Wie Sie die HKMA OR-2-Konformität mit Illumio erfüllen

Im Bankwesen gleicht die technologische Infrastruktur oft einer Schüssel Wan-Tan-Suppe: Endpunkte, Router und Speichergeräte schweben in einem Gewirr von Datenströmen.  

Und es ist nicht immer so eine wohltuende, wärmende Suppe, wie sie meine Mutter früher gekocht hat. Es ist chaotisch. Es ist unberechenbar. Wenn man die einzelnen Bestandteile der Suppe nicht deutlich erkennen kann, kann das den ganzen Teller verderben.

Wenn etwas schiefgeht, ist das selten ein Einzelfall und kann weitreichende Auswirkungen haben, die im gesamten Bankenökosystem spürbar sind.  

Deshalb erhöhen Regulierungsbehörden wie die Hong Kong Monetary Authority (HKMA) die Anforderungen an die Einhaltung von Vorschriften wie OR-2, die operative Widerstandsfähigkeit und nicht nur Risikobewusstsein fordern. Für Banken bedeutet dies, nachzuweisen, dass sie das Gesamtbild überblicken können, Störungen einzudämmen, wenn sie auftreten, und ihre Fähigkeit zur Wiederherstellung kontinuierlich zu testen.

In diesem Beitrag gehen wir der Frage nach, was OR-2 erfordert, warum Transparenz der Schlüssel zur Erreichung der Compliance ist und wie Illumio dabei helfen kann.

Die Wunden des ICBC-Vorfalls sitzen tief!

Im Jahr 2023 wurde die Industrial and Commercial Bank of China (ICBC), die nach Vermögenswerten größte Bank der Welt, von einem Ransomware-Angriff getroffen, der ihre Broker-Dealer-Aktivitäten in den USA beeinträchtigte.  

Das Ergebnis? Fast 9 Milliarden US-Dollar an noch nicht abgewickelten Staatsanleihengeschäften. Die Mitarbeiter mussten auf USB-Sticks und Gmail zurückgreifen, um überhaupt Transaktionen abwickeln zu können. Die Folgewirkungen breiteten sich über den 26 Billionen US-Dollar schweren US-Staatsanleihenmarkt aus.

Wie das Eingießen von heißem Chiliöl in eine offene Wunde wurde weniger als ein Jahr später die Londoner Filiale der ICBC überfallen. Angreifer haben 6,6 Terabyte an sensiblen Daten entwendet. Der Zeitpunkt hätte nicht ungünstiger sein können.  

Bei dem Datenleck wurden nicht nur Daten offengelegt. Es legte Schwächen offen, und im Bankwesen ist Schwäche das Einzige, was man sich nicht leisten kann, zu zeigen.  

Regulierungsbehörden rund um den Globus fordern Resilienz. Die Hong Kong Monetary Authority (HKMA) tut genau das, wie ihre Pendants in Europa, Australien und Singapur, mit ihrem Operational Resilience Framework (OR-2).  

Der ICBC-Vorfall unterstrich das Ziel von OR-2, solche operativen blinden Flecken zu vermeiden, die Störungen in Krisen verwandeln.  

Wenn aus kleinen Wellen Gezeiten werden, greifen die Regulierungsbehörden ein.  

Das Besondere an Bankgeschäften ist, dass sie eng miteinander verknüpft sind. Eine kleine Störung in einem Bereich des Systems kann sich auf Funktionen, geografische Regionen und sogar Finanzmärkte auswirken. Wenn aus diesen kleinen Wellen große Ausmaße werden, werden die Regulierungsbehörden hellhörig.

Gemäß OR-2 müssen Banken in Hongkong nachweisen, dass sie auch bei gravierenden, aber plausiblen Störungen den Betrieb kritischer Systeme aufrechterhalten können.  

