Für Sie besucht: Cloud Computing in the Financial Industry – A Security and Compliance Nightmare?

Die englischsprachige Frühjahrskonferenz 2012 des E-Finance Lab fand in Darmstadt im Darmstadtium statt, das nach dem gleichnamigen Element benannt ist. Interessante Vorträge und renommierte Vortragende kennzeichneten die Veranstaltung und machten sie für Zuhörer lohnend.

Prof. Dr. Peter Buxmann, TU Darmstadt, stellte die Ergebnisse einer Studie vor, der zufolge Software as a Service (SaaS) sowohl in Deutschland als auch in den USA weit überwiegend nach Nutzer/Monat abgerechnet wird. An nächster Stelle folgen Hybridmodelle, bei denen die Abrechnung nach Nutzern und Nutzung erfolgt. Den geringsten Anteil von unter 10% haben nutzungsorientierte Preismodelle. Demgegenüber sind im Bereich Infrastructure as a Service (IaaS) Preismodelle nach Nutzung verbreitet, z.B. genutzte Speicherkapazität. Eine weitere empirische Umfrage, die gemeinsam von der TU Darmstadt und der TU München durchgeführt wurde und deren Auswertung noch nicht abgeschlossen ist, beschäftigt sich mit der Wahrnehmung, dass Cloud Computing risikobehaftet ist. Im Rahmen der Befragung wurden sechs Risikobereiche der IT-Sicherheit identifiziert, zu denen die bekannten Sicherheitsaspekte Vertraulichkeit, Integrität und Verfügbarkeit gehören. Die vorläufigen Ergebnisse zeigen, dass an erster Stelle die Vertraulichkeit (40%) als Risiko gesehen wird, gefolgt von Verfügbarkeit (28%). Diese beiden Risikobereiche machen zusammen mit der Accountability 90% des Risikoempfindens aus.

Frau Prof. Dr. Claudia Eckert, Direktorin des Fraunhofer Forschungsinstituts AISEC, Professorin für IT-Security an der TU München und Fachbuchautorin, widmete sich in Ihrem Vortrag den sicherheitsbezogenen Herausforderungen in der Cloud. Mit ihrem einleitenden Statement, dass Nutzer in der Cloud den Verlust an Kontrolle, Compliance und Daten fürchten, schloss ihr Vortrag nahtlos an den vorherigen an. Hauptaufgabe ist es also, Vertrauen herzustellen. Dies kann durch Security Monitoring erfolgen. Der vom AISEC entwickelte AISEC Cloud Leitstand stellt ein Rahmenwerk für das Security Monitoring dar, das sicherheitsrelevante Informationen bündelt und in einem Dashboard darstellt. Ein Prototyp ist bei AISEC vorhanden. Für diejenigen, die dem Provider nicht trauen, stellte Frau Prof. Dr. Eckert die Sealed Cloud vor, die sich noch im Anfangsstadium befindet. Hier geht es darum, gegenüber dem Provider Sicherheitsmechanismen so zu integrieren, dass das nutzerseitig gewünschte Schutzniveau erreicht wird. Darüber hinaus bietet es sich für Provider in der Cloud an, auch Security as a Service anzubieten. Dies können beispielsweise Security Health Checks von Smartphones sein, insbesondere auch dann, wenn Unternehmen das BYOD-Modell zulassen. Eine weitere Dienstleistung für Provider könnten Security Assessments von Plattformen sein. Ziel muss es sein, führte Frau Prof. Dr. Eckert aus, die Cloud zu einer sicherheitssteigernden Technologie zu entwickeln.

Den Sicherheitsanforderungen im Zeitalter der mobilen Kommunikation in Bezug auf die Finanzwirtschaft widmete sich der Vortrag von Dr. Kai Grassie, Giesecke & Devrient. G&D, einer der international führenden Technologiekonzerne, stellt u. a. Magnetstreifen-, Chip-  und SIM-Karten sowie Karten für den kontaktlosen Zahlungsverkehr her. Ein aktueller Schwerpunkt von G&D liegt im Bereich Near Field Communication (NFC) per Smartphone. Im Jahr 2014 wird jedes 4. mobile Gerät NFC-fähig sein und mobiles kontaktlose Bezahldienste wie Geldkarte, EC-Karte oder Kreditkarte ermöglichen. Das mobile Gerät ist dabei über den Trusted Service Manager mit der Bank verbunden.  Als Trusted Service Manager betreibt G&D eine Trusted Services Management Plattform, über die sich z. B. Zahlungsverkehrsapplikationen (ZVA) direkt auf dem Smartphone des Kunden bereitstellen lassen. Dies ermöglicht es Banken und Kreditinstituten, kontaktlose ZVA auf die NFC-SIM-Karten in den Mobilfunktelefonen ihrer Kunden zu laden und zu personalisieren. Damit ist jedoch nur ein spezifischer Teil des mobilen Geräts „sicher“. Zur Absicherung des gesamten Geräts dient das Trusted Execution Environment (TEE), das ein Sicherheitselement für den Anwendungsprozessor des mobilen Gerätes repräsentiert.

Nach der kurzen Kaffeepause folgten Vorträge zu Judicial Pitfalls on the Cloud Route, Rethink IT – Reinvent Business – The Vision of Modern (Cloud) Computing within Finanical Services und Service Sourcing from the Cloud – The Impact of IT Architecture. Diesen Vorträgen konnte der Autor jedoch leider nicht mehr beiwohnen, denn zu diesen Zeitpunkten war er schon wieder unterwegs – zum nächsten Kunden.

0 Responses

Schreibe einen Kommentar