Cyberresilienz – zentraler Bestandteil der Sicherheitsstrategie

Vorbereitet sein auf unvorhergesehene Sicherheitsvorfälle

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Sicherheitsvorfälle können nicht vollständig vermieden werden, weder durch technische Maßnahmen, noch durch erhöhte Sicherheits-Awareness bei Mitarbeitern. Von entscheidender Bedeutung ist es, ein Unternehmen auf das Eintreten derartiger Vorfälle vorzubereiten.

Banken und Sparkassen benötigen eine Strategie für Internet-Sicherheit

Banken und Sparkassen müssen auf unvorhergesehene Sicherheitsvorfälle vorbereitet sein.

Partner des Bank Blogs

Horváth ist Partner des Bank Blogs

Das Berliner Kammergericht ist in Folge eines Schadsoftwarebefalls seit September 2019 offline – und damit nur ein Beispiel für eine steigende Zahl von Unternehmen und Organisationen, die durch Cyberangriffe oder IT-Störungen massiv in ihrem Betrieb eingeschränkt wurden. Europäische Banken waren bisher nicht betroffenen, aber das Risiko für derart schwerwiegende Sicherheitsvorfälle steigt.

Prävention ist wichtig, aber Sicherheitsvorfälle können nie vollständig vermieden werden. Daher ist es von entscheidender Bedeutung, ein Unternehmen auf das Eintreten derartiger Vorfälle vorzubereiten: Kernprozesse müssen aufrechterhalten, Erholungsphasen klein gehalten und auf unvorhergesehene Umstände angemessen reagiert werden.

Cyber Incidents unter den Top-3-Risikofaktoren für Banken

Cyberkriminalität und IT-Störungen zählen gemäß der jüngsten Risikobewertung der EZB-Bankenaufsicht zu den Top-3-Risikofaktoren für Banken. Die Ursache dafür liegt nicht nur in der steigenden Bedrohung durch Angreifer aus dem Cyberraum. Der enorme Modernisierungs- und Wettbewerbsdruck, dem Banken ausgesetzt sind, führt zu komplexen Systemen und mannigfaltigen Abhängigkeiten – nicht nur in technischer Hinsicht, sondern auf ganze Geschäftsprozesse und digitale Lieferketten bezogen.

Einzelrisiken addieren sich in diesem komplexen Gefüge nicht nur, sondern verstärken sich. Auf dem Spiel stehen Kundendaten ebenso wie Unternehmensdaten, die Aufrechterhaltung des Geschäftsbetriebs, die Reputation und die Wettbewerbsfähigkeit.

Cyberresilienz – weil technikgetriebene Ansätze nicht reichen

Technische Ansätze zur Prävention, Detektion und Reaktion von bzw. auf Sicherheitsvorfälle sind weiterhin unverzichtbar. Gleiches gilt für Awareness-Maßnahmen bei Mitarbeitern, die beispielsweise die Gefahr von Malwareinfektionen (wie im Eingangsbeispiel passiert) reduzieren. Aber egal wie hoch die Investitionen in solche Maßnahmen auch sein mögen – einen hundertprozentigen Schutz kann man damit nicht erzielen.

Diese Maßnahmen sind daher, wenngleich wichtig, nur Bausteine des sehr viel umfassenderen Konzepts der Cyberresilienz. Damit wird die Fähigkeit eines Unternehmens bezeichnet, im Angesicht massiver Angriffe oder Störfälle die Steuerungsfähigkeit beizubehalten und eventuelle Beeinträchtigungen im Geschäftsbetrieb klein zu halten.

Investitionen in klassische Maßnahmen der Informationssicherheit weisen einen abnehmenden Grenznutzen auf: Je höher das bereits erreichte Sicherheitsniveau ist, umso teurer wird eine weitere Verbesserung. Daher ist es auch aus ökonomischer Sicht vernünftig, in Cyberresilienz zu investieren.

Cyberresilienz erfordert ein Umdenken

Für Cyberresilienz ist ein grundlegendes Umdenken erforderlich. Getreu dem Motto von Wilhelm Busch „Erstens kommt es anders, zweitens als man denkt“ muss die Möglichkeit, dass ein schwerwiegender Cybervorfall oder eine Störung auftritt, immer „mitgedacht“ werden. Dazu reicht nicht der punktuelle Blick auf IT-Systeme. Es müssen Geschäftsprozesse, ganze Geschäftsbereiche, die Organisation, die Unternehmensführung und -kultur aus diesem Blickwinkel betrachtet und darauf ausgerichtet werden.

