Firewall-Management bei Banken hat Lücken

Firewall-Management bei Banken hat Lücken Banken schützen ihre IT durch Firewalls mit umfangreichen Regelwerken. Die Verwaltung dieses Apparats ist dementsprechend aufwändig. Automatismen könnten dabei helfen, werden aber noch zu wenig eingesetzt.

Es gibt nur wenige Branchen, in denen Kapital und operationelles Risiko in einem solch engen Verhältnis stehen wie im Bankenbereich. Der Bankensektor ist daher für die Untersuchung des Sicherheitsmanagements von besonderem Interesse. Die internen Richtlinien und Vorgehensweisen zum Firewall-Management sind jedoch gerade hier äußerst sensibel und daher kaum zugänglich. Nur wenige ­Informationen dringen nach außen – meist sind diese dann veraltet oder sehr lückenhaft. Auch in der Literatur werden zwar grundlegende Verfahren zum Aufbau einschlägiger IT-Sicherheitsstrategien diskutiert, fehlen jedoch konkrete Praktiken und Empfehlungen zum effektiven Firewall-(Change)-Management. Die im Folgenden referierte Firewall-Studie** wurde mit dem Ziel durchgeführt, einen möglichst breiten Einblick in den Methodenstand im Firewall-Management deutscher Großbanken zu erlangen. In der genannten Studie wurden dazu Verantwortliche aus dem Firewall-Umfeld der 25 größten deutschen Banken befragt.

Die meisten Banken benötigen zwischen einem und drei Tagen Bearbeitungszeit für eine Firewall-Änderung.

Revision ist unzureichend automatisiert Bei den befragten Banken sind meist Firewalls mit großen Regelwerken vorzufinden. Mehr als zwei Drittel der befragten Banken gaben an, dass die an ihrem Standort installierte Firewall mehr als 200 Regeln hat. Berücksichtigt man dabei, dass jede Regel wiederum eine Vielzahl von Objekten und Diensten enthalten kann, erhält man einen ersten Eindruck über den Verwaltungsaufwand des Regelwerkes. Dass dieses Konstrukt zudem höchst dynamisch ist, ergab sich aus den Antworten auf die Frage nach der Änderungshäufigkeit: In über 70 Prozent der ­befragten Banken fallen monatlich mehr als zehn ­Änderungsanfragen an, in jeder zweiten Bank müssen sogar mehr als 30 Änderungen pro Monat be­arbeitet werden. Das bedeutet mehr als eine Änderung pro Tag. Das Umfeld der Firewall unterliegt einem ständigen Wandel. Die Belegschaft wechselt, Abteilungen ­fusionieren oder werden aufgelöst, Hard- und Softwarekomponenten werden ersetzt, Prozesse optimiert und Abläufe geändert. Damit die Firewall mit dieser Dynamik Schritt halten kann und nicht zu ­einem unüberschaubaren, »historisch gewachsenen« Gebilde mutiert, muss sie in gewissen Abständen ­einer technischen Revision unterzogen werden. In dieser wird jeder erlaubte Zugriff kritisch begutachtet. Nicht mehr benötigte Zugriffe und sicher­heitskri­tische Regeln werden identifiziert und möglichst ­eliminiert. Zwar gaben in diesem Zusammenhang fast zwei von drei der befragten Banken das ­Vorhandensein organisatorischer Regelungen an, technische Maßnahmen (wie beispielsweise eine automatisch generierte E-Mail-Erinnerung oder ein »Ablaufdatum« der Freischaltung) sind jedoch eher selten vorzufinden.

Nur eine Minderheit der Banken sieht das Firewall-­Regelwerk öfter als ein Mal im Jahr komplett durch.

Komplettrevision nicht oft genug Die Firewall wird ohne eine regelmäßige Gene­ralüberholung zunehmend unübersichtlicher und dadurch anfälliger für Fehlkonfigurationen. Ist eine sicherheitskritische Freischaltung erst im Regelwerk, kann es im schlimmsten Fall bis zur nächsten ­Komplettrevision dauern, bis diese entdeckt und entfernt werden kann. Damit ist die Gefahr groß, dass die Sicherheitslücke während dieser Zeit ausgenutzt wird. Vor diesem Hintergrund ist eine Komplettprüfung, die weniger als ein Mal pro Jahr durchgeführt wird, bereits kritisch. Trotz des hohen Verwaltungsbedarfs unterhalten die Banken in der Regel nur vergleichsweise kleine Firewall-Teams. Über zwei Drittel der befragten Banken benötigen mehr als einen Arbeitstag zur vollständigen Bearbeitung einer Änderungsanfrage. In rund 30 Prozent der Fälle muss der Benutzer sogar mehr als drei Arbeitstage auf die Umsetzung seiner Anfrage warten.

Optimierungsbedarf Bezüglich der Filtermechanismen arbeiten drei von vier der untersuchten Banken mit der höchsten ­Restriktivitätsstufe. Die Verteilung der restlichen ­Fälle zu ungefähr gleich großen Teilen auf niedrigere Restriktivitätsstufen zeigt, dass einige Banken ihre ­Firewall dennoch eher wenig einschränkend konfi­gurieren. In Einzelfällen kamen zudem deutliche Sicherheits­lücken durch eine relativ unrestriktive Filterung im eingehenden Verkehr zum Vorschein. Dennoch wird der eingehende Datenverkehr insgesamt restriktiver gefiltert als der ausgehende. Folglich besteht in einigen Banken ein potenzielles Sicherheitsrisiko durch Gefahren von innen. Keine Frage: Fast alle Banken ­haben einen erheblichen Optimierungsbedarf in puncto Firewall-Management.

Dipl.Wirt.Inf. Thomas Wagner arbeitet am Lehrstuhl für Wirtschaftsinformatik der Universität Trier ** Studie im Rahmen der Promotionsarbeit des Autors