Jetzt Mitglied werden

Projektbericht: ReCoBs zum sicheren Surfen am Arbeitsplatz

Von Christian Schulze - 15. Dezember 2014

Vor vier Jahren hat die Sparkasse Witten damit begonnen, sich damit zu beschäftigen, wie man die von zu Hause bekannte Internetwelt mit Flash, ActiveX & Co. auch an den Arbeitsplatz bringen und gleichzeitig den Anforderungen an einen sicheren IT-Betrieb gerecht werden kann.

Das Bundesamt für Sicherheit in der Informationstechnik hat zu diesem Szenario ein Konzept entwickelt. Es sieht vor, den Browser in denen die Website aufgerufen wird, in ein durch mehrere Firewalls getrenntes System zu verlagern, aus dem dann nur noch das Bild an den Arbeitsplatz-PC übertragen wird. Dieses Remote-Controlled Browser System (ReCoBs) ermöglicht somit den Webzugang durch eine speziell gesicherte Terminalserverstruktur außerhalb der eigentlichen Sparkassenumgebung. Eine solche Lösung bedeutet einen Bruch der Informationsverarbeitung. Die Ausführung und Darstellung aktiver Inhalte (mittels komprimierter Übertragung) sind voneinander getrennt.

Schnell kristallisieren sich neue Anforderungen heraus

Die stetig gewachsenen Browser-Einschränkungen der Vertriebsmitarbeiter sowie der Aufwand bei den Administratoren und IT-Sicherheitsverantwortlichen durch immer wieder aufkommende Diskussionen und Anforderungen weiterer DSL-Notebooks rechtfertigte aus unserer Sicht nun die zeitnahe Umsetzung. Anfang 2013 wurde eine Projektgruppe aus Mitarbeitern der Orga/IT, Revision und Vertrieb ins Leben gerufen. Dabei kristallisierten sich schnell die Hauptanforderungen an ein „neues Internet“ am Arbeitsplatz heraus. Das Lizenzmanagement soll vereinfacht werden, es sollen weniger Geräte im Einsatz sein, grundsätzlich soll jede Internetseite, auch die mit ActiveX und Flash, aufgerufen werden können (bis auf die Kategorien: Sex, Crime, Drugs …), das Drucken muss möglich sein, Dateien sollen nach dem Download möglich sein, Favoriten müssen zur Verfügung gestellt werden und auch im „DSL-Netz“ soll eine einzige Stelle der Protokollierung existieren.

System ist mehrfach abgesichert

Nun war es die Aufgabe der Orga/IT Mitarbeiter, diese Anforderungen umzusetzen. Da sie seither gut mit CITRIX-Terminalservern vertraut sind, dienen diese als Basis für das neue System (Terminalserver & Domänen Controller). Die Firewalls, welche den Verkehr zwischen Sparkassen-Netzwerk, dem Internet und dem ReCoBs filtern, sowie das Application-Layer-Gateway (hier findet URL-Kategorie- / Antivirenfilterung und Benutzerautorisierung statt) wurden ausgewählt und installiert. Durch entsprechende Gruppenrichtlinien und diverse manuelle Systemeinstellungen ist das System zusätzlich abgesichert. Neben dem Browser installierten wir noch eine Standardsoftwarepalette in der jeweils aktuellsten Version, u. a. PDF- und Office-Viewer. Um eine hohe Verfügbarkeit zu gewährleisten, ist die neue Infrastruktur auf zwei getrennte Standorte mit jeweils eigenem Internetzugang verteilt.

Kryptischen Link automatisch weiterleiten

Da die Hauptarbeit nun erledigt war, konnten wir uns weitere Gedanken zu den Themen Dateibereitstellung im Produktivsystem, Funktion der Zwischenablage und den geforderten Favoriten machen. Dateidownloads im ReCoBs-Browser sind ohne Einschränkung möglich. Die Dateien jedoch zwischen ReCoBs und Sparkassen-Netz direkt über das Netzwerk zu übertragen oder Drop-Box-Lösungen wurden infolge unserer Schutzbedarfsanalyse schnell verworfen. Durch eine Eigenlösung kann der Nutzer die Dateien nun aus dem ReCoBs an seinen Email-Account der Sparkasse übertragen. Dabei durchläuft die Datei alle vorhandenen Filter von Finanz-Informatik und Sparkasse. Die Zwischenablage wurde aus Sicherheitsgründen komplett deaktiviert. Technisch Versierte werden nun vielleicht fragen: „Wie soll ich einen kryptischen Link aus einer Email an den Browser übermitteln, ohne diesen manuell einzugeben?“ Zu diesem Zweck und zur Speicherung von Favoritenlinks, da es keine persönlichen Favoriten im Browser gibt, wurde eine kleine datenbankbasierte Webseite (ReCoBs-Linksystem) erstellt, auf der die Links / URLs der Fachbereiche getrennt dargestellt werden können. E-Mails aus dem Sparkassen-Netz können unproblematisch an eine gesonderte E-Mailadresse des ReCoBs-Systems weitergeleitet werden (z.B. um Links aus Newslettern aufzurufen). Die somit im „Internet“ (fremder Webserver) abgelegten Daten werden arbeitstäglich automatisiert gelöscht, sind dort aber verschlüsselt abgelegt.

