Projektpartner

  • Unicredit Bank AG
  • Fraunhofer-Institut für offene Kommunikations-systeme (FOKUS)
  • xiv-consult GmbH
  • Wincor Nixdorf International GmbH

Kalender

Kontaktdaten

Carsten Keller
Wincor Nixdorf International GmbH
Heinz-Nixdorf-Ring 1
+49 5251/693 3732
carsten.keller@wincor-nixdorf.com

Relevanz des Projekts und Grundlagen

Um oben genanntes kosteneffizient und effektiv anzubieten, ist die Erforschung und Entwicklung von Konzepten, Verfahren, Methoden und Werkzeugen für folgende Aspekte erforderlich:

• Methoden und Techniken zur Integration von Risiko und Compliance Management,
• Indikatoren und Metriken für die Bewertung der IT-Sicherheit des Rechenzentrums einer Bank,
• effiziente risiko-basierte Test- und Messverfahren zur kontinuierliche Messung und Bewertung der technischen IT-Sicherheitseigenschaften der Infrastruktur,
• Simulationsverfahren zur Risikointegration und zur Simulation von Cyber-Angriffen,
• reaktiver Schutz der Systeme im Fall erkannter Angriffe und Gefährdungssituationen sowie
• Identifikation regulatorischer und betrieblicher Faktoren als Relevanz für die Einführung der erforschten Methoden und Werkzeuge.

Die Partner im Konsortium ergänzen sich im Forschungsvorhaben, sodass von einer effektiven Umsetzung der o.g. Ziele ausgegangen werden kann. Vom Anwender (einer Bank) über den Betreiber einer kritischen Infrastruktur bis hin zur Systementwicklung werden sämtliche relevanten Disziplinen beherrscht. Fraunhofer FOKUS besitzt die notwendige wissenschaftliche Fachexpertise in den Bereichen Simulation, IT-Sicherheit und Risikoanalyse. Die HypoVereinsbank ist als sechstgrößte deutsche Bank eine systemrelevante Bank mit den Schwerpunkten Privat- und Firmenkundengeschäft sowie kundenbezogene Kapitalmarktaktivitäten. Mit Wincor Nixdorf ist Betreiber einer kritischen Infrastruktur. Die xiv-consult besitzt ausgewiesene Expertise im Bereich der IT-Sicherheit, im Besonderen Cyber-Risiken und ihrer Erfassung im industriellen Kontext.

Innovationen und Perspektiven:
Die Konzeption, Entwicklung und Implementation dieser integrierten Mess- und Steuerungssoftware bietet zwei wesentliche Neuerungen: Zum einen treten die Abhängigkeiten zwischen Prozessen und Anwendungen im Bankbereich deutlicher zu Tage. Risiken können so genauer erfasst und abgestellt werden. Zum anderen bietet die neue Management-Software die Grundlage für die Erstellung aktueller
Lagebilder in Echtzeit. So können in Krisensituationen schnell geeignete Schutz- und Gegenmaßnahmen eingeleitet werden.

Forschungsfragen

Es besteht Forschungsbedarf für ein holistisches Risiko- und Compliance Management Konzept, das es ermöglicht verschiedene Sicherheitsaspekte systemrelevanter Banken in einem Gesamtframework zu betrachten. Speziell in Bezug auf IT-Sicherheit ist die Integration von verschiedenen Verfahren und Methoden (Simulation, Sicherheitstests, Risikoanalyse und Monitoring) zur fortlaufenden Optimierung der Sicherheitseigenschaften eines Bankenrechenzentrums erforderlich.

Es existiert eine Vielzahl von Methoden zur Risikoanalyse. Gegenwärtig ist es eine offene Herausforderung, Risikoanalyse-Artefakte aus verschiedenen fachlichen Bereichen (technische, rechtliche, wirtschaftliche Risiken) und verschiedenen Analyse-Konzepten miteinander zu einem großen Gesamtrisikobild zu kombinieren – die Wiederverwendbarkeit von Risikoanalyse-Artefakten ist daher derzeit sehr begrenzt. Forschungsbedarf besteht weiterhin bei der Entwicklung einer möglichst automatische Reaktionen auf Risiken, die im Rahmen einer fortlaufenden Risikoanalyse erfasst werden.

Während es im akademischen Bereich eine Reihe unterschiedlicher Ansätze gibt, die beschreiben, wie IT-Sicherheitstestprozesse mit den Ergebnissen der Risikoanalyse zu optimieren sind, gibt es nur wenige Publikationen zur Verbesserung von Risikoanalysen durch die Nutzung von Test- und Monitoring-Ergebnissen. Eine generell anwendbare, industrietaugliche Methode und eine leistungsfähige Werkzeugunterstützung existieren bisher noch nicht.

