IT-Sicherheit: Banken kämpfen unter erschwerten Bedingungen

18 September 2017
Datenbank

Für Banken in Deutschland wird es schwerer, die gewohnten Standards an IT-Sicherheit zu gewährleisten. Sechs von zehn Instituten sprechen von komplexeren Angriffsszenarien und neuen Anforderungen an den Umgang mit IT-Risiken. Bei den Retailbanken sind es fast drei Viertel der Institute, bei denen Digitalisierung, neue Bedrohungsszenarien sowie Regulierungsvorschriften die Arbeit der Sicherheitsmanager erschweren. Das sind die Ergebnisse des Branchenkompass Banking 2017 von Sopra Steria Consulting und dem F.A.Z.-Institut.
Die Herausforderungen der Banken steigen unter anderem durch die zunehmende Zahl an Lieferanten digitaler Technologien. Acht von zehn Finanzdienstleistern sind beispielsweise über digitale Plattformen oder Softwarelösungen mit Dienstleistern vernetzt, ergibt die Potenzialanalyse Digital Security von Sopra Steria Consulting, für die 51 IT-Entscheider von Banken und Versicherern befragt wurden.
Viele Kreditinstitute sind beispielsweise mit externen Datenbanken für eine schnelle Bonitätsprüfung bei Onlinekreditanträgen verbunden. Zudem gibt es Plattformen, auf denen Finanzierungsvorhaben von Unternehmen mit Finanzierungsangeboten von Banken zusammengeführt werden. Durch die EU-Zahlungsdiensterichtlinie PSD2 sind Banken sogar verpflichtet, sich gegenüber Drittanbietern zu öffnen. Dazu kommt, dass Banken mit ihrem eigenen Online-Bezahldienst Paydirekt künftig stärker mit Online-Händlern und dem Einzelhandel zusammenarbeiten werden.
All diese neuen digitalen Lösungen und Anbieter vergrößern die Angriffsfläche, und es wird schwieriger, das nötige IT-Sicherheitslevel zu halten. „Die Institute müssen sicherstellen, dass auch diese Partner und ihre Lösungen die hohen Standards der Banken erfüllen. Das zu kontrollieren, wird bei einer wachsenden Zahl an Partnern immer aufwändiger“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting.
Die Institute reagieren, in dem sie vermehrt Dienstleister-Audits durchführen und Mindeststandards vertraglich vereinbaren. Mehr als jeder zweite Finanzdienstleister führt einen derartigen Lieferanten-Check durch, andere Institute fordern von ihren Partnern eine Sicherheitszertifizierung.
WannaCry und seine Nachfolger erfordern mehr Tempo
Für eine wirksame Bekämpfung von Cybercrime-Attacken wie WannaCry und Petya muss das IT-Sicherheitsmanagement der Banken künftig deutlich schneller reagieren. Ein Grund: Ransomware wie WannaCry unterscheidet sich von bisheriger Malware. Sie sind in der Lage, wie ein Wurm andere Rechner im gleichen Netz zu infizieren. Die Reaktionszeit des Opfers ist dadurch gravierend kürzer, will man eine Ausbreitung verhindern. Zudem werden die Angriffe immer undurchschaubarer. Jüngste Attacken haben gezeigt, dass ein Angriff deutlich länger dauert und die Angreifer in verschiedenen Phasen an mehreren Stellen zuschlagen.
Diese Risiken wirksam einzudämmen, erfordert ein Sicherheitsmanagement mit oft unterschätztem Ressourcenbedarf und Kompetenzerfordernissen. Diese sind intern schwer zu finden und aufzubauen. Jeder dritte Finanzdienstleiser sucht auf dem Arbeitsmarkt nach passenden Cybersecurity-Spezialisten, um sich den neuen Bedrohungsszenarien zu stellen. Parallel suchen die Banken deshalb nach alternativen Lösungen.
Ein Weg, den Banken gehen können ist, das IT-Sicherheitsmanagement stärker zu automatisieren – beispielsweise über regelbasierte Prozeduren. „Die Institute sollten darüber hinaus das Thema IT-Sicherheit und Cybersecurity als Führungsinformation in ihre Ablauforganisation integrieren – als eine Art Lagebild für das Management – um Ressourcen besser zu steuern“, sagt Sicherheitsexperte Spiegel.
Banken sind vorsichtiger beim Outsourcing
Eine weitere Herausforderung der Banken ist, die strengeren Anforderungen der Bankenaufsicht an IT- und Informationssicherheit mit den Zielen einer effizienteren IT-Landschaft in Einklang zu bringen. Jedes fünfte Institut nutzt beispielsweise öffentliche Cloud-Computing-Lösungen, um Kosten zu sparen. Viele Banken verlagern zudem Arbeitsprozesse an Spezialisten. Risiken von Programmierfehlern und Sicherheitslücken sind damit schwerer zu kontrollieren.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) reagiert auf wachsende IT-Risiken zum Beispiel mit den bankaufsichtlichen Anforderungen an die IT (BAIT). Diese lösen bei den Banken erheblichen Weiterentwicklungsbedarf ihrer IT-Sicherheitsprozesse aus. Als Folge wird Dienstleistern wie ihren Auftraggebern eine Compliance allerhöchster Güte abverlangt. Zudem sind Banken insgesamt vorsichtiger bei ihren Outsourcing-Vorhaben, so der Branchenkompass Banking 2017.

Leave a Reply

Your email address will not be published. Required fields are marked *