Zertifiziertes Sicherheitsmanagement Kommt FIDUCIA-Kunden zu Gute

Volksbanken und Raiffeisenbanken, Unternehmen des genossenschaftlichen Finanzverbundes sowie Privatbanken vertrauen auf die FIDUCIA IT AG. Dorthin wurden verschiedenste IT-Dienstleistungen ausgelagert. Keine Frage, dass FIDUCIA, einer der zehn führenden IT-Anbieter für Finanzdienstleister in Deutschland, alles daran setzt, ihren Kunden höchsten Sicherheitsstandard zu bieten. Umgesetzt hat das Unternehmen diese Anforderung unter anderem mit der Installation des Risikomanagementsystems Qualys - gemeinsam mit dem Systemintegrator Controlware, auf dessen Kompetenz die FIDUCIA seit vielen Jahren vertraut. Bei der FIDUCIA IT AG wird mit Qualys regelmäßig das gesamte Rechenzentrum gescannt. Qualys liefert eine komfortable Management-Konsole mit praxisgerechten Reports und jede Menge Services.

"Dank Qualys können wir Sicherheitsund Compliance-Daten von allen IT-Assets in unserem gesamten Unternehmen erfassen, ohne Agenten installieren zu müssen, und diese Daten für unterschiedliche Aufgaben nutzen. Auf diese Weise können wir die Kosten für die Compliance-Berichterstattung drastisch senken und gewinnen einen Überblick über unsere Sicherheitsund Compliance-Aufstellung"

Lutz Bleyer,
Chief Security Officer at FIDUCIA IT AG

Lutz Bleyer

In der Zukunft konzentrieren sich IT-Sicherheitsmaßnahmen mehr auf Prävention denn auf Abwehr von Gefahren, davon ist der IT-Security-Lösungsanbieter Controlware überzeugt. Laut Mario Emig, Product Manager Security Solutions bei Controlware, haben sich viele Unternehmen für den Aufbau eines so genannten Information Security Management Systems entschlossen, was auch in wachsenden Zahl an ISO 27001-Zertifikaten zum Ausdruck kommt. So auch bei der FIDUCIA IT AG. Der IT-Dienstleister hat sich gemäß der ISO-Norm 27001 zertifizieren lassen. Den Kunden der FIDUCIA garantiert die Zertifizierung größte Sicherheitsvorkehrungen und höchste technische Standards.

Schwachstellenanalyse hilft Anforderungen umzusetzen

Umgesetzt hat der IT-Dienstleister die Anforderungen der ISO-Norm auch durch die Installation eines Risikomanagement-Systems. Umfassend beraten wurde das Unternehmen dabei von Controlware; ein Schwerpunkt des Systemintegrators mit Sitz in Dietzenbach ist die Analyse, Beratung und Implementierung von Information Security Management in Unternehmen von Controlware. „Demzufolge sind alle Ebenen des Planens und des Handelns – die strategische, die taktische und die operative – gefordert, wenn es gilt, Informationssicherheit in ein Unternehmen zu integrieren.

Entscheidung zwischen Marktführern

Im Frühjahr 2007 begann Bleyer, sich nach einem geeigeneten Analyse-Tool umzusehen. Während Qualys und der ISS Internet Scanner in Frage kamen, waren Open-Source-Scanner laut Bleyer schnell aus dem Rennen. „Seit einigen Jahren läuft bei uns bereits Nessus“, sagt der IT-Experte.„Wir benötigten aber ein Tool, das neben einer komfortabler Management-Konsole seine Ergebnisse für spätere Auswertungen in einer Datenbank ablegt, die Ergebnisse über eine dokumentierte XML-Schnittstelle für die Verarbeitung in weiteren Systemen zur Verfügung stellt, beim Scannen die Produktion nicht beeinflusst, einfach zu warten ist und auch umfangreiche Services bietet“, begründet Bleyer seine Entscheidung.

Für Qualys sprach laut Bleyer auch die Möglichkeit, über eine Programmierschnittstelle Zugriff auf verschiedene Datenbanken zu erhalten. „Wir speichern die Analysedaten zum Beispiel sowohl in einer Asset Management- als auch in einer Configuration Management-Datenbank“, so Bleyer.

Erste Erfahrungen mit dem Produktivbetrieb

Nach der Entscheidung für Qualys ging alles sehr schnell. Zunächst erwarben Bleyer und sein Team Erfahrungen mit Qualys im Rahmen einer Testinstallation. Dabei waren etwa Analysen vom Internet, und vom Intranet aus erforderlich. Dabei täten sich auch ganz unterschiedliche Schwachstellen auf. Überrascht war der IT-Security-Experte aber davon nicht: „Wirkliche Überraschungen erlebt nur der, der zuvor keine Maßnahmen getroffen hat“, weiß Bleyer aus Gesprächen mit anderen CSOs zu berichten.

Nach wenigen Korrekturen während der Testinstallation läuft Qualys seit August 2007 im Produktivbetrieb. „Wir waren erstaunt, wie reibungslos die Implementierung der Lösung vonstatten ging“, freut sich Lutz Bleyer. Auch bedurfte es nur einer zweistündigen Schulung, um die Mitarbeiter, die Accounts bei Qualys besitzen, fit für den Umgang mit dem Tool zu machen. Zur Zeit sammle man Erfahrungen mit unterschiedlichen Scan-Intervallen. „Wir haben gemerkt, dass wöchentliche Scans großer IP-Adressbereiche viel Zeit erfordern. Deshalb werden nun kleinere Bereiche mehrmals wöchentlich analysiert“, erläutert Bleyer. Bedenken, die Daten seien bei Qualys nicht sicher genug verwahrt, plagen ihn nicht. „Klar, Qualys übernimmt die gesamte Pflege der Datenbank für uns, die Daten sind aber mit einem FIDUCIA-eigenen Schlüssel verschlüsselt“, versichert Bleyer. Qualys besitzt diesen Schlüssel nicht und kommt deshalb an die Daten nicht heran“.

Regelmäßige Auswertung der Daten

Die Scans allein genügen allerdings nicht. Zwar sind zwei Mitarbeiter damit beschäftigt, die Scans zu starten und zu überwachen, eine Auswertung der Ergebnisse findet jedoch im Rahmen eines zweiwöchigen Meetings mit mehreren Mitarbeitern aus den verschiedensten Ressorts statt. „Da finden sich etwa ein Vertreter der internen IT-Abteilung, der Zuständige für die Großrechner und Unix- und Windows-Verantwortliche an einem Tisch zusammen“, erklärt Bleyer das Prozedere.

Erwartungen haben sich erfüllt

Lutz Bleyer ist mit Qualys rundum zufrieden. Bisher habe es keine Probleme gegeben, „und sollten mal welche auftreten, erhalten wir über unseren Servicevertrag schnell Hilfe von Qualys“, erklärt der Leiter Zentrale Security. Derzeit sei man noch mit dem Feintuning des Systems beschäftigt und sammle Erfahrungen mit der Effizienz verschiedener Scanning-Intervalle sowie unterschiedlicher Netzwerksichten.

Über die FIDUCIA Gruppe

Die FIDUCIA Gruppe, Karlsruhe ist einer der 10 führenden IT-Dienstleister in Deutschland sowie IT-Competence Center und größter IT-Dienstleister im genossenschaftlichen FinanzVerbund. Bestehend aus der FIDUCIA IT AG, deren Tochter- und Beteiligungsunternehmen, bietet das Unternehmen ein umfassendes IT-Dienstleistungsspektrum an. Das Kerngeschäft der FIDUCIA Gruppe ist die Erbringung von IT-Leistungen für rund 800 Volksbanken und Raiffeisenbanken und Unternehmen im genossenschaftlichen FinanzVerbund sowie für Privatbanken.. Die Kernkompetenzen der FIDUCIA liegen im Rechenzentrumsbetrieb mit Großrechner-Technologie auf höchstem Sicherheitsniveau sowie in der Entwicklung und Implementierung integrierter IT-Lösungen. Im Geschäftsjahr 2006 erwirtschaftete die FIDUCIA Gruppe mit rund 3.000 Mitarbeitern einen Umsatz von 732 Millionen Euro.