Mit der Digitalisierung steigt die Gefahr von Cyberangriffen. Das gilt auch in der Finanzbranche. Cloud-Technologie, KI und ein Zero-Trust-Ansatz können dabei helfen, die Herausforderungen von Cybersicherheit effektiv zu meistern.
Es mutet an wie der perfekte Sturm. Die Bedrohung durch Cyberangriffe ist so hoch wie noch nie. Zu diesem Urteil kam jüngst das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „Zur Lage der IT-Sicherheit in Deutschland“. Ein ähnliches Bild zeichnet der aktuelle Microsoft Digital Defense Report. Ob staatlich finanzierte Hackergruppen am Werk sind oder cyberkriminelle Banden: Der Finanzsektor gehört stets zu den bevorzugten Zielen. Die Corona-Pandemie hat diese Entwicklung ebenso verstärkt wie der Angriff von Russland gegen die Ukraine.
Die Bank für Internationalen Zahlungsausgleich urteilte im vergangenen Jahr, dass keine andere Branche außer dem Gesundheitssektor so stark von Cyberattacken mit Bezug zur Pandemie betroffen war wie die Finanzindustrie. Gleichzeitig erlebt gerade der Finanzsektor eine tiefgreifende Transformation. Die Ansprüche der Kunden und Beschäftigten haben sich gewandelt. Die Nachfrage nach innovativen, digitalen Angeboten steigt. Doch genau damit entstehen neue Angriffsvektoren – von modernen Banking-Apps bis hin zur hybriden Arbeitswelt der eigenen Beschäftigten. Die Gefahren von Cybercrime nehmen damit zu.
Krisen bieten auch Chancen
Solche Krisen bieten allerdings auch Chancen. Finanzdienstleister nämlich, die konsequent auf das Thema Cybersecurity setzen, haben die Möglichkeit, sich dadurch in einem immer härteren Wettbewerb erfolgreich am Markt zu positionieren und zu differenzieren. Im New Normal des hybriden Arbeitens können sie wiederum als attraktiver Arbeitgeber durch sichere, flexible Arbeitsmodelle punkten. Ihren Kunden wiederum bieten sie die Möglichkeit, spannende, digitale Angebote zu entdecken, ohne dass dies auf Kosten der Sicherheit geht. Für die Banken heißt das, nicht abzuwarten, sondern im Sturm die Segel richtig zu setzen.
Attraktive Arbeitsbedingungen benötigen eine moderne IT-Architektur
Mehr als 65.000 Stellen sind bei Deutschlands Banken derzeit vakant. Händeringend suchen die Kreditinstitute in allen Bereichen nach Beschäftigten. Die Probleme für die personellen Engpässe sind sicherlich vielfältig. Doch die Frage der Arbeitsbedingungen spielt auch mit hinein. Nicht nur im Finanzsektor waren fehlende Flexibilität bei der Arbeitszeit oder dem Arbeitsort sowie ein Mangel an Vereinbarkeit von Beruf und Privatleben zuletzt unter den Top-Gründen, derentwegen Beschäftigte ihr Arbeitsverhältnis beendet haben, wie Zahlen des Microsoft Work Trend Index zeigen. Hybride Arbeitsmodelle sind daher kein Nice-to-Have, sondern eine wesentliche Voraussetzung, um sich als attraktiver Arbeitgeber zu positionieren – auch im Finanzsektor (mehr dazu auch im aktuellen Microsoft Trendradar für die Finanzbranche)
Doch hybrides Arbeiten schafft neue Angriffsvektoren. Im Rahmen von Bring your own device (BYOD)-Policies nutzen Beschäftigte beispielsweise private Laptops, Tablets und Smartphones, um auf die zentralen Systeme zugreifen zu können. Mit einem Male hat das System eine Vielzahl von Endpunkten, die es zuvor nicht gab. Kunden wählen Pass- und Kennwort-Einstellungen, die ihnen besonders bequem erscheinen und schaffen damit Einfallstore für Kriminelle. Banken müssen sich mit ihrer Sicherheitsstrategie genau darauf einstellen. Investieren Kreditinstitute also personell und technologisch in die Cybersicherheit, dann schaffen sie damit auch die Voraussetzungen, attraktive Arbeitsplätze zu entwickeln.
Mit Cloud und KI zu mehr Kontrolle
Cloud-Computing, Data-Analytics-Fähigkeiten und Technologien wie künstliche Intelligenz (KI) sind wichtige Zutaten dafür. Die KI kann beispielsweise alle verfügbaren Informationen zu Bedrohungen zusammenführen und proaktiv Anwendung, E-Mails oder Endpunkte prüfen. Dadurch erhöht sie die Reaktionsgeschwindigkeit bei möglichen Bedrohungen. Sie entlastet die Experten aus Fleisch und Blut und erhöht die Zufriedenheit der Kunden. Sie kann auch unerwünschte Nachrichten identifizieren, im Endpoint-Management die Signale aus einer Vielzahl von Systemen verarbeiten, um so frühzeitig Anomalien im Verhalten der eigenen Beschäftigten oder der Kunden zu entdecken. Auch beim Aufspüren von Malware kann KI eine Rolle spielen. Die Rechenleistung für all solche Ansätze liefert dabei die Cloud-Umgebung, die nahezu unbegrenzte Skalierung ermöglicht.
Die Modernisierung der eigenen IT ist für die Banken daher unumgänglich, zumal viele ihrer über Jahrzehnte hinweg gewachsene Systemlandschaften moderne Sicherheitslösungen gar nicht mehr unterstützen und der Perimeter keinen ausreichenden Schutz mehr bietet. Strategisch empfiehlt sich für Banken der Grundsatz von Zero Trust: Vertraue niemand! Auch Microsoft selbst folgt diesem ganzheitlichen Ansatz, bei dem jeder Zugriff so behandelt wird, als stamme er von außerhalb des Systems. Konkret werden unter anderem die Nutzeridentitäten und ihre Zugriffsberechtigungen, Endpunkte und Schnittstellen kontinuierlich im Blick behalten, Netzwerke werden abgesichert, damit sich Eindringlinge nicht ungehindert fortbewegen können. Die Klassifizierung, Kennzeichnung und Verschlüsselung von Daten tragen ebenfalls zu mehr Sicherheit bei.
Auch die Regulatorik fordert zum Handeln auf
Der Gesetzgeber hat die Verwundbarkeit der Finanzsysteme bereits erkannt. Mit dem Digital Operational Resilience Act (DORA) der EU kommen neue Anforderungen auf die Banken zu, die Verfahren wie beispielsweise den Tiber-DE-Test – also das Hacken der eigene IT-Systeme durch einen eigenen Dienstleister – zur Pflicht machen. Auch das sollte Banken zum Handeln motivieren. Der Sturm, der draußen tobt, wird sich nicht allzu schnell wieder legen. Doch wer jetzt klug handelt, kann ihn erfolgreich umgehen oder schnell aus ihm herausfinden.
Weitere Informationen, Unterlagen sowie Webinare zu Themen wie Zero-Trust, sicheres hybrides Arbeiten oder dem Aufsetzen und Verwalten einer Multi-Cloud Security-Strategie finden Sie auf den Seiten der Microsoft Hybrid Work Days.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.