Eine Reihe von bekannten Netzwerk-Simulatoren und Simulationstechniken werden in der Regel für die Netzwerkplanung und Verifikation von Modellen in der Forschung benutzt. Dabei sind diese Techniken kaum in einem operativen integrierten Risikomanagementprozess (bezogen auf IT-Sicherheit) eingebunden. Die Innovation im Rahmen des aktuellen Forschungsvorhabens ist der Einsatz solcher Simulatoren als Hilfsmittel zur integrierten Überprüfung von Sicherheitsmaßnahmen, sowie zur kontinuierlichen Risikobewertung, zur Durchführung gezielter Sicherheitstests und zur kosteneffiziente Messung der IT-Sicherheit eines Bankenrechenzentrums.

Das anvisierte Zusammenspiel von Simulation und Risikomanagement mit dem Ziel der effizienten Sicherheitsbewertung von Systemen und der schnellen Reaktion auf Cybergefahren und Angriffen bietet die Grundlage für die Forschung im Rahmen des Projektes PREVENT. Dabei geht es verstärkt um die Berücksichtigung von regulatorischen, betrieblichen und technischen Faktoren im Risikomanagement. Eine besondere Herausforderung stellt die Integration von heterogenen, teilweise externen Informationsbasen, Sicherheitsbewertungen und Simulations- und Testergebnissen in ein umfassendes Risikolagebild dar. Ein solches Lagebild ist Voraussetzung für eine schnelle Reaktion auf drohende Gefahren, so wie die systematische (pro-)aktive Abwehr von Angriffen. Im Sinne der o.g. Konzepte und Techniken ist eine Detailuntersuchung der dafür notwendigen Methoden, Techniken und Werkzeugen notwendig, die im Rahmen des Forschungsvorhabens durchzuführen ist. Die Integration der zu entwickelnden Methoden, Techniken und Werkzeuge in bestehenden Prozesse und IT/Telekommunikation-Management Standards ist sicherzustellen.

Ziele

Ziel dieses Projekts ist die konzeptionelle und technische Entwicklung eines Integrierten Frameworks zum präventiven Krisen- und Risiko-Management für Rechenzentren systemrelevanter Banken. Unter dem Begriff Framework verstehen wir in diesem Zusammenhang die Zusammenstellung von Methoden und Werkzeugen mit dem Ziel:
[Ziel 1] Betreiber von Bankenrechenzentren bzw. assoziierte IT-Sicherheitsdienstleister dazu zu befähigen, die Risiken und Gefährdungen im Bereich IT-Sicherheit einfach und effektiv erfassen, kontrollieren und minimieren zu können.
[Ziel 2] Betreiber von Bankenrechenzentren bzw. assoziierte IT-Sicherheitsdienstleister dazu zu befähigen, die jeweiligen rechtlichen Rahmenbedingungen unter denen ihre kritischen Infrastrukturen betrieben werden, besser zu bewerten und die Compliance zu externen und internen Richtlinien aus dem Bereich IT-Sicherheit einfach und effektiv prüfen zu können.
[Ziel 3] Betreiber von Bankenrechenzentren bzw. assoziierte IT-Sicherheitsdienstleister in Krisensituationen Informationen in Echtzeit zur Verfügung zu stellen, um semi-automatisch technische und organisatorische Kriseninterventionsmaßnahmen einleiten zu können.
[Ziel 4] Betreiber von Bankenrechenzentren bzw. assoziierte IT-Sicherheitsdienstleister dazu befähigen, die eingesetzten IT-Systeme systematisch und risiko-orientiert auf ihre Sicherheitseigenschaften untersuchen zu können (testen, messen) und die Ergebnisse als Indikatoren in das Risikomanagement zu integrieren um kontinuierlich ein aktualisiertes Risikolagebild zu erhalten.
[Ziel 5] Betreiber von kritischen Infrastrukturen bzw. assoziierte IT-Sicherheitsdienstleister dabei zu unterstützen, Krisensituationen zu simulieren und die Ergebnisse als Indikatoren in das Risikomanagement zu integrieren.

Vorgehen

Es wird der Ansatz verfolgt, Verhaltensregeln und Risikomanagement mit Echtzeitmessungen, Sicherheitstests und Simulationen von Bedrohungsszenarien zu verbinden. Die Kombination dieser unterschiedlichen Instrumente in einer neuartigen Software garantiert eine verbesserte Absicherung von Rechenzentren.

Mit Hilfe einer Fallstudie aus dem Geschäftsfeld Zahlungsverkehr wird im Hinblick auf das Risikomanagement die Angemessenheit des Sicherheitslevels evaluiert. Durch geplante Simulationen werden neue Ansätze zur Beurteilung des Sicherheitsniveaus verfolgt. Des Weiteren wird basierend auf den erarbeiteten Ansätzen die Sicherheit der bestehenden IT-Sicherheitslösung für kritische Banken Infrastruktur weiter verbessert.

In Ermangelung eines generischen Bankenmodells wird im Rahmen von PREVENT exemplarisch für verschiedene Kommunikationsebenen innerhalb eines Bankenrechenzentrums ein Modell erstellt und bestehende Standards erweitert. Dieses Vorgehen ermöglicht es abstrakte Informationen über das Modell in verwertbare Daten zu transferieren, die als Eingabewerte für einen SW-gestützten Demonstrator dienen.