Mit der zunehmenden Digitalisierung steigt auch die Gefahr für Banken durch Cyberangriffe. Dabei ist es nicht ausreichend, dass Banken allein auf ihre Sicherheitssysteme schauen, sondern müssen auch die Erwartungen ihrer Kunden miteinbeziehen.
Auf die Entwicklungen, Medien und Meinungen der letzten Monate zurückschauend, so werden diese durch COVID-19 und viel Negatives, Trauriges und Einschränkendes dominiert. Aber es finden sich auch Hoffnung, Zuversicht und Perspektiven – vor allem aber auch Innovation, Änderung und Anpassung.
Die Digitalisierung ist eine Änderung, die wir alle hautnah miterleben und es ist unstrittig, dass das Jahr 2020 ein Schlüsseljahr für die Digitalisierung im Bankenumfeld war. Denn die Pandemie und die damit verbundenen notwendigen Maßnahmen zur Eindämmung bringen einen großen Teil der Mitarbeiter ins Home-Office, das Online-Business vieler Banken wächst rasant und die Anzahl digitaler Zahlungen steigt deutlich.
Veränderte Anforderungen und Erwartungen
Und auch die Bankkunden haben – vor allem durch die zur Eindämmung der Pandemie notwendige soziale Distanzierung – digitale Dienste stärker genutzt. Sei es durch
- die kontaktlose Bezahlung per NFC (Karte oder Smartphone) anstelle der Nutzung von Bargeld,
- das vermehrte Einkaufen und Bezahlen im Internet oder
- die Möglichkeit der vollständig digitalen Kredit- /Kartenbeantragung und Online-Konto-Eröffnung.
Diese Veränderung hat auch einen Einfluss auf die Erwartungshaltung der Bankkunden. Sie möchten zu jeder Zeit auf Online-Dienste zugreifen, möglichst einfach und direkt (real-time) ihre Transaktionen ausführen, eine zentrale Übersicht über alle ihre Vermögenswerte und Konten haben und von einer Sicherheit ihrer Daten ausgehen – ohne sich mit allzu viel Aufwand darum kümmern zu müssen. Die Kundenbedürfnisse entwickeln sich immer stärker dahin, dass diese Dienste von verschiedenen Endgeräten und von jeder beliebigen Plattform aus erreichbar sein sollten. Hierbei spielt die „User Experience“ – also, die positive Erfahrung bei der Nutzung des Dienstes – eine herausragende Rolle für die Kundenbindung. Allerdings ist die positive User Experience ein vergängliches Gut, denn es bedarf der kontinuierlichen Anpassung, um sie aufrecht zu erhalten. Und dies bedeutet einen hohen und schnellen Anpassungsbedarf auf Bankenseite.
Banken reagieren mit digitalen Angeboten
Die Banken haben auf diese Änderungen und die Pandemie mit weiteren Digitalisierungsmaßnahmen reagiert, indem sie nicht nur
- ihre Produkte und internen Abläufe weiter digitalisiert und automatisiert,
- massiv in neue Technologien zur Virtualisierung von Meetings und Zugriffsmöglichkeiten auf zentrale Anwendungen und Systeme investiert,
- sondern sich auch die Möglichkeiten von Cloud-Diensten und den Einbezug von Partnern zu Nutze gemacht haben.
Online-Angebote werden also immer wichtiger für Unternehmen und Banken – gleichzeitig steigt aber auch ihre Abhängigkeit vom Cyberraum und Cyberrisiken stellen eine immer größer werdende Bedrohung des Geschäfts dar. Besonders im Privatkundengeschäft kommt der Cybersicherheit aufgrund der großen Anzahl an potenziell geschädigten Kunden eine hohe Bedeutung zu.
