Bestehen Bedenken im Hinblick auf VPN-Sicherheitslücken? Erfahren Sie, wie Sie von unserem VPN-Migrationsangebot inklusive 60 Tagen kostenlosem Service profitieren können.

Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Produkte & Lösungen

Schöne neue Finanzwelt: Digitaler Wandel bei Banken mit SASE und Zero Trust

image
KEVIN SCHWARZ
September 29, 2021 - 6 Lesezeit: Min

Die Digitalisierung ist zur Feuertaufe für die Finanzindustrie geworden: Klassische Geldinstitute konkurrieren mit Neobanken aus der Fintech-Szene, etablierte IT-Infrastrukturen treffen auf innovative Geschäftsmodelle. Die Lösung für viele Herausforderungen der digitalen Transformation steckt im SASE-Framework und einer zugrundeliegenden Zero-Trust-Sicherheitsarchitektur. 

Veränderte Kundenansprüche, Online-Hype, Direktbanken – die digitale Transformation macht Finanzinstituten zu schaffen. Besonders betroffen davon ist die Gruppe der klassischen Bankhäuser. Sie befinden sich in einem Zwiespalt zwischen Tradition und Moderne, ebenso wie deren technische Infrastruktur: IT-Prozesse in Banken laufen in der Regel in Mainframe-getriebenen On Premise-Netzwerken. Sie sorgen dafür, dass konventionelle Finanzprozesse reibungslos funktionieren und gesetzliche Vorschriften eingehalten werden können. Von der anderen Seite aber drängt durch die Cloud eine neue IT-Welt in den Alltag von Finanzdienstleistern: mit veränderten Arbeitsweisen und -formen des mobilen Arbeitsalltags, schnellen Reaktionen auf Kundenwünsche und auch anderen Compliance-Anforderungen, die mit der Cloud einhergehen.  

Dreh- und Angelpunkt Netzwerk 

Als Zünglein an der Waage für die Harmonisierung der unterschiedlichen Anforderungen im Bankenwesen gilt die Modernisierung des Netzwerkmanagements und der Security gleichermaßen. Nicht der Großrechner, Clients oder Server – eine neu gestaltete IT-Architektur, die die Erweiterung in die Cloud unterstützt, ist der Enabler für die Transformation und muss künftig dafür sorgen, dass neue Geschäftsmodelle einfach implementiert und New Work-Initiativen umgesetzt werden können. Dabei stellen sich der Architektur gleich mehrere Herausforderungen. Sie muss die für Banken existenziellen Sicherheitsvorkehrungen unterstützen, als Plattform für innovative Geschäftsmodelle dienen und gleichzeitig dafür sorgen, dass die Benutzererfahrung den hohen Ansprüchen an performantes und komfortables Arbeiten genügt. Dabei gilt es nicht, die Großrechner der Bankenwelt zu ersetzen, sondern eine hybride Infrastruktur zu schaffen, die moderne Anforderungen bedient und mit der Legacy-Infrastruktur in Einklang zu bringen ist.  

Doch genau hier zeigt sich ein typisches Problem: Verbindungen zwischen Remote-Mitarbeitern und der bankeigenen Netzwerkinfrastruktur stützen sich in der Regel auf Remote Access-Lösungen wie Virtual Private Networks (VPN). VPNs dienten ursprünglich dazu, wenigen Außendienstmitarbeitern den Zugriff auf Unternehmensdaten zu ermöglichen. Unter dem Vorzeichen der Sicherheit muss der Traffic unzählige Appliances wie Load Balancer, Firewalls oder DDoS-Kontrollen durchlaufen, um Zugriff auf die erforderliche Anwendung zu ermöglichen. Das Ergebnis sind hohe Latenzen und eine sinkende Produktivität von Bankmitarbeitern. Hinzu kommt ein Infektionsrisiko durch Sicherheitslücken von VPN Technologie. Verstärkt wird diese Herausforderung durch neue Arbeitsweisen im Zusammenhang mit New Work. Performance-hungrige Kollaborations-Tools wie Microsoft Teams, Zoom oder Slack beispielsweise fordern ihren Tribut an die Connectivity. In Zeiten der digitalen Transformation kann das herkömmliche Zugriffskonzept nicht mehr mit den Veränderungen an eine mobile Arbeitswelt mithalten. Ähnlich gestaltet sich die Situation, wenn die in der Finanzindustrie häufig verwendeten virtuellen Desktops (VDI) zum Einsatz kommen. Zu Gunsten der Sicherheit wird lediglich ein Abbild der eigentlichen Applikation auf dem Desktop bereitgestellt. Doch auch die Virtualisierungstechnologie krankt am Latenzproblem, ist darüber hinaus nur schwer zu administrieren, vergleichsweise unsicher und zudem noch teuer. Sie behindert innovative Cloud-Lösungen und kann in Sachen Benutzerfreundlichkeit ebenfalls nicht mit modernen Arbeitsweisen mithalten. 

