Wie zahlreiche andere Branchen setzt auch der Finanzsektor längst auf vernetzte IT-Systeme. Diese Strukturen sind - mehr als andere - der Gefahr eines Angriffs durch Hacker ausgesetzt. Banken droht neben dem direkten Schaden vor allem ein enormer Vertrauensverlust, wenn bekannt wird, daß sensible Kundeninformationen in falsche Hände geraten. Entsprechend hoch ist das Bedürfnis nach effizienter Absicherung der Datenbestände.
Die Commerzbank betreibt ein eigenes globales Netzwerk, an das sämtliche Filialen, Zentralabteilungen sowie die Auslandsstandorte angeschlossen sind. Insgesamt verbindet die IT-Infrastruktur etwa 20000 bis 25000 Systeme miteinander. Zuständig für dieses Kommunikationsnetz ist als interner Dienstleister der Zentrale Servicebereich Datenverarbeitung (ZDV). "Wir treten quasi als Provider für die Commerzbank auf und sichern die gesamte Netzwerk- Infrastruktur", umreißt Thomas Matzen, bei der ZDV für den Bereich Bedarfsplanung zuständig, das Aufgabenfeld seiner Abteilung.
"Durch Internet- und Intranet-Technologien ist der Sicherheitsbedarf gestiegen", erklärt Matzen, zu dessen Verantwortungsbereich auch die notwendigen Sicherheitsmaßnahmen gehören. Um den beiden Hauptanforderungen - schnelle Datenverfügbarkeit und höchste Sicherheit - gerecht zu werden, entschied sich die Commerzbank für eine hierarchische Sicherheitsarchitektur. Die Meßlatte für die Netzwerksicherheit wurde an den Übergangsstellen vom Intranet zum öffentlichen Netz besonders hoch angelegt. Von dort aus zum "Netzinnern" abwärts lockerte die Commerzbank die Restriktionen.
Kritische Punkte stellen bei einer Bank vor allem die Recherche- und Online-Systeme dar: Zwischen der Hauptniederlassung und den Zweigstellen findet nicht nur ein reger Datenaustausch statt, die Commerzbank nutzt daneben auch Finanzinformationsdienste, etwa den "Bloomberg Information Service". Dazu muß die Bank Zugang zu öffentlichen Netzen haben - eine Schwachstelle, die wiederum eine verstärkte Absicherung des Corporate Network erfordert.
Die Commerzbank identifizierte in ihrer Unternehmensstruktur als nächstes die Punkte, die einen speziellen Schutzmechanismus erforderten. Auf der Basis dieses Konzepts installierte die Bank proprietäre Firewalls an allen Punkten, die von außen zugänglich sind. Je sensibler der zu schützende Bereich, desto restriktiver wurde das Security-Regelwerk für den eingehenden wie ausgehenden TCP/IP-Datenverkehr ausgelegt.
Lange Zeit waren Firewall-Systeme reine Softwarelösungen (meist auf Unix-Basis), die geschultes Fachpersonal zur Administration und für die regelmäßig notwendigen Updates erforderten. Änderungen am System mußten generell vor Ort und manuell vorgenommen werden, was den Arbeitsgang zeit- und kostenintensiv sowie fehleranfällig gestaltete. Die Commerzbank entschied sich jedoch für ein hardwarebasiertes Firewall-System, bei dem sich die Sicherheitspolitik des Unternehmens in Form klarer Vorschriften - sogenannter Security Policies - aufspielen läßt.
Bei der Ausarbeitung der Security Policies mußte die Bank mit großer Umsicht vorgehen, da auf Basis dieser Regeln unter anderem sämtliche Entscheidungen über die möglichen Arten des Datentransfers gefällt werden. So definieren sie, welche Anwender - Außenstehende, Kunden, Außendienstmitarbeiter mit Fernzugriff über Modem oder Mitarbeiter mit Zugang zum Intranet der Bank - auf welche Ressourcen und Dienste zugreifen dürfen. Änderungen der Security Policy sowie Updates, zum Beispiel beim Auftreten neuer Angriffsmethoden, kann die DV-Abteilung bei Bedarf problemlos auf sämtliche Firewalls der Bank überspielen.
Die von der Commerzbank ausgewählte "Firebox" wurde zwischen den Routern und dem zu schützenden Netzwerk installiert. Die Kernroutinen des Systems laufen unter dem Betriebssystem Linux. Ein integriertes Remote-User-VPN (Virtual Private Network) dehnt die Firewall-Funktionalität auch auf auch mobile Anwender aus, die sich per Fernzugriff in das Corporate Network einklinken. Das System verfügt außerdem über transparente Proxies - Datenpuffer, die den Informationsfluß zwischen dem internen Netz und dem Internet regeln - sowie über ein Verfahren zur Datenverschlüsselung.
Intensive Testphase
Vor dem endgültigen Einsatz in der Praxis mußte das Firewall- System seine Leistungsfähigkeit während einer Probezeit in einer Testumgebung bewähren. "Wir bauen ein System-Referenzfeld auf, das unsere Produktionsumgebung nachbildet", beschreibt Matzen das Vorgehen. In dieses Testfeld wurde die Lösung integriert und auf nahtlose Integrationsfähigkeit geprüft. Dann simulierten die Spezialisten Angriffe auf das Testnetz, um so die vorhandenen Sicherheitsmechanismen zu testen. "Erst nach einer Testphase von vier bis sechs Wochen", so Matzen, "legen wir fest, ob wir mit einer Neuanschaffung in die Produktion gehen."
Bei den ursprünglich installierten Firebox-Modellen erwies sich ein besonderer Schutzmechanismus als aufwendig in der Administration: Für die Konfiguration des Systems mußte entweder eine Diskette eingelegt oder aber per Telefonleitung eine Direktverbindung zum Gerät hergestellt werden. Glücklicherweise ließen sich die Altmodelle mit Flash-Memory aufrüsten - nun kann der Systemadministrator diese Geräte mittels einer verschlüsselten Verbindung direkt über das Unternehmensnetz konfigurieren. Auch das Überspielen von Security-Updates kann auf diese Weise erfolgen, was wesentlich einfacher und vor allem schneller ist, als sämtliche Firewalls einzeln neu zu konfigurieren. Weiterer Vorteil des Verfahrens: Die Commerzbank hat die Gewißheit, daß alle ihre Firewalls über identische Sicherheitsregeln verfügen. Das verhindert Sicherheitslücken durch uneinheitliche Konfigurationen der einzelnen Geräte.
Zentrale Konfiguration der Firewalls
Zur regelmäßigen und schnellen Versorgung der Hauptniederlassung und der Filialen mit Policy-Updates nutzt die Commerzbank das "Livesecurity"-System, das der Hersteller Watchguard seinen Kunden anbietet. Anwender können dabei zwischen zwei Optionen wählen: Entweder übernimmt das Unternehmen zentral das automatische Update aller Firewalls, die für Livesecurity registriert sind. Wahlweise erfolgt die Übertragung lediglich eines Policy Updates an den Systemadministrator, der daraufhin entscheidet, ob er das vorgeschlagene Update für seine IT-Infrastruktur akzeptieren will. In diesem Fall übernimmt die interne DV-Abteilung die zentrale Vergabe neuer Policies an die Firewalls im Haus und in den Zweigstellen.
Die Commerzbank entschied sich für die zweite Option, denn gerade für ein großes Unternehmen im Finanzsektor ist es von Bedeutung, immer den Überblick und die letzte Entscheidungsgewalt über die unternehmenseigene Sicherheitspolitik zu besitzen. Durch die zentral gesteuerten und unternehmensweit gültigen Sicherheits- Updates kann die Commerzbank schnell und flexibel auf neu auftretende Sicherheitsrisiken reagieren.
Versuche, in das Commerzbank-Netz einzubrechen, habe sein Team schon registriert, erzählt Matzen. Aber "sie sind erfolglos geblieben". Mit dem gewählten Firewall-Konzept verfügt die Commerzbank seiner Ansicht nach über ein Sicherheitssystem, das nicht nur die sensiblen Daten der Kunden wirkungsvoll schützt, sondern letzten Endes auch den guten Ruf des Finanzinstituts.
*Wilhelm Greiner ist freier Journalist in München.