Sie fordern die Banken auf, die Zusammenhänge zwischen Betriebsabläufen, Systemen und Drittparteien zu analysieren, um zu verstehen, wo es zu Störungen kommen könnte. Am wichtigsten ist ihnen, dass die Banken in der Lage sind, den Schaden einzudämmen, wenn er eintritt.

Transparenz: Die größte Sicherheitsherausforderung im Bankwesen  

Viele Institutionen verfügen bereits über die entsprechenden Rahmenbedingungen, Governance-Richtlinien und Handlungsanweisungen. Doch nur wenige stellen die eigentlich entscheidende Frage: Können wir die Zusammenhänge, die wir kartieren sollen, wirklich erkennen?

Die OR-2 der HKMA fordert Banken auf, über die reine Dokumentation hinauszugehen. Banken müssen in der Lage sein, die Zusammenhänge ihrer kritischen Geschäftsprozesse zu erkennen und zu verstehen. Nicht nur die offensichtlichen, sondern auch die versteckten Abhängigkeiten zwischen Systemen, Teams, Anbietern und Prozessen.

Es genügt nicht mehr zu sagen: „Wir kennen unsere Umwelt.“ Compliance-Vorschriften wie OR-2 verlangen von Banken ein tiefes Verständnis dafür, wie ihre digitalen Abläufe funktionieren.

Hier beginnt bei den meisten Banken der Druck zu steigen. Resilienz bedeutet nicht nur, einen Plan zu haben, sondern auch, die nötige Transparenz zu besitzen, um diesen Plan in die Realität umzusetzen.  

Anders ausgedrückt: Was man nicht sieht, kann man nicht schützen.

In den hybriden Umgebungen Hongkongs, wo Legacy-Systeme auf neue Cloud-Implementierungen und Integrationen von Drittanbietern treffen, ist die Aufrechterhaltung der Transparenz über alle Ebenen hinweg oft die größte Herausforderung. Doch genau das erwarten die Aufsichtsbehörden von Ihnen.

Eindämmung ist nicht mehr nur eine technische, sondern auch eine kulturelle Angelegenheit.

Die OR-2-Verordnung der HKMA geht über die Technologie hinaus und umfasst auch Governance und Kultur. Es fordert die Banken auf, ihre wichtigsten Geschäftsdienstleistungen zu identifizieren, Toleranzgrenzen für Auswirkungen festzulegen und ihre Fähigkeit zu testen, innerhalb dieser Grenzen während Störungen zu operieren.

Containment ist nicht mehr nur ein technischer Begriff. Es hat höchste Priorität im Vorstand. Wenn Banken ins Wanken geraten, verlieren die Kunden nicht nur den Zugang, sondern auch das Vertrauen. Und einmal erschüttertes Vertrauen lässt sich nur schwer wiederherstellen.

Im beziehungsorientierten Bankenökosystem Hongkongs, wo Vertrauen, Stabilität und Markenreputation alles bedeuten, ist ein Sicherheitsverstoß nicht nur ein technisches Versagen. Es handelt sich um eine Kultur- und Wirtschaftskrise.

Testen, testen und nochmals testen

Wie können Sie sicher sein, dass Ihre Prozesse einem schwerwiegenden Ransomware-Angriff standhalten? Man testet, testet und testet immer wieder. Gründlich!  

Die HKMA erwartet szenariobasierte Resilienztests. Und nicht die Art von Übung, bei der alle nur kurz nicken und dann wieder an ihren Schreibtisch zurückkehren. Sie wollen realistische Simulationen dessen, was passiert, wenn Systeme ausfallen, Anbieter zusammenbrechen oder Cyberangriffe sich schneller ausbreiten als erwartet.

Eine Prüfung macht keinen Spaß, wenn man nicht gelernt hat. Die Vorbereitung auf den Test im Hinblick auf Resilienz bedeutet, über ein klar definiertes und gut eingeübtes Notfallreaktionsprogramm zu verfügen, das in der Lage ist, durchgängige Störungen zu erkennen, einzudämmen und sich davon zu erholen.  

Sie benötigen außerdem sorgfältig ausgewählte und gut konzipierte Übungen, um nachzuweisen, dass Sie die operative Kontinuität aufrechterhalten, die Kundenkommunikation managen und den Aufsichtsbehörden Bericht erstatten.

Und das ist keine einmalige Angelegenheit. OR-2 erwartet kontinuierliche Verbesserung: Aktualisierung der Dokumentation, Verfeinerung der Kontrollen und Lernen aus jedem Vorfall, ob intern oder branchenweit.

Wie man die OR-2-Konformität mit Illumio erfüllt

Um die Compliance-Anforderungen von OR-2 zu erfüllen, müssen Organisationen zunächst eine detaillierte, durchgängige Transparenz erreichen.  

Illumio bietet Banken eine Echtzeitkarte, die zeigt, wie Systeme, Anwendungen und Datenflüsse in Cloud-, Rechenzentrums- und Endpunktumgebungen interagieren, ohne auf herkömmliche Netzwerkscans oder ressourcenintensive Agenten angewiesen zu sein.

Mit Illumio können Sie Ihre kritischen Assets einsehen, verstehen, wie sie miteinander kommunizieren, und erkennen, wo eine einzelne Störung unkontrolliert zu einer Kettenreaktion im Netzwerk führen könnte.

Das bedeutet, dass Sie, wenn die HKMA fragt, wie Sie operationelle Risiken gemäß OR-2 managen, nicht blindlings bluffen, indem Sie auf irgendwelche Geräusche und Auslöser aus Ihrer Umgebung reagieren.  

Stattdessen hilft Ihnen Illumio dabei, Compliance mit Klarheit anzugehen. Sie können schnell und einfach nachweisen, dass Sie Ihre wichtigsten Geschäftsdienstleistungen identifiziert und Ihre Verbindungen abgebildet haben.

Mit dieser Transparenz können Sie dann Illumio Segmentation nutzen, um Bedrohungen sofort zu isolieren und deren Wirkungsradius zu begrenzen.  

Sie können einen Ransomware-Angriff innerhalb von Sekunden eindämmen und seine Ausbreitung stoppen, bevor er kritische Systeme beeinträchtigt oder sich auf Verbindungen Dritter ausbreitet. Diese Fähigkeit, Schäden in Echtzeit einzudämmen, ist von zentraler Bedeutung für das Ziel von OR-2, kritische Operationen auch bei plausiblen Störungen aufrechtzuerhalten.

Statt nach einem Sicherheitsvorfall in Panik zu geraten, bietet Ihnen Illumio die Werkzeuge, um Ihre Umgebung zu verstehen und kontrolliert, präzise und schnell zu reagieren. Das bedeutet, dass Sie den übrigen Bankbetrieb während der Untersuchung und Wiederherstellung aufrechterhalten können.

OR-2 predigt Vorbereitung, nicht Perfektion.

Die HKMA verlangt keine Perfektion. Es geht um Vorsorge: um pragmatisches, reaktionsschnelles und realistisches Handeln der Banken hinsichtlich ihrer Risiken.  

Die detaillierte Visualisierung von Illumio hilft Ihnen, Ihr Ziel ohne Ablenkungen zu erreichen.

Vorsorge ist nicht nur der einfachste Weg, Ihre operative Resilienz im OR-2-Bereich zu stärken. Es ist auch der klügste Weg, Vertrauen bei den Aufsichtsbehörden, dem Vorstand und den Kunden aufzubauen.

Denn letztendlich geht es bei Resilienz nicht darum, einen Ordner voller Richtlinien zu besitzen. Es geht darum zu wissen, was miteinander verbunden ist, was angreifbar ist und was man tut, wenn – nicht ob – etwas schiefgeht.

Transparenz ist die Grundlage für Resilienz, und Illumio ist der Weg, sie aufzubauen.

Legen Sie los mit Illumio Insights Heute.