Es lebe die Sicherheit!

Sicherheit in einer komplexen IT-Umgebung mit Tausenden von Datenbanken ist für jedes Unternehmen eine große Herausforderung. Die Fiducia IT AG, einer der führenden IT-Dienstleister in Deutschland, hat ihr Database Activity Monitoring jetzt weiter optimiert. Dazu hat sie eine Anwendung erfolgreich implementiert, die hohe Verfügbarkeit, Datensicherheit und Automatisierung bietet. Zum Einsatz kommt die Lösung Infosphere Guardium der IBM. Der Insider hat Matthias Wild, verantwortlich für Database Activity Monitoring in der Abteilung Compliance & Security im IT-Service bei der Fiducia IT AG, interviewt.

Insider: Was waren die Treiber?

Matthias Wild: IT-Sicherheit ist für alle Dienstleister im Umfeld von Banken und Finanzinstituten oberstes Gebot. Deshalb lautet auch das Fiducia-Leistungsversprechen: "Die Bedürfnisse unserer Kunden nach sicheren und zuverlässigen IT-Lösungen sind Maßstab unseres Handelns." Der Schutz der anvertrauten Kundendaten wird dabei großgeschrieben und kontinuierlich optimiert, so auch in einem Teilbereich wie dem Database Activity Monitoring: eine Herkulesaufgabe, wenn man bedenkt, dass es bei der Fiducia um mehrere Tausend Datenbanken unterschiedlicher Hersteller geht, und das in einer äußerst komplexen und heterogenen Rechenzentrumsumgebung mit über 10.000 UNIX- und Windows-Servern und mehreren IBM Mainframes.

Insider: Welche gesetzlichen Vorgaben mussten Sie denn genau erfüllen?

Matthias Wild: Die im Bankensektor relevanten Mindestanforderungen an das Risikomanagement (MaRisk) fordern für die technisch-organisatorische Ausgestaltung von IT-Systemen die Nutzung gängiger Standards (AT 7.2). Die ISO-Standards ISO 27001 ff. zum IT-Sicherheitsmanagement stellen derartige Standards dar. Unser Unternehmen ist seit 2007 vollständig nach ISO 27001/27002 zertifiziert.

Insider: Wie haben Sie diese Herausforderungen gelöst?

Matthias Wild: Nun, entscheidend ist eine Sicherheitsplattform, mit der sich unternehmensweit die relevanten Datenbankzugriffe zentral aufzeichnen und systematisch auswerten lassen. Das ist zwar komplex, aber es gibt hierfür Lösungen. Wir haben uns für IBM Guardium entschieden, weil diese Lösung alle für uns wichtigen Aspekte wie Skalierbarkeit, Flexibilität in heterogenen Umfeldern und Automation abdeckt.

Insider: Wie lief das Projekt im Einzelnen ab?

Matthias Wild: Das Projekt wurde innerhalb von rund 18 Monaten durchgeführt. Nach einer fünfmonatigen Planungsphase mit Marktbetrachtung, Systemauswahl und Entscheidungsfindung erfolgte ein Proof of Concept. Parallel dazu wurden gemeinsam mit IBM das Design und das Sizing erarbeitet, eine Testumgebung aufgebaut und Anwendungstests durchgeführt. Die Produktionsumgebung konnte dann innerhalb von nur 6 Monaten bereitgestellt werden. Anschließend wurden dann sukzessive die Zielsysteme integriert. Daneben mussten wir die relevanten Compliance- und Audit- Prozesse an die neue Lösung anpassen. Mittlerweile überwachen wir die Daten – dank Guardium stark automatisiert – über ihren gesamten Lebenszyklus.

Insider: Wie funktioniert die Sicherheitsplattform heute?

Matthias Wild: IBM Guardium sammelt datenbankübergreifend und automatisiert mittels Agenten alle Informationen aus unseren Datenbanken IBM DB2, Oracle und Microsoft SQL. Zusätzlich importieren wir weitere Informationen aus den Datenbanksystemen DB2 for z/OS und IBM IMS. Auf der Basis dieser aggregierten Daten können wir die Transaktionen und Datenzugriffe in sämtlichen Bankanwendungen überwachen und zugleich ein konsistentes Audit- und Compliance-Reporting aufsetzen.

Insider: Können Sie ein Beispiel eines Reports im Detail beschreiben?

Matthias Wild: Nein, leider nicht, denn dies würde unserem Audit-Konzept widersprechen: Wir geben keine Information darüber weiter.

Insider: Welches Fazit würden Sie ziehen?

Matthias Wild: Nun, Guardium läuft stabil und reibungslos. Die für die Nachvollziehbarkeit der Zugriffe erforderliche Datenmenge reduziert sich dank Guardium auf das Wesentliche. Diverse Stellgrößen erlauben hohe Flexibilität sowie Skalierbarkeit. Daneben bietet Guardium ein zentrales Reporting auf der Basis eigener und zugeführter Daten mit einem hohen Auto- mationsgrad. Damit erreichen wir unser wichtigstes Ziel: Wir schützen sensible Kunden- und Bankdaten.

Insider: Was würden Sie Projektleitern in einer ähnlichen Situation ans Herz legen?

Matthias Wild: Das Wichtigste ist: Man sollte die Gesamtaufgabe nie aus den Augen verlieren. Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten lassen sich nur sicherstellen, wenn man sämtliche sicherheitsrelevante Aspekte kennt und im Blick behält. Software ist hierfür lediglich ein Werkzeug, wenn auch ein sehr wesentliches.

Vielen Dank für das Gespräch!

Wir helfen Ihnen gerne.
Haben Sie Fragen?

  •  Angebot anfordern
  •  E-Mail an IBM
  •  oder rufen Sie uns an: 0800-4267947
    Nennen Sie diesen Code: 101CE12W

Veranstaltungskalender

Hier finden Sie die aktuellen Information Management Veranstaltungen.

Kompakt. Praxisnah. Interaktiv.

IBM BAO Academy

Die 45-minütigen IBM BAO Online-Seminare.

Das Insider-Team stellt sich vor.

Sie möchten die Gesichter hinter den Artikeln kennenlernen oder haben Fragen an die Redaktion?

Lesen Sie die gesamte aktuelle Ausgabe!

Facebook

Tagesaktuelle Informationen & Austausch mit den IBM Experten:

Abo abbestellen

Sie möchten Ihr Insider Abo abbestellen?