Die Wege eines Kunden zu seiner Sparkasse sind vielfältig: von unterwegs über die App Sparkasse, zuhause am Schreibtisch über die Internet-Filiale, per Telefon und Chat mit dem Kunden-Service-Center. Und natürlich ab und an auch »zu Fuß« zu seiner nächsten Filiale oder zum nächsten Geldautomaten. Damit das jederzeit, bequem und sicher funktionieren kann, sind umfangreiche technische Voraussetzungen notwendig.
Das Netz für die Sparkassen-Finanzgruppe
Mit dem OSPlus-Netzwerk (OSPN) verbindet die Finanz Informatik (FI) heute alle Sparkassen mit rund 13.000 Standorten bundesweit über ein Weitverkehrsnetz (WAN) sicher mit dem Rechenzentrum und der OSPlus-Finanzplattform. Dazu kommen noch rund 8.500 WLAN Access Points, mit denen Mitarbeitende mobil arbeiten und Kunden in den Filialen auf einen HotSpot zugreifen können. Eine besondere Rolle spielt dabei das Full Service LAN (FSLAN), mit dem die FI ihren Kunden ein maßgeschneidertes Institutsnetz für den sicheren Endgerätezugriff auf derzeit 22.000 Router und Switches bereitstellt. Im Februar 2024 kam der 300. Kunde für dieses Produkt hinzu: die Sparkasse Oder-Spree mit Sitz im brandenburgischen Frankfurt/Oder.
Stichwort Router und Switch
- Router sind Netzwerkgeräte, die IP-Datenpakete zwischen mehreren Standorten vermitteln können. Sie werden am häufigsten zur Internetanbindung, zur sicheren Kopplung mehrerer Standorte oder zur direkten Kopplung mehrerer lokaler Netzwerksegmente eingesetzt.
- Ein Switch dient der Anbindung von Endgeräten an ein Netzwerk. Der Switch leitet Datenpakete in Richtung ihres Zieles weiter.
Was spricht für FSLAN?
Mit dem Produkt FSLAN übernimmt die FI den Netzwerkbetrieb, den Lifecycle sowie die Unterstützung in der Netzwerkplanung der lokalen Institutsnetzwerke (LAN). Das FSLAN-Leistungsportfolio umfasst unterschiedliche Router und Switches, die auf Basis von Referenzarchitekturen und Design-Richtlinien zum Einsatz kommen. Dieser Prozess wird in enger Abstimmung von der Infrastrukturberatung begleitet.
Der Vorteil: Es gibt bedarfsbezogene Leistungen mit standardisierten Architekturbausteinen. Die FI übernimmt im Rahmen des Lebenszyklus (Lifecycle) der lokalen Institutsnetzwerke den Netzbetrieb die Überwachung, die Planung und die Umsetzung von Veränderungen sowie den Aufbau, Austausch und Abbau von Infrastrukturen.
Der Mehrwert: Die Betriebsverantwortung des lokalen Netzes wird an die FI übertragen. Beim Bereitstellen und Verändern von Leistungen, der Analyse von Fehlern sowie dem Lifecycle-Management unterstützt eine Reihe von Field Services optimal bei der fachgerechten Installation.
Vorteil Kunde: Fach- und bedarfsgerechte Unterstützung für Installationen vor Ort.
Bedarfsgerechter Schutz wichtiger denn je
Für ein großes und weiter wachsendes Netzwerk ist dabei ein Thema unerlässlich: Sicherheit. FSLAN berücksichtigt kontinuierlich die regulatorischen Vorgaben des Aufsichtsrechts (BAIT, MaRisk, SITB, etc.) und bietet integrale Leistungen für die Absicherung des Netzzugangs (Netzzugangskontolle) mittels des Standards IEEE 802.1X. Dabei wird die Netzzugangskontrolle mittels Gerätezertifikate ermöglicht. Für Endgeräte, die keine Zertifikate unterstützen, wird als Ausnahme eine Authentisierung über die MAC-Adresse geboten. Optional kann die Netzwerksegmentierung weiter ausgebaut werden. Die Leistung der »erweiterten Sicherheitszonen« ermöglicht die Beschränkung der Kommunikation zwischen einzelnen Sicherheitszonen bzw. Netzsegmenten auf Basis einer festen Kommunikationsmatrix. Die Steuerung der Zuordnung von Endgeräten zu Sicherheitszonen wird dem Kunden als Self-Service zur Verfügung gestellt. Die Umsetzung erfolgt automatisiert mittels einer dynamischen VLAN-Zuordnung.
Der Vorteil: So wie man in großen Gebäuden einzelne Brandschutzmauern einziehen kann, um im Fall der Fälle den Schaden so gering wie möglich zu halten, wird mit den erweiterten Sicherheitszonen die Cyber Resilienz durch eine Reduzierung der Angriffsfläche erreicht. Das Angebot der FI unterscheidet bei den Sicherheitszonen zwischen einer Basisleistung sowie einer optionalen Leistung, die die Kommunikationsbeziehungen zwischen den einzelnen Sicherheitszonen zusätzlich reglementiert. Der Einsatz der »erweiterten Sicherheitszonen« schränkt dabei eine direkte Kommunikation auf Systeme unterschiedlichen Schutzbedarfs ein, sodass z.B. der Zugriff auf den Video-Server nur noch von Arbeitsplätzen der Sicherheitszone »Administration & Server« möglich ist.
