Schutz, Virtualisierung und Mikrosegmentierung der Infrastruktur im Privatbankwesen mit Cisco

Cisco

Finanzinstitute, insbesondere im Privatkundengeschäft, werden häufig als sehr traditionell und konservativ wahrgenommen. Auf viele Unternehmen in dieser Branche trifft das auch tatsächlich zu. Aber wie in jedem anderen Sektor kann auch hier die Agilität der entscheidende Faktor sein, mit dem kleinere Unternehmen die Konkurrenz hinter sich lassen.


Die Frankfurter Bankgesellschaft ist eine Schweizer Privatbank mit Hauptsitz in Zürich, einer Tochterbank und einem Family Office in Frankfurt. Eigentümer ist die Landesbank Hessen-Thüringen. Wir betreuen Kunden aus Deutschland, Österreich und der Schweiz und bieten als die Privatbank der Sparkassen-Finanzgruppe, der größten Privatbankengruppe Deutschlands, sichere Privatbankservices an. Unser Unternehmen hilft Privatpersonen mit hohem Vermögen bei der Verwaltung, dem Schutz und der Betreuung ihrer Vermögenswerte. 

  

Unsere derzeitige primäre demografische Zielgruppe sind 50- bis 70-jährige Kunden, von denen die meisten jahrzehntelange erfolgreiche Karrieren hinter sich haben. Im diesem Zeitalter der Unternehmensgründungen wird unser Kundenstamm jedoch stetig jünger. Was unsere Kunden sich wünschen, ist Unterstützung beim Schutz und Wachstum ihrer Kapitalanlagen. Außerdem wollen sie nachkommenden Generation etwas hinterlassen. Sie erwarten ein Maß an personalisierten Services, das traditionelle Banken nicht bieten können.
 

Aus diesem Grund, und um die zunehmend komplexeren europäischen Regulierungen einhalten zu können, haben wir unser Rechenzentrum und unsere IT-Infrastruktur vor Kurzem aktualisiert.

Weniger Anbieter, weniger Probleme

  

Ich trat vor ca. sieben Jahren in das Unternehmen ein und bin für unsere Netzwerk- und Serverinfrastruktur sowie für IT-Sicherheit und physische Sicherheit verantwortlich. Als ich anfing, war unsere Infrastruktur heterogen, mit verschiedenen Geräten von einer Vielzahl von Anbietern. Bei meinem Vorgänger drehte sich alles um die Sicherheit, aber nicht um Einheitlichkeit oder Einfachheit. Beispielsweise haben wir drei verschiedene Web-Proxys von drei unterschiedlichen Anbietern betrieben. Man wollte durch die Nutzung von mehr als einem System die Sicherheit erhöhen. Infolgedessen mussten wir Konfigurationen, Tests und Troubleshooting an drei verschiedenen Stellen durchführen. Dadurch war das System anfälliger für Fehler und sogar weniger sicher.
 

Wir verfügten auch über separate IT-Abteilungen in Zürich und Frankfurt. Es gab keine gemeinsame Kommunikationsplattform und auch keine standardisierte Netzwerkumgebung. Ich hatte mit so vielen Anbietern zu tun, dass ich immer scherzte, ich würde wegen der vielen Mittagessen zunehmen, die sie mir ausgaben, um ihre Produkte und Services zu verkaufen.
 

Etwa zur gleichen Zeit begann die Eidgenössische Finanzmarktaufsicht (FINMA), die Audits der IT-Infrastruktur von Banken zu verschärfen und strenge neue Datenschutz- und Sicherheitsbestimmungen einzuführen. Egal, ob eine multinationale Investmentbank wie die Credit Suisse oder ein kleines Unternehmen mit 130 Mitarbeitern wie unseres – in Zukunft muss jedes Finanzinstitut dieselben Regeln und Compliance-Standards einhalten.

Ich stand vor drei Herausforderungen: Ich musste die Netzwerksicherheit vereinfachen, unsere Infrastruktur konsolidieren und Möglichkeiten zur Einhaltung der strengen neuen Bestimmungen der FINMA finden. Ich wollte weniger Schnittstellen und weniger Mitarbeiter, welche die Verantwortung von einem zum anderen schieben. Das bedeutete, dass wir die Anzahl unserer Service-Provider auf einen Anbieter und einen Systemintegrator reduzieren mussten. Nachdem ich mir alles angesehen hatte, was unsere bestehenden Partner anboten, entschied ich mich für Cisco als Hauptanbieter und Netcloud als Integrator.  

