Die Aufgabe:
Sicherheitsprüfung bei einer Volks- und Raiffeisenbank
Die Lösung von Goebel Consult:
Prüfung der IT-Security auf Basis des IT-Gundschutzhandbuchs
Die Lösung im Detail
- Ausgewählte Bausteine des BSI Grundschutzhandbuch wurden bearbeitet.
- Zusammen mit einem Spezialisten für Lotus-Notes (das wird bei Banken oft eingesetzt)
- Das eigentliche Banking ist im Rechenzentrum. Das Systemmanagement des LANs in den Niederlassungen ist auch an das Rechenzentrum outgesourced. Das Sicherheitskonzept für das LAN läßt den Bank-Admins wenige Spielraum, insbesondere können sie keinen wichtigen Parameter verändern.
- Zu prüfen war daher, ob die Sicherheitspolicy des Rechenzentrums wirklich umgesetzt ist, ob Einschränkungen so funktionieren wie geplant (z.B. keine USB-Geräte im Schalterraum)
- Prüfung physikalischer Sicherheit: Ausstattung des Serverraums, Zugang zu wichtigen Infrastuktur-Komponenten (Telefon/DSL-Hauptanschluss), Zugang zum Netz über den Selbstbedienbereich (Netzanschlüsse für Geldautomaten).
- Prüfen der Dokumentation: vollständig? angemessen? aktuell? alles wichtige da? Änderungen gegenüber RZ-Vorgaben dokumentiert? Eskalationswege dokumentiert?
- Prüfen Verträge mit RZ: vollständig? Leistungen ausführlich beschrieben? SLAs definiert? Können die Admin die Einhaltung der Verträge überwachen? Kenne die Admins die wichtigen Punkte der Verträge (insb. Leistungen, Reaktionszeiten, Pönalen)?
- Gibt es eine Sicherheitsstrategie der Bank? (Das braucht sie, da die Verantwortung trotz Outsourcing beim Vorstand liegt.) Wird die gelebt? Ist die sinnvoll? vollständig?
- Sensibilisierung der Mitarbeiter