Für Sie besucht: Cloud Computing in the Financial Industry – A Security and Compliance Nightmare?

Abgelegt in: Antworten

Die englischsprachige Frühjahrskonferenz 2012 des E-Finance Lab fand in Darmstadt im Darmstadtium statt, das nach dem gleichnamigen Element benannt ist. Interessante Vorträge und renommierte Vortragende kennzeichneten die Veranstaltung und machten sie für Zuhörer lohnend.

Prof. Dr. Peter Buxmann, TU Darmstadt, stellte die Ergebnisse einer Studie vor, der zufolge Software as a Service (SaaS) sowohl in Deutschland als auch in den USA weit überwiegend nach Nutzer/Monat abgerechnet wird. An nächster Stelle folgen Hybridmodelle, bei denen die Abrechnung nach Nutzern und Nutzung erfolgt. Den geringsten Anteil von unter 10% haben nutzungsorientierte Preismodelle. Demgegenüber sind im Bereich Infrastructure as a Service (IaaS) Preismodelle nach Nutzung verbreitet, z.B. genutzte Speicherkapazität. Eine weitere empirische Umfrage, die gemeinsam von der TU Darmstadt und der TU München durchgeführt wurde und deren Auswertung noch nicht abgeschlossen ist, beschäftigt sich mit der Wahrnehmung, dass Cloud Computing risikobehaftet ist. Im Rahmen der Befragung wurden sechs Risikobereiche der IT-Sicherheit identifiziert, zu denen die bekannten Sicherheitsaspekte Vertraulichkeit, Integrität und Verfügbarkeit gehören. Die vorläufigen Ergebnisse zeigen, dass an erster Stelle die Vertraulichkeit (40%) als Risiko gesehen wird, gefolgt von Verfügbarkeit (28%). Diese beiden Risikobereiche machen zusammen mit der Accountability 90% des Risikoempfindens aus.

Frau Prof. Dr. Claudia Eckert, Direktorin des Fraunhofer Forschungsinstituts AISEC, Professorin für IT-Security an der TU München und Fachbuchautorin, widmete sich in Ihrem Vortrag den sicherheitsbezogenen Herausforderungen in der Cloud. Mit ihrem einleitenden Statement, dass Nutzer in der Cloud den Verlust an Kontrolle, Compliance und Daten fürchten, schloss ihr Vortrag nahtlos an den vorherigen an. Hauptaufgabe ist es also, Vertrauen herzustellen. Dies kann durch Security Monitoring erfolgen. Der vom AISEC entwickelte AISEC Cloud Leitstand stellt ein Rahmenwerk für das Security Monitoring dar, das sicherheitsrelevante Informationen bündelt und in einem Dashboard darstellt. Ein Prototyp ist bei AISEC vorhanden. Für diejenigen, die dem Provider nicht trauen, stellte Frau Prof. Dr. Eckert die Sealed Cloud vor, die sich noch im Anfangsstadium befindet. Hier geht es darum, gegenüber dem Provider Sicherheitsmechanismen so zu integrieren, dass das nutzerseitig gewünschte Schutzniveau erreicht wird. Darüber hinaus bietet es sich für Provider in der Cloud an, auch Security as a Service anzubieten. Dies können beispielsweise Security Health Checks von Smartphones sein, insbesondere auch dann, wenn Unternehmen das BYOD-Modell zulassen. Eine weitere Dienstleistung für Provider könnten Security Assessments von Plattformen sein. Ziel muss es sein, führte Frau Prof. Dr. Eckert aus, die Cloud zu einer sicherheitssteigernden Technologie zu entwickeln.

Den Sicherheitsanforderungen im Zeitalter der mobilen Kommunikation in Bezug auf die Finanzwirtschaft widmete sich der Vortrag von Dr. Kai Grassie, Giesecke & Devrient. G&D, einer der international führenden Technologiekonzerne, stellt u. a. Magnetstreifen-, Chip-  und SIM-Karten sowie Karten für den kontaktlosen Zahlungsverkehr her. Ein aktueller Schwerpunkt von G&D liegt im Bereich Near Field Communication (NFC) per Smartphone. Im Jahr 2014 wird jedes 4. mobile Gerät NFC-fähig sein und mobiles kontaktlose Bezahldienste wie Geldkarte, EC-Karte oder Kreditkarte ermöglichen. Das mobile Gerät ist dabei über den Trusted Service Manager mit der Bank verbunden.  Als Trusted Service Manager betreibt G&D eine Trusted Services Management Plattform, über die sich z. B. Zahlungsverkehrsapplikationen (ZVA) direkt auf dem Smartphone des Kunden bereitstellen lassen. Dies ermöglicht es Banken und Kreditinstituten, kontaktlose ZVA auf die NFC-SIM-Karten in den Mobilfunktelefonen ihrer Kunden zu laden und zu personalisieren. Damit ist jedoch nur ein spezifischer Teil des mobilen Geräts „sicher“. Zur Absicherung des gesamten Geräts dient das Trusted Execution Environment (TEE), das ein Sicherheitselement für den Anwendungsprozessor des mobilen Gerätes repräsentiert.

Nach der kurzen Kaffeepause folgten Vorträge zu Judicial Pitfalls on the Cloud Route, Rethink IT – Reinvent Business – The Vision of Modern (Cloud) Computing within Finanical Services und Service Sourcing from the Cloud – The Impact of IT Architecture. Diesen Vorträgen konnte der Autor jedoch leider nicht mehr beiwohnen, denn zu diesen Zeitpunkten war er schon wieder unterwegs – zum nächsten Kunden.

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

    0 Responses

      Schreibe einen Kommentar