Postfinance vertraut Cyber-Ark

Sicherheitsvorgaben erfüllen

Compliance-Konformität und Prozessoptimierung: Postfinance setzt beim Identitätsmanagement auf eine Lösung von Cyber-Ark.

  • Postfinance, Schweiz

    Hauptsitz der Postfinance in Bern

  • Rechenzentrum der Postfinance in Bern/Engehalde

Kundenzufriedenheit hängt insbesondere im Bankenbereich von der Zuverlässigkeit der Backendsysteme ab. Systemausfälle, aber auch kleinere Störungen sind hier nicht tolerierbar. Mit der Implementierung einer Lösung des Sicherheitssoftwareanbieters Cyber-Ark im Bereich Privileged Identity Management hat die Postfinance, die Nummer Eins im schweizerischen Zahlungsverkehr und im E-Finance mit Hauptsitz in Bern, hier Verbesserungen realisiert. Neben der Optimierung betrieblicher Prozesse werden mit der Lösung auch externe Compliance- und interne Sicherheitsvorgaben zuverlässig erfüllt. 

Einzahlungsscheine ausfüllen war gestern. Bei der Postfinance kann man seine Rechnungen auch bequem mit dem Handy bezahlen, und zwar einfach, indem man den Einzahlungsschein einscannt und zur Zahlung freigibt. Solche Services bietet das Unternehmen seit kurzem erfolgreich seinen Kunden an. Voraussetzung dafür ist, dass alle Backendsysteme reibungslos funktionieren. Kundenwirksame Störungen müssen dabei auf ein Minimum reduziert werden.

Aus diesem Grund und unter Compliance-Gesichtspunkten hat sich die Postfinance für die Einführung einer Lösung im Bereich Privileged Identity Management (PIM) entschieden, mit der privilegierte Zugriffe auf Systeme und Geräte kontrolliert, überwacht und protokolliert werden können. Das ist insbesondere für Finanzdienstleister wichtig, denn sie müssen aufgrund zahlreicher gesetzlicher und aufsichtsrechtlicher Vorgaben nicht nur nachweisen können, wer auf sensible Systeme und Daten zugreift, sondern auch, was die betreffenden Personen mit ihren Sonderrechten konkret tun. Somit sollten auch alle Aktivitäten während privilegierter Sitzungen zu Revisionszwecken protokolliert und die gesammelten Informationen verwaltet und abgesichert werden.

Die Ausgangslage war bei den Schweizern klar umrissen: Die PIM-Lösung sollte sich ohne größere Änderungen an der Netzwerkarchitektur und der Benutzerführung einfach in die Infrastruktur und Anwendungsumgebung in den beiden Rechenzentren in Bern und in Zofingen im Kanton Aargau integrieren lassen. Konkret sollten alle privilegierten Zugriffe auf vertrauliche Ressourcen wie Produktionsserver zuverlässig überwacht und kontrolliert werden.

Wiedergabe privilegierter Sitzungen

Nach einer Ausschreibung hat man sich zur Einführung einer Lösung des Sicherheitssoftwarespezialisten Cyber-Ark entschieden. Der Anbieter entwickelt und vertreibt Softwarelösungen zur Verwaltung und zum Schutz von privilegierten Nutzerkennungen und vertraulichen Daten. Die Lösungen basieren auf der patentierten Vault-Technik. Zur Lösungssuite gehört der Privileged Session Manager (PSM), der die Aufzeichnung und Wiedergabe privilegierter Sitzungen ermöglicht. 

Neben den Fachabteilungen war in den Entscheidungsprozess bei der Lösungsauswahl auch die Geschäftsleitung der Postfinance eingebunden. In der Proof-of-Concept-Phase wurde der Finanzspezialist zudem vom IT-Sicherheitsprovider Execure mit Hauptsitz in Wettingen bei Zürich unterstützt, der anschließend auch bei der Implementierung der Lösung mitgewirkt hat.

Stefan Weber, Leiter Informatik Sicherheit bei der Postfinance, betont: „Wir haben mehrere Lösungen evaluiert. Im Hinblick auf Aspekte wie hohe Skalierbarkeit oder schnelle Einbindung in die vorhandene Infrastruktur hat uns aber die Cyber-Ark-Lösung überzeugt. Den Ausschlag für den Entscheid gaben dann letztlich aber auch Punkte wie Funktionalität und Preis.“ Die Projektdurchführung erfolgte in einem Zeitraum von drei Monaten. Vor dem Produktiveinsatz der Lösung wurden rund 40 Schulungen für über 500 Nutzer durchgeführt.

Mit der Lösung Privileged Session Manager können privilegierte Zugänge im Hinblick auf das „Wer“ und das „Was“ gesichert und überwacht werden. Mit einer durchgängigen Protokollierung der Sessions ist eine vollständige Transparenz über alle Vorgänge gegeben und damit eine jederzeitige Nachvollziehbarkeit, was dabei konkret passiert ist. Alle Protokolle werden dabei in einem „virtuellen Tresor" archiviert, dem sogenannten Vault. Dabei werden alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet.

Der Vault ist ein speziell „gehärteter“ Server, der mit mehreren unterschiedlichen Security-Layern Schutz vor unbefugten Zugriffen bietet. Mit den integrierten Authentifizierungs- und Zugriffskontrollfeatures wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP wird sichergestellt, dass nur autorisierte Anwender Zugang zum System haben. Protokolle von Sessions können somit nur von berechtigten Personen abgerufen und eingesehen werden.

Vereinfachte Fehlersuche

Die neue Lösung bietet für die Postfinance mehrere Vorteile. Zunächst ermöglicht sie eine Einhaltung von Compliance- und Sicherheitsvorgaben bei Zugriffen auf Systeme mit Kundendaten. Mit der Lösung erfüllen die Schweizer dabei nicht nur allgemeingültige Anforderungen aus Normen wie ISO 27001 oder ISO 27002, sondern auch die speziell für Finanzinstitute gültigen gesetzlichen Verordnungen und Richtlinien. Neben den Vorgaben der Eidgenössischen Finanzmarktaufsicht (FINMA) sind hier zum Beispiel insbesondere Basel II und PCI-DSS zu nennen.

Unter betrieblichen Aspekten hat die Lösung zu einer höheren Transparenz bei privilegierten Zugriffen auf Entwicklungs- und Produktionssysteme gesorgt. Dies vereinfacht auch die Fehlersuche erheblich. Durch die Vergabe von Berechtigungen im Rahmen von Rollenmodellen sowie strikte Authentifizierungsverfahren konnte darüber hinaus eine Workflowoptimierung und Konsolidierung im Hinblick auf Art und Umfang der Zugriffe auf die Zielsysteme erreicht werden. So ist die „Eigenlösungsquote“ im First- und Second-Level-Support deutlich gestiegen – verbunden mit einer erheblichen Entlastung des Third-Level-Supports.

Bildquelle: Postfinance

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok