere Professionals entdeckten eine Sicherheitslücke (Cross-Site Request Forgery) im Adminpanel der AXIS P1364 Webcam. Das Ausnutzen dieser...

mehr lesen

Kategorien

Kategorien