Die digitale Transformation birgt für Banken, Sparkassen und andere Finanzdienstleister eine Fülle an Herausforderungen. Eine ganz besondere ist Cyber Security. Sie wird am Ende wichtig für das Überleben in der Finanzbranche sein.
Die Cyber Security Trends 2017 von TÜV Rheinland bringen es auf den Punkt: Die Tage des „Weiter so“ sind gezählt. Mit der digitalen Transformation geht unsere Gesellschaft einem Zeitalter signifikanter Sicherheitsrisiken entgegen. Unternehmen müssen sich auf weitere Angriffswellen einstellen, neu ist die Wucht, mit der die Attacken geführt werden. Die Frage, wie sicher die vernetzen Geräte, die IT-Netzwerke und die Infrastrukturen tatsächlich sind, wird drängender denn je, insbesondere für Betreiber kritischer Infrastrukturen wie Banken und Finanzdienstleister. Bereits heute steht fest: Angesichts der Fülle und Verfügbarkeit sensibler Informationen über Menschen und Systeme wird die Branche zwangsläufig einen erhöhten Anpassungsdruck für gegenwärtige Cyber-Security-Strategien spüren.
Das Finanzwesen hat in den vergangenen Jahren durchaus eine steigende Sensibilität für die Bedrohungslage gezeigt und Budgets für Cyber-Security kontinuierlich erhöht. Dennoch reißen die Schlagzeilen um Datenpannen und Sicherheitsvorfälle nicht ab – was zeigt: Mit „Einmal-Ausgaben“ oder „Viel hilft viel“ ist es beim Thema Cyber Security nicht getan. Dafür ist die technologische Entwicklung zu dynamisch und die Qualität finanziell bestens ausgestatteter Angreifer bereits zu hoch. Cyber Security ist eine iterative Aufgabe, die beständig an die wechselnde Bedrohungslage angepasst werden muss. Vor allem brauchen wir einen Paradigmenwechsel: Banken und Finanzdienstleister müssen eine Digitalisierungsstrategie entwickeln, die Cyber Security nicht als Kostentreiber betrachtet, sondern als integralen Business Enabler, der von Anfang an mitzudenken ist, damit der Geschäftszweck künftig überhaupt noch mit vertretbaren Risiken für die Stakeholder zu verfolgen ist.
Nicht angestammte Terrains bergen erhebliche Bedrohungen
Die digitale Transformation birgt gewaltige Herausforderungen: Geldinstitute, die ihre Zukunft sichern wollen, müssen einerseits konkurrenzfähige digitale Geschäftsmodelle entwickeln, andererseits die Chancen, die sich aus der Digitalisierung ergeben, nutzen, um Kosten zu senken. Mithilfe innovativer Kommunikationstechnologien müssen sie bestehende Kunden weiter binden und neue Zielgruppen erschließen. Zugleich wünscht der König Kunde immer wieder neue Customer Experience-Erlebnisse, die sich heute nur noch über Big Data, Künstliche Intelligenz und Data Analytics erzielen lassen.
Andererseits wächst der Druck nationaler und internationaler Aufsichtsbehörden, die eigene IT-Governance, das IT-Risikomanagement und die Compliance-Prozesse weiter zu formalisieren und an neue Regularien anzupassen. Alle neuen Richtlinien und Novellen bergen weitere Pflichten im Risikomanagement, die auch erheblichen Einfluss auf die Steuerung der Cyber-Sicherheit haben.
Höchste Anforderungen, die traditionelle Banken immer mehr dazu zwingt, sich auf nicht angestammten Terrains zu bewegen, die in punkto IT-Sicherheit erhebliche Bedrohungen darstellen können.
Das Kunden-Gerät als trojanisches Pferd
Nehmen wir das Internet der Dinge: Sein massiver Einfluss auf Gesellschaft, Ökonomie und Technik ist in seinem ganzen Ausmaß noch gar nicht absehbar, durchdringt aber auch das Finanzwesen und wird sicherlich noch an Fahrt aufnehmen. Seine Kernkomponenten, smarte Endgeräte und Infrastrukturen, sind noch nicht ausreichend abgesichert, verbindliche Sicherheits- bzw. Prüfstandards noch nicht in Sicht. Zugleich steigt der Einsatz dieser vernetzten Geräte auf Kundenseite. Heute gibt es weltweit bereits mehr vernetzte Devices als Menschen!
Das Kunden-Gerät kann aber genau das trojanische Pferd sein, mit dem Angreifer wiederum offene Flanken im Perimeter des Geldinstituts aufspüren: über nicht oder nur unzureichend abgesicherte Schnittstellen. Allein das Mirai Botnetz soll zwischenzeitlich mindestens 400.000 bis zu 1 Mio. gehackter IoT-Geräte umfassen, die ihrerseits wieder verwundbare Geräte oder IT-Netzwerke kapern können.
Silodenken: Fatales Hindernis auf dem Weg zu mehr Cyber-Sicherheit
Sicher ist, dass wir uns am Vor-Vorabend – oder ist es bereits der Vorabend? – einer weiteren Revolution befinden, die sofort und mit voller Wucht auch das Bankenwesen erfassen wird: das Erscheinen des ersten praktisch nutzbaren Quantencomputers. Wohl der Bank, die bis dahin quantencomputerresistente Public-Key-Verfahren verwendet.