Ein Vierteljahrhundert mit Cisco

Sowohl Cisco als auch Netcloud sind wahre Meister im Aufbau von Beziehungen. Mit Cisco habe ich bereits seit meinem Einstieg in die IT-Branche vor über 25 Jahren zu tun. 2006 wurde ich selbst Cisco Kunde, als ich die Beratung verließ und Systemtechniker bei einer Bank in etwa der Größe der Frankfurter Bankgesellschaft wurde. 


Cisco hat mich nie enttäuscht. Sie haben immer die richtige Lösung zur richtigen Zeit. Als wir die Einrichtung der IP-Telefonie konsolidieren mussten, entschieden wir uns für Cisco Call Manager. Auch für die Aktualisierung unseres Rechenzentrums und die Stärkung der Netzwerksicherheit wendeten wir uns wieder an Cisco. 


Ich hatte vor meiner Zeit bei der Frankfurter Bankgesellschaft nicht mit Netcloud zusammengearbeitet, aber ich kannte einen ihrer Vertriebsmitarbeiter, Alain Kistler. Ihn hatte ich 2013 angerufen, um uns bei der Bereitstellung von Cisco Call Manager zu unterstützen. Er wurde 2015 zum Chief Managed Services Officer befördert und durfte nur drei seiner Kunden behalten. Er entschied sich für die Frankfurter Bankgesellschaft – ein Beweis für die Stärke unserer Geschäftsbeziehung. 


Bereits seit meinen Anfängen als Systemtechniker interessiert mich die Netzwerktechnologie besonders. Während meine Kollegen aus den Client- und Server-Teams im Zuge der Virtualisierung grundlegende Veränderungen erlebten, sah ich keine großen Innovationen im Netzwerkbereich. Beispielsweise haben wir vor 25 Jahren Telnet für den Zugriff auf die Befehlszeilenschnittstelle (CLI) verwendet und jeden Switch separat konfiguriert. Heutzutage verwenden die meisten von uns SSH (also verschlüsseltes Telnet), um auf dieselbe alte CLI zuzugreifen und dennoch jeden Switch separat zu konfigurieren. Ja, das Netzwerk ist im Laufe der Jahre immer schneller geworden, aber an der Bereitstellung und dem Betrieb hat sich nichts geändert.


Daher habe ich mich sehr gefreut, als mir klar wurde, dass die softwaredefinierten Netzwerkprodukte von Cisco, nämlich Application Centric Infrastructure (ACI) und Software Defined Access (SD-Access), ein neues Zeitalter der Netzwerktechnologie eingeläutet haben. Endlich ist das Netzwerk kein Konglomerat aus Switches und Routern mehr, sondern eine eigenständige intelligente Einheit.

Ist die Technologie in Ihrem Finanzinstitut jetzt auf einem Stand, der die Anforderungen der Branche erfüllen kann?

  

Unser Infrastrukturlebenszyklus beträgt etwa fünf Jahre. Teile der Rechenzentrums- und Campusinfrastruktur werden laufend ersetzt. In der Vergangenheit waren Server- und Datennetzwerkgeräte sowie Massenspeicher und das zugehörige Fibre Channel SAN (Storage Area Network) allesamt unabhängige Systeme. Es gab verschiedene Anbieter und individuelle Management-Tools. Jedes Mal, wenn wir einen dieser wichtigen Bausteine erneuerten, mussten wir erst die Kompatibilität und Integration mit den anderen Komponenten prüfen.
 

Beim Troubleshooting kam es häufig dazu, dass die unterschiedlichen Anbieter jeweils die Schuld von sich wiesen und damit uns, den Kunden, im Stich ließen. Jetzt, mit den Cisco HyperFlex-Servern und der anwendungszentrierten Netzwerkinfrastruktur, können wir unsere Rechenzentren (einschließlich Server, Netzwerk und Storage) als hyperkonvergentes System aufbauen – alles aus einer einzelnen Quelle und mit einem zentralen Management-Tool. Zu guter Letzt übernimmt hier der Anbieter auch die Verantwortung für Kompatibilitätsprobleme.

 

Endlich kann die Technologie die Anforderungen der Branche erfüllen.

Keine andere Wahl

Vor drei Jahren war die Frankfurter Bankgesellschaft kurz davor, in neue Rechenzentrumstechnologie zu investieren, als uns eine Katastrophe plötzlich keine andere Wahl ließ. Unsere Filiale in Frankfurt mietete mehrere Stockwerke eines großen Bürokomplexes und auch Stellplätze im Rechenzentrum des Gebäudes, das sich im Keller befand und auch von einer anderen Tochterbank der Landesbank Hessen-Thüringen genutzt wurde. 