Kein automatischer Abgleich beider Domänen

Das für die Benutzerverwaltung im ReCoBs eingerichtete Active Directory (AD) enthält alle Benutzer des Sparkassen-AD. Auf einen automatischen Abgleich beider Domänen haben wir bewusst, wieder aus Sicherheitsgründen, verzichtet. Die UserIDs im ReCoBs sind nicht gleichlautend mit denen im Sparkassen-Netzwerk. Mittels Umrechnung der „echten“ UserID stellen wir sicher, dass kein Rückschluss auf die ursprüngliche User-ID erfolgen kann. Dieses Vorgehen hat den Vorteil, dass das vom Gateway erzeugte Internet-Logfile von nahezu jedem Mitarbeiter der Sparkasse eingesehen werden könnte, ohne das sich daraus Rückschlüsse auf den eigentlichen Benutzer ziehen lassen.

Zufriedenheit der Mitarbeiter spricht für sich

Nachdem alle ursprünglichen Anforderungen des Projektteams erfüllt werden konnten, wurde das Konzept inkl. ausführlicher Dokumentation bei unserem Rechenzentrum geprüft und freigegeben. Der vorhandene Internetzugang im Sparkassennetzwerk wurde mittels Whitelist eingeschränkt, um nur noch zwingend notwendige Seiten (z.B. Extranet) aufrufen zu können. Dieser kann jedoch durch Aufhebung der Filter jederzeit wieder als vollwertiger Internetzugang bzw. als Backup genutzt werden. Bestehende Betriebsvereinbarungen mussten nicht geändert werden, lediglich das Organisationshandbuch wurde angepasst. Einer Nutzerschulung bedurfte es nicht, da mittels Betriebsinformation auf den neuen Programmaufruf im ReCoBs-Browser und den Umgang mit der ReCoBs-Linkliste hingewiesen wurde. Abschließend lässt sich sagen, dass die Umsetzung ohne Probleme verlief, die erwünschten Synergieeffekte wie z. B. Lizenzeinsparung, Reduzierung der Endgeräte, Abschaltung diverser Systeme eingetreten sind und alle Mitarbeiter mit dem Ergebnis zufrieden sind.Der nächste Schritt wird die VPN-Verbindung von externen Bürostandorten (Revision, Medialer Vertrieb) mit dem der Rechenzentren sein, um auch deren Internetaktivitäten im Logfile des Systems zu protokollieren. Seit der Einführung in unserer Sparkasse erhalten wir nun vermehrt Anfragen von anderen Sparkassen, da wir die ReCoBs-Browser-Lösung auch als Dienstleistung können.

Lesen Sie auch

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

19. November 1984: Der BTX-Hack schockiert Deutschland

Der Auftritt des Chaos Computer Clubs am 19.[…]

Daniel Fernandez

Wenn Digitalisierung einfach intelligent ist

Zukunftsweisend, papierlos, nachhaltig – diese Aspekte fehlten bis[…]

Siegfried Fichtler

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. Mai 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel

„Den Nachbearbeitungsaufwand so gering wie möglich gestalten“

Im Jahr 2015 kam es zu einer Sonderprüfung[…]

Christian Grosshardt

„Ohne Macher kommen Projekte nicht in Gang“

Der Erfolg von IT-Projekten ist zu einem Großteil[…]

Philipp Scherber

BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende[…]

Gerald Spiegel

Die elektronische Signatur

Für eine verbesserte und kontrollierbare Kundekommunikation

Redaktion

Papierlos zu mehr Effizienz – und nebenbei Bäume retten

Die Bank of Montreal (BMO) setzt auf technologische[…]

Jochen Razum

Robotic Process Automation ist das neue Outsourcing für Banken

Banken in Deutschland entdecken Robotic Process Automation (RPA),[…]

Robert Scholze

Vom digitalen Assistenten zum virtuellen Bankberater

Künstliche Intelligenz hat Einzug in die Bankenwelt gehalten[…]

Sven Guhr

Vier Kriterien zur erfolgreichen Digitalisierung des Kreditantragsprozesses

Die Digitalisierung schreitet nicht nur im Kreditgeschäft mit[…]

Achim Himmelreich

Die CeBIT will neue Wege gehen

„d!conomy – no limits“ – unter diesem Motto[…]

Christian Grosshardt

Business Intelligence: So profitieren Banken von professioneller Datenverwertung

Zunehmende Regulierung, immer komplexere Prozesse und Disruption im[…]

