Skip to main content

22.06.2015 | Bank-IT | Schwerpunkt | Online-Artikel

Was das IT-Sicherheitsgesetz für Banken bedeutet

4 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche um passende Fachinhalte oder Patente zu finden.

search-config
print
DRUCKEN
insite
SUCHEN
loading …

Für IT-Spezialist Markus Härtner war eine neue Richtlinie für die IT-Sicherheit längst überfällig. Welche Schritte bei Banken und anderen Unternehmen jetzt folgen müssen. Ein Kommentar.

Es war höchste Zeit, dass das IT-Sicherheitsgesetz vom Bundestag verabschiedet wurde. Aber was für IT-Sicherheit gilt, gilt leider auch für das Gesetz – es hat Lücken. Formulierungen sind zu schwammig, Anforderungen unklar und dazu kommt das Gesetz mindestens fünf Jahre zu spät. Diverse Sicherheitsvorfälle – wie Stuxnet, deutsches Stahlwerk, Equation Group und nicht zuletzt beim französischen Fernsehsender TV5 Monde – haben gezeigt, dass das Thema IT-Sicherheit noch längst nicht in den Köpfen der Führungsebene von Unternehmen verankert ist. Das muss sich ändern. Aufgrund des neuen Gesetzes müssen sich die Verantwortlichen mit der ungeliebten IT-Sicherheit auseinandersetzen. Und wenn für dieses hehre Ziel regulatorisch eingegriffen werden muss, dann sei es so. Es war dringend nötig, dass sich die Politik dieses Themas annimmt.

Sicherheitsrisiko richtig einschätzen

Weitere Artikel zum Thema

Unsere Infrastruktur ist angreifbar wie nie zuvor – immer mehr Geräte und Maschinen sind heute mit dem Internet verbunden, Stichwort Internet der Dinge. Zwei Beispiele, die häufig im Zusammenhang mit IT-Sicherheit genannt werden, sind der Online-Handel und Zahlungsverkehr. Allerdings spiegeln sie nicht annähernd die gesamte Tragweite des Sicherheitsthemas wider. Zwar ist es alles andere als schön, wenn auf dem eigenen Konto auf einmal Hunderte Euros fehlen und Cyberkriminelle mit gestohlenen Kreditkarten Shops leerkaufen. Die großen Gefahren lauern aber ganz woanders. Das zeigt das Beispiel der Energieversorger: Das Kreuzberger Projekt „netwars" und Felix Lindner sollten im Auftrag der Stadtwerke Ettlingen die Systeme testhacken. Innerhalb von nur drei Tagen haben sie die gesamte Infrastruktur komplett lahmgelegt – Licht, Wasser, Strom – alles weg. Damit wurden die schlimmsten Befürchtungen bestätigt. Für eine bessere IT-Sicherheit sind umfangreiche Risikoanalysen nötig, um die Gefahren richtig einschätzen und Eintrittswahrscheinlichkeiten gering halten zu können. Das wird bisher aber deutlich zu wenig praktiziert.

Cyberangreifer halten sich nicht an Strukturen

80 Prozent der CEOs glauben, dass ihre Netzwerke sicher sind. Immerhin investieren sie etwa 70 Prozent des Budgets für IT-Sicherheit in die Netzwerksicherheit. Das ist jedoch der falsche Ansatzpunkt, denn die wenigsten Hacker attackieren heute noch das Netzwerk. 80 Prozent der Angriffe zielen mittlerweile direkt auf Applikationen. Problem Nummer zwei: Die Abteilungen Applikationen und IT-Sicherheit sind in den Unternehmen häufig voneinander getrennt. Ärgerlich nur, dass sich Cyberkriminelle nicht an solche Organisationsstrukturen halten.

Speziell für den Bankensektor gilt, dass die Entwicklung des digitalen Zahlungsverkehrs an den Sicherheitsmöglichkeiten ausgerichtet wird. Angesichts der stetigen Bedrohungslage müssen deshalb alte Denkmuster aufgebrochen werden. Dies gilt sowohl für technische wie auch organisationsstrukturelle Aspekte. Zum einen müssen Banken ein grundlegendes Verständnis dafür entwickeln, dass in einer applikationszentrierten Geschäftswelt nicht mehr das Rechenzentrum alleine der schützenswerte Bereich ist. Wenn man so will, verlässt die Applikation das Rechenzentrum und endet beim Client. Hier warten vielfältige Bedrohungen, beispielsweise Trojaner oder korrumpierte Daten, die wiederum die unternehmenseigenen IT-Infrastrukturen gefährden. Der Client ist heute also Teil des Rechenzentrums und muss zwingend in ein wirksames IT-Sicherheitskonzept integriert werden.

Zentrale Verantwortung schaffen

Um ein umfassendes und effektives Sicherheitskonzept zu erstellen, bedarf es allerdings auch neuer Organisationsstrukturen. In den heute üblichen Unternehmensausgestaltungen fehlt in Kreditinstituten eine zentrale Position, die nicht nur die klassische IT im Blick hat, sondern auch wichtige Vermögenswerte wie geschäftskritische Applikationen. Alle Teilbereiche, wie etwa Netzwerk, IT-Sicherheit oder Applikationen müssen zentral und auf oberster Führungsebene koordiniert werden. Ein Chief Digital Officer (CDO) bietet eine adäquate Lösung. Mit entsprechenden Kompetenzen ausgestattet wird es ihm möglich sein, die Bank bestmöglich zu schützen, die IT zum Business Enabler zu machen und somit zur Steigerung der Unternehmenseffizienz beizutragen.

Für den Bankkunden hat eine effiziente IT-Sicherheit bei Finanzinstituten nur positive Auswirkungen. Denn die von den Geldhäusern angebotenen Applikationen werden dadurch sicherer und die Transparenz steigt. Zusätzlich kann das Unternehmen seine Kunden auf Auffälligkeiten ihrer Endgeräte hinweisen. Sollte beispielsweise ein Kunde versuchen, sich mit einem infizierten Rechner einzuloggen und hat die bereits geschehene Manipulation seines eigenen Endgeräts nicht bemerkt, würde er durch entsprechende Hinweise seitens seiner Bank bezüglich seiner persönlichen IT schneller handlungsfähig.

Die Hintergründe zu diesem Inhalt