Microsoft 365: Katalysator für Digitalisierung 

Die bis dato verwendeten Zugriffsmethoden lassen sich also für die hohen technischen Anforderungen einer digitalen Welt kaum mit der geforderten Leistungsfähigkeit einsetzen. In der Praxis wirkt dabei häufig Microsoft 365 als Katalysator für ein Überdenken der vorhandenen IT-Architekturen. Die Cloud-Suite benötigt eine relativ hohe Bandbreite und niedrige Latenzen, um die Anwenderzufriedenheit zu gewährleisten. Die Lösung für diese Probleme bildet Secure Access Service Edge (SASE), ein von Gartner definiertes Cloud-Architekturmodell, das Netzwerk-, Connectivity und Security-as-a-Service-Funktionen vereint. Dieses Rahmenwerk wurde speziell für die Kombination von Connectivity- und  Sicherheitsanforderungen entwickelt, die sich durch Apps, Geräte und Anwender außerhalb des traditionellen Netzwerkperimeters ergeben. SASE erlaubt es Finanzinstituten, Netzwerk- und Sicherheitsstrategien ganzheitlich betrachtet neu zu definieren.  

Die entscheidenden Vorteile: SASE kombiniert Sicherheits- und Netzwerkfunktionen in einem einheitlichen Framework, das alle Arbeitsumgebungen einbezieht und Cloud-Technologien empfiehlt, um ein Software-defined Wide Area Network (WAN) mit Sicherheitsfunktionen zu verknüpfen. Zum Umfang der SASE-Architektur gehören neben Cloud-basierten Firewalls (FWaaS) Funktionalitäten, wie Secure Web Gateways (SWG), Cloud Access Security Broker (CASB) vor allem auch Zero Trust Network Access (ZTNA). All diese Anforderungen erfüllt  eine Cloud-zentrierte Sicherheitsplattform, die unabhängig von Standorten, Rechenzentren, Multicloud-Umgebungen  oder Büros ein einheitliches Sicherheitsniveau auf Basis von einmal definierten Richtlinien umsetzt. 

Zero Trust: Sicherheit aus der Cloud 

Im Mittelpunkt der Cloud-basierten Sicherheit steht die Zero Trust Network Access (ZTNA). Dabei handelt es sich um ein Security-Modell, dessen Eigenschaften darauf aufsetzen, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Ein solches Architekturmodell auf Basis des Least Privilege Access vertraut erst einmal keinem Anwender, bis die Sicherheitspolicies überprüft wurden. Der zwischengeschaltete Cloud Security Service agiert als Broker und verbindet einen verifizierten User und sein Device mit einer Applikation. ZTNA umfasst umfangreiche Maßnahmen zur Authentifizierung von Anwendern und Diensten sowie zur Prüfung des Netzwerkverkehrs. Anders als der VPN-Ansatz, der den User ins Netzwerk platziert, ermöglicht ZTNA die Mikrosegmentierung auf Anwendungsebene: dazu stellt ZTNA einen sicheren Tunnel für autorisierte Anwender zu seiner zugelassenen Applikation her, ohne das Netzwerk zu benötigen.  

Ziel der Implementierung einer Zero Trust-Architektur im Bankenwesen ist es also, das Risiko für Netze und Anwendungen zu minimieren und neben externen Bedrohungen auch interne Gefahrenpotentiale auszuschließen, ohne den Benutzerkomfort zu beeinträchtigen. Durch das Tunnelprinzip werden Applikationen für Angreifer unsichtbar, und somit können Banken ihre Angriffsfläche reduzieren. Damit ermöglicht es die Architektur Anwendern, auch von außerhalb der Bankenumgebung sicher auf Anwendungen zugreifen, ohne dass Benutzer im Netzwerk sein müssen.  Zusätzlicher Benefit: auch für VDI-Anwendungen ermöglicht ZTNA die Problematik der mangelhaften Performanz beim Remote Benutzer zu umgehen. Weil der Netzwerkverkehr nicht mehr über den Umweg durch das Rechenzentrum und anschließend ins Internet geroutet werden muss, sondern direkt zur Cloud-Plattform geschickt wird, lässt sich die Latenz reduzieren. Die Zero Trust-Architektur in Kombination mit VDI-Technologien erlaubt es Administratoren zudem, eine zentralisierte Sichtbarkeit und Kontrolle darüber zu erhalten, worauf Benutzer zugreifen können. 

Nicht zuletzt können Banken durch ein Zero Trust Konzept ihren IT-Administrationsaufwand eindämmen - ohne auf Sicherheit zu verzichten. Die Transformation erhält Vorschub durch ein hybrides Modell,  bei dem traditionelle Prozesse mit typischen Bankanwendungen für Anforderungen wie Compliance weiterhin über die bewährte On Premise-Architektur laufen können. Neue, innovative Abläufe, die für Kunden und Mitarbeiter im Rahmen der Digitalisierung dringend implementiert werden müssen, lassen sich indes sicher und komfortabel in der Cloud bereitstellen, indem direkte Zugriffe ohne Umwege autorisiert werden. Dazu gehört schlussendlich die performante Nutzung Microsoft 365 mit allen Kollaborationstools, zufriedene Mitarbeiter und kosteneffiziente Sicherheitsvorkehrungen für alle Belange im Finanzumfeld. Damit wird die Cloud zur sicheren Bank für digitale Innovationen. 

 

 

 

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

dots pattern

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.