Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Erläuterung der EU-Compliance-Vorschriften Reihe: Finanzdienstleistungen

Illumio Editorial
Illumio Editorial
14September 2020
23 min. lesen

Im ersten Teil dieser Blogserie habe ich die Compliance-Landschaft erörtert und erläutert, wie verschiedene Branchen jeweils ihre eigenen Verwaltungsmandate oder Leitlinien zur Cybersicherheit haben. Es folgte ein Beitrag über Regulierung und Sicherheitskontrollen im Bereich Kritische Systeme und Betriebstechnik, ein Bereich, in dem ich direkte Erfahrungen gesammelt habe und der mich fasziniert, da sich die Cybersicherheit dort entwickelt.

Indem ich mich (in gewisser Weise) dem entgegengesetzten Branchentyp zuwende, werde ich hier auf einige der EU- und europäischen spezifischen Mandate eingehen, die für Finanzinstitute und Banken gelten. Während wir globale Mandate in Bezug auf SWIFT CSP und PCI-DSS haben, die an anderer Stelle ausführlich behandelt werden, werde ich mich in Anlehnung an das Thema dieser Serie auf die Kontrollen und Leitlinien konzentrieren, die speziell für die EU gelten. Der Einfluss dieser Mandate prägt für viele einige der größten IT-Sicherheitsprojekte in Europa.

Lassen Sie uns wie zuvor zunächst einige Akronyme definieren:

  • FMIs – Finanzmarktinfrastrukturen. Dies sind die Systeme, die den Banking-Prozess selbst untermauern.
  • CPMI – Der Ausschuss für Zahlungsverkehr und Marktinfrastrukturen. Die CPMI ist ein internationales Gremium, das Empfehlungen zur Förderung der Sicherheit von Zahlungs-, Clearing- und Abwicklungssystemen abgibt und die Aufsicht übernimmt.
  • IOSCO – Internationale Organisation der Wertpapieraufsichtsbehörden. Dies ist das Gremium, das die globalen Wertpapier- und Terminmärkte reguliert.
  • EZB – Die Europäische Zentralbank. Die Zentralbank der 19 EU-Länder, die den Euro als gemeinsame Währung eingeführt haben.
  • SIPS – Systemrelevante Zahlungssysteme. Ich werde im Folgenden speziell darauf eingehen, aber es genügt zu sagen, dass dies eine kurze Liste internationaler Backbone-Zahlungssysteme enthält, die von den meisten Banken verwendet werden.

Bevor wir fortfahren, lassen Sie uns einen Moment lang auf SIPS eingehen. SIPS sind wichtige Zahlungssysteme, die im Falle eines Ausfalls in der Regel landesweite Auswirkungen haben. Bei den hier definierten Ländern haben sie im Gegensatz zu einzelnen Ländern zumindest einen europaweiten Geltungsbereich und sind in vielen Fällen global in ihrer Reichweite und Verwendung.

Die primären Systeme, für die die entsprechenden Leitlinien gelten, sind TARGET2, EURO1 und STEP2-T. Gemäß der SIPS-Verordnung ist die EZB für die Beaufsichtigung dieser drei Systeme zuständig. Darüber hinaus sind die EZB und die Nationale Bank van België/Banque Nationale de Belgique für die Beaufsichtigung des Mastercard Clearing Management Systems SIPS zuständig, und die Banque de France ist für die Beaufsichtigung von CORE(FR) zuständig.

Ein globales Beispiel ist das U.S. Federal Reserve System, das die primäre Aufsichtsverantwortung für das CLS-System übernommen hat und ein kooperatives Aufsichtssystem leitet, an dem die EZB zusammen mit den nationalen Zentralbanken der G10 beteiligt ist. Innerhalb des Eurosystems ist die EZB in enger Zusammenarbeit mit anderen Zentralbanken des Eurosystems in erster Linie für die Abwicklung von auf Euro lautenden Zahlungen per CLS zuständig.