Umso erstaunlicher ist, dass meine Kollegen und ich auch heute noch viele Organisationen (nicht nur im Bankenwesen) erleben, die ihre vermeintlich „langweiligen“ Hausaufgaben in punkto Cyber Security nicht ganz erledigt haben: Der mangelnde Überblick über den Verbleib von Session-Schlüsseln der Admins oder die unvollständige Sicht auf Informationssicherheitsvorfälle illustrieren sehr schön den mancherorts ausbaufähigen Reifegrad der Cyber Security auch in der Finanzbranche. Wie vernetzt sie ist und welche Auswirkungen ein Angriff auf die Grundlagen des Systems haben kann, wissen wir alle spätestens seit den Schockwellen der weltweiten Finanzkrise.
Ein Hindernis auf dem Weg zu mehr Cyber-Sicherheit bei Banken und Finanzdienstleistern ist die Tatsache, dass ein unternehmensweites GRC und IT-GRC oft noch getrennt betrachtet werden – und das trotz stetig wachsender Bedeutung und Komplexität regulatorischer Anforderungen. Das Ergebnis: Unvollständiges Reporting, isolierte Prozesse und ein reiner Compliance-Fokus ohne Berücksichtigung der tatsächlichen Risiken sind im Bankenwesen keine Seltenheit. Risikomanagement und Datensicherheitsarchitekturen entsprechen vielfach nicht den Anforderungen der dynamischen Realität. Daten aus den Bereichen IT-Risikomanagement, Business Continuity oder beispielsweise auch Netzwerk-Logdaten stammen häufig aus unterschiedlichsten Quellen und fachlichen Verantwortungsbereichen. Eine zentral verantwortliche Funktion, die diese Daten zusammenführt und regelmäßig nachverfolgt, um eine solide Basis für Entscheidungen und Aktivitäten in den Bereichen Informationssicherheit und IT-Compliance zu erstellen, ist jedoch längst nicht in allen Bankunternehmen etabliert und scheitert im hektischen Tagesgeschäft oft am Silodenken.
Die Folge ist oft eine erhöhte Verwundbarkeit gegenüber Cyber-Angriffen. Werden Sicherheitsvorfälle überhaupt erkannt, werden sie nicht selten nur ad hoc behandelt, ohne die Erkenntnisse in Sicherheitsrichtlinien und das IT-Risikomanagement einfließen zu lassen.
Technische Lösungen, die Cyber-Angriffe erkennen und verhindern könnten, sind nicht unbedingt flächendeckend implementiert oder liefern keine ausreichenden Informationen über die eigentliche Geschäftskritikalität des Vorfalls.
Das Ergebnis sind erhebliche Mehraufwände durch redundante Tätigkeiten und sich teils widersprechenden Informationen im Management Reporting. Die fehlende Übersicht und der oftmals fehlende Bezug zum Unternehmenskontext (Wesentlichkeit für das Unternehmen) erschweren informierte Managemententscheidungen und führen zu Intransparenz hinsichtlich der richtigen Prioritäten bei der Steuerung von IT-Risiken.
Die Folge: eine erhöhte Verwundbarkeit gegenüber Cyber-Angriffen und die permanente Unsicherheit: Haben wir alle erforderlichen technischen Maßnahmen ergriffen? Machen wir die richtigen Dinge und machen wir sie richtig?
Komplexität beherrschen – vernetzt denken
Die „Kunst, vernetzt zu denken“ hat uns Frederic Vester bereits in den neunziger Jahren beigebracht und Dietrich Dörner die „Logik des Misslingens“ eindringlich erklärt. Beides dreht sich um unsere Fähigkeit, Komplexität zu verstehen und zu beherrschen – Fähigkeiten, die wir dringend auch und gerade für den Bereich Cyber Security benötigen. Eine holistische Betrachtung der Informationssicherheit, die auf dem Zusammenwirken von Governance, Management und Technik fußt, ist gerade im Bankenwesen zwingend erforderlich, um die Herausforderungen der Zukunft meistern zu können.
Das bedeutet: Cyber Security muss Chefsache sein. Nur dann ist die Etablierung einer Sicherheits-Kultur möglich, die fundamentale IT-Sicherheitsmaßnahmen anhand der tatsächlichen Risikoexposition wirksam durchsetzt und diese Marschrichtung auch immer wieder überprüft.
Künftig wird es meiner Meinung nach auch nicht mehr ohne die systematische Steuerung der Cyber Security über ein Informationssicherheitsmanagementsystem gehen – und dies sicherlich nicht nur, um pflichtbewusst die Anforderungen der Regulierer zu erfüllen. Das ISMS stellt das Nervensystem der Cyber Security dar: es erzeugt ein hohes Maß an Transparenz, liefert die Informationsbasis für nachhaltige Entscheidungen, schafft Handlungsoptionen und eröffnet Spielräume – und damit bahnt es den Weg für eine digitale Transformation der Banken und Finanzdienstleister.
Cyber Security ist überlebenswichtig
Cyber Security ist eine überlebensnotwendige Querschnittsdisziplin. Als essentielle Voraussetzung für Vertraulichkeit, Integrität von Daten, Prozessen und die Verfügbarkeit und Ausfallsicherheit von Systemen ist sie längst nicht mehr „nur“ Kostenfaktor, sondern gerade auch für Banken und Finanzdienstleister ein integraler Bestandteil des Geschäftsmodells.
Umso wichtiger ist eine ganzheitliche Sicht auf die Sicherheit, die alle relevanten Managementsysteme und Maßnahmen im Fokus hat. Das Ergebnis sind eine verbesserte Umsetzung von Informationssicherheitsmanagement, IT-Risikomanagement sowie IT-Compliance, um auch auf diesem Weg die Transformation zur Bank 4.0 zu ermöglichen.