Informations­sicherheit in der LBBW

Für die Landesbank Baden-Württemberg (LBBW) ist die Sicherheit der Informationsverarbeitung ein zentraler Bestandteil der Geschäftspolitik. Die Gewährleistung der Vertraulichkeit, der Verfügbarkeit und der Integrität der Informationsverarbeitung entscheidet über unseren Geschäftserfolg und den unserer Kunden. Genau aus diesem Grund hat die LBBW ein konzernweiteres Information Security Management System (ISMS) implementiert, bestehend aus organisatorischen Regelungen sowie zeitgemäßen technischen Vorkehrungen.

Organisation: Ein wesentlicher Bestandteil des ISMS der LBBW ist das Informationssicherheitsregelwerk, basierend auf dem Standard ISO 27001. Damit definiert der Chief Information Security Officer (CISO) im Auftrag des Vorstands ein angemessenes Informationssicherheitsniveau, das sowohl den aufsichtsrechtlichen als auch den gesetzlichen Anforderungen gerecht wird und konzernweit Gültigkeit trägt (inklusive Auslandniederlassungen und Tochtergesellschaften).

Berichterstattung: Eine regelmäßige Berichterstattung des CISO an den Vorstand und anderen Steuerungsgremien (z.B. Aufsichtsrat, IT-Security-Board) wird sichergestellt. Die Berichterstattung beinhaltet u.a. die Darstellung der durchgeführten Audits, die derzeitigen Risiken, sicherheitsrelevante Vorkommnisse sowie bereits durchgeführte und geplante Maßnahmen. Durch eine enge Einbindung der Führungsebene am ISMS wird gewährleistet, dass die Informationssicherheit und die damit zusammenhängenden Risiken innerhalb des Konzerns angemessen betrachtet werden und ein ausreichendes Sicherheitsbewusstsein für besteht.

Informationsrisikomanagement (IRM): Der verantwortungsvolle Umgang mit den Informationen von Kunden und Geschäftspartnern fordert einen regelmäßigen Prozess der Identifikation, Bewertung und Steuerung von Informationssicherheitsrisiken. Deren aktive Behandlung trägt zu funktionierenden Geschäftsprozessen bei und wendet möglichen Schaden von der Bank ab.

Informationssicherheits-Audits: Die Umsetzung des Informationssicherheitsregelwerk wird durch interne Audits regelmäßig überprüft. Hierbei erstrecken sich die Audits auf interne Bereiche, aber auch Tochtergesellschaften und Lieferanten. Zusätzlich erfolgt mindestens alle zwei Jahre eine unabhängige externe Überprüfung. Daneben erfolgen für alle relevanten Systeme und Anwendungen regelmäßig Penetrationstests und Schwachstellenscans.

Zutritts- und Berechtigungsmanagement: Durch das Zutritts- und Berechtigungsmanagement wird sichergestellt, dass jeder Mitarbeiter gemäß des „Need to know“- und „Need to have“-Prinzips nur über diejenigen Zugriffe/Berechtigungen verfügt, welche für die Erledigung der Aufgaben benötigt werden. Die vergebenen Rechte werden regelmäßig rezertifiziert.

Sicherheitstechnische Systeme: An allen Netzübergängen kommen Firewalls zum Einsatz, um die verschiedenen Sicherheitszonen und Umgebungen im Netzwerk voneinander zu trennen. Die Firewall am Internetzugang ist dabei mehrstufig, und Zugriffe aus dem Internet werden dabei immer in einer Demilitarisierten Zone (DMZ) terminiert. Die Firewalls besitzen Module für die Analyse von Angriffsmustern/Erkennung von Anomalien im Netzwerkverkehr. Diese werden zeitnah im Fall neuer Angriffspattern aktualisiert. Die Internetanbindung wird durch einen Service zur Verhinderung von „Distributed Denial of Service“-Angriffen geschützt (DDoS). Der Service führt eine Analyse des Netzwerkverkehrs auf Basis von statistischen Auswertungen und Signaturen durch und kann bei Anomalien/Schwellwertüberschreitungen Gegenmaßnahmen für die über das Internet zugänglichen Services einleiten.

Überwachungssysteme: Die LBBW hat mehrere Überwachungssysteme implementiert, wie zum Beispiel das SIEM und die NuKo. Beim Security Information und Event Management (SIEM) handelt es sich um ein System zur zentralen Sammlung, Übertragung, Speicherung und Auswertung von Log-Daten aus Netzwerkkomponenten, Betriebssystemen und Applikationen. Das Ziel des SIEM ist es, verdächtige Netzwerkaktivitäten zu ermitteln. In Rahmen von Nutzungskontrollen (NuKo) wird der Datenverkehr regelmäßig ausgewertet und analysiert (Mailverkehr, Clouds etc.). Die Überwachung dient dazu, Datenabflüsse schützenswerter Informationen zu registrieren. Sofern dolose Handlungen erkannt werden, können mithilfe dieser Überwachungssysteme entsprechende Gegenmaßnahmen eingeleitet werden können.

Threat Intelligence & Incident Response Planning: Industrietypische bzw. regulatorisch geforderte Notfallverfahren der Informationssicherheit sind in der LBBW ebenfalls etabliert (präventiv wie auch reaktiv). Die LBBW evaluiert mittels Threat Intelligence die Möglichkeit eines frühzeitigen, evidenzbasierten Informationsgewinns über Cyberangriffe und -vorfälle und die Auswertung dieser Informationen. Dadurch entsteht ein Frühwarnsystem, das zu einer Risikoreduktion bei Security Incidents führt.

Schulung & Sensibilisierung: Die LBBW stellt für Personen, die Tätigkeiten mit Einfluss auf die Informationssicherheitsleistung der Organisation verrichten, sicher, dass diese Personen auf Grundlage angemessener Ausbildung, Schulung oder Erfahrung die dafür erforderlichen Kompetenzen besitzen. Darüber hinaus wird ein hoher Stellenwert auf die Sensibilisierung der Mitarbeiter gelegt (intern sowie extern). Dies wird durch umfangreiche Schulungskonzepte und Kommunikationskonzepte sowie regelmäßig stattfindender Phishing-Simulationen umgesetzt.

Geltungsbereich: Über die LBBW hinaus umfasst der Geltungsbereich der Informationssicherheit die Unterstützung und Beratung wesentlicher Tochtergesellschaften.

Sie haben Fragen zur Informationssicherheit in der LBBW?

Bitte nehmen Sie Kontakt zu uns auf.

Martin Hohloch

Martin Hohloch

Chief Information Security Officer (CISO)