Barclays Bank
 |
Barclays Bank implementiert Sanctuary® Device Control von Lumension zur Beseitigung aller USB-Sicherheitsrisiken |
Der Hintergrund
Barclays ist eine in Großbritannien basierte Finanzservicegruppe und internationale Bankorganisation mit Niederlassungen im Asien-/Pazifikraum, in Europa und Südamerika. Die Aktivitäten der Gruppe konzentrieren sich vorwiegend auf die Bereiche Banking, Investment Banking und Investment Management. Hinsichtlich der Marktkapitalisierung gehört Barclays zu den Top Ten der Banken weltweit. Neben dem Privat- und Businesskundengeschäft, in dem die Bank in Großbritannien eine Spitzenposition einnimmt, bietet die Barclays-Gruppe auch koordinierte globale Services für multinationale Unternehmenskonzerne und Finanzinstitute auf der ganzen Welt und kann dazu auf über 76.200 Mitarbeiter und Niederlassungen in über 60 Ländern zurückgreifen.
Vor kurzem hat die Bank eine Revision der Hardware in ihren Bankstellen durchgeführt. Ausschlaggebend hierfür war der Wunsch, Systeme zu implementieren, die der breiten Palette und der Qualität der für die Barclays-Kunden bereitgestellten Dienste angemessen sind und deren Ausbau unterstützen. Das ADIR-Programm (Application Development Infrastructure Renewal) sieht u.a. den Wechsel von den alten Büroterminals in den Zweigniederlassungen zu PC-Plattformen vor, wobei einerseits eine einfache Handhabung für die Mitarbeiter von Barclays und andererseits der Schutz dieser Plattformen gewährleistet werden soll. Einer der Hauptgründe für diese Änderungen waren die extrem hohen Kosten für die Wartung der alten Infrastruktur, ein anderer Grund war die angestrebte Verbesserung der Verfügbarkeit und Flexibilität der Basisanwendungen.
Die Herausforderung
Der PC-Park von Barclays unterstützt eine Mischung aus Windows XP, Windows 2000 und Windows 2003. In Übereinstimmung mit dem internen Sicherheits-Audit und der Risikobeurteilung hatte Barclays sicherzustellen, dass bestimmte Vorrichtungen, wie z.B. USB-Laufwerke, nicht frei zugänglich waren, um das Risiko von Eindringlingen in PCs über die USB-Anschlüsse auszugrenzen.
Das Hauptziel der geplanten Implementierung war die Einrichtung einer sicheren Umgebung innerhalb des Zweigstellennetzwerks sowie der Schutz vor einer unzulässigen Verwendung von USB-Geräten. Eine rein Active Directory-basierte Lösung wäre in dieser Hinsicht zu kostenaufwändig und nicht ausreichend flexibel gewesen. Barclays wollte auf jeden Fall gewährleisten, dass potenzielle Sicherheitslücken durch den Rückgriff auf Geräte wie Floppy-Drives, auf USB- und serielle Anschlüsse vollständig beseitigt werden. Im Grunde ging es darum, jedes nicht-autorisierte Eindringen in das Netzwerk definitiv zu blockieren.
Die Lösung
Nach der Prüfung einer Reihe von Lösungen entschloss sich Barclays für Sanctuary® Device Control von Lumension. Diese Lösung ermöglichte die komplette Verriegelung der USB-Anschlüsse und verhinderte jede nicht-autorisierte Verbindung von USB-Geräten mit dem Netzwerk. Gleichzeitig war die Flexibilität gegeben, nach Bedarf spezifische Genehmigungen einzuräumen IT-Manager konnten bedarfsgerecht bestimmte USB-Laufwerke verriegeln und wieder freigeben, ganz in Übereinstimmung mit den geänderten Prioritäten und Zugriffsrechten einzelner Mitarbeiter. Somit ermöglichte diese Lösung eine sichere Verwaltung der unternehmensweiten USB-Gerätenutzung, wobei nach Bedarf auch ein detailliertes Ressourcenmanagement möglich war.
Vor der Implementierung der Lumension-Lösung beauftragte Barclays die unabhängige Sicherheitsfirma QinetiQ mit der Ausführung extensiver Tests. Nach Abschluss der Testreihe, die sich durch besonders rigorose Kriterien auszeichnete und die Lumension Sanctuary® Device Control mit Erfolg meisterte, wies QinetiQ Device Control als die am besten geeignete Lösung im Hinblick auf die USB-spezifischen Sicherheitsanforderungen von Barclays aus. Das Risiko-Team von Barclays stimmte dem Vorschlag zu, und so wurde die Lumension-Lösung zur Standard-Sicherheitslösung für die ADIR-Implementierung. Vor der Integration in das Zweigstellennetzwerk wurde Device Control einem extensiven, unabhängigen Test- und Pilotzyklus unterworfen. Dazu wurde eine 'Zweigstellen-Replikationsumgebung' eingerichtet, die die reale Infrastruktur, zu der eine Verbindung aufgebaut werden musste, im Detail reproduzierte.
Den Startschuss für die Implementierung gab dann ein 2-wöchiges Pilotprojekt, für das drei Zweigniederlassungen von unterschiedlicher Größe ausgewählt wurden von einer kleineren Niederlassung mit weniger als 10 Terminals bis hin zur größten Niederlassung. Im Anschluss daran wurde die Lösung in allen 1.600 Zweigniederlassungen implementiert. Das bedeutet, dass nun etwa 16.000 Workstations von einem Schutz durch Sanctuary® Device Control profitieren.
Die Vorteile
"Einer der wichtigsten Vorteile einer Implementierung von Sanctuary® Device Control ist das 'Whitelist'-Feature, durch das sichergestellt werden kann, dass keine Geräte ohne entsprechende Genehmigung eingesetzt werden können, ungeachtet dessen wie sie angeschlossen werden" betont Paul Douglas, ADIR Desktop Build Team Manager bei Barclays. "USB-basierte Flash-Memory-Geräte stellen ein nicht zu unterschätzendes Risiko dar, da sie potenziell den Diebstahl von Unternehmensdaten oder die Einführung von "Malware" ermöglichen. Ein Rechner kann dadurch völlig unbrauchbar werden und in kürzester Zeit andere PCs im gleichen Netzwerk infizieren. Device Control erweist sich als ein wahrhaft leistungsstarkes und dabei leicht zu handhabendes Produkt. Und genau aus diesem Grund hat sich Barclays für diese Lösung entschieden."
Durch die Integration von Sanctuary® Device Control in das Netzwerk konnten die Sicherheit und Zuverlässigkeit der Netzwerkinfrastruktur von Barclays grundlegend verbessert werden. Gleichzeitig wurden die Barclay-internen Kriterien in Sachen Betriebsrisiko erfüllt. "Der Bereich Sicherheit lässt sich natürlich nicht im Sinne von ROI einstufen, aber es ist offensichtlich, dass die Vertrauenswürdigkeit einer Bank keinen Preis hat. Aus diesem Grund müssen wir sicherstellen, dass die PCs in unseren Zweigniederlassungen nicht für Eindringlinge anfällig sind," resümiert Paul Douglas.
Barclays Bank