Grundprinzipien für systemrelevante Zahlungssysteme

Um als SIPS eingestuft zu werden, muss ein System die folgenden Richtlinien befolgen. Diese werden in Bankenkreisen manchmal als die "10 Gebote" bezeichnet:

  1. Eine fundierte Rechtsgrundlage.
  2. Regeln und Verfahren, die es den Teilnehmern ermöglichen, ein klares Verständnis der Auswirkungen des Systems auf jedes der finanziellen Risiken zu erhalten, die sie durch die Teilnahme daran eingehen.
  3. Klar definierte Verfahren für das Management von Kredit- und Liquiditätsrisiken, in denen die jeweiligen Verantwortlichkeiten des Systembetreibers und der Teilnehmer festgelegt sind und die geeignete Anreize für die Steuerung und Eindämmung dieser Risiken bieten.
  4. Rechtzeitige Endabrechnung am Tag des Wertes, vorzugsweise tagsüber und mindestens am Ende des Tages.
  5. Findet multilaterales Netting statt, so sollte es zumindest in der Lage sein, den rechtzeitigen Abschluss der täglichen Abrechnungen zu gewährleisten, falls der Teilnehmer mit der größten Einzelabwicklungsverpflichtung nicht in der Lage ist, die Abwicklung vorzunehmen.
  6. Bei den für die Abwicklung verwendeten Vermögenswerten sollte es sich vorzugsweise um eine Forderung an die Zentralbank handeln. Werden andere Vermögenswerte verwendet, so sollten diese mit einem geringen oder keinem Kreditrisiko und einem geringen oder keinem Liquiditätsrisiko verbunden sein.
  7. Ein hohes Maß an Sicherheit und Betriebssicherheit sowie Notfallvorkehrungen für die rechtzeitige Fertigstellung der täglichen Verarbeitung.
  8. Praktisch für seine Nutzer und effizient für die Wirtschaft.
  9. Objektive und öffentlich zugängliche Kriterien für die Beteiligung, die einen fairen und offenen Zugang ermöglichen.
  10. Governance-Regelungen, die wirksam, rechenschaftspflichtig und transparent sind.

Ich habe den siebten Eintrag auf der Liste hervorgehoben, da dies der Teil ist, der in die umgebenden Leitlinien zur Cybersicherheit einfließt, auf die wir uns konzentrieren werden.

Um Anweisungen zur Absicherung dieser SIPS zu geben, hat die CPMI zusammen mit der IOSCO im Jahr 2016 die Guidance on Cyber Resilience for financial market infrastructures (Guidance) zusammengestellt. Er enthält detaillierte Anleitungen zur Sicherung von Systemen dieser Größenordnung und Auswirkungen und definiert eine Reihe von Schwerpunktbereichen sowie Messstrategien.

Zu den Abschnitten mit hoher Sicherheitsstufe gehören beispielsweise:

Cyber Resilience

Identifizierung: Dabei geht es um die Fähigkeit eines Unternehmens, zu bestimmen, welche Systeme überhaupt geschützt werden müssen. Dazu gehören Geschäftsfunktionen, Prozesse, Assets und Informationen. Die korrekte Identifizierung ermöglicht die Priorisierung der nächsten Anstrengungen.

Der Schlüssel zu Verbesserungen in diesem Bereich ist die schnelle Identifizierung der hochwertigen Systeme und der Abhängigkeiten, die sie aufgebaut haben. In den allermeisten Fällen existieren diese Systeme bereits als komplexe Brownfield-Umgebungen, in denen erheblicher Aufwand erforderlich ist, um alle kritischen Abhängigkeiten und Pfade zu identifizieren.

Schutz: Nach der Identifizierung die Implementierung wirksamer Kontrollen mit dem Ziel, kritische Systeme vor Cyberangriffen und Kompromittierungen zu schützen.

Für mich spielt Zero Trust dabei eine zentrale Rolle. Durch die Einführung einer Architektur, die so nah wie möglich an einer Standardverweigerungsarchitektur liegt, ist der Schutz inhärent, und der Spielraum für Angriffe wird reduziert. Darüber hinaus ist der Explosionsradius einer erfolgreichen Kompromittierung von Natur aus kleiner.

Erkennung: Pragmatisch werden Erkennungsmethoden, Eindämmungs- und Abwehrtaktiken beschrieben, die im Falle eines erfolgreichen Angriffs auf ein in den Geltungsbereich fallendes System angewendet werden sollten.  

Wenn sie direkt mit den Identifikations- und Schutzteilen verbunden sind, ist die Erkennung eines Angriffs viel einfacher, wenn wir bereits ein normales Verhalten etabliert und eine Standard-Deny-Konfiguration über das Netzwerk, die Anwendungen und den Benutzerzugriff eingerichtet haben.

Testen: Als Ergänzung enthält der Testabschnitt die beste Vorbereitung und das Testen von Systemen, die an den vorherigen drei Abschnitten beteiligt sind, und ihre Konfiguration auf widerstandsfähige Weise durch wiederholte Nachweise, um Angriffen standzuhalten.

Ich habe bereits über die Zuordnung dieser Abschnitte geschrieben , indem ich Illumio verwendet habe, um kritische Anwendungen und Abläufe zu identifizieren, sich durch eine Zero-Trust-Richtlinienarchitektur vor Angriffen zu schützen, Änderungen im Anwendungsverhalten zu erkennen und schließlich Organisationen im Rahmen der Anleitung dabei zu helfen, eine sichere Konfiguration zu bestätigen.

Als äußerst hilfreiche Entwicklung zusätzlich zu der ursprünglichen Arbeit veröffentlichte die EZB selbst im Jahr 2018 einen Zusatz mit dem Titel Cyber Resilience oversight expectations for financial market infrastructures (CROE), der zusätzliche Hinweise zu Schritten zur Umsetzung der Empfehlungen enthält, die abstrakteren Konzepte auf klare, reale technologische Beispiele abbildet und schließlich definierte Erwartungen in Bezug darauf enthält, wie ein FMI für den Erfolg gemessen werden könnte.

Das CROE fördert die Kommunikation zwischen den FMI, um die Sicherheit in allen Instituten zu verbessern, und bezieht sich weiterhin auf die drei Messstufen, die im ursprünglichen Papier von 2016 skizziert wurden, nämlich:

Entfaltend: Wesentliche Fähigkeiten werden im gesamten FMI etabliert, weiterentwickelt und aufrechterhalten, um Cyberrisiken zu identifizieren, zu managen und zu mindern, in Übereinstimmung mit der vom Vorstand genehmigten Cyber-Resilienz-Strategie und dem Rahmenwerk. Die Leistung der Praktiken wird überwacht und verwaltet.

Fortschreitend: Neben der Erfüllung der Anforderungen der sich entwickelnden Ebene beinhalten die Praktiken auf dieser Ebene die Implementierung fortschrittlicherer Tools (z. B. fortschrittliche Technologie- und Risikomanagement-Tools), die in alle Geschäftsbereiche des FMI integriert sind und im Laufe der Zeit verbessert wurden, um Cyberrisiken für das FMI proaktiv zu managen.

Neuerungen vornehmend: Neben der Erfüllung der sich entwickelnden und weiterentwickelnden Anforderungen der Ebenen werden die Fähigkeiten des gesamten FMI nach Bedarf in der sich schnell entwickelnden Cyber-Bedrohungslandschaft verbessert, um die Cyber-Resilienz des FMI und sein Ökosystem zu stärken und proaktiv mit seinen externen Stakeholdern zusammenzuarbeiten. Auf dieser Ebene geht es darum, Innovationen in Bezug auf Menschen, Prozesse und Technologien für das FMI und das breitere Ökosystem voranzutreiben, um Cyberrisiken zu managen und die Cyber-Resilienz zu verbessern. Dies kann die Entwicklung neuer Kontrollen und Instrumente oder die Schaffung neuer Gruppen für den Informationsaustausch erforderlich machen.

