SIX Group: Datensicherheit für höchste Anforderungen

Verfasst von Andreas Dorta

Wie SIX dank datenzentrierter Sicherheit sensible Finanzdaten vor Missbrauch schützt – auch in verteilten Standardplattformen, bei Cloud-Anbietern (IaaS, PaaS) und in Cloud-Applikationen (SaaS). 

 

Sensible Finanzdaten schützen und Compliance sicherstellen

SIX betreibt die Infrastruktur für den Finanzplatz in der Schweiz sowie in Spanien und sichert damit den Informations- und Geldfluss. Da SIX mit sensiblen und regulatorisch relevanten Finanzdaten arbeitet ist die Datensicherheit in der IT-Architektur oberste Priorität.

Neue Formen der Vernetzung, die Nutzung von cloudbasierten Angeboten und die Integration von modernen Betriebskonzepten, erfordern ein Umdenken der IT-Sicherheit. Konventionelle Sicherheitsmassnahmen auf Infrastrukturebene greifen zu kurz um heutigen und zukünftigen Ansprüchen zu genügen. Die Gründe sind vielfältig:

  1. Heute bewegen sich Daten auch ausserhalb abgeschirmter Netzwerkzonen

  2. Das Risiko eines Datenverlusts nimmt zu und damit die Bedeutung von Data Loss Prevention (DLP)

  3. Daten müssen «at-rest», «in-use» und «in-transit» geschützt werden

SIX suchte einen starken Partner mit einer nachhaltig sicheren Lösung, die den Anforderungen an die Datensicherheit mit einem passenden Sicherheitskonzept gerecht wird und in die bestehende IT-Architektur integriert werden kann. «Die Lösung ist äusserst skalierbar und unterstützt eine vielfältige Systemlandschaft», so Christian Stork, verantwortlicher Projektleiter bei SIX.

Wie werden die sensiblen Daten gesichert?

Entschieden hat sich SIX für die datenzentrische oder datenzentrierte Sicherheit und damit für eine zukunftssichere Lösung für User und Infrastruktur. SIX hat Prewen damit beauftragt, eine Enterprise-Encryption-Plattform in die bestehende IT-Architektur einzufügen.  

Mit der universalen Lösung werden die Daten selbst verschlüsselt und können weiterhin in sämtlichen Applikationen und Datenbanken verwendet werden. Auch müssen die geschützten Daten auf dem Weg zwischen den verschiedenen Lösungen jeweils nicht ent- und wieder verschlüsselt werden. Gleichzeitig mehr Sicherheit und mehr Flexibilität in der Verarbeitung der Daten – das Sicherheitskonzept von Prewen konnte überzeugen.  

Wer ist im Besitz des Schlüssels?

Natürlich bieten Datenbank- und SaaS-Anbieter auch eigene Verschlüsselungslösungen an. Prewen geht für SIX aber noch einen Schritt weiter. Sämtliche Schlüssel verbleiben beim Data-Owner. Der Systemanbieter, der die Daten verschlüsselt, hat darauf keinen Zugriff. Somit kann die Gewaltentrennung zwischen Verschlüsselung und Schlüssel sichergestellt werden. Weder interne Datenbank-Admins, System-Admins bei den Serviceprovidern, noch Betriebspersonal bei den SaaS-Anbietern können die Daten entschlüsseln. Einzig die jeweils berechtigten Personen haben Zugriff auf die Daten und können wie gewohnt damit arbeiten. 

«Es ist uns wichtig, dass die Systeme, die das Schlüsselmaterial verwalten, maximal gesichert sind und Dritten verunmöglicht wird an das Schlüsselmaterial zu gelangen.» 
Christian Stork, Projektleiter SIX Group

Wie wurde die Enterprise-Encryption-Plattform für SIX umgesetzt?

Als Plattform für die Verschlüsselung kommt Micro Focus Voltage SecureDat zum Einsatz, die vor Ort bei SIX aufgebaut wurde. Verschlüsselungsformate, automatisierte Schlüsselmanagement und Autorisierung werden mit Hilfe von folgenden Integrations-Tools in die alle gewünschten Applikationen und Datenbanken implementiert werden: 

  • API-Anbindung: Genutzt von Applikationen, die eine API-Schnittstelle bereitstellen, die zur Verschlüsselung verwendet werden 

  • Webservices-Anbindung: Genutzt von Applikationen, die über Webservices (SOAP/REST) Daten an den zentralen Verschlüsselungsdienst senden 

  • xDBC-Integration: Alternativ kann der Verschlüsselungsservice von der Anwendung direkt via JDBC- oder ODBC-Treiber integriert werden. 

  • Proxy Integration: Zudem wurde eine Schnittstelle integriert, um Webapplikationen (SaaS) wie Servicenow oder Atlassian via iCAP-Protokoll an den Verschlüsselungsservice anzubinden. Diese Möglichkeit wird dann verwendet, wenn die Applikation keine direkte Zugangsmöglichkeit bietet (z.B. via Datenbank oder API) und somit nur eine webbasierte Schnittstelle als Integrationspunkt zur Verfügung steht.  

Warum Prewen und der datenzentrierte Ansatz?

Im Evaluationsverfahren hat sich die SIX Group für den datenzentrischen Ansatz und der Implementation durch Prewen entschieden. Die überzeugenden Gründe waren: 

  • 1 Effizientes Set-up 

  • 2 Eine Enterprise-Encryption-Plattform für alle Applikationen 

  • 3 Höchste Verfügbarkeit von 99,999 Prozent mit Redundanz in zwei Rechenzentren ist gewährleistet 

  • 4 Sichere Verwaltung der Schlüssel mittels dedizierter Hardware-Security-Module (HSMs) 

Neue Ansätze erfordern Change

Wie jeder Paradigmenwechsel fordert auch der Übergang von konventionellen Sicherheitsmassnahmen auf Infrastrukturebene zur datenzentrischen Sicherheit neue Denkmuster und Prozesse. Gleichzeitig bergen solche Projekte auch Herausforderungen und Learnings, technisch und psychologisch. Die obligate Suche nach den zu verschlüsselnden Daten ist für Prewen Routine und ist eine gut zu meisternde Herausforderung. Eine natürliche Skepsis für relevante Themen wie Datensicherheit bedürfen einen offenen Austausch mit den Anwenderinnen und Anwendern. Insbesondere in diesem Punkt ist jedes Datensicherheitsprojekt individuell. Denn die datenzentrische Sicherheitslösung ist trotz überzeugenden Resultaten noch ein neueres Verfahren, das für viele Unternehmen ein Umdenken im Umgang mit ihren Daten voraussetzt.  

Erfahren Sie mehr zum datenzentrierten Schutz oder zu Prewens Data-Security-Angebot

Andreas Dorta https://www.prewen.ch
Zurück

Datenschutz-Gesetze und Zugriff durch US-Behörden
Weiter

Swisscom: 10 Millionen Kundendaten geschützt