Projektpartner

  • Unicredit Bank AG
  • Fraunhofer-Institut für offene Kommunikations-systeme (FOKUS)
  • xiv-consult GmbH
  • Wincor Nixdorf International GmbH

Kalender

Kontaktdaten

Carsten Keller
Wincor Nixdorf International GmbH
Heinz-Nixdorf-Ring 1
+49 5251/693 3732
carsten.keller@wincor-nixdorf.com

Framework zum präventiven Krisen- und Risiko-Management für Rechenzentren systemrelevanter Banken

Methoden und Werkzeuge für eine systematische Sicherheitsbewertung von Rechenzentren, Risikomanagement mit Echtzeitmessungen, Sicherheitstests und Simulationen von Bedrohungsszenarien, Compliance

Akronym PREVENT Förderkennzeichen 16KIS0182K
Beginn 01.01.2015 Ende 31.12.2017
Webseite http://www.prevent-project.org/

Moderne Gesellschaften sind in hohem Maße abhängig von hochintegrierten IT-Systemen und anderen technischen Infrastrukturen, die grundlegende Dienste für das soziale und ökonomische Zusammenleben bereitstellen. Solche Systeme, seien es Kommunikationsnetze, Netze für die intelligente Stromversorgung oder Rechenzentren integrieren Prozesse und Dienstleistungen über Firmengrenzen hinweg und basieren auf Komponenten verschiedenster Hersteller. Wenn sensible Daten verwaltet oder wichtige Abläufe gesteuert werden und Störungen, Fehlfunktionen oder Ausfälle schwerwiegende sowie weitreichende Folgen hätten, handelt es sich um kritische Infrastrukturen. Derartige Systeme sind über eine Vielzahl organisatorischer und technischer Schnittstellen in ihre Umgebung integriert und bieten allein schon deshalb eine Vielzahl möglicher Angriffspunkte, über welche etwa die Verfügbarkeit der Infrastruktur beeinträchtigt werden kann oder sensible Daten gestohlen bzw. manipuliert werden können. Der aktuelle Trend in Richtung Virtualisierung sowie die Tendenz, wichtige Dienste nicht mehr selber betreiben zu wollen sondern an zentrale Betreiber zu übergeben (Outsourcing) bzw. in die Cloud zu verlegen (Cloudsourcing), stellen – gerade im Hinblick auf Themen wie IT-Sicherheit und Datenschutz sowie deren entsprechende Einbettung in rechtlich-regulatorische Rahmenbedingungen – eine Reihe neuer Herausforderungen dar, die sich speziell an die Betreiber solcher kritischen Infrastrukturen richten. So muss z.B. besonders in kritischen Prozessen eine Organisation nicht nur sicherstellen, dass sie Daten kontrolliert bei einem Dienstleister bzw. in der Cloud verarbeiten lassen kann, sondern auch dass sie selber in der Lage ist dies sicher zu tun, es zu kontrollieren und zu bemessen sowie ihre Sicherheitsinteressen gegenüber dem Dienstleister bzw. Cloudanbieter durchzusetzen.
Der zentrale Gegenstand von PREVENT ist das IT-Sicherheits-, Risiko- und Compliance Management für Rechenzentren systemrelevanter Banken. Solche Rechenzentren sind kritisch, weil sie der Umschlagplatz für große Geldmengen sind. Ihr korrektes Funktionieren und ihre Verfügbarkeit sind zentral für den nationalen und internationalen Zahlungsverkehr und damit für die Geschäftsfähigkeit eines Landes. Darüber hinaus ist der sichere und vertrauliche Umgang mit Finanzdaten die Grundlage für das Vertrauen der Kunden in die elektronische Finanzinfrastruktur und damit die entscheidende Geschäftsgrundlage einer Bank bzw. Grundlage für das Funktionieren elektronischer Handels- und Bezahlmodelle überhaupt.
Geld, insbesondere viel Geld, weckt auf der anderen Seite Begehrlichkeiten. Das Rechenzentrum einer Bank ist nicht nur interessant für einfache Hacker, sondern im Besonderen interessant für den Zugriff durch organisierte Kriminalität, Geheimdienste und politisch motivierten Terrorismus. Zusätzlich dazu sind in den letzten Jahren die Schäden durch Insider-Angriffe und interne, nichtlegitimierte Datenzugriffe immens gestiegen.
Eine effektives IT-Sicherheits-, Risiko- und Compliance Management gehört zu den fünf wichtigsten Sicherheitsinitiativen zur Absicherung von IT-gestützten Prozessen im Finanzwesen. Es ist die notwendige Basis, um im Betrieb sicherheitsrelevante Entscheidungen fundiert und angemessen treffen zu können. Derzeit verfügbare Ansätze für ein IT-Sicherheits-, Risiko- und Compliance Management sind in der Regel heterogen, scheitern häufig an der Komplexität hochintegrierter IT-Systeme und ihren vernetzten Abhängigkeiten und sind zu träge um eine konkrete Entscheidungshilfe in einer akuten Krisensituation bieten zu können. Genau an dieser Stelle setzen wir mit unserem Forschungsvorhaben an und bieten mit der konzeptionellen und technischen Entwicklung eines Integrierten Frameworks zum präventiven Krisen- und Risiko-Management für Rechenzentren systemrelevanter Banken eine Lösung an, die den Anforderungen nach der Konvergenz von technischen IT-Sicherheitslösungen, Risikomanagement und Compliance Management gerecht wird und durch die Bereitstellung von Echtzeitdaten und speziell für den Finanzsektor zugeschnittenen Sicherheitsindikatoren ein Instrument für kritische Entscheidungen sowohl im Normalbetrieb wie auch in Krisensituationen zur Verfügung stellt.

