Neue Realität und Technologien befeuern bei Banken und Sparkassen das Geschäft der Zukunft. Doch viele Finanzinstitute vernachlässigen den wichtigsten Treiber der Digitalisierung: die IT-Security.
Bestellen, bezahlen, versichern – und zwar mit einem Klick: Die Ansprüche von Kunden beim E-Commerce steigen nicht erst seit Corona beständig. Auch Banken und Versicherungen sind deshalb mehr denn je angehalten, schnell und effizient zu agieren, um den gestiegenen Kundenerwartungen gerecht zu werden. Neue Geschäftsmodelle schaffen zudem Chancen für weiteres Wachstum. Dafür brauchen die Häuser allerdings ein stabiles IT-Security-Gerüst, um bei dem Wettbewerbstempo in der Finanzbranche die Kontrolle zu behalten. Denn die Anforderungen an die IT in dieser neuen Welt sind enorm: Sicherheitsmängel haben irreversible Reputationsschäden zur Folge, die sich enorm auf die Geschäftstätigkeit und den Umsatz auswirken können.
Gleichzeitig sollten Banken auf einen hohen Automatisierungsgrad setzen, da sie so die Prozesseffizienz erreichen, die sie dringend brauchen. Zudem nehmen die Anforderungen der Aufsichtsbehörden zu: Die Regulatoren fordern eine bestmögliche Automatisierung der gesamten IT-Security, um Bedrohungslagen schneller zu erkennen, zu steuern und effizient zu managen. So wird es auch möglich, die Fehleranfälligkeit des Faktors Mensch zu reduzieren, auf den nahezu jeder zweite Security-Vorfall zurückzuführen ist.
Technologie ist der Treiber
Traditionelle Häuser stehen damit vor großen Herausforderungen: Ihre bestehende IT-Landschaft mit sehr spezifischen, gewachsenen Systemen wird den aktuellen Anforderungen oft nicht gerecht – weder was eine marktübliche IT-Security, noch was die notwendige Geschwindigkeit angeht. Institute sollten daher gerade im Cloud-Zeitalter die Chance ergreifen, auch ihre IT-Systeme neu aufzusetzen. Die Sicherheit muss dabei an erster Stelle stehen. Denn nur auf diese Weise kann es ihnen gelingen, IT-Security Systeme, Prozesse und Compliance Anforderungen zu automatisieren und die Digitalisierung im Unternehmen entscheidend voranzutreiben. Wer dagegen heute nur damit beschäftigt ist, an seinen alten Systemen einzelne Verbesserungen vorzunehmen, wird in Zukunft ins Hintertreffen geraten.
Die neue Realität und die Technologie sind demnach die Treiber für das Geschäft der Zukunft, bei dem Security by Design mitgedacht werden muss. Als Vorbild könnte hier die Automobilindustrie dienen, die schon bei der Entwicklung Fahrzeuge konzipiert, die nötige Sicherheitsanforderungen wie Crashtests bestehen, und zugleich ökonomisch sinnvoll sind. Doch leider wird das Zusammenspielt der IT-Komponenten eines Autos aus IT-Security Gesichtspunkten auch mangelhalft umgesetzt.
Der Weg zu mehr IT-Sicherheit
Umso entscheidender ist es also, dass Banken Technologie voranstellen und sich fragen: Wie groß ist die individuelle Sicherheitsambition mit Blick auf die eigene IT-Security? An erster Stelle muss hier stets die Entscheidung des Vorstands stehen, der sich darüber gewahr werden muss, welche Risiken das Finanzinstitut bereit ist einzugehen. Die Grundlage bilden Vorgaben der Geschäftsplanung, etwaige Digitalisierungspläne und natürlich regulatorische Anforderungen.
Im nächsten Schritt ist es entscheidend, sich potenzielle Angriffspunkte genauer anzusehen:
- An welchen Schnittstellen gibt es heute Probleme?
- Wo existieren nur manuelle Lösungen, aber kein Gesamtkonzept?
- Und an welcher Stelle müssen Informationen zusammengeführt werden?
Besonders in Cloud-Umgebungen ist es dabei wichtig, alle Bereiche der IT unter Security-Gesichtspunkten gleichermaßen zu berücksichtigen: Entwicklung, Engineering, Testing, Deployment, Daten, Netzwerke, Perimeter und die Systeme selbst.
Darauf aufbauend kann dann eine typische Bedrohungslandschaft, beispielsweise illustriert über das „Mitre Att&ck Framework“, entstehen, von der alle weiteren Entscheidungen ausgehen. Anhand dieser lassen sich nämlich entscheidende Fragen beantworten: Wie wirken sich einzelne Veränderungen im System aus? Wie müsste eine sinnvolle Sicherheitsumgebung aussehen? Und welche Kosten bzw. IT-Risiken würden hierdurch entstehen? Danach entscheidet sich dann, wie und mit welchen Prozessen und Vorgaben die Security-Architektur aufgebaut wird, wo automatisiert wird – und wie der Betrieb auch mit (Managed-)Serviceprovidern aussehen kann. Institute sollten hier pragmatisch vorgehen und einzelne Komponenten immer wieder hinterfragen und optimieren.
Alle Bausteine optimal verzahnen
Am Ende müssen in dieser Architektur alle Bausteine optimal miteinander verzahnt sein. Dafür ist auch ein Zusammenspiel von technischen Verantwortlichen (CIO/CDO) und auch Risikovorständen (CFO, CRO) der Finanzunternehmen erforderlich. Dies lässt sich am Beispiel Incident Response illustrieren: Tritt beispielsweise eine Bedrohung auf, lässt sich diese aus dem Security and Operations Center-Szenario heraus triggern – und zwar auch mit Hilfe von Künstlicher Intelligenz. Diese löst wiederum einen Prozess aus, der sich automatisch auf das Risikomanangement auswirkt und zudem die gesamte Governance in der Organisation im Sinne einer klaren Aufgabenzuordnung bespielt. So kann Security by Design bei Banken letztlich zu mehr Effizienz und Kosteneinsparungen führen.
Finanzinstitute haben Nachholbedarf
Doch weiterhin kümmern sich Finanzinstitute zu wenig um das Thema. Häufig betrachten Vorstände die IT-Sicherheit als Kostenblock, der möglichst niedrig gehalten werden soll – und nicht als notwendige Basis ihres Geschäfts. Gerade Cloud-Umgebungen neu aufzusetzen ist mit Blick auf die Gesamtkosten oft zunächst teuer, und diesen Schritt scheuen viele Finanzdienstleister. Was dabei in den Hintergrund gerät: Durch die Cloud bekommen sie für ihr Geld auch eine Premium-Leistung, die ihnen Skalierbarkeit und Geschwindigkeit ermöglicht. Das eigene Rechenzentrum kann dies auch durch die hohe Integration verschiedener Anwendungen meist nicht leisten. In der Cloud wird allerdings ein ganzheitliches Security-Konzept umso wichtiger, da sich dort sogar noch mehr Einfallstore für Hacker öffnen. Umso entscheidender ist es also, die Architektur hier an erste Stelle zu stellen. Wer wiederum auf robuste und resistente Cyber-Security-Ansätze setzt, verschafft sich einen entscheidenden Wettbewerbsvorteil.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.