Seite wählen
Zurück zur Übersicht

Lesezeit: .

Es ist kein Geheimnis, dass die digitalen Systeme von Banken in besonderem Maße auf Sicherheit angewiesen sind. Die besondere Wertigkeit von Datensätzen und Geschäftsprozessen erfordern höchste Schutzstandards. Durch die Implementierung von Cybersicherheitslösungen lässt sich dieser Bedarf in weiten Teilen decken. Mit der passenden Strategie zahlt sich eine Investition in digitalen Schutz gleich mehrfach aus.
Die Digitalisierung schreitet im Finanzwesen unaufhaltsam voran. Im vergangenen Jahr hat sich das Transformationstempo nochmals deutlich erhöht. Dieser Trend lässt sich auch an den geänderten Bedürfnissen der KundInnen ablesen: bereits zwei Dritteln ist das digitale Angebot einer Bank wichtiger als eine nahegelegene Filiale (Bitkom – Digital Finance 2020). Ganze 90 Prozent der Kundschaft zwischen 30 und 39 Jahren tätigen ihre Bankgeschäfte ausschließlich oder größtenteils online (EY Digital Banking – Verbraucherumfrage 2020). Um diesen Bedarf zu decken, verlagern Banken zunehmend Prozesse in die Cloud. Durch diesen Schritt gewinnen Institute an der erforderlichen Skalierbarkeit, Performance, Kompatibilität und Entwicklungspotenzial (Lünendonk / KPMG – Trendstudie Cloud Transformation 2020). Damit wird auch das Tagesgeschäft von Banken digitaler und genau hier setzen Angreifer an.

Cyberkriminelle nehmen vorrangig Webapplikationen ins Visier

Allein von 2019 bis 2020 ist die Zahl der DDoS-Angriffe (Distributed Denial of Service) auf Webapplikationen um über 300 Prozent angestiegen. Die Mitigationsdaten von Myra Security belegen außerdem, dass insbesondere die Anzahl komplexer Multivektor- und Amplification-Attacken spürbar zugenommen hat. Cyberkriminelle nutzen diese Methoden, um die Schlagkraft ihrer Angriffe zu vervielfachen. Gleichzeitig lässt sich eine Zunahme von digitalen Erpressungsversuchen über den Angriffsvektor DDoS feststellen. Zahlen Unternehmen die geforderte Lösegeldsumme nicht innerhalb der vorgegebenen Frist, folgen massive Überlastungsattacken.

Die Erfahrungen aus der Praxis zeigen: Verwundbare Ziele werden öfter attackiert – die Angreifer kommen wieder und verlangen höhere Lösegelder. Geschützte Infrastruktur meiden Cyberkriminelle hingegen, um die eigenen Ressourcen zu schonen. Die einzige Antwort auf die verschärfte Bedrohungslage lautet präventiver Schutz für das operative Geschäft.

BaFin tritt restriktiver auf und kündigt intensivere Kontrollen an

Dass sowohl Komplexität als auch Intensität von Cybervorfällen deutlich zugenommen haben, ist auch der Finanzaufsicht BaFin nicht entgangen. Cybersicherheit zählt daher zu den BaFin-Schwerpunktthemen für 2021. Sie hat bereits intensivere Kontrollen für diesen Bereich angekündigt, insbesondere im Hinblick auf IT-Auslagerungen zu Cloud-Dienstleistern. Um den Compliance-Anforderungen gerecht zu werden, müssen Banken ihre Systeme und Prozesse optimal nach dem Stand der Technik absichern. Konkrete Anforderungen an IT und Prozesse beinhalten außerdem die zukünftige DORA-Verordnung (Digital Operational Resilience Act) sowie das darin enthaltene Oversight Framework. Diese Compliance-Vorgaben aus DORA sollen auch für die im Rahmen einer Auslagerung oder wesentlichen Auslagerung angeschlossenen Dienstleister gelten.

