Thought Leadership
Cyber-Security als reine Abwehrmaßnahme? Diese Zeiten sind vorbei. Intelligent eingesetzt wird die Schutzfunktion zur Steuereinheit.
Externe Dienstleister machen das Leben leichter. Doch sie können auch zur Gefahr werden. Angenommen eine Bank bindet einen Drittanbieter für die automatisierte Kreditprüfung an die eignen Systeme an. Wenige Wochen später fließen sensible Kundendaten ab. Ein Hacker hat eine Lücke in der Cloud-Schnittstelle des Partners gefunden. Die Cyber-Security-Experten der Bank bemerken den Verlust nicht, weil sie keine direkten Einblicke in die Infrastruktur des Dienstleisters haben. Zudem gibt es kein System, das den kontinuierlichen Datenfluss überwacht. Die Folge: Der Vorfall bleibt wochenlang unentdeckt.
Ereignisse wie dieses sind keine Seltenheit im Finanzsektor. Denn weil Banken und Finanzdienstleister mit sensiblen Daten hantieren, sind sie ein beliebtes Ziel für Cyber-Attacken. Allerdings bieten die Unternehmen Kriminellen häufig auch reichlich Angriffsfläche. Sie verstehen Cyber-Sicherheit mehrheitlich noch immer als reine Schutzmaßnahme, die auf Attacken aus dem Netz reagiert. Dabei sind diese Zeiten längst vorbei. Heute sollte IT-Security als zentrale Steuerungseinheit dienen, die Banken und Finanzdienstleister resilienter macht, weil sie Angriffe rechtzeitig erkennt und dafür sorgt, dass die Systeme zuverlässig weiterlaufen.
Aktuelle Studie offenbart blinde Flecken im System
Die Realität sieht jedoch anders aus. Eine aktuelle Studie von IDC und KPMG belegt erhebliche Mängel bei Transparenz und Kontrolle der Datenströme. Das hat eine Befragung von 150 Führungskräften aus deutschen Unternehmen ergeben, ein Drittel davon aus dem Financial-Services-Sektor. Besonders bei der Ursachenanalyse kritischer Vorfälle stoßen viele Institute an Grenzen. Ganze 40 Prozent der Finanzdienstleister arbeiten mit einem unvollständigen Asset-Inventar. Ihnen fehlt an entscheidender Stelle also die passende Security Hard- oder Software. Zudem haben 30 Prozent der Befragten keine Transparenz über ihre IT-Umgebung. Wer diese nicht kennt, kann sie weder schützen noch regulatorische Vorgaben erfüllen.
Noch besorgniserregender ist der Zustand bei der Steuerung der Abwehrfähigkeiten. Mehr als acht von zehn Finanzunternehmen (82 Prozent) steuern ihre Detection- und Response-Fähigkeiten nicht über klare, integrierte KPIs. Das hat zur Folge, dass Maßnahmen verpuffen, weil niemand ihre Wirkung misst. Fast die Hälfte (42 Prozent) kann Sicherheitsereignisse nur eingeschränkt systematisch überwachen und auswerten, weil sie über keine oder wenig SOC- (Security Operations Center) oder CERT- (Computer Emergency Response Team) Kapazitäten verfügen. Das kann im Ernstfall wertvolle Zeit kosten.
Mehr Power für die zweite Verteidigungslinie
Um diese Defizite zu beheben, müssen Security-Verantwortliche die unabhängige Risikoüberwachung, die sogenannte Second Line of Defense, massiv stärken. Denn in Zeiten von Cloud und künstlicher Intelligenz (KI) reicht es nicht mehr, einmal im Quartal eine regulatorische Checkliste abzuhaken und zu hoffen, dass nichts passiert. Vielmehr benötigen Banken ein modernes Second-Line-Target-Operating-Model. Dieses Modell definiert klare Rollen und unabhängige Prozesse, um IKT-Risiken kontinuierlich zu überwachen. So entsteht eine verlässliche Datenbasis, die direkt in die strategischen Entscheidungen des Managements einfließt.
Doch wie entwickeln Security-Verantwortliche die Sicherheitsfunktionen in Banken und Finanzunternehmen dort hin? Das Stichwort lautet „Compliance by Design“. Anstatt Kontrollen nachträglich manuell zu prüfen, betten Unternehmen risikoorientierte IKT-Kontrollkataloge direkt in ihre internen Kontrollsysteme ein.
Dafür definieren die Verantwortlichen zunächst einheitliche Kennzahlen – sowohl für die Performance (KPI) als auch für das Risiko (KRI). Laut Studie besteht bereits hier akuter Handlungsbedarf. Dabei spielt Genauigkeit eine wichtige Rolle: Ein wirksamer KPI misst beispielsweise nicht nur, wie viele Angriffe die Firewall blockt. Er erfasst sekundengenau, wie viel Zeit zwischen der Erkennung einer Anomalie und der automatischen Isolierung des betroffenen Accounts vergeht. Das macht den Reifegrad der Security messbar und nachvollziehbar. Positiver Nebeneffekt: Der manuelle Aufwand für Prüfungen durch die interne Revision oder Aufsicht sinkt enorm.
Assessments statt Zertifikate bei Drittanbietern
Nun kommen externe Dienstleister hinzu. Deren Bedeutung wird in der digitalen Finanzwelt, die immer mehr Speicherkapazitäten und immer mehr Rechenleistung benötigt, immer größer, da die Abhängigkeit von Providern und komplexen Cloud-Infrastrukturen kontinuierlich steigt. Für die Sicherheit bedeutet das: Finanzinstitute müssen ein risikobasiertes Third-Party Risk Management etablieren.
Security-Verantwortliche dürfen sich dabei nicht auf einmalige Zertifikate von Cloud-Anbietern verlassen. Sie sollten kontinuierliche Cloud Risk Assessments durchführen. Das befürwortet auch die Aufsicht, denn derartige Bewertungen binden regulatorische Vorgaben direkt in das übergreifende Risikomanagement ein. Wenn ein Dienstleister beispielsweise kritische Daten verarbeitet, muss dessen Systemlandschaft über automatisierte Schnittstellen kontinuierlich auf Konfigurationsfehler oder unbefugte Aktivitäten gescannt werden.
Das Eingangsszenario mit der automatisierten Kreditprüfung läuft dann ganz anders ab: Ein integriertes Third-Party Risk Management überwacht die Verbindung kontinuierlich. Sobald anomale Datenflüsse zum Dienstleister auftreten, schlägt das System Alarm. Ein vordefiniertes KPI macht das erhöhte Risiko für den Chief Information Security Officer (CISO) sofort erkennbar. Die Schnittstelle wird automatisch abgekapselt, bevor sensible Daten abfließen können. Der Schaden ist abgewehrt, die Systeme laufen sicher und stabil weiter. Und so wird aus der reinen Reaktion auf einen Angriff Resilienz für die gesamte Systemarchitektur.
