Als IT-Dienstleister und Digitalisierungspartner der Sparkassen Finanzgruppe (SFG) bietet die Finanz Informatik (FI) IT-Lösungen aus einer Hand für Sparkassen, weitere Unternehmen aus dem Verbund der Sparkassen-Finanzgruppe (SFG) sowie deren rund 50 Millionen Kunden. Dabei begeistert die FI nicht nur durch leicht anwendbare und schlanke End-to-End-Prozesse – sie gehört auch zur sogenannten kritischen Infrastruktur Deutschlands. Lars Elfering ist Abteilungsleiter des Cyber Defence Centers (CDC) der FI und schützt mit seinem Team hunderte Institute der SFG vor Bedrohungen aus dem Netz – und damit indirekt auch Millionen von Sparkassenkunden. Im Interview berichtet er über die aktuellen Aufgaben sowie Herausforderung der Cyber Security und auch darüber, was ihn persönlich antreibt.
Lars Elfering ist Abteilungsleiter des Cyber Defence Centers der Finanz Informatik
Herr Elfering, die Kunden der Finanz Informatik (FI) entstammen dem Finanz- und Versicherungsbranche, daraus ergibt sich der Umgang mit extrem sensiblen Daten. Welche Rolle spielt die Cyber Security in der Arbeit der FI für diese Branchen?
Es ist in der Tat so, dass wir sensible Daten und geschäftskritische Dienstleistungen für die Sparkassen und Versicherungen verarbeiten beziehungsweise erbringen. Grundlegende Aufgaben sind beispielsweise die Bargeldversorgung durch die Sparkassen, aber natürlich auch bargeldloses Zahlen und Online-Banking. Genau deswegen gelten wir als kritische Infrastruktur und unterliegen der durchaus starken Regulatorik der Aufsichtsbehörden: Unsere Arbeit richtet sich also nach geltenden Auflagen zur Überwachung der technischen Infrastruktur auf sicherheitskritische Auffälligkeiten. Diese müssen identifiziert werden und sollte es sich tatsächlich um Sicherheitsvorfälle handeln, braucht es selbstredend eine adäquate Reaktion. Hier kommt das Cyber Defence Center (CDC) der FI ins Spiel. Außerdem unterstützen wir nicht nur dabei, Schwachstellen in Soft- und Hardware zu finden und zu beheben, sondern sind auch in der Threat Intelligence aktiv, also der laufenden Beobachtung und Analyse von möglichen Bedrohungen und Angriffsmethoden.
Wenn bekannt wird, dass es solche Bedrohungen gibt oder sogar eine Sparkasse gehackt wurde, prüfen Sie, welche Schwachstellen im Umlauf sein könnten?
Für bestätigte Fälle gibt es gewisse Relevanzkriterien. Gerade, wenn sie bei Herstellern von Hard- oder Software auftreten, achten wir sehr darauf, welche Schwachstellen möglicherweise ausgenutzt und welche Angriffstaktiken eingesetzt wurden und wer dahintersteckt. Aus den daraus gewonnenen Informationen leiten wir gegebenenfalls wieder proaktiv Maßnahmen ab.
Welchen Herausforderungen begegnen Sie bei Ihrer Arbeit?
Die Regulatorik ist an sich bereits eine Herausforderung. Wir helfen dabei, allen Auflagen gerecht zu werden, um die IT abzusichern. Eine Besonderheit unserer Arbeit ist, dass die Sparkassen ihre IT selbst verantworten und Rechenschaft gegenüber den Prüfungsbehörden ablegen müssen. Wir als Dienstleister befähigen sie dazu, die Umsetzung der Anforderungen an die IT-Sicherheit korrekt nachzuweisen.
Eine andere Herausforderung ist es, auf die Vielzahl der Bedrohungen, die gerade in der heutigen Zeit schnell anwächst, adäquat zu reagieren. Wir haben hier in der FI ein spezielles Team aufgebaut, das ganz explizit nach diesen Bedrohungsinformationen sucht und sie auswertet. Wir können in unserer eigenen Infrastruktur schnell Anpassungen vornehmen und Kunden proaktiv darüber informieren, wenn es kritische Bedrohungen gibt. Wir halten immer alle Beteiligten auf dem Laufenden.
Zu noch mehr Interviews über die Finanz Informatik geht es hier entlang.
Stichwort „proaktiv“ – grundsätzlich klingt die Analyse und Auswertung von aktuellen Bedrohungen ja eher nach einem nachgelagerten Prozess. Wie sucht dieses Team denn nach Bedrohungen, die vielleicht noch gar nicht ausgereift sind?
In den Teams sitzen keine Hellseher, die die Bedrohung schon im Voraus erkennen, auch wenn wir natürlich möglichst früh von möglichen Bedrohungen erfahren wollen. Zum Teil stammen solche Informationen aus öffentlichen Quellen: Internet, News-Seiten, Foren, in denen IT-Sicherheitsinformationen geteilt werden, aber auch Partner, Dienstleister und Sharing-Communitys gehören dazu. Wenn eine Bedrohung an anderer Stelle bereits zu einem Schaden geführt hat oder sich potenzielle Täter in Untergrundforen austauschen, müssen wir das so früh wie möglich mitbekommen. Dann passen wir unsere Mechanismen an, um vorbereitet zu sein und die passende Abwehr in der Hinterhand zu haben, sollte die Bedrohung auch für uns relevant werden.
Lars Elfering führt ein standortübergreifendes Team. Am Standort Münster (s. Bild) ist er Zuhause.
Wie sind die Teams der FI in Sachen Cyber Security denn aufgestellt?
