Matthias Tauber, Finanz Informatik Technologie Service

Von Helmuth Fuchs

Moneycab: Herr Tauber, vor mehr als zwei Jahren haben Sie bei der Finanz Informatik Technologie Service (FI-TS), einem Unternehmen der Sparkassen-Finanzgruppe, ein System für die sichere Übermittlung von Daten eingeführt (Totemo TrustMail®). Was war die geschäftliche Motivation für das Projekt, welche Strategie liegt dem Entscheid zu Grunde, welche Ziele verfolgen Sie mit dem Projekt?

Matthias Tauber: Hintergrund für die Einführung des Services waren die Entwicklungen im Bereich der E-Mail Kommunikation B2C aber auch B2B Bereich und denn darüber ausgetauschten Informationen. Diese haben nicht den Charakter einer „Postkarte“, wie man eigentlich die klassische E-Mail einstufen muss, sondern mindestens eines Briefes. Damit folgt die Notwendigkeit diese Informationen bei der Übermittlung im Sinne der Vertraulichkeit und auch Integrität zu schützen. Mit dem Projekt wollten wir unsere Kunden die Möglichkeit geben ein Verfahren zu nutzen um diesen Mailverkehr mit der maximal möglichen Anwenderfreundlichkeit im Bereich der Mitarbeiter als auch die grösstmögliche Unterstützung der verschiedenen Verschlüsselungsscenarien auf der Endkunden beziehungsweise Empfängerseite. Insbesondere da die zur Verfügung stehenden Desktop Varianten nicht für den IT-Laien einsetzbar sind, so dass diese Angebote nicht genutzt wurden.

«Aufgrund der Flexibilität und Funktionen ist die Totemo TrustMail® Lösung für mich natürlich die hochwertigste, ansonsten hätten wir sie nicht eingesetzt.» Matthias Tauber, Abteilungsleiter Kompetenzcenter Sicherheitslösungen, Finanz Informatik Technologie Service

Die Finanz Informatik Technologie Service (FI-TS) ist selbst ein vielfach zertifiziertes Unternehmen mit weitgehenden Erfahrungen im Bereich der Informationssicherheit. Wie haben Sie das Auswahlverfahren bei der Suche der Lösungsanbieter gestaltet, welche Phasen mussten durchlaufen werden und was waren die entscheidenden Kriterien bei der Wahl?

Das Vorgehen gestaltete sich wie folgt:

  • Sichtung der Datenblätter, Gespräche mit Anbietern und erste Verifikation gegen einen Kriterienkatalog
  • „Down Selection“ auf 5 Anbieter
  • Alle 5 Anbieter wurden im Testnetz teilweise parallel aufgebaut und getestet. Die Anbieter konnten, soweit gewünscht, die Systeme vor Ort aufbauen und den Test begleiten

Die entscheidenden Kriterien für uns waren:

  • Flexible Lösung mit einer maximalen Anwender-Unabhängigkeit zur „objektiven“ Umsetzung der ISMS-Vorgaben zum Informationsschutz
  • Benutzerfreundlichen Nutzung der Lösung
  • Verwendung von Standardverfahren zur Verschlüsselung (S/Mime und PGP)
  • Verfahren zur Bereitstellung von vertraulichen Informationen an Empfänger ohne lokale Verschlüsselungsoptionen
  • Anbindung TrustCenter für automatisierte Zertifikatserstellung
  • Idealerweise eine interne E-Mailverschlüsselung zur Umsetzung der Anforderungen aus dem ISMS
  • Möglichkeiten der gesicherten Verifikation der verschlüsselten E-Mails auf Schadinhalte (eingehend) und der Dateninhalte (ausgehend)
  • Zertifizierte Kopplung an eine Data Loss Prevention Suite, die „Zukunftssicherheit» bietet
  • Verschlüsselung von Nachrichten mit flexiblen Eingangstriggern (Subject, X-header, etc)
  • Basis Zentraler Policies (Empfängerdomain/-User, etc.)

Im Verlauf Ihrer Evaluation haben Sie sich verschiedene Anbieter und Lösungen angeschaut. Was waren die Gründe für den Entscheid zugunsten von Totemo TrustMail®?

Totemo TrustMail® lieferte die nahezu vollständige Abdeckung der Anforderungen

  • Flexibilität der Entwicklungsmannschaft zur Anpassung (bereits im Test)
  • Möglichkeiten zur Portierung auf eine freebsd/jail basierte Plattform
  • Vorteile der unabhängigen Nutzung einer internen E-Mail Verschlüsselung (Alleinstellungsmerkmal)
  • Zertifizierte Integration einer Data Loss Prevention Suite

Ihre Kunden, vorwiegend Landesbanken, Sparkassen und Finanzdienstleister, haben ein ausserordentliches Sicherheitsbedürfnis. Was waren die speziellen Sicherheitsaspekte, die Sie bei der Auswahl einer Lösung berücksichtigten?

Sicherheitsaspekte in der Anwendung wurden während den Tests mit eruiert soweit es möglich und sinnvoll war. Da wir bei der Auswahl auf die Nutzung von FI-TS Standardbetriebssystemplattformen geachtet haben, beziehungsweise dies auch als Anforderung definiert haben, konnten wir die Sicherheitsmerkmale und Funktionen dieser Umgebungen nutzen und dadurch einen hohen Effizienzgewinn erzielen.

«Aufgrund der Sensibilität der Daten die hier ausgetauscht werden ist die Verschlüsselung von E-Mails eine zentrale Themenstellung für die Sicherstellung der Integrität und Vertraulichkeit.»

Auf der einen Seite soll ein Datenaustausch für die Benutzer möglichst einfach sein, auf der anderen Seite haben Sie als Dienstleister für Finanzunternehmen einen hohen Anspruch an die Sicherheit und die technische Integration. Wie haben Sie diesen beiden Aspekten im Projekt Rechnung getragen ohne dabei in die Komplexitäts- und Kostenfalle zu tappen?

Dies haben wir bereits in der Produktauswahl mit berücksichtigt, da wir darauf geachtet haben, dass sich die Lösung nahtlos in die Architekturen, Prozesse und Plattformen in unserem Hause einfügt und keinerlei kritisch Anpassungen in den Kunden Messagingsystemen notwendig sind.

In Ihrem gesamten Sicherheitskonzept (Datenklau, Virenschutz, Schutz gegen Hacker, Schutz gegen Datenverlust, Spam-Schutz…), was ist der Stellenwert der sicheren Datenübertragung und wie ist die Totemo Lösung im Sicherheits-Konzept der FI-TS eingebettet?

Aufgrund der Sensibilität der Daten die hier ausgetauscht werden ist die Verschlüsselung von E-Mails eine zentrale Themenstellung für die Sicherstellung der Integrität und Vertraulichkeit und geniesst damit einen sehr hohen Stellenwert.

Zu Beginn des Projektes haben Sie sicher einige Ziele gesetzt, die erfüllt sein müssen, damit die Einführung des Projektes als Erfolg gewertet wird. Wie sehen diese Zielsetzungen aus und bis zu welchem Grad haben sie sich erfüllt?

Die von uns gesetzten Ziele im Sinne der Funktionalität und Integration in die Architektur und Prozess wurden von der Totemo TrustMail® Lösung vollständig erfüllt. Darüber hinaus kann ich sagen, dass wir bis heute noch keine Themenstellung identifizieren konnten, beziehungsweise von unseren Kunden als Auftrag erhalten haben, die wir nicht abbilden konnten. Insofern haben wir die Zielsetzungen, die wir an das Projekt gestellt haben, vollständig erfüllt.

Welches Mengengerüst haben Sie dem Projekt zu Grunde gelegt, wie viele Benutzer machen von TrustMail® Gebrauch und wie fielen die Reaktionen der Benutzer aus?

Die Anforderung an die Lösung war hier aus zwei Richtungen definiert. Zum einen die Anforderungen aus unserem Grosskundenbereich, hier musste die Lösung mit grossen Anwenderzahlen und Volumina von einem Mandanten aus performant arbeiten und zum anderen die Skalierung von vielen vergleichbaren Mandanten bei denen eine hohe Automatisation notwendig war mit einer nicht so grossen Benutzeranzahl wie im Grosskundenbereich. Stand heute haben wir über 40 Mandanten auf der Umgebung implementiert, das Feedback, dass wir bis heute erhalten haben ist durchweg positiv, da die Nutzung für den Anwender im Haus sehr einfach ist und die Flexibilität auf der Empfängerseite gegeben ist.

Bei der Anzahl der Kunde, die Sie betreuen, ist der Betrieb und die Wartung einer Lösung ebenso bedeutend wie die Einführung. Wie viele Mitarbeitende betreuen die Totemo Lösung und wie gestalten sich die Release-Wechsel?

Die heutige Umgebung wird auf Seiten FI-TS im Basisbetrieb von im Schnitt 0,8 – 1,2 Mitarbeiterkapazitäten betrieben, inklusive der Releasewechsel. Da wir die Umgebung maximal Standardisiert haben können wir diese auch sehr effizienz betreiben. Nicht ein gerechnet sind hier jedoch Themenstellungen wie Benutzer – und Schlüsselverwaltung, dies wird für den überwiegenden Teil der Kunden von diesen selbst durchgeführt. Bei den Mandanten, die diese Funktion an uns ausgelagert haben ist festzustellen, dass diese natürlich im Rollout erhöht sind, in der laufenden Produktion würde ich den Anteil auf ungefähr 0,05 MAK pro 1’000 User ansetzen.

Wenn Sie rückblickend eine Beurteilung bezüglich Budget, geplanter Einführungszeit und Qualität der Lösung ziehen, wie fällt das aus?

Sehr gut, wir sind im Projekt in Time und Budget geblieben und bis heute haben wir noch keinen Ausfall der Umgebung gehabt.

Wenn Sie sich mit Ihren Mitbewerbern vergleichen, wo stehen Sie mit Ihrem Lösungsangebot im Bereich der sicheren Informations-Übermittlung?

Aufgrund der Flexibilität und Funktionen ist die Totemo TrustMail®  Lösung für mich natürlich die hochwertigste, ansonsten hätten wir sie nicht eingesetzt.

Was sind die nächsten Schritte im Projekt, welche zusätzlichen Funktionen möchten Sie noch realisieren, wie sieht die Planung bezüglich weiterer Instanzen und Benutzer aus?

Derzeit planen wir aktiv die Anbindung einer externen Ca zur optionalen Ausstellung der S/mime zertifikate für unsere Kunden. Des weiteren sind hier Planungen zur Integration/Kopplung der Lösung mit einer Data Loss Prevention Suite auf der Roadmap.

Der Gesprächspartner:
Matthias Tauber, Abteilungsleiter Kompetenzcenter Sicherheitslösungen, Finanz Informatik Technologie Service

Diplomarbeit 1995 Themenstellung Sicherheit in der Vernetzten IT behandelt. In der IT seit 1996 aktiv von Beginn an mit dem Thema IT-Sicherheit und Networking in der Finanzwelt beschäftigt.

Ab 2001 in verschiedenen IZB/FI-TS Führungsfunktionen aktiv rund um die Themenstellung IT-Sicherheit.

Seit 2006 Abteilungsleiter für das Kompetenzcenter IT-Sicherheitslösungen tätig. Verantwortung liegt hier in den Themen Betrieb/Betreuung als auch Weiterentwicklung rund um die Themenstellungen IT Sicherheit wie zum Beispiel Commodity Services Firewall/IDS, Authentisierungssysteme über PKI-Kryptographiethemenstellungen und Secure Internet Access Lösungen bis hin zu Security Incident Event Management, Policy Compliance Lösungen, Zentrale E-Mail Verschlüsselungsarchitekturen sowie Innovationsthemen im Bereich IT Sicherheit aktuell Cloud Security

Zertifizierter CISSP – Certified Information Systems Security Professional nach (isc)² und CISM – Certified Information Security Manager nach ISACA.

Das Unternehmen:
Finanz Informatik Technologie Service FI-TS ist ein Outsourcing-Partner für Unternehmen aus dem Finanzbereich. Kern des Portfolios sind hochverfügbare, sichere und leistungsstarke IT-Infrastruktur-Lösungen. Mit ihnen können Banken und Finanzdienstleister ihr Kerngeschäft noch erfolgreicher gestalten, ihre Effizienz steigern und ihre IT-Kosten optimieren. In Partnerschaft mit führenden Anbietern entwickelt und betreibt FI-TS darüber hinaus Anwendungen und Services für den Finanzsektor.

Zu den Kunden zählen namhafte Unternehmen aus dem Finanzsektor, darunter die BayernLB, LBS Bayern und LBS IT, die Landesbank Hessen-Thüringen, Finanz Informatik, die DekaBank, die Deutsche Kreditbank AG, Hauck & Aufhäuser, der Sparkassenverband Bayern und die Halifax Bank of Scotland (HBOS).

Die Wurzeln der FI-TS reichen bis in die 1960er Jahre zu den Rechenzentren der Bayerischen Sparkassen und der Bayerischen Landesbank.

Schreibe einen Kommentar