Eines Nachmittags bohrte ein Bauarbeiter versehentlich in eine Wasserleitung. Die Baufirma versuchte, den Eigentümer des Gebäudes zu benachrichtigen, aber es war Freitagabend und sie konnte niemanden erreichen. Über Nacht lief Wasser in unser Rechenzentrum, es kam zu einem Kurzschluss und die Stromversorgung wurde unterbrochen. 


Unsere Server und Daten waren weiterhin jederzeit sicher, aber unser Büro in Frankfurt konnte nicht mehr auf das Netzwerk zugreifen. Wir haben unsere Business Continuity-Pläne aktiviert und das Netzwerk am nächsten Morgen wieder zum Laufen gebracht. Unser Büro war zwar wieder online, der Vorfall hatte aber eine sekundäre Auswirkung. In unserer Colocation-Anlage kam eine Sauerstoffreduktionsanlage für den Brandschutz zum Einsatz. Durch den Wasserschaden wurde der Beton poröser. Infolgedessen gelangte frische Luft in das Rechenzentrum und wir konnten den Sauerstoffgehalt nicht mehr niedrig genug halten, um den Brandschutz zu gewährleisten. 


Wir hatten keine andere Wahl, als unsere Server an einen anderen Standort zu verlegen. Ebenso war es sinnvoller, neues Equipment an einem anderen Standort zu installieren, anstatt die veraltete Infrastruktur zu verlagern.  

Cisco ACI und HyperFlex im Einsatz

Die Cisco ACI-Technologie hatten wir bereits als Grundlage für ein sicheres Rechenzentrumsnetzwerk im Auge, wie auch Cisco HyperFlex als primäre Architektur für unsere Storage- und Compute-Infrastruktur. In Erwartung dieser nötigen Investitionen hatten wir sogar einige Hardware-Austauschzyklen übersprungen und einige Geräte, die inzwischen den End-of-Life-Status erreicht hatten, nicht erneuert. Ziel war es, ein vollständiges Upgrade in einem Schwung durchzuführen. Der Unfall im Rechenzentrum zwang uns jedoch dazu, unsere Pläne früher als erwartet umzusetzen. 

  

Gemeinsam mit Netcloud arbeiteten wir an der Bereitstellung eines virtuellen Netzwerks, basierend auf der Cisco ACI-Plattform sowie den Switches der Cisco Nexus 9000- und Cisco Catalyst 9000-Serien


Wir haben ein hochgradig redundantes und ausgedehntes Cisco HyperFlex-Cluster für unsere neuen Rechenzentren in Frankfurt aufgebaut. Darüber hinaus haben wir in diesem Jahr unsere zwei Rechenzentren in Zürich mit drei zusätzlichen HyperFlex-Clustern umgebaut. Die Grundlage bildete hierbei das ACI-Netzwerk, welches wir bereits Ende des letzten Jahres bereitgestellt hatten. Zudem haben wir in diesem Jahr das Campus-Netzwerk in den Gebäuden unserer Hauptgeschäftsstelle durch Cisco SD-Access ersetzt. Der Prozess ist zwar noch im Gange, aber die Optimierung unseres Betriebs ist bereits weit fortgeschritten.
 

Netzwerkschutz mit Cisco Tetration

 Cisco Tetration ist ein Grundpfeiler unserer neuen Infrastruktur. Es handelt sich dabei um ein Tool zum Schutz von Hybrid-Cloud-Workloads in mikrosegmentierten Rechenzentren, das sich in die Cisco ACI integrieren lässt und den europäischen Bestimmungen zur Datenspeicherung entspricht. Ich habe Tetration vor etwa drei Jahren bei der Cisco Live kennengelernt und erkannte damals schon, dass es eines unserer drängendsten Sicherheitsprobleme lösen würde.  


Firewalls schützen hervorragend vor externen Angriffen, wenn es um den Schutz vor internen Bedrohungen geht, sind sie jedoch ziemlich umständlich. Cisco Tetration optimiert und vereinfacht den Prozess. 

Firewalls schützen Ihr Netzwerk vor externen, aber nicht vor internen Bedrohungen.


Der Schutz unserer Netzwerke beginnt mit der Cisco ACI. Sie sorgt für eine dynamische Definition der Netzwerkinfrastruktur und ordnet Systeme automatisch Endpunktgruppen zu. Diese Gruppen sind Geräte-Cluster mit einem ähnlichen Zweck. Anstatt statische IP-Blöcke zu verwenden, kommuniziert die ACI per API mit unserer Firewall-Infrastruktur und aktualisiert dynamisch die Regeln, die es diesen Systemen ermöglichen, basierend auf einem dynamischen risikobasierten Ansatz miteinander zu kommunizieren. 


Cisco Tetration automatisiert dann die Mikrosegmentierung und das Netzwerk-Monitoring und bietet so eine erhöhte laterale Sicherheit, die unsere internen Anwendungen vor Schwachstellen auf Workload-Ebene schützt. Durch Machine Learning wird das Anwendungsverhalten überwacht und besser verstanden. Außerdem werden Sicherheitsrichtlinien über alle Betriebsprozesse hinweg automatisch erstellt. Cisco Tetration überwacht und schützt zudem den anwendungsübergreifenden Datenverkehr, identifiziert Schwachstellen, hebt Anomalien hervor, beseitigt Bedrohungen und bietet Richtlinienempfehlungen. 

Es vereinfacht die Arbeit unserer Sicherheitsexperten und Netzwerktechniker.

Nutzung von Machine Learning und menschlicher Intelligenz

Mit Cisco ACI und Cisco Tetration verfügt die Frankfurter Bankgesellschaft über die Automatisierungs-Tools, die wir benötigen, um unsere Prozesse zu optimieren und menschliche Fehler zu reduzieren. Softwaredefinierte Netzwerke und hyperkonvergente Infrastrukturen ermöglichen eine skalierbare Performance, die unseren sich ändernden Sicherheits- und IT-Anforderungen gerecht wird. Diese Technologien erfordern jedoch einen dynamischen Ansatz für die Systemüberwachung und -konfiguration.

Perfekte #Cybersicherheitslösungen kombinieren hierbei maschinelle und menschliche Intelligenz.


Dank der Automatisierungsfunktionen können unsere Techniker rechtzeitig auf neue Bedrohungen reagieren. Anstatt ständig Regeln zu aktualisieren und das Netzwerk rund um die Uhr zu überwachen, können wir uns jetzt darauf konzentrieren, die richtigen Sicherheitskonzepte auszuarbeiten. Cisco Tetration geht bis ins kleinste Detail und filtert für uns die Informationen heraus, die wir für den zuverlässigen Schutz und die Verwaltung der Infrastruktur benötigen. So erhalten wir die perfekte Kombination aus maschineller und menschlicher Intelligenz. 


Auch bei der schnellen Reaktion auf die COVID-Krise hat Cisco uns geholfen. Als wir die Anordnung zur Arbeit im Homeoffice erhielten, konnte die Frankfurter Bankgesellschaft in nur fünf Werktagen komplett auf Remote-Arbeit umstellen. Wir hatten bereits VDIs im Einsatz, die auf unseren Cisco HyperFlex-Clustern ausgeführt wurden. Den Mitarbeitern war aber wahrscheinlich nicht bewusst, das die Desktops sich bei virtuellen Remote-Servern in unserem Rechenzentrum anmeldeten. Wir haben einen sicheren Remote-Zugriff eingerichtet und unser Zwei-Faktor-Authentifizierungssystem von der Testplattform auf unsere Produktionsserver verlagert. 


Diese Flexibilität im alltäglichen Betrieb ist fantastisch und Cisco hat unsere Reaktion auf diese Notsituation noch einmal enorm verbessert.

Die benötigten Tools zu einem erschwinglichen Preis

Cisco hilft der Frankfurter Bankgesellschaft, im europäischen Bankensektor wettbewerbsfähig und regelkonform zu bleiben. Als kleines Unternehmen, das in einem Nischenmarkt tätig ist, ist es wichtig, dass wir agil und anpassungsfähig sind. Heute können wir schneller agieren und bei unserem ausgewählten Kundenstamm neue Produkte für die Vermögensverwaltung einführen. 


Mit Cisco HyperFlex, Cisco ACI und Cisco Tetration standen uns die benötigten Tools zu einem passenden Preis für unsere Unternehmensgröße zur Verfügung. Wir sind nicht mehr an den Hardware-Lebenszyklus gebunden und können unsere Infrastruktur skalieren und schützen, wenn wir neue Kunden und Services hinzufügen. Dank Cisco können unsere Techniker sich auf das Engineering statt auf die Administration konzentrieren. Wir erfüllen alle Compliance-Anforderungen und nutzen dieselben grundlegenden Regeln wie die großen Banken. 


Im Bankwesen schreitet die Einführung neuer Technologie zuweilen recht langsam voran. Manchmal ist es aber erforderlich, das nötige Vertrauen zu haben und Tools und Prozesse zu aktualisieren. Mit Cisco und Netcloud konnte die Frankfurter Bankgesellschaft die IT-Landschaft ohne Probleme erkunden und die besten neuen Technologien einführen, um unsere Infrastruktur zu schützen und unseren Kunden den bestmöglichen Service zu bieten.