Der Ausbau geht weiter: »Institutsnetz 2025+«
Jeder kennt es aus eigener Erfahrung: In den vergangenen Jahren haben sich Arbeitsstrukturen und -modelle rasant verändert. Ortsunabhängige, hybride Arbeitsplatz- und Netzwerklösungen und der Remote Access über das Produkt SEVA (Sichere Einwahl von außen) sind heute das »new normal«. Sich mit seinem mobilen Endgerät jederzeit ortsunabhängig in ein Netz einzuwählen – das ist eine vielfach gelernte Erwartungshaltung an einen IT-Dienstleister. Das »Institutsnetz 2025+« stellt dies ebenso sicher wie den Zugriff auf das qualitativ hochwertigste lokale Netzwerk (LAN/WLAN) ohne dabei den Komfort durch Unterbrechungen zu beeinträchtigen. Der Fokus auf mobiles Arbeiten – ob in der Firma oder daheim – hat den Anspruch an »Shared Desk«-Modelle und entsprechende Docking-Lösungen erhöht. Auch das berücksichtigt das Konzept.
Das Ziel ist, mobile Arbeit optimal zu unterstützen und die Compliance zu regulatorischen Anforderungen zu gewährleisten. Das Institutsnetz 2025+ beschreibt die strategische Fortschreibung der Netzprodukte OSPN, FSLAN und SEVA, die in ihrer Gesamtheit eine Reihe essentieller Vorteile umsetzen: Komfortabler und konvergenter Netzzugang (WLAN/LAN) und Remote Access inkl. Gastzugang:
- Umsetzung der WLAN-Standards WPA3 Enterprise und WiFi 6
- Identitätsbasierter Netzzugang zur dynamischen Zuordnung der Sicherheitszonen
- Erhöhung der Flexibilität im Spektrum der OSPN-Leistungen, z. B. bei Redundanz-Optionen
- Optimierung der Echtzeitkommunikation
Ein weiteres Ziel ist die Transformation des OSPlus-Netzwerkes zu einer Drehscheibe zwischen den Institutsnetzen, den Rechenzentren der FI und dem Internet.
Nachgefragt bei der Kreissparkasse Grafschaft Diepholz
Die Kreissparkasse in der Grafschaft Diepholz setzt seit kurzem auf FSLAN. Was waren die Gründe, auf das neue Produkt umzustellen?
Sven Kirchner: Aus der Regulatorik ergibt sich seit einigen Jahren die Anforderung, Zugriffe von VLANs untereinander zu verhindern bzw. zu begrenzen. Durch das neue FI-Produkt FSLAN – erweiterte Sicherheitszonen – konnten wir als Pilotinstitut diese Lücke schließen.
Was sind die ersten Erfahrungen seit der Umstellung und gibt es noch Anpassungsbedarf?
Sven Kirchner: Wir waren positiv überrascht, dass sich – selbst für uns als Pilotinstitut – die aufgetretenen Probleme in einem sehr überschaubaren Rahmen gehalten haben. Optimierungsbedarf gibt es bei jeder Anwendung. Zum Teil wurden unsere Hinweise bereits umgesetzt.
Wie wurden Sie seitens der FI unterstützt?
Sven Kirchner: Seitens der FI wurden wir hervorragend durch unsere Netzbetreuer Thomas Mahler, Chris Birnstiel und viele weitere Mitarbeiter eng begleitet. Bei Fragen konnten wir direkt auf unsere zuvor benannten Ansprechpartner zugreifen. Meist konnten diese auch direkt beantwortet werden, obwohl alle an dieser Stelle Neuland betreten haben.
Worauf sollten Sparkassen Ihrer Meinung nach achten, die ebenfalls auf FSLAN umsteigen bzw. umsteigen wollen?
Sven Kirchner: Entscheidend sind im Wesentlichen zwei Punkte:
- Jedes Institut sollte einen vollständigen Überblick über seine eingebundene Hardware haben.
- Bei Hardwareanschaffungen sollte auf eine FI-Zertifikatsunterstützung geachtet werden.
Wie lautet ihr Gesamtfazit und wie geht es in Ihrem Institut beim Thema Netze weiter?
Sven Kirchner: Netze sind eine wesentliche Grundlage in Bezug auf Sicherheit in der Sparkasse. Aus diesem Grunde sollte hier auch immer ein besonderes Augenmerk liegen. Wir stehen daher Anpassungen – auch vor dem Hintergrund unserer hier erlebten positiven Erfahrung – aufgeschlossen gegenüber. Dieses gilt ebenso für weitere Pilotierungen.