> Weitere Informationen

Neuigkeiten (7)

  • Tagungsband RISK 2016 erschienen,

    Jürgen Großmann

    die Proceedings des RISK 2016 Workshops sind unter dem Titel "Risk Assessment and Risk-Driven Quality Assurance, 4th International Workshop, RISK 2016, Held in Conjunction with ICTSS 2016, Graz, Austria, October 18, 2016, Revised Selected Papers" im Springer Verlag veröffentlicht worden. Die Proceedings enthalten Beiträge aus den KRITIS Projekten PREVENT und MOSAIK.

  • InnoVisions Beitrag zu PREVENT

    Jürgen Großmann

    Das Magazin InnoVisions bringt unter dem Titel "Risikofaktor IT IT-Einsatz und Bankprozesse im Sicherheitscheck" einen Beitrag zum Projekt PREVENT.

  • RISK 2016 Workshop erfolgreich

    Jürgen Großmann

    Auf dem RISK Workshop 2016 diskutierten Wissenschaftler aus 8 europäischen Ländern im Rahmen von 11 Präsentationen innovative Ansätze aus den Bereichen Security Risk Assessment, Security Testing und Risk-based Testing. Das ITS Kritis Projekt PREVENT stellte das Werkzeug RACOMAT und eine Methode zum "Business Driven ICT Risk Management in the Banking Domain" vor.

  • PREVENT auf der TAROT Summer School

    Jürgen Großmann

    Fraunhofer Forscher Jürgen Großmann präsentiert auf der 12. TAROT Summer School in der Vorlesung "Integrating security testing, risk assessment and compliance assessment" Ergebnisse aus dem PREVENT Projekt.

  • UP-KRITIS und BDB

    Jürgen Wendling

    Die Ausgestaltung eines integrierten Risikomanagements im Rechenzentrum von Banken wird auch durch externe Anforderungen beeinflusst, wie sie durch das IT-Sicherheitsgesetz für das Informationssicherheits- und Risikomanagement sowie das Meldewesen für die Rechenzentren kritischer Infrastrukturen vorgesehen sind. Die UniCredit Bank AG / HypoVereinsbank hält Kontakt zu verschiedenen Gremien, die sich u.A. mit der branchenspezifischen Umsetzung des IT-Sicherheitsgesetzes im Finanz- und Versicherungswesen befassen, insbesondere die entsprechenden Arbeitskreise UP-KRITIS und im BDB, damit die Anforderungen im Projekt PREVENT berücksichtigt werden können.

  • Standardisierungsaktivitäten im Rahmen der ETSI

    Jürgen Großmann

    Fraunhofer FOKUS leitet die Arbeitsgruppe MTS Security SIG beim European Telecommunication Standardisation Institute (ETSI). Fraunhofer FOKUS koordiniert die dort angesiedelten Standardisierungsaktivitäten. Nach der Veröffentlichung des ETSI Guides EG 203251 Methods for Testing & Specification Risk-based Security Assessment and Testing Methodologies (http://www.etsi.org/deliver/etsi_eg/203200_203299/203251/01.01.01_50/eg_203251v010101m.pdf) im Januar 2016 wird derzeit die Veröffentlichung des ETSI Guides EG 203250 Methods for Testing & Specifications Security Assurance Lifecycle (https://portal.etsi.org/webapp/workProgram/Report_WorkItem.asp?wki_id=43303) vorbereitet. Der ETSI Guides EG 203250 dient als Orientierungshilfe zur systematischen Integration von Security Assurance-Aktivitäten in die Phasen des Software Life Cycles. Die Veröffentlichung ist für Sommer 2016 geplant.

  • PREVENT Artikel für die DIN-Mitteilungen 08/16

    Jürgen Großmann

    Im Rahmen der DIN-Mitteilungen 08/16 werden wir das PREVENT Projekt, die Ziele und Lösungsansätze sowie den Bezug zur Standardisierung kurz darstellen.

Publikationen (0)

Diesem Projekt sind noch keine Publikationen zugeordnet.