Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

Das Institut, dem Veteranen vertrauen: Bei der USAA steht der Schutz von Webdiensten an erster Stelle

Von Jason Compton

Jedes Finanzinstitut mit Millionen von Kunden auf der ganzen Welt steht im Bereich der Cybersicherheit enormen Herausforderungen gegenüber. Als Finanz- und Versicherungsdienstleister für Mitglieder des US-Militärs steht die USAA weiteren Herausforderungen gegenüber.

Das Unternehmen mit Sitz in Texas bietet Dienstleistungen rund um Banking, Versicherung und Investitionen speziell für 12 Millionen aktive und ehemalige Mitglieder der US Army an. Die Kunden der USAA sind an Militärstützpunkten auf der ganzen Welt stationiert, entsprechend hoch sind die Anforderungen an schnellen, zuverlässigen Onlinezugriff.

Die finanzielle Situation einer großen Zahl von Soldaten der US-Armee ist nicht gerade entspannt. Umso wichtiger ist es, bei allen Geldfragen jederzeit für die Mitglieder da zu sein. Und dies ist auch das zentrale Anliegen für das Unternehmen.

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
Auf dem Organisationsschema der USAA befinden sich CIO und CSO auf derselben Hierarchieebene.

Druck auf Militärangehörige

Da die Erreichbarkeit für die Kunden einen solch hohen Stellenwert hat, trifft die USAA alle Sicherheitsfragen unter der Prämisse höchstmöglicher Verfügbarkeit ihrer Website.

„Als digital ausgerichtetes Unternehmen sind dauerhafte Verfügbarkeit und ununterbrochener Service für uns das A und O“, bekräftigt Gary McAlum, Chief Security Officer bei der USAA. „Bei Sicherheitsproblemen stellen wir uns die Frage: Wird dadurch das Onlineerlebnis eines unserer Mitglieder – oder sogar aller Mitglieder – beeinträchtigt?“

McAlum, der die Position seit 7 Jahren innehat, ist der erste CSO in der Geschichte des Unternehmens. Zuvor diente er 25 Jahre in der US-Luftwaffe, einen großen Teil der Zeit als Cyber-Sicherheitsexperte für das Verteidigungsministerium.

Bei der USAA ist McAlum zuständig für die Verteidigung des Unternehmens gegen alle Bedrohungen, die Sicherheit, Continuity und Compliance betreffen, von massiven Cyberangriffen bis hin zu kleineren Phishing-Versuchen. Eine Leitschnur bei der Konzeption der Schutzmechanismen für die USAA und ihre Mitglieder – erst kürzlich wurde z. B. Multi-Faktor-Authentifizierung eingeführt – ist das Wissen darum, welche Erfahrungen viele seiner Kunden gemacht haben.

Zahlreiche USAA-Mitglieder wurden in der Vergangenheit Opfer eines gewaltigen Datenlecks: Über 20 Millionen Bundesbeamte und Militärangehörige waren von einem groß angelegten Angriff auf die Bundesbehörde für die Personalverwaltung betroffen. Dabei gerieten persönliche Daten in die Hände von Cyberkriminellen, die genutzt werden konnten, um bestehende Konten zu manipulieren oder in betrügerischer Absicht neue zu eröffnen. Auch McAlum gehörte mit seiner Familie zu den Opfern.

„Wir müssen davon ausgehen, dass Mitglieder des Militärs ganz besonders im Fokus von betrügerischen Angriffen stehen. Dabei wird gezielt versucht, Zugriff auf die persönlichen Daten von Militärangehörigen zu erhalten“, meint er. „Deshalb ist es uns sehr wichtig, unsere Kunden zur Vorsicht anzuhalten und sie über die Gefahren von Phishing aufzuklären.“

Groß angelegte Angriffe – und wie man sie übersteht

Doch die USAA hat es nicht nur mit den Betrugsversuchen einzelner Scammer zu tun. Auch für die Abwehr großer, gut organisierter Cyberangriffe muss sie gerüstet sein. So war die USAA von der DDoS-Angriffswelle Operation Ababil betroffen, bei der von 2012 bis 2013 gezielt Finanzinstitute in den Vereinigten Staaten ins Visier genommen wurden.

Doch die USAA war vorgewarnt. Nach der Bewertung der von Akamai bereitgestellten Netzwerkinfrastruktur war man bei der USAA davon überzeugt, dass der Angriff die Dienste des Unternehmens nicht beeinträchtigen würde. Diese Einschätzung erwies sich als richtig. Die Schutzmaßnahmen von Akamai lenkten einen großen Teil des Angriffstraffics um, der sonst möglicherweise wichtige Services lahmgelegt hätte.

DDoS-Angriffe zielen oft auf die unabhängigen Domain Name Server (DNS-Server) ab, die für die Auflösung und Übergabe von Domänennamen wie USAA.com an Hostserver zuständig sind Ist der DNS-Server erst einmal ausgeschaltet, ist für legitimen Traffic kein Durchkommen mehr. Die Verteilung des Domain Name System (DNS) über das umfassende Netzwerk von Akamai bietet Schutz vor dieser Bedrohung.

„Die beiden Tage, für die die Angriffe geplant waren, liefen für uns ganz normal ab. Wir sahen, wie die Aktivität einen Spitzenwert erreichte ... und bald darauf wieder abflachte“, so McAlum. „Dank des Netzwerks von Akamai haben wir ausreichend Bandbreite, um mit solchen DDoS-Angriffen umzugehen.“

Was die Führungskultur mit Sicherheit zu tun hat

Es ist offenkundig, dass der Sicherheitschef sich eng mit dem Rest der Führungsmannschaft abstimmen muss. Aus diesem Grund hat die USAA die Rolle des CSO als völlig unabhängige Position ausgestaltet, die in engem Kontakt mit der Unternehmensführung arbeitet.

„Wir wollten, dass Budget und Verantwortlichkeit im Bereich Sicherheit in einer Hand sind“, erklärt McAlum. „So fallen heute alle sicherheitsrelevanten Fragen, von der Analyse von Vorfallsdaten bis hin zur Aufrechterhaltung des Geschäftsbetriebs, in die Zuständigkeit meines Bereichs.“

Auf dem Organisationsschema der USAA befinden sich CIO und CSO auf derselben Hierarchieebene. Laut McAlum haben die beiden Rollen viele Gemeinsamkeiten – keine Spur von Kompetenzgerangel.

„Unsere Unternehmenskultur ist in unserer DNA verankert“, meint McAlum. „Jeder einzelne hier weiß, dass wir für unsere Mitglieder da sein müssen – jederzeit.“

Und die Partnerschaft funktioniert: Die USAA führt jedes Jahr geschätzte 1,4 Milliarden digitale Transaktionen durch – bislang ohne größere Zwischenfälle.

Während Nachrichten von massiven Datensicherheitsverletzungen die Branche wieder und wieder erschüttern, bleibt die USAA davon bisher unbeeindruckt. Das Geheimnis ihres Erfolges: die Stabilität des Unternehmens und die partnerschaftliche Beziehung zwischen CSO und CIO.

„Wir werden die vertrauensvolle Zusammenarbeit mit dem CIO und seinem Team weiterhin so fortsetzen. Uns allen ist bewusst, dass wir nur Erfolg haben können, wenn unsere Produkte und Services immer und überall zugänglich sind und ohne Beeinträchtigung funktionieren“, führt McAlum aus.

Jason Compton ist Autor und Reporter mit umfassender Erfahrung im Bereich Unternehmenstechnologie. Früher war er Redakteur beim CRM Magazine.

Verwandte CIO-Inhalte