Lesezeit: .


Cyberkriminelle nehmen vorrangig Webapplikationen ins Visier
Die Erfahrungen aus der Praxis zeigen: Verwundbare Ziele werden öfter attackiert – die Angreifer kommen wieder und verlangen höhere Lösegelder. Geschützte Infrastruktur meiden Cyberkriminelle hingegen, um die eigenen Ressourcen zu schonen. Die einzige Antwort auf die verschärfte Bedrohungslage lautet präventiver Schutz für das operative Geschäft.
BaFin tritt restriktiver auf und kündigt intensivere Kontrollen an
Dass sowohl Komplexität als auch Intensität von Cybervorfällen deutlich zugenommen haben, ist auch der Finanzaufsicht BaFin nicht entgangen. Cybersicherheit zählt daher zu den BaFin-Schwerpunktthemen für 2021. Sie hat bereits intensivere Kontrollen für diesen Bereich angekündigt, insbesondere im Hinblick auf IT-Auslagerungen zu Cloud-Dienstleistern. Um den Compliance-Anforderungen gerecht zu werden, müssen Banken ihre Systeme und Prozesse optimal nach dem Stand der Technik absichern. Konkrete Anforderungen an IT und Prozesse beinhalten außerdem die zukünftige DORA-Verordnung (Digital Operational Resilience Act) sowie das darin enthaltene Oversight Framework. Diese Compliance-Vorgaben aus DORA sollen auch für die im Rahmen einer Auslagerung oder wesentlichen Auslagerung angeschlossenen Dienstleister gelten.


Im Hinblick auf die Novellen von MaRisk und BAIT wird die regulatorische Messlatte erneut höher gelegt. Die Erfahrungen der Branche zeigen: Die technisch-organisatorischen Vorgaben sollten Banken tunlichst proaktiv angehen. Institute, die ihre IT erst im Rahmen einer 44er-Prüfung unter externem Druck nachbessern, verbrennen in diesem Prozess unnötig viel Budget und enden meist dennoch mit suboptimalen Ergebnissen.
Banking ist Vertrauenssache
Im Gegensatz dazu erschüttern Fehler und Ausfälle von digitalen Services ebendieses Vertrauen massiv, was langfristige Imageschäden zur Folge hat. Denn neben der BaFin prüfen auch die Angreifer die Sicherheit der Banken-IT – und das kontinuierlich, 24 Stunden am Tag, an 365 Tagen des Jahres.


Cybersicherheit als Prozess mit vielen Mehrwerten nutzbar machen
Crux liegt in der Partnerwahl
Die Schwierigkeit beim Aufbau dieser passenden IT-Sicherheitsstrategie liegt in der genauen Definition der eigenen Fokusthemen. Jede Bank, jede IT-Abteilung und jedes Projekt sind unterschiedlich weit digitalisiert und setzen verschiedene Schwerpunkte beim Schutzbedarf. Diese gilt es maßgeschneidert zu adressieren. Um dieses Ziel bestmöglich zu erreichen, bedarf es starker Partner. Die Transformation in das New Normal ist geprägt von digitalen Ökosystemen und Partnerschaften. Hier kann kein Player, egal welcher Größe, auf Dauer alle Herausforderungen allein stemmen. Am Ende entscheiden Schlüsselpartnerschaften darüber, ob die implementierten Lösungen als Katalysator dienen und neben der Sicherheit auch andere Bereiche im Unternehmen stärken.
Durch das Auslagern von IT-Security zu Spezialisten lässt sich das Sicherheitsniveau auf ein Level heben, das Inhouse nur schwer erreichbar ist. Befürchtungen über unnötig komplexe Strukturen oder eine weitere Vergrößerung der Angriffsfläche sind bei professionellen Dienstleistern unbegründet. Dort gehört Cybersicherheit zum uneingeschränkten Tagesgeschäft – fachkundige IT-Spezialisten bilden eine erstklassige Human Firewall.
Die Zeit für konkretes Handeln ist längst gekommen. Institute müssen ihre Systeme heute zukunftsorientiert aufstellen, um Kundenbedürfnissen, Compliance-Anforderungen und der Cyberbedrohungslage gerecht zu werden. Digitale Nachzügler verlieren am Markt unweigerlich an Boden und werden langfristig verdrängt – sei es nun von Fintechs oder Big Tech. In der Digitalisierung gibt es keine Abkürzungen und in der Cybersicherheit schon gar nicht.