Im Falle von DDoS- oder DoS-Attacken greift ein Scoring-Modell: Nimmt man als Schwellenwert zum Beispiel die Anzahl der Anfragen, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf, werden Anfragen gestoppt, die über diese Anzahl hinausgehen. Auf diese Weise sind Finanzinstitute geschützt und brauchen Attacken dieser Art nicht zu fürchten.
2) Daten schützen und EU-DSGVO einhalten
Daten, die über APIs in Web- und Cloud-Anwendungen bereitgestellt werden, lassen sich nicht mit klassischen Sicherheitssystemen vor Angriffen schützen. Denn die Verarbeitung und Speicherung der Daten verlagert sich aus dem eigenen Netzwerk auf externe Systeme. Die herkömmliche „Perimetersicherheit“ reicht nicht mehr aus.
Hinzu kommt, dass nicht nur Benutzer und Administratoren Zugriff auf die Daten haben. Auch Cloud-Provider oder Hacker können sich Zugriff verschaffen, wenn Daten ungeschützt und unverschlüsselt abliegen.
„Datenzentrische Sicherheit“
Die Lösung für dieses Problem liegt in der „datenzentrischen Sicherheit“. Dabei werden ausschließlich die Metadaten eines Dokuments als Platzhalter in die Cloud geladen. Das Originaldokument wird hingegen in einem Streaming-Verfahren verschlüsselt.
Die Fragmentierung der Dokumente in mehrere kleine Teile, den sogenannten Chunks, sowie die konfigurierbare verteilte Speicherung bieten weiteren Schutz.
Der Vorteil: Das Originaldokument ist nie vollständig einsehbar und nur in Form von Fragmenten hinterlegt. Selbst bei einem Angriff auf die Cloud oder wenn Hacker in ein System eindringen, bleiben die vertraulichen Inhalte für Angreifer oder nicht befugte Personen unlesbar.
Egal, wo ein Angreifer Zugriff erlangt: Er kann keinen großen Schaden mehr anrichten. Zudem bleiben die Daten bei dieser Methode in Deutschland und ihre Speicherung entspricht den strengen Datenschutz- und Sicherheitsvorgaben der EU- DSGVO.
3) IT-Sicherheit muss Ressourcen schonen
Die vor allem mittelständisch aufgestellten Banken und Sparkassen benötigen IT- Sicherheitsstrategien, die auf die vorhandenen Ressourcen zugeschnitten sind. IT- Sicherheitsanwendungen dürfen daher nicht zu komplex sein, sodass auch ein kleines Team mit wenig Manpower sie bedienen kann.
Seite 4: Was Banken jetzt tun sollten