Im Hinblick auf die Novellen von MaRisk und BAIT wird die regulatorische Messlatte erneut höher gelegt. Die Erfahrungen der Branche zeigen: Die technisch-organisatorischen Vorgaben sollten Banken tunlichst proaktiv angehen. Institute, die ihre IT erst im Rahmen einer 44er-Prüfung unter externem Druck nachbessern, verbrennen in diesem Prozess unnötig viel Budget und enden meist dennoch mit suboptimalen Ergebnissen.

Banking ist Vertrauenssache

Wer frühzeitig und engagiert in das Thema Cybersicherheit investiert, kann diesen Sachverhalt natürlich ebenfalls in der Kommunikation mit KundInnen und anderen Geschäftsbeziehungen vorteilhaft einbringen. Banken sind auf das Vertrauen ihrer KundInnen angewiesen. Diese zählen darauf, dass auch neue Dienste fehlerfrei, sicher und stabil arbeiten. Durch die Implementierung fortschrittlicher Sicherheitslösungen lässt sich dieses Vertrauen weiter stärken.

Im Gegensatz dazu erschüttern Fehler und Ausfälle von digitalen Services ebendieses Vertrauen massiv, was langfristige Imageschäden zur Folge hat. Denn neben der BaFin prüfen auch die Angreifer die Sicherheit der Banken-IT – und das kontinuierlich, 24 Stunden am Tag, an 365 Tagen des Jahres.

Cybersicherheit als Prozess mit vielen Mehrwerten nutzbar machen

In der Summe zahlen sich Investitionen in Cybersicherheit für Finanzinstitute mehrfach aus: Sie schützen das operative Geschäft vor Ausfällen, sorgen für die Erfüllung regulatorischer Vorgaben und dienen dem Aufbau und Erhalt von Vertrauen für Kommunikation und Marketing. Damit ergeben sich durch die passende IT-Sicherheitsstrategie nachhaltige Wettbewerbsvorteile.

Crux liegt in der Partnerwahl

Die Schwierigkeit beim Aufbau dieser passenden IT-Sicherheitsstrategie liegt in der genauen Definition der eigenen Fokusthemen. Jede Bank, jede IT-Abteilung und jedes Projekt sind unterschiedlich weit digitalisiert und setzen verschiedene Schwerpunkte beim Schutzbedarf. Diese gilt es maßgeschneidert zu adressieren. Um dieses Ziel bestmöglich zu erreichen, bedarf es starker Partner. Die Transformation in das New Normal ist geprägt von digitalen Ökosystemen und Partnerschaften. Hier kann kein Player, egal welcher Größe, auf Dauer alle Herausforderungen allein stemmen. Am Ende entscheiden Schlüsselpartnerschaften darüber, ob die implementierten Lösungen als Katalysator dienen und neben der Sicherheit auch andere Bereiche im Unternehmen stärken.

Durch das Auslagern von IT-Security zu Spezialisten lässt sich das Sicherheitsniveau auf ein Level heben, das Inhouse nur schwer erreichbar ist. Befürchtungen über unnötig komplexe Strukturen oder eine weitere Vergrößerung der Angriffsfläche sind bei professionellen Dienstleistern unbegründet. Dort gehört Cybersicherheit zum uneingeschränkten Tagesgeschäft – fachkundige IT-Spezialisten bilden eine erstklassige Human Firewall.

Die Zeit für konkretes Handeln ist längst gekommen. Institute müssen ihre Systeme heute zukunftsorientiert aufstellen, um Kundenbedürfnissen, Compliance-Anforderungen und der Cyberbedrohungslage gerecht zu werden. Digitale Nachzügler verlieren am Markt unweigerlich an Boden und werden langfristig verdrängt – sei es nun von Fintechs oder Big Tech. In der Digitalisierung gibt es keine Abkürzungen und in der Cybersicherheit schon gar nicht.

Diesen Artikel teilen