Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Produkte & Lösungen

Appifizierung bei Banken und Versicherungen: Was ist das und wie lässt sie sich vermeiden?

image
Dieser Artikel erschien auch auf LinkedIn.

Im Rahmen der digitalen Transformation profitieren Unternehmen zunehmend von den Vorteilen mobiler und cloudbasierter Technologien. Dieser Trend wirft jedoch neue Probleme auf: Wie kann man Remote- bzw. mobilen Belegschaften alle wesentlichen Unternehmensprozesse und -anwendungen kosteneffizient bereitstellen, ohne dass die Sicherheit darunter leidet?

Zunehmend zeichnen CIOs bei Banken, Finanzdienstleistern und Versicherungen für Modernisierungsprojekte verantwortlich, die darauf abzielen, mobilen Mitarbeitern über App-Erweiterungen den Zugriff auf Banken- und Versicherungssoftware und andere primäre Geschäftsfunktionen zu ermöglichen.Diese „Appifizierung“ von Kernsystemen ist eine Notlösung, die Mitarbeitern im Außendienst bzw. Homeoffice eine einfache, schnelle und sichere Möglichkeit zur Beantwortung von Kundenanfragen bereitstellen soll.

Ob diese Rechnung in der Praxis aufgeht, ist eine andere Frage: Kommt die Appifizierung von Kernfunktionen den Geschäftszielen tatsächlich zugute oder wird sie eher zum Störfaktor? Schließlich müssen Entwicklungsteams, die ohnehin bereits überlastet sind, jetzt nicht nur ein, sondern gleich mehrere Systeme erstellen, verwalten und warten.
 

Außendienst-Mitarbeiter benötigen Remotezugriff auf Kernsysteme

So gut wie alle Banken und Versicherungsunternehmen beschäftigen Mitarbeiter im Außendienst, die Produkte wie Kredite, Kreditkarten und Versicherungspolicen an Neukunden verkaufen bzw. bestehende Kunden bei der Umstellung auf neue oder erweiterte Produkte und Angebote unterstützen. Dies beinhaltet den Zugriff auf IT-Kernsysteme, in denen Banken und Versicherungen die Daten speichern, die etwa zur Erstellung von Angeboten und Versicherungspolicen oder zum Erteilen von Auskünften über den Leistungsumfang oder die Allgemeinen Geschäftsbedingungen erforderlich sind.

Die Einrichtung und Verwaltung sicherer Remote-Verbindungen zu geschäftskritischen Anwendungen stellt die Sicherheitsbeauftragten der Unternehmen vor massive Herausforderungen. Denn zur Absicherung von Remote-Verbindungen ist nicht nur ein Ausbau der Sicherheitsinfrastruktur, sondern auch die konsequente Durchsetzung von Sicherheitsrichtlinien erforderlich. Virtuelle private Netzwerke (VPNs) bieten sich hier als eine mögliche Option an. Dabei muss der User-Traffic jedoch einen Stack aus mehreren Appliances (Load Balancer, DDoS-Wächter, Firewalls und VPN-Konzentratoren) durchlaufen, die jeweils die Latenz der Verbindung erhöhen. Hier besteht das Risiko, dass Außendienstmitarbeiter, denen das alles zu lange dauert, die VPN-Kontrollen kurzerhand umgehen und dadurch das Unternehmensnetzwerk für Angriffe anfällig machen. 

Eine Lösung für das Problem des Remote-Access besteht in der Entwicklung von Mobilanwendungen für die digitalisierte Kreditvergabe und Angebotserstellung. Diese werden dann in einem MDM-Container (Mobile Device Manager) verpackt und über Echtzeit-Webservices oder APIs mit Kernsystemen verbunden. Für IT-Führungskräfte ist die Appifizierung jedoch mit einer Reihe unerwünschter Nebenwirkungen verbunden. 
 

Mobilanwendungen: höheres Schutzniveau zu höheren Kosten

Die Appifizierung löst zwar die unmittelbaren Zugriffsprobleme für Enduser. Indes kann die Verwendung von Mobilanwendungen als Erweiterung vorhandener Kernsysteme wiederum andere Komplikationen verursachen:

  • Erhöhter Entwicklungsaufwand: Die Erstellung einer Reihe von Mobilanwendungen, die oft sowohl für Android als auch für iOS Plattform bereitgestellt werden müssen, ist für Entwicklungsteams mit viel Arbeit verbunden. Zur Gewährleistung der Kompatibilität und Dienstgüte für verschiedene Betriebssysteme, Geräte mit unterschiedlicher Bildschirmgröße und neue Modelle muss eine Vielzahl von Faktoren berücksichtigt werden.
  • Häufige Änderungsanfragen: Zur Bearbeitung von Änderungen an den Anwendungen müssen neue Workflows entwickelt, verwaltet, getestet und implementiert werden.
  • Höhere Nachfrage nach Enduser-Support: Die Unterstützung von Anwendungen auf mehreren Geräten und Plattformen kann schnell zur Vollzeitbeschäftigung werden. Zur frühzeitigen Erkennung und Behebung von Anwendungsausfällen und Performance-Problemen sind oft zusätzliche Tool erforderlich.
  • Fachkräftemangel: Zur Entwicklung von Mobilanwendungen sind vollkommen andere Kompetenzen erforderlich als für die Entwicklung von Kernsystemen. Die entsprechenden Fachkräfte sind in den IT-Abteilungen von Banken und Versicherungen nicht unbedingt vertreten. In vielen Fällen wird die Entwicklung von Mobilanwendungen an externe Anbieter outgesourct, was die IT-Ausgaben sowie den Aufwand für die Verwaltung von Drittusern erhöht und neue Sicherheitsrisiken mit sich bringt. 
  • Geringe Akzeptanz und niedriger ROI: Wenn die User schlechte Erfahrungen mit Mobilanwendungen machen, sind sie weniger bereit, damit zu arbeiten. User-Workflows für Mobilanwendungen müssen möglichst unkompliziert und mit wenig Einarbeitung verbunden sein. Wenn die Mobilanwendungen von den Mitarbeitern nicht akzeptiert und genutzt werden, ist der investierte Arbeits- und Finanzaufwand völlig umsonst. Als weiterer gravierender Nachteil kommt hinzu, dass alternative Zugriffsoptionen die Angriffsfläche des Unternehmens vergrößern und dadurch die Sicherheit beeinträchtigen. 

Gibt es eine bessere Alternative?

Die eigentliche Frage lautet also nicht etwa: „Wie entwickeln wir bessere Mobilanwendungen?“ Vielmehr sollten IT-Beauftragte sich gut überlegen, ob ihr Einsatz die damit verbundene Mühe tatsächlich wert ist. Gibt es womöglich eine bessere Alternative, um Außendienstmitarbeitern sicheren Zugriff auf Kernsysteme bereitzustellen? Die Antwort auf letztere Frage ist eindeutig: Ja, es gibt sie.

Der überall verfügbare mobile Breitbandzugang, steigende Mobilfunkgeschwindigkeiten über LTE (bzw. demnächst über 5G) und öffentliche WLAN-Hotspots ermöglichen die Arbeit von jedem beliebigen Standort aus – sei es im Homeoffice, Hotel oder Café. Um Mitarbeitern den Zugriff auf geschäftskritische Banken- und Versicherungssoftware von unterwegs genauso problemlos zu ermöglichen wie am Hauptsitz oder in den Filialen, sind keine Erweiterungen für Mobilanwendungen erforderlich. 

Allerdings können veraltete Konnektivitätsmodelle der Umstellung auf bessere Alternativen im Weg stehen. VPNs können zu Verzögerungen führen, wenn immer mehr Mitarbeiter sich mit dem Rechenzentrum des Unternehmens verbinden wollen und dabei um begrenzte Bandbreite konkurrieren. Hinzu kommt, dass beim Backhauling des Traffics Engpässe an den Sicherheitsgateways entstehen. Die Anschaffung und Verwaltung zusätzlicher Sicherheitsappliances, um den Remotezugriff entsprechend zu skalieren, ist zudem mit erhöhten IT-Kosten verbunden. Das perimeterbasierte Sicherheitsmodell ist den Anforderungen zukunftsfähiger Unternehmensnetzwerke mit Tausenden von Remote-Mitarbeitern und Anwendungen, die zunehmend von unternehmenseigenen Rechenzentren in öffentliche Clouds verlagert werden, einfach nicht gewachsen. 
 

Die Umstellung auf Zero Trust hat gleich mehrere Vorteile

Cloudbasierte Inline-Sicherheitsservices können User nahtlos und unter Anwendung aller erforderlichen Schutzkontrollen mit Anwendungen verbinden. In Zero-Trust-Architekturen kommen im Regelfall Cloud-Sicherheitsmodelle zum Einsatz, die die Grundprinzipien der Default-Deny Posture und „Follow the User“-Policy-Controls unterstützen. Dadurch wird das Sicherheitskonzept auf Mobilgeräte erweitert, sodass für den Remotezugriff dezentraler Mitarbeiter ein identisches Schutzniveau gilt wie für den Zugriff in der Unternehmenszentrale. 

Prognosen von Gartner zufolge ist davon auszugehen, dass 60 % der Unternehmen bis Ende 2023 den Großteil ihrer virtuellen privaten Netzwerke (VPNs) durch Zero-Trust-Architekturen ersetzen werden.

Die wichtigsten Vorteile eines Zero-Trust-basierten Cloud-Service:

  • Unmittelbare Nähe zu allen Usern unabhängig vom jeweiligen Standort: Effektiver Remotezugriff ist nur über einen in der Cloud bereitgestellten Edgecomputing-Service mit global distribuierten Präsenzpunkten möglich.
  • Kontinuierliche Zugriffssicherung: User dürfen niemals Zugang zum Netzwerk erhalten, sondern ausschließlich gemäß unternehmensspezifisch konfigurierten Richtlinien mit einzelnen Anwendungen verbunden werden. Dies steht im Gegensatz zum herkömmlichen VPN-Zugang, der das Unternehmensnetzwerk unzureichend geschützt über die Grenzen seiner effektiven Kontrolle hinaus erweitert.
  • Authentifizierung anhand von User-Identitäten und Anwendungen: User und Geräte müssen sich erst authentifizieren, bevor sie Zugriff auf eine Anwendung erhalten (anders als bei VPN, wo der Netzwerkzugang dem Anwendungszugriff vorausgeht).
  • Direktzugriff auf Anwendungen: Bei jedem Zugriff – ob auf Anwendungen im Rechenzentrum, in öffentlichen Clouds usw. – sorgt Zero Trust für die schnellste Verbindung zwischen dem Standort des Users und der gehosteten Anwendung. Da die Notwendigkeit des Backhauling von Daten durch die Sicherheitsstruktur des Unternehmens entfällt, wird sowohl die Leistung der Anwendungen als auch die User Experience deutlich verbessert.
  • User-Zugriff nur auf unbedingt erforderliche Anwendungen: Aufgrund der Authentifizierung von Usern anhand unternehmensspezifisch definierter Richtlinien wird gewährleistet, dass User immer nur auf die jeweils benötigten Anwendungen – und nicht auf das gesamte Netzwerk – zugreifen können. Dadurch werden Sicherheitsrisiken minimiert, die im Legacy-Modell durch die uneingeschränkte laterale Bewegungsfreiheit innerhalb des Netzwerks entstehen.

Zero-Trust-Services tragen ebenfalls zur Senkung der IT-Kosten bei:

  • Weniger Sicherheitsinfrastruktur: Mit Zero Trust können Unternehmen die Ausgaben für den Security-Stack reduzieren, der zur Verwaltung des im Rechenzentrum eingehenden Traffics von Remote-Usern erforderlich ist. Dazu gehören VPN-Gateways, Load Balancer und DDoS-Wächter.
  • Weniger Ausgaben für die Entwicklung von Mobilanwendungen: Durch die Bereitstellung von sicherem Zero-Trust-Zugriff auf geschäftskritische Kernsysteme entfällt die Notwendigkeit, parallel dazu entsprechende Mobilanwendungen zu entwickeln und bereitzustellen. Dadurch werden Ressourcen bzw. Budgets freigesetzt, die sonst für die Erstellung, Implementierung und laufende Wartung und Verwaltung der Mobilanwendungen erforderlich wären.

Zero-Trust-Zugriff auf geschäftskritische Kernsysteme statt „Appifizierung“

Mit Zero-Trust-Architekturen können Banken und Versicherungsunternehmen mit einem großen Kontingent von Außendienst- und anderen mobilen Mitarbeitern, die auf geschäftskritische Kernsysteme zugreifen müssen, sicheren und reibungslosen Remotezugriff gewährleisten. Sie profitieren dabei von den Vorteilen der digitalen Transformation, indem Verbindungen zu Anwendungen in Rechenzentren und Cloud-Umgebungen übers Internet hergestellt werden, ohne Ressourcen im Unternehmensnetzwerk als potenzielle Angriffsvektoren zu exponieren.

Kernfunktionen einer Zero-Trust-Architektur:

  • Adaptiver identitätsbasierter Zugriff
  • Sofortiger standortunabhängiger Zugriff für alle befugten User
  • „Virtuelle Perimeter“ um User, Gerät und Anwendung zur Gewährleistung der Sicherheit wertvoller Unternehmensdaten

Zero-Trust-Architekturen gewährleisten sichere Verbindungen zwischen Remote-Mitarbeitern und den jeweils benötigten Anwendungen – ohne kostspielige Security-Stacks zum Schutz von Kernsystemen, VPNs oder „Appifizierung“ geschäftskritischer Abläufe.

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.