Heiko Böhm

„Kreditwirtschaft hat noch keine Lösung gefunden“

Obwohl mittlerweile vielerlei Payment-Lösungen existieren, sind Bargeld und[…]

Christian Grosshardt

„Man muss als Bank vorne mit dabei sein“

Kreditinstitute stehen vor der täglichen Herausforderung, ihre Services[…]

Christian Grosshardt

Blockchain birgt großes Potential für Finanzdienstleister

„Blockchain wird die Art, wie weltweit Geschäfte gemacht[…]

Daniel Fernandez

„Gewaltiger Engpass entstanden“

Seit einiger Zeit sehen sich insbesondere die IT-Fachbereiche[…]

Christian Grosshardt

Digitaler Erfolgsfaktor für Banken: einfacher und schneller Kreditantrag

In Zeiten des Internetgeschäfts macht der Wunsch nach[…]

Cybercrime: Ein wesentliches Risiko?

Banken sollten das Thema Informationssicherheit nicht nur der[…]

Gerald Spiegel

Der Schlüssel zum Erfolg liegt in der IT

Wenn Finanzinstitute wachsen, steigt nicht nur die Bilanzsumme.[…]

Elisabeth Schoss-Leppert

Wo bleibt Smart-Banking?

Die Digitale Agenda der Bundesregierung beschreibt die Grundsätze[…]

Florian Dreifus

Neue (digitale) Wege einer Traditionsbank

Digitalisierung bedeutet für viele eine Umstellung im prozessualen[…]

Michael C. Neubert

Digitale Vermögensverwaltung – Kunden-erfolg und MiFID II unter einem Dach

Digitalisierte Mehrwertdienstleistungen machen die Vermögensbetreuung auch im Retailbereich[…]

Mario Alves

„Es bedarf eines zentralen Kommunikationskonzepts“

Im 21. Jahrhundert leben und arbeiten wir in[…]

Christian Grosshardt

Die Gunst der Stunde

Als noch das Kerbholz oder der Ishango-Knochen zum[…]

Horst Liebscher

„Dialog statt Push-Kommunikation“

Social Business-Technologien können interne Unternehmensprozesse und externe Kommunikation[…]

Philipp Scherber

„Heutzutage muss man vielen Qualitätsaspekten genügen”

SDL ist weltweiter Marktführer für Übersetzungslösungen. Das Unternehmen[…]

Anna Stötzer

Kosten runter, Datensicherheit rauf und zufriedenere Mitarbeiter

Die Volksbank Freiburg hat ihre Druckerflotte konsolidiert. Kostendruck[…]

Julian Achleitner

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„If you can make it in Ansbach, you’ll make it anywhere.”

Cloud Computing, Safe Harbor, Privacy Shield und Blockchain[…]

Philipp Scherber

„Gemeinsam mit unseren Kunden deren Herausforderungen lösen.“

Security-Lösungen sind für jede Bank ein absolutes Muss.[…]

Julian Achleitner

Transaktionsklassifikation für die Kundenanalyse

Es gibt eine unglaubliche Menge an Kundendaten, welche[…]

Ronny Fuchs

EZB mit neuer Website

Die Europäische Zentralbank hat ihr Kommunikationsangebot einer Frischzellenkur[…]

Christian Grosshardt

„Bank geht heute nur, wenn man seine Daten auch entsprechend im Griff hat!“

Digitale Zeiten erfordern schnelles Handeln und eine noch[…]

Christian Grosshardt

„Positiver Wandel in der Projektmanagementkultur mit Softwareeinsatz“

Die Berlin Hyp AG ist auf großvolumige Immobilienfinanzierungen[…]

Julian Achleitner

„Aktionismus ohne ganzheitliche Strategie muss endlich aufhören!“

Gerne lassen Banken über ihre Marketingabteilung verlautbaren, dass[…]

Christian Grosshardt

Advertorial: Was Kunden wollen – Deutschlands Banken-IT im digitalen Umstyling

Banken-IT: Zwischen Software und Beratungsgespräch Vielfältig und modern:[…]

Christian Grosshardt

Datenschutz gilt nicht nur für Firewalls

In Zeiten von Cyber-Attacken und den dafür notwendigen[…]

Christian Grosshardt

Sind Banken bereits abgehängt?

Während Banken über die bestmögliche Umsetzung von Mobile-Payment-Lösungen[…]

Christian Grosshardt

Digitalisierung, aber wie?

Berlin, London und im Silicon Valley, hier entstehen[…]

Thorsten Hahn

„Es ist höchste Eisenbahn!“

Die Komplexität in der gesamten Banksteuerung hat sich[…]

Christian Grosshardt

Wem gehört die Zukunft?

Autor: Jaron Lanier Euro: 24,99 480 Seiten, gebunden[…]

Christian Grosshardt