Daniel Lamprecht ist Country Manager bei RSA Security Schweiz, www. rsa.com

Bei Banken und Versicherungen müssen Angebote und Dienstleistungen rund um die Uhr verfügbar sein. Finanzdienstleister arbeiten heute zudem global, sie sind daher vom dynamischen Zugriff auf alle Informationen abhängig. Kunden wie Mitarbeiter greifen immer häufiger von unterwegs oder von zu Hause auf die Informationen zu. Die Folge: Häufig verlassen Unternehmensdaten über Laptops, USB-Sticks, PDAs oder per E-Mail den Bereich der gesicherten Informationsinfrastruktur und werden von verschiedenen internen und externen Nutzern verarbeitet. Trotzdem müssen die Verfügbarkeit der Daten und die Sicherheit dieser Zugriffe jederzeit gewährleistet sein.

In den Unternehmensnetzwerken gespeicherte Informationen zählen zu den wichtigsten Ressourcen einer Firma, deshalb dürfen nur Berechtigte Zugriff auf diese Informationen haben. Finanzdienstleistungs-Organisationen sind ausserdem mehr als andere Unternehmen ständig gefordert, die Einhaltung
zahlloser Vorschriften zu gewährleisten. Nicht selten sind erhebliche Investitionen in Arbeitszeit und in Technologien notwendig, um jeden Zugriff auf das System, jedes Vorkommnis im Netzwerk zu verfolgen und zu dokumentieren. Vor dem Hintergrund, dass die nationalen, internationalen und brancheninternen Regelwerke immer umfangreicher werden und sich zudem ständig verändern, müssen Finanzdienstleistungsunternehmen wie der Versicherungsanbieter AXA, absolut sichergehen, dass sie sämtliche erforderlichen Kontrollmechanismen installiert haben und dass diese Mechanismen auch rasch und kosteneffektiv modifiziert werden können, sobald sich Änderungen ergeben.

Die Nichteinhaltung von Vorschriften könnte bei weltweit führenden Unternehmen gravierende Auswirkungen auf das Kundenvertrauen und das weitere Wachstum haben, von den juristischen Konsequenzen ganz zu schweigen. Die IT-Spezialisten sehen sich deshalb mit einem Zielkonflikt konfrontiert: Einerseits müssen sie ein Höchstmass an Sicherheit und Rückverfolgbarkeit garantieren, andererseits sind sie gefordert, an der Maximierung der Profitabilität mitzuwirken und eine strikte Kontrolle über Kapitalinvestitionen und Betriebskosten zu wahren.

Angesichts zunehmender Konsolidierungsaktivitäten in der Branche muss die AXA Technology Services, ein Tochterunternehmen der AXA-Gruppe, bei jeder Firmenübernahme sicherstellen, dass die Systeme und Netzwerke des neu hinzugekommenen Unternehmens 100-prozentig den eigenen Sicherheitskonventionen und Richtlinien entsprechen und auch die finanziellen und rechtlichen Anforderungen beispielsweise des Sarbanes-Oxley Act (SOX) erfüllen.

Mit dieser Situation sah sich AXA im Jahr 2006 bei der Übernahme von Winterthur, des Versicherungszweigs der Credit Suisse, konfrontiert. Nachdem die Übernahme der Winterthur-Versicherung Ende 2006 abgeschlossen war, untersuchte AXA Technology Services die Systeme des Unternehmens, um die nötigen Änderungen oder Ergänzungen zu ermitteln. Die Winterthur Versicherung verfügte bis dahin über kein Compliance-Monitoring-System, deshalb gehörte die Einrichtung eines solchen Systems zu den ersten und wichtigsten Aufgaben des AXA-Teams.

Compliance als oberste Priorität
Ein vor der eigentlichen Implementierung initialisiertes Consulting-Projekt förderte die Notwendigkeit zutage, die Systeme von Winterthur an jene von AXA anzupassen. Oberste Priorität hatten die Umsetzung von SOX-Compliance-Kontrollen, das Erkennen und Beseitigen von Sicherheitsrisiken sowie Verbesserungen im Audit-Bereich.

AXA Technology Services entschied sich für eine dezentrale, enVision-Infrastruktur von RSA auf Basis des LogSmart Internet Protocol Database Modells. Die enVision-Architektur erleichtert einerseits die Integration externer Systeme und gewährleistet andererseits ein Optimum an Leistungsfähigkeit und Verfügbarkeit. Die Plattform verfolgt, bündelt und analysiert Logs von sämtlichen vernetzten Geräten in der gesamten Organisation. Sie macht es zudem erheblich einfacher, die konsolidierten Logs in Echtzeit zu sichten und - was entscheidend ist - rasch einzugreifen, sollten irgendwelche Unregelmässigkeiten auftreten. Da die Lösung Log-Informationen ohne Filterung und ohne den Einsatz von Agenten speichert, können vollständige Audit-Trails schneller erfasst werden. Sie entsprechen überdies den Compliance-Anforderungen nach Verwendung unveränderter Daten.

Nachdem die Implementierung und der Test der enVision-Plattform abgeschlossen waren, wurden zunächst die SOX-relevanten Systeme und Applikationen integriert. Im ersten Schritt nahm sich AXA Technology Services der anstehenden Compliance-Aspekte an. Anschliessend ging es daran, die von enVision generierten Reports an die individuellen Anforderungen von AXA anzupassen.

Nachdem sämtliche Geräte, Systeme und Applikationen angeschlossen und die Reports adaptiert waren, wurden erste Vorab-Tests durchgeführt. Es zeigte sich, dass Konfigurationsänderungen an beliebigen Geräten im Netzwerk bereits visualisiert werden konnten - in Echtzeit und nur wenige Stunden nach dem Hochfahren der enVision Lösung.

Bei AXA müssen hunderte heterogener Geräte im Netzwerk überwacht werden. Das Sichten dieser unterschiedlich formatierten Logs hätte früher mehrere Personentage erfordert und wäre noch dazu überaus fehleranfällig gewesen. Heute genügt eine einzige Person für das Management sämtlicher enVision-Reports.

AXA hat eine Art Abo-Service zur Nutzung der enVision-Plattformschnittstelle für die Reports eingerichtet, damit die verschiedensten Personen diese Reports empfangen und an ihrem Arbeitsplatz sichten können. Wird das System durch neue Funktionen oder Applikationen erweitert, kann die Abonnentenliste je nach Bedarf erweitert werden.

Die AXA-Gruppe setzte bereits die enVision-Lösung von RSA als standardmässige, zent-rale Sicherheits- und Compliance-Monitoring-Plattform ein. Bei der Integration der Winterthur-Versicherung arbeitet AXA Technology Services Switzerland mit dem auf Sicherheitslösungen spezialisierten Schweizer Unternehmen ComProSec zusammen. ComProSec hatte bereits zuvor über mehrere Jahre hinweg mit AXA zusammengearbeitet und eine umfangreiche RSA-Authentication-Manager-Installation aufgebaut und eingerichtet.

Derzeit wird bereits an der Definition der nächsten Implementierungsschritte gearbeitet. Nachdem das System erfolgreich in Betrieb genommen wurde und einwandfrei arbeitet, gilt es nun, die neueren Systeme und Applikationen von AXA anzuschliessen, die entsprechenden Reports zu adaptieren und die Alerts zu definieren.

Die Integration neuer Systeme mit enVision läuft reibungslos ab. Denn die Implementierung wurde bewusst so flexibel gestaltet, dass Systeme je nach Bedarf hinzugefügt oder ausgetauscht werden können. Die Plattform ist in jedem Fall offen genug - insbesondere im Kontext der Compliance-Anforderungen ein entscheidender Faktor. Denn aufgrund der sich ständig ändernden Regelwerke ist diese Flexibilität unverzichtbar.

Compliance

Sarbanes-Oxley Act (SOX)

Dieser Gesetzentwurf soll Prüfungen der US-Börsenaufsicht Securities and Exchange Commission (SEC) von Unternehmens- und Buchhaltungsdaten transparenter und besser nachvollziehbar gestalten. Der SOX wird für alle Unternehmen angewendet, die an den US-Börsen gelistet sind. Dies kann Schweizer Grossunternehmen ebenso betreffen wie amerikanische Firmen, die international agieren. Demnach werden Unternehmen verpflichtet, unter anderem ein internes Kontrollsystem für die Rechnungslegung zu unterhalten und die Richtigkeit ihrer Quartals- und Jahresberichte beglaubigen zu lassen. Einfach ausgedrückt bedeutet Compliance somit die gesetzeskonforme Verwaltung von Informationen.