computerwoche.de

Archiv

Dreistufiges Banking-Security-Konzept

Dreistufiges Banking-Security-Konzept West LB arbeitet mit Netz und doppeltem Boden

05.03.1999
Die Finanzdienstleister richten das Augenmerk bei der Informationstechnik besonders auf den Sicherheitsaspekt. Dies gilt auch für die Westdeutsche Landesbank, die ihre IT-Services der Tochtergesellschaft West LB Systems anvertraut hat. Werner Dinkelbach beschreibt das Konzept "Banking Security" des bankeigenen Dienstleistungsunternehmens.

"Banking Security" hat in der West LB eine vergleichsweise lange Historie. Schon 1985 wurde sie - losgelöst von den großen Linienaufgaben RZ-Betrieb und Anwendungsentwicklung - in der Aufbauorganisation des DV-Bereichs berücksichtigt und seither kontinuierlich ausgebaut. Im Mittelpunkt der Aktivitäten stand zunächst der Zugriffsschutz für das MVS-Host-Umfeld, später für die Unix- Systeme und die Windows-NT-Welt (Clients und Server).

Einen Meilenstein für die Sicherheit bedeutete die 1988 verabschiedete Sicherheits-Policy des West-LB-Konzerns ("Grundsätze der Sicherheit in der Informationsverarbeitung"). Sie schafft die für ein wirksames Sicherheits-Management unverzichtbare Klammer um die IT-Sicherheitsaktivitäten im Konzern - eine notwendige Bedingung, um einen einheitlichen Standard auf hohem Niveau zu erreichen.

Die Sicherheits-Policy schreibt fest: Jeder Mitarbeiter in der West-LB-Gruppe trägt die Sicherheitsverantwortung für seinen Arbeitsplatz selbst. Bei Führungskräften kommt beispielsweise die Verantwortung für eine adäquate Fortbildung ihrer Mitarbeiter hinzu. Eine neugeschaffene "Zentrale Stelle für die Sicherheit in der Informationsverarbeitung", die im Geschäftsbereich Konzern- informations-Management angesiedelt ist, bestimmt die Richt- linien, zeichnet für die unternehmensweite Umsetzung verantwortlich und berichtet an den Konzernvorstand. Die einzelnen Bereiche tragen die Verantwortung für angemessene Maßnahmen zum Schutz "ihrer" Daten.

Die Sicherheitsgrundsätze wurden als langfristig stabiler Rahmen auf einer hohen Abstraktionsebene formuliert. Daraus sind allgemeine Richtlinien zu Sicherheitsverfahren abzuleiten, die dann plattformspezifisch umgesetzt werden müssen. Folglich gliedert sich die gesamte Sicherheitsarchitektur der West LB in drei Ebenen. Wenn Sicherheitsgrundsätze neu formuliert werden, zieht das eine Überarbeitung der gesamten Architektur auf den übrigen Ebenen nach sich.

Aufgabe des Bereichs Banking Security in der West LB ist es beispielsweise, die Verantwortlichkeiten für und die Anforderungen an die unternehmensweiten Verfahren zur Risikoanalyse, Berechtigungsverwaltung und Kontrolle zu definieren.

Zudem unterstützt das Kompetenz-Center die Umsetzung des Konzepts mit Werkzeugen und Methoden, mit Beratung und Begutachtung sowie mit zentralen Administrationsservices, Standards und Verfahren.

Im besonderen betreut Banking Security die Administrationsverfahren für die großen Standardplattformen in der West LB. Das sind derzeit IBM OS/390 beziehungsweise MVS mit den Zugriffsschutz- und Administrations-Tools RACF sowie der Eigenentwicklung "Online Security", dazu Windows NT 4.0 (derzeit zirka 3500 Workstations und mehr als 50 Ressource-Domänen) mit dem Administrations-Tool "Enterprise Administrator" von Mission Critical Software und last, but not least Unix (derzeit rund 130 Server-Systeme unter AIX und Solaris) mit dem Zugriffsschutz- und Administra- tions-Tool Seos von Memco.

Insgesamt sind Berechtigungen für fast 40000 Benutzer in der West LB, bei den Sparkassen und bei angeschlossenen Unternehmen zu verwalten. Die Administration erfolgt fast ausschließlich über Gruppenprofile, da sich Einzelrechte in einem solchen Umfeld nicht mehr transparent und wirtschaftlich handhaben lassen.

Der Ansatz für die Verteilung der Administrationsaufgaben könnte das Etikett "zentral kontrolliert" tragen: Administrationswerkzeuge werden zentral bereitgestellt und fachlich betreut, viele laufende Aufgaben hingegen - soweit möglich - an benutzernahe Bereiche verteilt (Stichwort: "Gruppenadministration"). Letzteres verbessert die Akzeptanz, vermeidet Flaschenhälse und hebt das gesamte Sicherheitsniveau. Erstberechtigungen sowie die Erstellung von Berechtigungsprofilen für allgemeine Systeme werden jedoch zentral koordiniert, um die Konsistenz in den Berechtigungssystemen sicherzustellen.

Aufgrund der Entwicklung des Client-Server-Umfeldes wächst die Anzahl der Plattformen ständig. Deshalb ist die Einführung von plattformübergreifenden Administrationsverfahren und -werkzeugen eine der aktuellen Aufgaben. Ein Projekt mit dem Namen "Plattformübergreifendes Sicherheits-Management" untersucht derzeit, wie sich durch Einsatz eines Standard-Tools das Antragswesen automatisieren und ein zentraler Einrichtungspunkt für alle großen Plattformen schaffen läßt. Ein solcher ließe eine weitgehende Dezentralisierung von Administrationsaufgaben zu.

