IT-Sicherheit hat für die Commerzbank höchste Priorität und unterliegt umfangreichen internen und externen regulatorischen Anforderungen. Die interne Revisionsabteilung prüft die Einhaltung dieser regelmäßig und hat für spezielle technische Prüfungen die Unterstützung HiSolutions angefragt. Zur Überprüfung des aktuellen Sicherheitsniveaus wurden drei Kernanwendungen des automatisierten Massenzahlungsverkehrs ausgewählt und einer umfangreichen Prüfung unterzogen.
Success Story als PDF herunterladen
Ziele
Ziel des Projektes war, die fachliche Prüfung des automatisierten Massenzahlungsverkehrs der internen Revision der Commerzbank durch eine technische Detailprüfung zu ergänzen und zu vertiefen. Durch die Einbindung von technischen Experten der HiSolutions sollte sichergestellt werden, dass die Einhaltung der regulatorischen Vorgaben und Anforderungen sowohl auf fachlicher, als auch auf technischer Ebene gewährleistet werden kann. Insbesondere sollten auf diesem Weg die bestehenden Cyber-Risiken im Rahmen der Revisionsprüfung betrachtet werden.
Herausforderungen
Die auftretenden Herausforderungen des Projektes wurden bedingt durch die starke Spezialisierung des Umfelds und der eingesetzten Technologien. So mussten sowohl die branchenspezifische Software, die komplexen Zusammenhänge zwischen den einzelnen Komponenten als auch die internen und externen Anforderungen bei den Prüfungen berücksichtigt werden.
Weiterhin sollte die Durchführung gründlich sein, ohne dabei den Betrieb in der Produktivumgebung sowie parallellaufende interne Tests zu gefährden.
Um die internen Vorgaben zu berücksichtigen, war es notwendig alle Tests auf von der Commerzbank bereitgestellten Systemen durchzuführen.
Umsetzung
HiSolutions unterstützte die Commerzbank durch technische Expertise in allen Phasen der Prüfung: Von der Konzeption über die Durchführung bis hin zur Aufbereitung und Kommunikation der Prüfungsergebnisse. Für die kritischen IT-Anwendungen im Bereich des Zahlungsverkehrs wurden verschiedene technische Prüfungen wie Penetrationstests, Interviews, Konfigurationsaudits und die Überprüfung des Quellcodes ausgewählter Webanwendungen durchgeführt. Dieses Vorgehen diente dazu, Schwachstellen zu identifizieren und zu bewerten, und Maßnahmen zur Beseitigung und Minimierung von Risiken zu entwerfen.
Die Art der Prüfung wurde von HiSolutions dem jeweiligen Untersuchungsgegenstand entsprechend ausgewählt, um Effektivität und Effizienz der Prüfung zu maximieren.
Die technischen Prüfungen konzentrierten sich dabei auf drei interne Anwendungen im Bereich des automatisierten Massenzahlungsverkehrs. Sie waren außerdem eingebettet in eine parallel stattfindende Revisionsprüfung der entsprechenden Geschäftsprozesse.
In enger Zusammenarbeit mit der internen Revisionsabteilung wurden, auf der Grundlage der bestehenden Anforderungen an die IT-Systeme, technisch prüfbare Szenarien abgestimmt und ausgewählt.
Sowohl vor Beginn als auch während der Tests wurde eng mit der internen IT-Abteilung und den Produktverantwortlichen zusammengearbeitet. So konnten Rahmenbedingungen und Informationen effizient abgestimmt und ein reibungsloser Ablauf der Penetrationstests sichergestellt werden.
Ergebnis
Mit der technischen Expertise von HiSolutions konnten für die Prüfung geeignete Szenarien zusammengestellt und eine vollumfängliche Risikoprüfung des automatisierten Massenzahlungsverkehrs durchgeführt werden.
Neben den fachlichen Überprüfungen der Revision konnten auch Cyber-Risiken für die relevanten Systeme und Geschäftsprozesse identifiziert und bewertet werden.
Die Ergebnisse der technischen Prüfungen konnten genutzt werden, um identifizierte Schwachstellen zu beheben und das Sicherheitsniveau der geprüften Umgebung gezielt zu verbessern.
Das sagt unser Kunde
„Perfekte Leistung und Beitrag zu unserer Prüfung des Massenzahlungsverkehrs. Nicht zu übertreffende Kommunikation und Zusammenarbeit. Das Team von HiSolutions trug wesentlich zum Gelingen der Gesamtprüfung bei! Hierfür nochmals ein herzliches Dankeschön!“
Uwe Meuers; Abteilungsleiter GM Audit IOS Operations & Sourcing; Commerzbank AG
Über die Commerzbank
Die Commerzbank ist eine führende, international agierende Geschäftsbank mit Standorten in knapp 50 Ländern. In zwei Geschäftsbereichen – Privat- und Unternehmerkunden sowie Firmenkunden – bietet die Bank ein umfassendes Portfolio an Finanzdienstleistungen, das genau auf die Bedürfnisse ihrer Kunden zugeschnitten ist.
Mit ungefähr 1.000 Filialen betreibt die Commerzbank eines der dichtesten Filialnetze der deutschen Privatbanken. Insgesamt betreut die Bank mehr als 18 Millionen Privat- und Unternehmerkunden sowie über 70.000 Firmenkunden, multinationale Konzerne, Finanzdienstleister und institutionelle Kunden weltweit.
Über die HiSolutions AG
Die HiSolutions AG ist einer der führenden deutschen Beratungsspezialisten für IT-Management und Information Security.
Seit mehr als 25 Jahren unterstützen wir unsere Kunden dabei, die Chancen der Digitalisierung optimal zu nutzen und die damit verbundenen Risiken zu beherrschen. Wir stehen dafür, Grenzen und Barrieren in der Zusammenarbeit von Business und IT abzubauen und wirkliche Business-IT-Partnerschaften für den digitalen Wandel zu entwickeln.
Wir verbessern die Leistungs- und Zukunftsfähigkeit der IT-Organisationen in Unternehmen und Verwaltung. Dafür entwickeln wir mit der passenden Strategie ihre Organisation, Architektur und Services für die gesamte Leistungskette der IT-Bereitstellung und -weiterentwicklung und optimieren die Nutzung und Beschaffung von Software-Lizenzen und IT-Diensten.
Zum Themenbereich Penetrationstests / Technische Audits