Schutz vor Cyberangriffen wir schwieriger
Die Digitalisierung und damit einhergehende neue Methoden und Technologien, wie „Speed-to-Market“ (Agilität und Continuous Deployment), „Ökosystem“ (Auslagerung und Supply Chain) und „Virtualisierung“ (Cloud) erleichtern den Schutz von Cybervorfällen hierbei nicht per se. Wenn Banken allein auf solche Mechanismen schauen, die vorrangig ihre eigenen Systeme optimieren und schützen, lassen sie häufig den Faktor Mensch, der als Kunde und Mitarbeiter im Zentrum der veränderten Erwartungen und Anforderungen steht, außen vor.
Zudem stellen die enge Vernetzung und der Datenaustausch im Ökosystem der Finanzinstitute aus dieser Sicht ein erhöhtes und oft wenig betrachtetes Risiko dar. Solche Risiken werden durch allgemeine vertragliche Regelungen häufig als ausreichend „geklärt“ betrachtet, wobei die Verantwortung für den Falle eines Cyberangriffs letztendlich bei den Banken verbleibt, die gleichzeitig über nicht ausreichende Kontrollmechanismen verfügen.
Veränderte Bedrohungslage für Banken
Durch diese Entwicklungen im Zusammenspiel mit veränderten Anforderungen an Banken ändert sich die Bedrohungslage, der sich Banken ausgesetzt sehen. Ein Blick auf aktuelle Cybervorfälle verdeutlicht dies:
- Die Manipulation einer Netzwerk Management-Software im Jahr 2020 ermöglicht(e) es den Tätern, auf die IT-Systeme und Daten von geschätzten 32.000 Unternehmen und Behörden weltweit unautorisiert und unentdeckt zuzugreifen. Selbst wenn das eigene Institut diese Software nicht im Einsatz hat, so besteht das Risiko, dass Banken durch angebundene Dienstleister betroffen sein könnten und dass sich neben finanziellen Schäden für Ausfälle auch Datenschutzvorfälle und Reputationsschäden ereignen können.
- 2020 war zudem wieder einmal ein Jahr der Ransomware: Es wurden mehrere Vorfälle bekannt, bei denen große Unternehmen durch Verschlüsselungstrojaner getroffen wurden, so dass sie für mehrere Wochen und Monate ihren Geschäftsbetrieb einstellen oder nur sehr rudimentär und mit großem Aufwand aufrechterhalten konnten. Befeuert wird diese Entwicklung durch die professionelle Bereitstellung von solchen Dienstleistungen (Ransomware-as-a-Service) im Darkweb, die von (fast) jedem einfach zu beziehen sind. Auch wenn sich die Finanzinstitute hier gut gewappnet sehen, wird der Aufwand steigen, um sich umfassend auf die sich ändernde Bedrohungslage einzustellen.
- Aber auch die Endkunden können direkt von Schadsoftware betroffen sein. Zwar steigt die Vielfalt der mobilen Endgeräte, die meisten Nutzer verlassen sich jedoch auf zwei Betriebssysteme mit den entsprechenden App-Stores: Apple iOS oder Google Android. Und die Komplexität der Software ist so beträchtlich, dass sich Schwachstellen und Sicherheitslücken immer wieder einschleichen oder aktiv eingebracht und auch ausgenutzt werden. Die Sicherheit der Endgeräte ist dann nicht mehr gewährleistet und damit potenziell auch die durch den Bankkunden verwendeten Authentisierungs- und Autorisierungsverfahren von Banktransaktionen – so beispielsweise bei der Schadsoftware „Cerberus V2“ aus dem Jahr 2019, die noch bis zum Ende des Jahres 2020 Schaden anrichtete.
Notwendiger Paradigmenwechsel in der Cyber-Sicherheitsstrategie
In diesem Zusammenhang ist es an der Zeit, über einen Paradigmenwechsel in der Cyber-Sicherheitsstrategie nachzudenken: Weg vom Prinzip der starren Perimeter-Sicherheit (Castle & Moat Modell) hin zu einem zeitgemäßen „Zero Trust“-Ansatz. Anstelle eines starken, aber unflexiblen Sicherheitsrings, sind die individuellen Bausteine zur Erbringung der Dienstleistungen verstärkt zu schützen – inklusive derer, die bei den Kunden liegen. Hierdurch wird der notwendigen Flexibilität bei Anpassung der Geschäftsprozesse, Anwendungen und Infrastruktur Rechnung getragen.
Denn Sicherheit und Resilienz gegenüber Cyberattacken und Cybersicherheitsvorfällen kommen bei der Erbringung eines stabilen und sicheren Geschäftsbetriebs eine besondere Bedeutung zu. Dies wird im Übrigen auch gerade durch den in der Konsultation befindlichen „Digital Operational Resilience Act“ (DORA) der Europäischen Kommission, der große Auswirkungen auf alle am europäischen Finanzsystem beteiligten Unternehmen haben wird, deutlich.
Leider wird die Cybersicherheit oftmals eher als Hinderung, unnötiger „Klotz am Bein“ oder als Show-Stopper empfunden und ihre Notwendigkeit nicht ausreichend erkannt. Dies ist vor allem bei „Compliance“-getriebenen Organisationen, bei denen eine wenig ausgeprägte Risikokultur erkennbar ist, zu beobachten. In diesen Fällen ist es für die Mitarbeiter der angenehmere Weg, die Anforderungen und Vorgaben für Cybersicherheit erst gar nicht oder nur unzureichend zu stellen, anstatt – wenn eine Umsetzung nicht möglich ist – die Risiken der Nichtumsetzung aktiv zu diskutieren und auch diese ggfs. bewusst durch das Institut zu akzeptieren. Doch Cybersicherheitsvorfälle werden nicht verhindert werden können und sogar noch weiter zunehmen. Den Trend der letzten Jahre extrapolierend, werden wir deutlich mehr Vorfälle und Schäden sehen.
Einbeziehung der Kunden
Es reicht dementsprechend nicht aus, dass Banken nur auf sich selbst schauen, sondern sie müssen darüber hinaus auch den Kunden und seinen Schutz einbeziehen, da dieser vermehrt auf Praktikabilität und Einfachheit bei der Nutzung der jeweiligen Dienste setzt und sich nicht selbst mit allzu viel Aufwand um den Schutz seiner Finanzen und Daten kümmern möchte.
Im Hinblick auf die Kunden bedeutet dies für den Eintrittsfall eines Schadens die Notwendigkeit einer gut vorbereiteten und schnell einsetzbaren, transparenten und offenen Kommunikation. Die Erfahrung zeigt auch, dass – solange Kunden Schäden ersetzt werden – die Kundenbindung hoch bleibt. Wenn die Schäden allerdings steigen und nicht mehr ersetzt werden (können), wird deutlich, dass der Resilienz gegenüber Cybersicherheitsvorfällen eine wichtige Bedeutung zukommt. Denn gerade aufgrund der hohen Zahl an betroffenen Kunden und der Gefahr langfristiger Reputationsschäden, können die Schäden bei Cybersicherheitsvorfällen sehr hoch sein.
Diese Komplexität erhöht das Risiko von Cyberangriffen und zwingt die Finanzinstitute zu steigenden Investitionen in Cybersicherheit. Denn in Zukunft wird immer wichtiger werden, welche Banken und Unternehmen über ein (Früh-)Erkennungssystem für Cyberbedrohungen (Cyber Threat Intelligence) für sich und ihre Kunden verfügen, in der Lage sind, Cybersicherheitsvorfälle zu erkennen und zu behandeln und die aktive Risikosteuerung in all ihren Belangen abdecken zu können.
E-Book „Anwendung und Nutzen von Zukunftstechnologien im Banking“
Der Artikel ist Teil einer Artikelserie zu neuen Technologie im Banksektor.. Abonnenten von Der Bank Blog Premium können das 38-seitige E-Book mit allen neun Beiträgen direkt herunterladen.
Wenn Sie kein Abonnent sind können Sie das E-Book hier auch einzeln kaufen.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<