Die Erfahrungen aus den Tests mit zwei Standardsoftware-Tools sind ernüchternd. Vor allem ist die Handhabung deutlich umständlicher als die von plattformspezifischen Lösungen. Zudem zeigten sich schwerwiegende Schwächen bei der technischen Umsetzung des Administrationskonzepts. Andere Tools konnten die als K.o.- Kriterien geforderten Anbindungen - unter anderem von Lotus Notes, Seos für die Unix-Welt und SAP R/3 - an die Standardplattformen in der West LB von Haus aus nicht bereitstellen.

Daher wird bei der West LB Systems derzeit über eine eigene Lösung nachgedacht. Sie soll die zeitkritischsten Anforderungen erfüllen und zugleich die Einführung einer noch nicht am Markt erhältlichen Standardsoftware mit umfassender Funktionalität vorbereiten. West LB Systems hofft, daß eine zufriedenstellende Standardlösung in ein bis zwei Jahren zur Verfügung steht. In der Zwischenzeit entwickelt der Dienstleister eine zentrale Benutzerdatenbank und einen Workflow für das Antragswesen, der auf Lotus Notes basiert.

Darüber hinaus erstellt die IT-Tochter für ihren Mutterkonzern eine neue Systematik für Berechtigungen, die auf dem "Rollenkonzept" aufbaut. Dieses Konzept sieht vor, nicht mehr einzelne plattformspezifische Berechtigungen zu beantragen und einzurichten, sondern vorab die Rechte aller Fachfunktionen, beispielsweise Kassierer oder Wertpapierhändler eines bestimmten Typs, festzulegen. Ein neuer Systembenutzer erhält dann - gemäß seiner aufgabenbezogenen Rolle - gleich ein ganzes Bündel von Rechten in einem Schritt. Das macht die Handhabung erheblich einfacher - insbesondere für die Antragsteller aus den Fachabteilungen, die mit systemtechnisch ausgedrückten Einzelrechten oft wenig anfangen können. In einem Pilotversuch wird zur Zeit die neue Rollenbildung getestet.

Zweiter Arbeitsschwerpunkt in der Banking Security ist die Netzwerksicherheit. Wie viele große Banken und Konzernen anderer Branchen arbeitet auch die West LB an einem unternehmensweiten Konzept, um die Sicherheitsrisiken, die die Einführung einer Client-Server-Welt mit sich bringt, möglichst benutzerfreundlich und kostengünstig zu handhaben.

Zur Zeit läuft die weltweite Umstellung der Standard-Client- und LAN-Plattformen auf Windows NT 4.0 sowie der Groupware auf Lotus Notes an. Das bedeutet die Chance, auch neue Sicherheitslösungen flächendeckend einzuführen.

Eine besondere Herausforderung besteht darin, daß erstmals auch kritische Betriebsaufgaben durch Outsourcing-Partner erbracht werden. Die Geschäfte einer Bank stellen besondere Anforderungen an den Schutz der Kundendaten. Folglich sind Lösungsansätze gefragt, die Datenschutzbedürfnisse mit den technischen Anforderungen eines Netzbetriebes durch konzernfremde Dienstleister in Einklang bringen.

In einem ersten Schritt wurde ein Maßnahmenbündel erarbeitet, das auf den zentralen Forderungen der eingangs erläuterten Sicherheitsgrundsätze basiert. Es besteht aus fünf Modulen:

1. Konfiguration (ein Paket von Maßnahmen einschließlich Virenschutz und Dienstekontenverwaltung),

2. Beobachtung und Kontrolle sicherheitsrelevanter Objekte ("Auditing"),

3. Kryptografie (verschlüsselte Datenspeicherung und - übermittlung),

4. Organisatorische Regelungen sowie

5. Schulungen zur Sensibilisierung.

Die Wirksamkeit der Maßnahmen ergibt sich erst aus ihrer Kombination. Die Module 1 bis 3 enthalten Tool-Vorschläge, die bei ersten Funktionstests positiv beurteilt wurden. Als nächster Schritt folgt der Integrationstest in der Zielumgebung, für die beispielsweise "Service Pack 4" für Windows NT 4.0 erst seit kurzem zur Verfügung steht. Ist das Pilotprojekt in einer geeigneten Organisationseinheit abgeschlossen, wird die Sicherheitslösung unternehmensweit in der West LB eingeführt, um eine umfassende Sicherheit für den Finanzdienstleister zu garantieren.

Der Dienstleister

Die West LB Systems GmbH ist der IT-Dienstleister der Westdeutschen Landesbank. Das 1997 gegründete Unternehmen betreut die Zentrale und die Töchter der West LB auf dem Gebiet der Informationstechnik in Form von Beratung, Planung, Konzeption und Betrieb von Systemen, die speziell auf den Finanzdienstleistungs- Markt ausgerichtet sind. Das Service-Unternehmen beschäftigt derzeit mehr als 200 Mitarbeiter - mit steigender Tendenz.

Die Bank

Die Westdeutsche Landesbank (West LB) ist mit ihrer Konzern- Bilanzsumme von 620 Milliarden Mark (Stand 1997) die viertgrößte und zugleich die größte öffentlich-rechtliche Bank in Deutschland. Sie beschäftigt etwa 10 000 Mitarbeiter und ist in 35 Ländern vertreten. Neben ihrer Geschäftstätigkeit als Universalbank für Großkunden fungiert sie als Sparkassen-Zentralbank in Nordrhein- Westfalen und Brandenburg sowie als Staatsbank des Landes Nordrhein-Westfalen.

Dr. Werner Dinkelbach leitet den Bereich Banking Security der West LB Systems GmbH in Düsseldorf.