Für Banken wird es zunehmend schwieriger als Einzelkämpfer im Bereich Cyber Security erfolgreich zu sein. Eine unternehmens- und industrieübergreifende Strategie, die auf eine Kooperation mit Aufsichtsbehörden und anderen Unternehmen setzt, kann die Lösung sein.
Als hoch technologisierte Unternehmen setzen sich Banken schon lange mit dem Thema Cyber Security auseinander. Dennoch wird es für einzelne Institute zunehmend schwieriger, mit den aktuellen Entwicklungen Schritt zu halten. Die Herausforderungen für das Management von Cyber Risiken werden immer komplexer.
Zunehmende Herausforderungen für Cyber Security
Das liegt einerseits an der steigenden Intensität von Cyberattacken, etwa durch die explosionsartige Vervielfachung der Angriffe, z.B. durch (automatisierte) Kombinationen und Abwandlungen bisheriger Angriffsmuster, die teils sogar im Darknet als fertige “Crimeware-as-a-service”-Angebote verkauft werden. Andererseits nimmt auch der Grad an Komplexität und Spezialisierung der Angriffe immer weiter zu. Befeuert wird diese Entwicklung u.a. durch den teils massiven Ressourceneinsatz professioneller krimineller Organisationen, von regierungsnahen Angreifern gar nicht zu sprechen.
Zudem wachsen die digitalen Angriffsflächen der Banken stetig. Der Einsatz von Cloud Computing, die fortschreitende Verwendung mobiler Endgeräte, die steigende globale Vernetzung, die immer stärkere Digitalisierung der Kundenschnittstelle (z.B. über Chatbots) – all diese Aspekte spielen hierbei eine Rolle.
Darüber hinaus sehen sich Banken mit stetig strengeren – und nicht immer widerspruchsfreien – Anforderungen diverser Aufsichtsbehörden (und auch Eigentümern) konfrontiert. Dabei ist Cyber Security kein „Zusatzthema“, sondern vielmehr grundlegende Voraussetzung auch zur Erfüllung anderer Auflagen, z.B. zum Datenschutz (DSGVO) oder für Zahlungsdienstleistungen (PSD2).
Und zu guter Letzt sind Experten auf dem Gebiet Cyber Security ein rares Gut: bis 2021 wird die Anzahl unbesetzter Stellen weltweit auf mehr als 3 Millionen geschätzt. Der Kampf um Nachwuchstalente wird in den kommenden Jahren noch intensiver werden, zumal Fachkräfte in diesem Bereich oft branchenübergreifend umworben werden.
Kooperatives Cyber Risk Management bietet Banken große Vorteile
Die Bankenindustrie hat begonnen auf diese Entwicklung zu reagieren – teils durch explizite Aufforderung der Aufsichtsbehörden, inzwischen aber vermehrt auch basierend auf Eigeninitiative. Das Resultat sind Kooperationen beim Cyber Risk Management, d.h. die Kooperation mit anderen Banken, regierungsnahen Organisationen und anderen Unternehmen (z.B. aus dem High-Tech Bereich) auf dem Gebiet der Cyber Security.
Zusammenarbeit beim Cyber Risk Management hat verschiedene Ausprägungen. Da ist zum einen der regelmäßige Austausch mit anderen Marktteilnehmern und privaten wie auch öffentlichen auf Cyber Security spezialisierten Organisationen. Der Fokus liegt dabei auf dem Informationsaustausch bzgl. Trends bei Cyber Angriffen, Best Practices zu deren Abwehr (inkl. dem Aufbau von Krisenmanagementstrukturen, der Durchführung von Notfall- und Krisenübungen etc.) sowie der Umsetzung regulatorischer Anforderungen (inkl. perspektivisch der Quantifizierung des eigenen Cyber Risikos).
Beispiele für solche Cyber Security Foren mit Bezug zur deutschen Bankenindustrie sind das europäische FI-SAC (Financial Institutes – Information Sharing and Analysis Centre) unter Beteiligung von ENISA (European Union Agency for Network and Information Security), Europol, der EZB, dem EPC (European Payments Council) etc. oder das deutsche UP KRITIS zum industrieübergreifenden Schutz kritischer Informationsinfrastrukturen unter Beteiligung des BSI (Bundesamt für Sicherheit in der Informationstechnik) und BBK (Bevölkerungsschutz und Katastrophenhilfe).
Teilweise geht die Interaktion zwischen Mitgliedern solcher Foren, und damit auch der Grad an Kooperation beim Cyber Risk Management, über einen allgemeinen Austausch zu Cyber Security hinaus. So werden beispielsweise unternehmenseigene Daten zu vergangenen, aktuellen und auch simulierten Cyber Angriffen ausgetauscht. Auf diese Art können Angriffe schneller (und besser) analysiert werden und auch die koordinierte Krisenreaktion und -bewältigung zwischen betroffenen Banken wird erleichtert.
Eine solch enge Zusammenarbeit und die damit verbundene Transparenz erfordert allerdings Vertrauen zwischen den Teilnehmern. Geeignete organisatorische Strukturen der betreffenden Foren, z.B. die Aufteilung der Teilnehmer in kleinere Untergruppen oder abgestufte Formen des Datenaustausches (etwa auf Basis einer Unterscheidung zwischen aktiven „Daten-Bereitstellern“ und passiven „Daten-Konsumenten“) können dafür eine Grundlage schaffen.
Zum anderen kann kooperatives Cyber Risk Management im Ressourcenaustausch sowie -Pooling zur Erforschung von ausgewählten Cyber Security Themen bestehen. Die Themenvielfalt reicht dabei von Untersuchungen der Blockchain über neue Bezahl- und Authentifizierungsmethoden, Verschlüsselung (z.B. zu „Data in motion encryption”) bis hin zum Einsatz künstlicher Intelligenz und Machine Learning zur automatisierten Gefahrenerkennung und -bekämpfung. Die Vorteile gegenüber parallelen und konkurrierenden Forschungsaktivitäten durch einzelne Marktteilnehmer liegen auf der Hand: die eigenen Investitionsmittel werden geschont, das hausinterne Expertenwissen wird multipliziert. Auch das gemeinsame Investment in FinTech Start-ups sowie die Zusammenarbeit mit öffentlichen wie auch privaten Forschungseinrichtungen spielen hierbei eine Rolle.
Darüber hinaus kann kooperatives Cyber Risk Management auch die Zusammenarbeit der eigenen Cyber Security-Funktionen mit denen anderer Banken und Unternehmen bedeuten. Es bedarf dabei nicht zwangsweise einer gemeinsamen IT, damit Banken gemeinschaftlich Cyber-Security-Funktionen betreiben. Auch vornehmlich organisatorische Maßnahmen sind möglich, z.B. die Zusammenlegung sogenannter CERTs (Computer emergency response Teams) sowie Trainings- und Ausbildungszentren zu Cyber Security etc.
Cyber Risk Management im Einklang mit Geschäftsstrategie
Kooperatives Cyber Risk Management bietet Banken in vielerlei Hinsicht Vorteile, und so muss jede Bank im Einklang mit der eigenen Geschäftsstrategie und der eigenen Risikobereitschaft entscheiden, welche Form der Kooperation sich am besten für sie eignet. Denn eines ist sicher: Einzelkämpfer werden es im Kampf gegen Cyber Security wesentlich schwieriger haben.
Dr. Thilo Grunwald-Henrich ist Ko-Autor des Beitrags. Er ist Projektleiter in der Digital, Technology & Analytics-Praxisgruppe von Oliver Wyman. Sein Spezialgebiet sind Technologie- Transformationen quer über die Industrien hinweg unter Beachtung von Cyber Security Standards.
E-Book Auswirkungen digitaler Technologietrends auf Finanzinstitute“
Der Beitrag ist Teil einer Serie über die Auswirkungen digitaler Technologietrends auf Finanzinstitute. Abonnenten von Der Bank Blog Premium können das 37-seitige E-Book „Auswirkungen digitaler Technologietrends auf Finanzinstitute“ mit allen Beiträgen der Serie direkt herunterladen.
Wenn Sie noch kein Abonnent sind können Sie das E-Book für 9,95 Euro hier einzeln kaufen.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<