"Vor allem muss der IT-Dienstleister meine Branche und meine Bank kennen"
Daniel Brunner, Chief Information Security Officer bei der Privatbank Leumi, macht klar, was er als Kunde vom Handel erwartet. Er erklärt, wie er seine Mitarbeiter für das Thema Sicherheit sensibilisiert, und formuliert konkrete Vorschläge, wie ihn der Handel dabei unterstüzten könnte.
Was sind die grössten Unterschiede im Bereich der IT-Sicherheit, wenn man eine Bank mit einem Industrieunternehmen vergleicht?
Daniel Brunner: Wir haben strengere Anforderungen etwa bezüglich Outsourcing. Dazu kommt, dass wir mit einer grossen Menge vertraulicher Daten arbeiten, die unter allen Umständen zu schützen sind, insbesondere wenn man in Betracht zieht, dass es sich hier oft um Daten spezifischer Personen und eben nicht wie in einem Industrieunternehmen um Baupläne, Patente oder ähnliches handelt. Auch sehen wir uns als Finanzdienstleister mit einer sich sehr schnell verändernden Compliance-Landschaft konfrontiert, was die entsprechenden Anforderungen und Arbeiten nach sich zieht. So steht etwa in der Schweiz ein neues Datenschutzgesetz an, man muss sehen, wie sich die vorgeschlagene EU-Datenschutzdirektive entwickelt und ob und wie sie den Schweizer Markt beeinflusst. Dann steht ganz spezifisch im Banken- beziehungsweise Finanzsektor eine Vielzahl von Veränderungen an. Auch hier muss man dann überprüfen, wie sie sich auf die IT-Sicherheit niederschlagen. Auf welche Dienste Ihrer IT-Dienstleister beziehungsweise Serviceanbieter wollen und könnten Sie nicht mehr verzichten? Ich möchte hier zwei Firmen nennen, die durch ihren Professionalität, ihr Know-how und ihre Bereitschaft, ihre Dienstleistungen auf die Anforderungen der Leumi Private Bank auszurichten, herausstechen: Colt Telecom Services und Swiss Infosec.
Was sind die drei wichtigsten Eigenschaften, die ein Kundenberater mitbringen muss, um das Vertrauen Ihrer Bank zu gewinnen?
Als Erstes muss er meine Branche und meine Bank kennen und wissen, was die Industrieanforderungen und Best Practices sind. Ich habe keine Zeit, mich mit Leuten herumzuschlagen, die nicht wissen, in welchem Umfeld ich mich bewege. Zweitens muss er mir zuhören und mir eine auf meine Situation zugeschnittene Lösung und nicht eine Standardlösung anbieten. Gottlob gibt es genug Anbieter auf dem Markt. Drittens muss er Manieren haben. Er muss an mir als Kunden dranbleiben und darf nicht einschlafen. Allerdings darf er auch nicht versuchen, mir auf Biegen und Brechen etwas zu verkaufen. Drücker kann ich nicht ausstehen.
Wie sensibilisieren Sie Ihre Mitarbeiter für das Thema Sicherheit und wie kann Sie der Handel dabei unterstützen?
Auf der einen Seite besteht eine Berichtslinie zum Management, damit dieses rechtzeitig über alles informiert ist. Dann werden die relevanten Sicherheitsanforderungen der Bank mittels Weisungen festgelegt und schliesslich nach deren Freigabe den entsprechend Mitarbeitern mitgeteilt. Die Umsetzung der Weisungen wiederum wird regelmäs sig überprüft. Zum Swiss-Security-Day zum Beispiel haben wir in Zusammenarbeit mit unserem CEO gratis an alle Mitarbeitenden ein Anti- Viren-Programm verteilt. Der Handel könnte etwa gute Vorlagen liefern oder mir sinnvolle Gadgets zu einem vernünftigen Preis zur Verfügung stellen. Auch könnte ich mir vorstellen, dass ein Vendor produktspezifische Sicherheitsschulungen gratis anbietet.
Gibt es im Bereich Outsourcing von ITLeistungen in fremde Rechenzentren gewisse Regeln, denen Sie folgen? Gibt es gewisse Bereiche, die Sie unter keinen Umständen outsourcen würden?
Natürlich sind wir den Vorgaben der Regulatoren unterworfen. Dazu zähle ich hier auch die SBvG und den EDÖB. Daneben haben die Best Practices auch noch ihren Einfluss. Zusätzlich bediene ich mich auch des ISO- 27001-Standards und möglicher Vorgaben unseres Mutterhauses. Was das Outsourcing von IT-Leistungen generell angeht, verfolgen wir einen pragmatischen Ansatz, der das Machbare mit dem Bezahlbaren/Kontrollierbaren kombiniert.
Was werden in der nächsten Zeit die grössten technischen Herausforderungen im Bereich IT-Sicherheit für Sie werden?
Sicher wird BYOD (Bring your own Device) verstärkt behandelt werden müssen. In diesem Zusammenhang ist überhaupt der Gesamtkomplex der Mobile Security zu nennen. Dazu kommen auch Fragen der Assurance: Also macht die Applikation bezüglich IT-Sicherheit auch das, was vom Verkäufer versprochen wird. Dies muss dann natürlich getestet und wo nötig und möglich mit unseren eigenen Anforderungen ergänzt werden. Ferner sind natürlich die immer besser werdenden Angriffe auf die IT-Infrastruktur wie DDoS, Intrusion und ähnliches nicht zu vergessen, die unter Umständen immensen Schaden anrichten können.<
Microsoft entdeckt neue Angriffe auf Android-Apps
Update: Broadcom macht Cloud-Anbietern Zugeständnisse
Online USV-Systeme halbiert Preise für Batteriepakete
Dell präsentiert drei neue Produkte für sein Cyberresilienz-Angebot
Welche Herausforderungen grosse Lastendrohnen mit sich bringen
Best of Swiss Web bittet zum Winner Talk
Abraxas verbucht operativen Verlust
Ehrliche Werbe-Jingles für Apple, Netflix, Sprite und Co.
Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein
