EZB-Compliance
So erfüllen Banken die Anforderungen der EZB an ihre Netzwerksicherheit
EZB-Compliance erfüllen
Von Thorsten Geissel, Director Sales Engineering EMEA, Tufin Technologies
Fehler: Die ID ist kein Bild.
In dem Bestreben, Innovationen im elektronischen Zahlungsverkehr zu fördern und gleichzeitig potenzielle Secrity-Risiken zu verringern, veröffentlichten die Europäische Bankenaufsichtsbehörde (EBA) und die Europäische Zentralbank (EZB) im Februar 2014 einen Leitfaden zur Bewertung der Sicherheit von Internet-Zahlungen . Dieser Leitfaden legt Mindestsicherheitsanforderungen fest, zu deren Umsetzung Zahlungsdienstleister in der EU bis zum 31. Dezember 2020 verpflichtet sind.
Eine wesentliche Forderung der EZB ist dabei ein Least Privilege Access, d.h. die Einschränkung von Zugriffen auf Anwendungen und Workloads nach dem Prinzip der minimalen Rechtevergabe. Jedem Mitarbeiter wird also nur der Zugriff gewährt, den er zur Erledigung seiner Arbeit auch tatsächlich benötigt.
Gemäß den EZB-Guidelines bedarf jede Erstellung oder Änderung einer Zugriffsrichtlinie einer dokumentierten Begründung inklusive Angaben zum Business Owner und dessen Zustimmung. Die Einhaltung der Richtlinien sollte zudem regelmäßig rezertifiziert werden. Um den geforderten Least Privilege-Zugriff konsequent sicherstellen zu können, dürfen ausschließlich begründete nachvollziehbare Policies implementiert werden. Finanzinstitute, die die Forderungen nach überwachten Least Privilege-Zugriffen sowie nach einer Rezertifizierung der Richtlinien nicht nachkommen können, sind verpflichtet, einen Sanierungsplan vorzulegen, um sicherzustellen, dass sie daran arbeiten, die Richtlinien in naher Zukunft vorschriftsmäßig zu erfüllen.
Access Management-Kompetenzen zur Erfüllung der EZB-Richtlinien
In der Theorie mag die Umsetzung einer minimalen Rechtevergebe, d.h. die Beschränkung von Zugriffsrechten auf ein Mindestmaß, recht einfach klingen, doch in der Realität sehen sich die Verantwortlichen mit vielen Herausforderungen konfrontiert. Sowohl der Least Privilege-Ansatz als auch eine lückenlose Dokumentation und Rezertifizierung – und damit die Erfüllung der EZB-Richtlinien – erfordern von den Verantwortlichen nämlich verschiedene Fähigkeiten in Sachen Zugriffsmanagement. Folgende sechs Kernkompetenzen spielen dabei eine besonders wichtige Rolle:
1. Einrichten eines Workflows
Eine wichtige Voraussetzung für das Erreichen von EZB-Konformität ist ein streng definierter und gut dokumentierter Workflow, um durchgehend Zugriff auf Konnektivität zu gewährleisten. Bei diesem Workflow sollte es sich um einen wiederholbaren Prozess handeln, dessen Einhaltung kontinuierlich überwacht werden kann. Darüber hinaus ist eine strikte Aufgaben- und Verantwortlichkeitstrennung erforderlich, d.h. die Arbeitsabläufe müssen so definiert werden, dass z.B. ein Mitarbeiter, der Zugang beantragt, nicht dieselbe Person ist, die den Zugang gewährt.
2. Kontinuierliche Application Discovery
Die EZB-Regularien folgen einer anwendungszentrierten Sichtweise, weshalb es unerlässlich ist, stets eine aktuelle Liste der Anwendungen oder Workloads vorliegen zu haben, die Konnektivität erfordern. Nur so kann der Least Privilege-Zugriff flächendeckend umgesetzt werden.
3. Erfassen von Metadaten der Zugriffsanfragen
Alle Anträge auf Anwendungskonnektivität bedürfen einer geschäftlichen Begründung und müssen zwingend durch einen Owner bestätigt werden. Dies bedeutet, dass im Rahmen des Change-bzw. Access-Workflows nicht nur die Anfragen, sondern auch die jeweiligen Eigentümer und Begründungen der Anfragen getrackt werden. Für die Unternehmen bedeutet das, dass sie ein Verfahren zum Sammeln, Verfolgen und Zuordnen der Metadaten zu jeder Regel festgelegt müssen.
4. Verknüpfen der Zugriffsanfragen mit den Sicherheitsrichtlinien
Um in einem Audit nachzuweisen, dass die Zugriffsrichtlinien tatsächlich eine geschäftliche Berechtigung und einen Eigentümer haben, müssen die anwendungszentrierten Zugriffsanfragen mit den Richtlinien für Netzwerksicherheitsgeräte oder Sicherheitsgruppen verknüpft bzw. ihnen zugeordnet werden können.
5. Einhalten von Unternehmensstandards
Sämtliche Sicherheitsrichtlinien, die sich aus den Zugriffsanfragen ergeben, müssen selbstverständlich den Unternehmensstandards entsprechen. Dies erfordert ein zentrales Repository von Policies, mit dem alle Richtlinien systematisch abgeglichen werden können.
6. Manipulationssichere Rezertifizierung
Verantwortliche in den Unternehmen müssen die bestehende Regelbasis regelmäßig überprüfen und dabei sicherstellen, dass jede der oben genannten Maßnahmen ordnungsgemäß umgesetzt wird. In den EZB-Richtlinien selbst ist die Häufigkeit dieser Überprüfungen nicht festgelegt, doch Wirtschaftsprüfer haben sich darauf geeinigt, dass sie alle 180 Tage stattfinden soll.
Automatisierung der Netzwerksicherheits-Policies
Angesichts einer zunehmenden Netzwerkkomplexität und einer wachsenden Zahl von Anwendungen und Sicherheitsrichtlinien, die hybride Netzwerkumgebungen umfassen, können sich Finanzinstitute nicht mehr auf disparate Lösungen oder manuelle Prozesse zur Überwachung und Kontrolle von Netzwerkzugriffen und zur Aufrechterhaltung ihrer Compliance verlassen.
Um die oben beschriebenen sechs Kernkompetenzen erfüllen zu können, brauchen sie eine effektive und zentralisierte Lösung, die ihnen nur ein automatisiertes Network Security Policy Management-System, kurz NSPM, bieten kann. Dieses ermöglicht es Security-, Netzwerk- und Cloud-Operation-Teams, Informationen in Echtzeit zu kontrollieren und sichtbar zu machen. Dazu gehört die vollständige Transparenz über sämtliche Zugriffs- oder Änderungsanfragen, Anwendungen, Kommunikationspfade und Netzwerksicherheitsgeräte und -plattformen sowie die Möglichkeit, ein überprüfbares und genaues Netzwerkänderungsmanagement zu implementieren.
Dabei umfasst eine robuste NSPM-Lösung eine komplette Multi-Cloud-, Multivendor- und hybride Umgebung und bietet Unternehmen eine integrierte Plattform, die es ihnen ermöglicht, mit sämtlichen Veränderungen im Netzwerk Schritt zu halten. Sie sind so in der Lage, sicherzustellen, dass Änderungen dokumentiert und EZB-konform sind sowie konsistent auf jede Anwendung oder Arbeitslast in Ihrer gesamten Umgebung oder Plattform angewendet werden.