Als Dienstleister für Finanzinstitute hat die IT-Sicherheit bei Fiserv höchste Priorität. Im Rahmen seines Engagements für den Schutz der Kundendaten beschloss Fiserv, das IT-Sicherheitsmanagement für seine IBM® AIX®-Landschaft zu vereinfachen und zu automatisieren, indem es eine neue Plattform zur Überwachung der Einhaltung von Vorschriften einführte: IBM PowerSC™.
Die Systemadministratoren von Fiserv verbrachten Stunden damit, die Server so zu konfigurieren, dass sie den PCI-, SOX-Cobit- und CIS-Sicherheitsstandards entsprachen; um die Compliance-Daten abzurufen, mussten sie sich einzeln auf den Servern anmelden.
Fiserv führt IBM PowerSC Standard Edition (PowerSC) in seiner gesamten IBM Power Systems®-Anlage ein, um die Serverkonfiguration zu vereinfachen und Echtzeit-Compliance- und Reporting-Funktionen freizuschalten.
Fiserv hat es sich zur Aufgabe gemacht, seinen Kunden dabei zu helfen, Geld und Informationen auf eine Weise zu übertragen, die die Welt bewegt. Das Unternehmen ist auf Finanzdienstleistungstechnologien spezialisiert und bietet Lösungen für den Zahlungsverkehr, Verarbeitungsdienste, Kunden- und Kanalmanagement, Risiko und Compliance sowie Einblicke und Optimierung.
Die Abwicklung von Finanztransaktionen erfordert zwangsläufig den Austausch, die Speicherung und die Verarbeitung sensibler Daten. Fiserv muss Kunden und Prüfern immer wieder beweisen, dass es verantwortungsvoll mit diesen Daten umgeht – und das Vertrauen der Kunden zu gewinnen, ist eine der obersten Prioritäten des Unternehmens.
Deshalb nimmt das IT-Team des Unternehmens die Sicherheit sehr ernst. Ihre IT-Systeme werden jedes Jahr mehreren komplexen internen und externen Prüfungen unterzogen, und es wird erwartet, dass sie zahlreiche Branchen- und Regulierungsstandards erfüllen. Regelmäßige Audits reichen jedoch nicht aus, um die kontinuierliche Einhaltung der Vorschriften zu gewährleisten: Das Unternehmen muss seine Systeme auch rund um die Uhr überwachen, um sicherzustellen, dass jeder Server zu jeder Zeit die richtige Konfiguration hat.
Als Grundlage für die Konfiguration seiner Systeme verwendet Fiserv einen Best-Practice-Sicherheitsframework, der als Center for Internet Security (CIS) Benchmark bekannt ist. Von jedem seiner Server wird erwartet, dass er sowohl die obligatorischen Einstellungen als auch eine Mindestgesamtpunktzahl mit den im Benchmark definierten Standards erfüllt.
Zach Floen, IBM Power Systems Engineer bei Fiserv, erklärt: „Aus der Sicherheitsperspektive wäre die ideale Konfiguration für einen Server, ihn komplett abzuschotten, sodass er keine Daten mit anderen Systemen austauschen kann. Aber wenn ein Server nicht kommunizieren kann, kann er auch nichts Sinnvolles tun.“
Fiserv überwachte zwar bereits die Sicherheitskonfiguration seiner Server, wollte aber ein integriertes End-to-End-Management für Compliance in seinem gesamten Serverbestand. Wenn die Techniker des Unternehmens zum Beispiel einen neuen Server installieren wollten, mussten sie vier oder fünf Stunden lang manuell eine Checkliste abarbeiten, um die Konfiguration so zu „härten“ (harden), dass die Compliance-Schwelle überschritten wurde.
Außerdem musste das Team oft vorübergehende Änderungen an der Serverkonfiguration vornehmen, während es Wartungsarbeiten und Upgrades durchführte. Die Techniker mussten diese Änderungen manuell durchführen und die Server nach Abschluss der Wartungsarbeiten wieder auf ihre ursprünglichen Einstellungen zurücksetzen. Obwohl Fiserv über Strategien verfügte, um das Risiko zu mindern, dass vergessen wurde, die Einstellungen ordnungsgemäß wiederherzustellen, wollte das Unternehmen einen Weg finden, um die Möglichkeit menschlicher Fehler durch eine zentrale und automatische Steuerung der Konfigurationsänderungen auszuschließen.
Schließlich wollte das Team seine Prozesse zur Erstellung von Compliance-Berichten rationalisieren und die zeitaufwändigen Aufgaben der Administratoren beseitigen, wie z. B. das manuelle Abrufen von Compliance-Berichten über einen großen Bestand an Servern.