CROEmeasurement

Um es zusammenzufassen

Sowohl Dokumente als auch meine Erfahrung in Gesprächen mit den verantwortlichen Teams zeigen, dass das Verständnis für die Auswirkungen dieser Systeme auf das tägliche Leben (insbesondere das Potenzial für katastrophale Länder- und sogar globale Auswirkungen, wenn das System kompromittiert wird) erheblich zunimmt. Ich finde es bezeichnend, dass diese Entwicklungen noch sehr jung sind und die Umsetzung der Leitlinien möglicherweise gerade erst beginnt. Abgesehen davon und wie im ersten Teil dieses Artikels erwähnt, habe ich aus erster Hand gesehen, wie diese Richtlinien hochrangige, jahrzehntelange IT- und IT-Sicherheitsprojekte prägen: die Bestimmung der implementierten Systemtypen, ihre Zuordnung zu den wichtigsten messbaren Bereichen der Dokumente und die Art und Weise, wie die Systeme selbst entworfen und strukturiert werden.

Bei Illumio konzentrieren wir uns auf drei Schlüsselbereiche, die direkt auf beide Dokumente abgebildet werden, nämlich die Identifizierung mittels unseres Application Dependency Mapping. Dies gibt Unternehmen die Möglichkeit, mit Echtzeitkarten ihrer kritischen Systeme und Anwendungen zu arbeiten und die normalen Abhängigkeiten und Anwendungsflüsse zwischen ihnen zu ermitteln. Es ermöglicht auch die genaue Festlegung des Umfangs der erforderlichen Grenzen für den nächsten Abschnitt – Schutz.

Die Illumio-Plattform ist von Natur aus Zero Trust. Es kann eine Richtlinie definiert werden, die nur die notwendigen Anwendungsflüsse zulässt und so potenzielle Kompromittierungspfade und laterale Bewegungen massiv einschränkt. Die Kombination aus Mapping und Richtlinienkonfiguration ermöglicht die einfache Erkennung von Bedrohungen, der dritten wichtigen Säule, durch das Aufdecken neuer versuchter Kommunikationspfade, eine Änderung des Verhaltens von Anwendungs-Workloads und die Möglichkeit, kompromittierte Workloads schnell und sicher unter Quarantäne zu stellen.

Weitere Informationen darüber, wie Illumio Finanzdienstleister schützt, finden Sie auf dieser Lösungsseite. Und bitte begleiten Sie mich beim nächsten Mal, um über einige der anderen Mandate in der EU nachzudenken – wie z. B. GDPR und TSR!

Verwandte Themen

Compliance
Banking & Financial Services

Verwandte Artikel

3 Schlüssel zur Bewältigung der rechtlichen Folgen von Cyberangriffen
Cyber Resilience

3 Schlüssel zur Bewältigung der rechtlichen Folgen von Cyberangriffen

Erfahren Sie, wie Sie auf die rechtlichen Folgen einer Sicherheitsverletzung oder eines Ransomware-Angriffs vorbereitet sind.

Read more
Der lange Arm der Kanzlei und die Zukunft der Cybersicherheit
Cyber Resilience

Der lange Arm der Kanzlei und die Zukunft der Cybersicherheit

Als Sicherheitsexperte in einer Anwaltskanzlei geht es Ihnen um zwei Dinge: (1) Sichern Sie die Daten Ihrer Kanzlei und (2) tun Sie dies, ohne die tägliche Arbeit der Partner und Mitarbeiter der Kanzlei zu stören.

Read more
Licht, Kamera, Hacking: Cyber-Experten kritisieren Hollywood-Hacker
Cyber Resilience

Licht, Kamera, Hacking: Cyber-Experten kritisieren Hollywood-Hacker

Begleiten Sie zwei Cybersicherheitsexperten, die Szenen aus einigen der berühmtesten Hollywood-Filme aufschlüsseln, um den ungenauen, veralteten Umgang mit Hacking und Cybersicherheit in Filmen hervorzuheben.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more