Die Finanzbranche wird stetig digitaler, aber mit dem Wandel gehen auch neue Gefahren einher. So kommt es immer häufiger zu kostspieligen Cyberangriffen auf Banken und ihre Beschäftigten. Ein aktueller Ratgeber zeigt, wie sich die Institute effektiv schützen können.
Mit der aktuellen Novelle der bankaufsichtlichen Anforderungen an die IT (kurz: BAIT) vom 16. August 2021 führt die BaFin neue, verschärfte Regelungen für die Informationssicherheit – und insbesondere für die Sensibilisierung von Beschäftigten – in Kredit- und Finanzdienstleistungsinstituten ein.
Das hat vor allem einen Grund: Die Cyber-Bedrohungslage im Finanzsektor (und darüber hinaus) hat sich zuletzt merklich verschärft. Kostspielige Cyberangriffe sind immer häufiger – und die Angriffstaktiken der Kriminellen zunehmend ausgeklügelt.
Das macht die derzeitige Lage für Banken so gefährlich
Für die betroffenen Organisationen ist das eine gefährliche Mischung. Vor allem in der derzeitigen, von der Corona-Pandemie geprägten Lage kann sie schnell schwerwiegende Folgen haben. Denn Beschäftigte, die dank hybrider Arbeitsmodelle mit neuen Tools arbeiten müssen und ohnehin von der Situation verunsichert sind, lassen sich von den Cyberkriminellen leicht hinters Licht führen. Schon ein Klick auf eine vermeintlich harmlose Mail kann aber ganze IT-Systeme lahmlegen und sensible Daten in die falschen Hände bringen. Gerade im Finanzsektor kann ein Vorfall die Institute teuer zu stehen kommen. So kostet eine Datenpanne in der Branche laut IBM durchschnittlich etwa 5,72 Millionen Dollar.
Die BAIT-Novelle fokussiert sich auf den Faktor Mensch
Die Verschärfungen der BAIT folgen also als logischer Schritt auf diese Entwicklungen. Sie fordern Kredit- und Finanzdienstleistungsinstitute nun dazu auf, ihre Beschäftigten zu Social Engineering und weiteren Cyber-Angriffstaktiken zu sensibilisieren und den Erfolg der Maßnahmen regelmäßig zu überprüfen. Diese Forderungen untermauern, wie wichtig auch bei Informationssicherheitsstrategien im Finanzwesen der Faktor Mensch ist. Denn sind die Mitarbeitenden umfassend für die Gefahren sensibilisiert, können sie im Ernstfall schnell reagieren und so Schlimmeres abwenden.
Worauf es bei Schulungen nun ankommt
Mit Blick auf die neuesten Regulierungen und die zunehmende Anzahl an Bedrohungen, die sich statt auf die Institute direkt auf die Beschäftigten fokussieren, sind moderne Lösungen gefragt. Diese sollten nicht nur BAIT-konform sein, sondern den Lernerfolg der Beschäftigten auch tatsächlich langfristig sicherstellen. Nur so können sich Banken, im Zusammenspiel mit technischen Schutzmaßnahmen, nachhaltig vor Angriffen schützen.
Doch wie kann ein solches effektives Schulungsprogramm aussehen? Die Trainings sollten vor allem eines nicht sein: in die Jahre gekommen. So dynamisch die Gefahrenlage ist, so dynamisch müssen sich auch die entsprechenden Schutzmaßnahmen anpassen. Sie sollten für die aktuellsten Angriffstaktiken der Cyberkriminellen sensibilisieren. Gleichzeitig kann der Lernerfolg auch durch verhaltenspsychologisch fundierte Elemente und Methoden angekurbelt werden. Dazu zählen etwa Gamification und Storytelling, die Wissen und Verhaltensweisen nachhaltig verankern und die Lernenden zum Absolvieren des Trainings motivieren.