Ein erheblicher Teil der Serverarchitektur von Fiserv besteht aus IBM Power Systems™-Servern, auf denen das IBM AIX-Betriebssystem zur Unterstützung der wichtigsten Finanzsysteme und Datenbanken läuft. Als das Unternehmen begann, seine Optionen für eine neue Compliance-Management-Plattform zu prüfen, stellte es fest, dass IBM eine maßgeschneiderte Lösung anbietet: IBM PowerSC. „IBM PowerSC entwickelt sich schnell zu einem sehr leistungsstarken und fähigen Tool für das Compliance-Management“, sagt Zach Floen. „Es bietet Funktionen, die unsere bestehenden Tools nicht haben, und ist in unserer bestehenden AIX Enterprise-Lizenz enthalten, sodass wir uns keine Gedanken über zusätzliche Kosten machen müssen.“ Zu dieser Zeit bereitete Fiserv die Optimierung seiner IBM AIX-Landschaft vor, indem es verschiedene Servergruppen in einer einzigen privaten Cloud-Umgebung zusammenführte. Diese Initiative bot die perfekte Gelegenheit, von dem bestehenden Compliance-Tool des Unternehmens auf PowerSC umzusteigen.
Während Fiserv die PowerSC-Software auf die gesamte AIX-Anlage ausweitet, möchte das Team von den Automatisierungsfunktionen der Lösung profitieren.
PowerSC überwacht zum Beispiel eine Liste von Programmen, die auf jedem Server ausgeführt werden dürfen, und benachrichtigt die Administratoren, wenn nicht genehmigte Programme ausgeführt werden. Während der Wartung kann diese Funktion für Gruppen von Servern ausgeschaltet und so eingestellt werden, dass sie nach einer bestimmten Zeit automatisch wieder aktiviert wird. Dadurch müssen Techniker die Konfigurationen während der Wartung nicht mehr manuell ändern, was das Risiko, ein System versehentlich ungeschützt zu lassen, deutlich verringert.
PowerSC bietet außerdem vorgefertigte Sicherheitsprofile, die Branchen- und Regulierungsstandards wie PCI-DSS, HIPAA und DSGVO unterstützen. Administratoren können ein Profil mit einem einzigen Klick auf einen Server anwenden, anstatt Stunden damit zu verbringen, eine Sicherheitscheckliste für jeden neuen Rechner abzuarbeiten.
„Wir arbeiten mit IBM zusammen, um ein Sicherheitsprofil zu erstellen, das den CIS-Benchmark vollständig erfüllt“, sagt Zach Floen. „Sobald wir das Profil eingerichtet haben, können wir stundenlanges manuelles Konfigurieren vermeiden, wenn wir Maschinen auf unserer neuesten virtualisierten AIX-Plattform einrichten.“
Die Profile helfen auch dabei, Konfigurationsprobleme schnell zu beheben, wie Zach Floen erklärt: „Wir hatten die Möglichkeit, unsere Server zu überwachen und zu erkennen, wenn es ein Problem mit den Einstellungen eines Servers gab – aber um diese Probleme zu beheben, mussten wir uns immer noch bei den einzelnen Rechnern anmelden. Mit PowerSC können wir einfach auf eine Schaltfläche in der Verwaltungsoberfläche klicken, und das Profil wird sofort auf den richtigen Zustand zurückgesetzt.“
Fiserv hat erhebliche Zeiteinsparungen bei der Überwachung der Server-Compliance erzielt und erwartet für die Zukunft noch größere Einsparungen. Derzeit ist das Abrufen von Compliance-Informationen von jedem Server ein manueller und zeitintensiver Prozess. Mit PowerSC kann das Team einfach in wenigen Sekunden automatisch einen Bericht erstellen.
Zach Floen fasst zusammen: „Für Fiserv geht es um mehr als Compliance – es geht darum, das Vertrauen unserer Kunden zu gewinnen, und das erfordert eine sichere Umgebung.“
Fiserv ist eines der weltweit führenden Technologieunternehmen für Finanzdienstleistungen mit rund 24.000 Mitarbeitern und einem Jahresumsatz von 5,7 Mrd. USD im Jahr 2017. Die Lösungen des Unternehmens unterstützen mehr als 12.000 Kunden in mehr als 80 Ländern weltweit und helfen Millionen von Verbrauchern und Unternehmen, Geld schnell und bequem zu bewegen und zu verwalten.
Fußnoten
© Copyright IBM Corporation 2018. 1 New Orchard Road, Armonk, New York 10504-1722 United States. Hergestellt in den Vereinigten Staaten von Amerika, März 2019.
IBM, das IBM Logo, ibm.com, AIX, Power und PowerSC sind Marken der International Business Machines Corp. und in den USA und/oder anderen Ländern eingetragen. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der Marken von IBM finden Sie auf der Webseite „Copyright- und Markeninformationen“ unter ibm.com/legal/copytrade.shtml.
Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Performance-Daten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab.
Alle angeführten oder beschriebenen Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Die tatsächlichen Umgebungskosten und Leistungsmerkmale variieren in Abhängigkeit von den Konfigurationen und Bedingungen des jeweiligen Kunden. Kontaktieren Sie uns und erfahren Sie, was IBM für Sie tun kann.
Die Einhaltung der Datenschutzgesetze und -richtlinien liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Dienstleistungen oder Produkte von IBM die Einhaltung von Gesetzen oder Vorschriften durch den Kunden sicherstellen.
Aussagen über die zukünftige Ausrichtung und Vorhaben von IBM können ohne Vorankündigung geändert oder zurückgezogen werden und stellen lediglich Ziele und Absichten dar.