Das CDC bietet drei Services: Ein Teil des Teams kümmert sich um Sicherheitsvorfallbearbeitung und -monitoring, eines ist zuständig für das Schwachstellenmanagement und das dritte beschäftigt sich mit Threat Intelligence. Was wir nicht machen, ist, Firewalls, Virenscanner oder Betriebssysteme zu betreuen – dafür ist der IT-Betrieb verantwortlich. Vielmehr leiten wir Informationen über mögliche Bedrohungen an die entsprechenden Stellen weiter und planen gemeinsam mögliche Gegenmaßnahmen. Die Verantwortung für die operative IT liegt also nicht in unserem Team, sondern in den spezialisierten Fachteams der FI, die jeweils ihr eigenes Thema betreuen.
Welche Rolle übernehmen junge Berufseinsteiger:innen innerhalb des CDC?
Zunächst einmal ist das CDC eine der Abteilungen, die Absolvent:innen über das Traineeprogramm kennenlernen können. Ein Direkteinstieg ist ebenso möglich: Der typische Einstieg erfolgt über die Rolle der Sicherheitsanalysten, die rund um die Uhr die Monitore im Auge behalten, auf Auffälligkeiten reagieren und diese analysieren. Auch wenn sie erstmal ein sehr spezifisches Aufgabengebiet haben, sind sie dafür verantwortlich, dass kritische Auffälligkeiten adäquat behandelt und nicht übersehen werden. Die Meldung des Sicherheitsanalysten ist sozusagen das erste Glied in der Kette und entsprechend kritisch, sprich wichtig. Die meisten unserer Mitarbeitenden beschäftigen sich aber nicht ausschließlich mit nur einer Sache, sondern beteiligen sich parallel an Projekten, deren Tätigkeiten auch relativ früh nach dem Einstieg übernommen werden können. Durch die teils fortlaufenden Tätigkeiten in einem CDC arbeiten sich die Neueinsteiger also schnell in das ganze Themengebiet ein und können sich später spezialisieren. Die Analyse kann zum Beispiel sehr facettenreich sein.
Wechseln Berufseinsteiger aus dem CDC manchmal in andere Abteilungen der FI?
Im Traineeprogramm kann man beispielsweise über verschiedene Stationen die FI kennenlernen, aber als vollangestellter Mitarbeiter des CDC bleibt man in der Regel hier und wird als Experte eingesetzt. Das heißt nicht, dass man nicht durch individuell abgesprochene Praktika in einen anderen Bereich reinschnuppern kann, wenn man das möchte – für uns ist es natürlich sinnvoll, wenn Analysten möglichst viele Kontaktpunkte zu anderen Bereichen haben. So lernen sie andere Mitarbeitende und Themen kennen, verstehen Zusammenhänge besser und sind dann für die Bearbeitung von Sicherheitsvorfällen besser gerüstet.
Apropos „gerüstet“: Inwieweit sollten Bewerber im Vorstellungsgespräch den fachlichen Teil vorbereitet haben?
Wenn ein Bewerber zeigen kann, dass er im Bereich der Bedrohungsinformation ein offenes Auge auf das hat, was gerade in der Welt passiert, welche Art Malware gerade gefährlich ist, wie Cyberökonomie grundsätzlich funktioniert und welche Angriffstypen es gibt, ist schon viel gewonnen. Es ist auch hilfreich, wenn man sich mit Sicherheitstechnologien auskennt und sich mit den Disziplinen in einem CDC schon mal auseinandergesetzt hat. Für mich ist das Wichtigste aber nicht allein, abzuklopfen, was Kandidaten schon alles wissen, sondern zu merken, dass sich diese Person für das Thema stark begeistert. Denn dann weiß ich, dass er/sie sich schnell in das Thema einarbeiten kann und wird, was mindestens genauso wichtig ist wie relevantes Vorwissen.
Was interessiert und motiviert Sie persönlich an der Cybersicherheit?
Bei der FI bin ich selbst über ein duales Studium eingestiegen, das sogar eher im administrativen Fachbereich lag. Danach bin ich fachlich zum Virenschutz gewechselt – die Cyber Security hat mich gereizt, weil man dort nicht einfach nur ein System administriert, sondern es mit Bedrohungen von außen zu tun bekommt. Es sind schlichtweg Kriminelle auf der Gegenseite, vor denen man die Kunden schützen muss. In meiner aktuellen Rolle bin ich so gesehen auf der Seite der Guten und habe abends, wenn ich heim gehe, das Gefühl, mit meinem Team das Richtige zu tun.
Haben Sie denn weitestgehend typische Tage oder ist alles hochflexibel in der Cyber Security?
Prinzipiell kann man einiges standardisieren. Wir starten beispielsweise mit einem kurzen Morgenmeeting in den Tag, zudem gibt es wie in jedem Service Aufgaben, die regelmäßig durchgeführt werden. Dazu gehört zum Beispiel das bereits erwähnte ständige Analysieren von Auffälligkeiten. Es kann aber jederzeit passieren, dass sich eine Auffälligkeit als echter Sicherheitsvorfall erweist oder vielleicht kritische Sicherheitslücken erkannt werden. Oder wir erfahren von Bedrohungen, die noch nicht zu einem Sicherheitsvorfall geworden sind, auf die aber schnell reagiert werden muss. Da kann die Tagesplanung durchaus auch mal über den Haufen geworfen werden und die nächsten Arbeitstage sind davon bestimmt. Ob wir im Anschluss Überwachungsmechanismen anpassen müssen, ist etwa eine wichtige Frage. Die Aufgaben in der Cyber Security bei der FI sind also sehr abwechslungsreich.
Interview von Bettina Riedel
