Sicherung der IT-Infrastruktur im Finanzsektor mit Datendioden | OPSWAT

Da Cyberbedrohungen gegen Finanzinstitute immer häufiger auftreten und immer raffinierter werden, muss die Cyberabwehr über herkömmliche Sicherheitsmaßnahmen hinausgehen, um deren kritische IT-Systeme zu schützen. Eine ordnungsgemäße Netzwerksegmentierung ist für den Schutz kritischer IT-Systeme vor Cyberbedrohungen von entscheidender Bedeutung, und Datendioden bieten ein höheres Maß an Sicherheit als andere Netzwerksicherheitslösungen.

Ursprünglich für Militär- und Verteidigungssysteme entwickelt, gewinnen Datendioden nun auch im Finanzsektor an Bedeutung, wo Datenintegrität, Vertraulichkeit und die Einhaltung gesetzlicher Vorschriften von größter Bedeutung sind.

Eine Datendiode ist ein hardwarebasiertes Netzwerksicherheitsgerät, das einen einseitigen Datenfluss zwischen zwei Netzwerken gewährleistet. Im Gegensatz zu einer Firewall oder einem softwarebasierten Sicherheitssystem ist eine Datendiode so konzipiert, dass Daten nur in eine Richtung übertragen werden können, wodurch das Risiko ausgeschlossen wird, dass sich eine aus der Ferne erfolgte Sicherheitsverletzung auf die kritische IT-Infrastruktur ausbreitet.

Die Einweg-Sicherheitsrichtlinie einer Datendiode wird hardwareseitig umgesetzt und kann nicht kompromittiert werden. Durch die Schaffung eines Einweg-Kommunikationspfads trennen Datendioden hochwertige Assets von weniger sicheren Umgebungen und ermöglichen gleichzeitig die Übertragung kritischer Daten.

Ein zweiter und ebenso wichtiger Sicherheitsvorteil einer Datendiode ist die Protokolltrennung, die sie zwischen dem Quell- und dem Zielnetzwerk erzwingt. Datendioden wurden ursprünglich entwickelt, um die Anforderungen des US-Verteidigungsministeriums an die domänenübergreifende Kommunikation zu erfüllen, zu denen auch die Gewährleistung der vollständigen Vertraulichkeit zwischen Quell- und Zielnetzwerk gehört.

Im Gegensatz zu einer Firewall, die eine TCP- oder UDP-Verbindung zwischen Netzwerken herstellt, übertragen Datendioden lediglich die Nutzdaten. Die Proxy-Software auf der Quellseite der Diode entfernt die routbaren Informationen aus dem Datenpaket-Header und leitet nur die Nutzdaten an die Zielseite der Diode weiter. Die Software auf der Zielseite setzt das Datenpaket wieder zusammen und leitet es über eine separate Verbindung an den richtigen Endpunkt weiter.

Datendioden werden in großem Umfang zur Absicherung von geheimen Netzwerken, Infrastrukturen der Kernenergieerzeugung und vielen anderen kritischen Systemen eingesetzt. Sie festigen die Strategie der Netzwerksegmentierung und sichern die Kommunikation zwischen verschiedenen Netzwerkdomänen.

Wie in anderen Branchen auch haben Finanzinstitute eine komplexe IT-Infrastruktur aufgebaut, um ihre Geschäftsprozesse zu unterstützen. Diese beinhalten den Datenaustausch zwischen verschiedenen Abteilungen sowie mit externen Partnern und Anbietern. Oft erfolgt der Datenaustausch nur in eine Richtung, doch die Netzwerkinfrastruktur, über die die Daten übertragen werden, ist bidirektional, was potenzielle Angriffsflächen für das Unternehmen eröffnet.

Es gibt viele Anwendungsfälle, in denen Datendioden zum sicheren Datenaustausch eingesetzt werden können. Hier sind einige Beispiele:

1. Sicherung und Archivierung sensibler Daten: Finanzinstitute sichern Daten aus operativen Systemen in Archivierungssystemen, um im Falle eines Systemausfalls die Geschäftskontinuität zu gewährleisten. Datendiode können Dateien übertragen, Datenbanken replizieren und Systemereignisinformationen in ein Archivierungssystem übertragen sowie Daten sicher aus dem Archivierungssystem abrufen.
2. Secure von Marktdaten in isolierte Netzwerke: Handelsumgebungen sind auf Echtzeit-Marktdatenfeeds von Bloomberg, Reuters und anderen Anbietern angewiesen. Diese Daten werden in der Regel als Einweg-Push in isolierte Handelsumgebungen übertragen. An der Netzwerkgrenze können Datendiode eingesetzt werden, die Echtzeit-Videodaten und andere neue Feeds mit minimaler Latenz übertragen, ohne einen Rückkanal zu öffnen.
3. Aufsichtsrechtliche Berichterstattung: Finanzunternehmen übermitteln Compliance-Berichte aus gesicherten Umgebungen an Aufsichtsbehörden. Dabei handelt es sich um einen einseitigen Daten-Push, der häufig über bidirektionale Netzwerke erfolgt. Daten-Dioden können so konfiguriert werden, dass sie Dateien automatisch an den richtigen Bestimmungsort senden, wodurch sichergestellt wird, dass sensible aufsichtsrechtliche Daten übertragen werden, ohne die Integrität der Quellumgebung zu gefährden.
4. Secure : Splunk-zu-Splunk-Replikation: In der Finanzdienstleistungsbranche wird Splunk in erster Linie dazu eingesetzt, Daten in einer zentralen Übersicht zu bündeln, um die Echtzeitüberwachung und Analyse von Backoffice-Prozessen zu unterstützen. Die Lösung dient der Förderung der Sicherheit, der betrieblichen Effizienz und des Kundenerlebnisses. Die Sicherung der Datenübertragung an Splunk mittels Daten-Dioden schützt die Integrität von Geschäftsabläufen wie beispielsweise:
   1. Transaktionsüberwachung und Betrugserkennung: Splunk unterstützt Systeme zur Betrugserkennung. Transaktionsprotokolle aus Bankensystemen müssen in Echtzeit sicher an Splunk übertragen werden. Daten-Dioden gewährleisten die erforderliche Netzwerksegmentierung und ermöglichen gleichzeitig die für die Erkennung von Anomalien notwendige Echtzeit-Datenübertragung.
   2. Zustand des Systems zur Einhaltung gesetzlicher Vorschriften: Datendioden sichern die Datenübertragung an Splunk und unterstützen so die erforderlichen Audits.
   3. Datendioden übertragen Systemprotokolle und Warnmeldungen über eine hochsichere Netzwerkverbindung an Splunk
5. Austausch von Finanzinformationen: Wie bei Anwendungen innerhalb des Verteidigungsministeriums können Datendioden genutzt werden, um Informationen zwischen Abteilungen innerhalb einer Organisation oder mit anderen Partnerinstitutionen auszutauschen. Datendioden gewährleisten eine lückenlose Geschäftskontinuität und verhindern gleichzeitig, dass interne Sicherheitsnetzwerke gefährdet werden.
6. Cloud : Finanzinstitute können Datendiode nutzen, um Daten zur Verarbeitung, Analyse oder Speicherung auf Cloud-Plattformen zu übertragen, ohne die Sicherheit ihrer internen Netzwerke zu gefährden.