Cyberresilienz erfordert eine übergeordnete Sicht. Verglichen mit den klassischen Ansätzen des Business Continuity Management und des Incident Response Management begibt man sich sozusagen auf die Metaebene: Im Fokus steht nicht allein die konkrete Reaktion auf eine konkrete Störung, sondern wie das Unternehmen überhaupt mit unvorhergesehenen Disruptionen umgeht.

Dieses Umdenken ist auch bei den wichtigsten Finanzaufsichtsbehörden weltweit erfolgt und schlägt sich in der Aufsichtspraxis nieder. So hat die Expertengruppe der G7 (Gruppe der Sieben)-Staaten zum Thema Cybersicherheit im Finanzsektor im Oktober 2017 Empfehlungen verabschiedet, in denen als wünschenswertes Ergebnis eines Assessments unter anderem aufgeführt ist: „There is an understanding that disruption will occur.“

Handlungsfelder für Cyberresilienz

Agilität ist elementar für die Cyberresilienz einer Organisation, denn im Zweifelsfall muss sehr schnell und anders als geplant reagiert werden. Die Unternehmensführung benötigt ausreichende Informationen, um angemessen kontrollieren und steuern zu können. Ganze Lieferketten von Geschäftspartnern müssen transparent gemacht und hinsichtlich ihrer Sicherheit und Resilienz prüfbar werden. Zur Widerstandsfähigkeit gehört auch, dass Software-Entwicklungs- und -Betriebsverfahren weitgehend automatisiert und integriert werden. Und selbstverständlich bedarf es der bewährten Maßnahmen der Informationssicherheit, denn sie senken die Eintrittswahrscheinlichkeit eines Störfalls.

Die Mitarbeiter eines Unternehmens haben in zweierlei Hinsicht eine besondere Bedeutung: Zum einen muss jeder Mitarbeiter und jede Mitarbeiterin die Gefahren kennen, denen er bzw. sie in der täglichen Arbeit begegnen kann, und wie darauf zu reagieren ist. Zum anderen muss der Umgang untereinander, auch mit Vorgesetzten, ein Nachfragen, Rückversichern oder auch Eingestehen von Fehlern ohne große Hemmnisse erlauben.

Ein Beispiel hierfür ist die CEO-Fraud  genannte Betrugsmasche, bei der sich ein Betrüger gegenüber einem Mitarbeiter per E-Mail oder Telefon als CEO ausgibt und ihn oder sie zu einer betrügerischen Zahlung verleitet: Eine vertrauensvolle und wertschätzende Unternehmenskultur führt viel eher dazu, dass ein leicht verunsicherter Mitarbeiter sich tatsächlich von Mensch zu Mensch beim vermeintlichen Auftraggeber über die Authentizität des Auftrags vergewissert.

Fazit: Cyberresilienz ist Teil der Sicherheitsstrategie

Cyberresilienz muss ein zentraler Bestandteil der Sicherheitsstrategie von Banken sein. Gestiegenen Cyberrisiken kann nicht allein durch technische Maßnahmen oder erhöhte Awareness bei Mitarbeitern begegnet werden. Sicherheitsvorfälle sind per se nicht vermeidbar. Durch eine ganzheitliche Herangehensweise muss das Unternehmen darauf ausgerichtet werden, auch im Störfall steuerbar zu sein und die Betriebsfähigkeit, wenn überhaupt, nur minimal einzubüßen.

Über den Autor

Prof. Dr. Igor Podebrad

Prof. Dr. Igor Podebrad ist Bereichsvorstand „Group Cyber Risk & Information Security" und Group Chief Information Security Officer bei der Commerzbank AG und hat die globale und unternehmensweite Verantwortung für Cybersicherheit. Zuvor arbeitete er als IT-Security-Architecture Spezialist in diversen Projekten, gefolgt von Positionen als Prozess-Manager verantwortlich für IT-Sicherheitsstandards, Gefahrenabwehr-Prozesse und Sicherheitsüberprüfungen. Er ist Honorarprofessor und hat einen Lehrauftrag für IT-Forensik und Cyber Crime an der Technischen Hochschule Brandenburg.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren