Private und Public Cloud Services helfen Banken und Finanzdienstleistern dabei, agiler, flexibler und kundenfreundlicher zu agieren. Doch zugleich vergrößern sie die Angriffsflächen der Unternehmen. Mit einer umfassenden, datenzentrierten Security-Strategie beugt die Branche vor.
Für alle Risiken, die in der Cloud lauern, gibt es etablierte Best Practices und effektive Sicherheitsmaßnahmen. So kann die Datenwolke selbst als Grundlage für geeignete Abwehrmechanismen dienen.
ipopba / Getty Images / iStock
Die Auslagerung von Apps und Services in die Cloud war im Bankwesen lange Zeit ein Tabu: Immerhin ist die Branche aufgrund der sensiblen Daten, die verarbeitet werden, seit jeher ein attraktives Ziel für feindliche Akteure, und überdies besonders streng reguliert. Die vermeintlich unsichere Datenwolke einzubinden und die Angriffsfläche des Unternehmens auf ein Vielfaches auszuweiten, galt daher lange als untragbares Risiko.
Flexibler dank Cloud
Erst der steigende Wettbewerbsdruck durch cloudnative Fintechs, die mit enormer Wucht in den Markt drängen, hat branchenweit zum Umdenken geführt. Heute ergänzen nahezu alle Finanzdienstleister ihre lokalen Infrastrukturen ganz selbstverständlich um cloudbasierte Anwendungen, die ihnen helfen sollen, Kunden und Mitarbeitern überall und jederzeit alle benötigten Dienste zur Verfügung zu stellen.
Wie viel sich in den letzten Jahren in Bezug auf die Nutzung der Cloud im Finanzsektor getan hat, belegt der aktuelle "Cloud Adoption and Risk Report: Financial Services Edition" von Skyhigh Security. Danach werden Cloud Services im Finanzsektor immer beliebter: Die befragten Unternehmen gaben an, dass sie im Durchschnitt 31 Services nutzen (Stand 2022). Im Jahr 2019 waren es noch 20 Dienste.
Die teilnehmenden Institute und Firmen speichern mehr als die Hälfte ihrer sensiblen Daten in der digitalen Wolke. Dabei handelt es sich unter anderem um
- Kunden- und Mitarbeiterdaten,
- betriebsinterne und vertrauliche Aufzeichnungen
- sowie Kreditkarteninformationen und Bankverbindungen.
Datenwolke lässt Cyber-Risiken wachsen
78 Prozent der befragten Finanzdienstleister gaben an, dass sie schon einmal Opfer eines Cyber-Angriffs oder Datendiebstahls waren. Ein besonders hohes Risiko besteht laut Report im Zusammenhang mit sogenannten SaaS-Anwendungen und -Services. Hier schnellte die Zahl der Sicherheitsvorfälle in nur drei Jahren um ganze 13 Prozent nach oben. 82 Prozent der Befragten gaben zudem an, dass sie das Phänomen der Schatten-IT als Problem betrachten, wenn es darum geht, vollumfänglichen Datenschutz zu gewährleisten.
Die gute Nachricht ist aber, dass die Security-Teams keinesfalls machtlos sind. Für nahezu alle Herausforderungen, die in der Cloud lauern, gibt es heute etablierte Best Practices und effektive Sicherheitsmaßnahmen.
Lückenlose Kontrolle aller Anwendungen
Im ersten Schritt sollten sich die Verantwortlichen einen detaillierten Überblick darüber verschaffen, welche Cloud-Dienste in ihrem Unternehmen genutzt werden, ob diese tatsächlich notwendig oder obsolet sind und mit welchen Risiken sie jeweils einhergehen. Aufgrund dieser Erkenntnisse müssen sie dann ein betriebsinternes Regelwerk für die Nutzung entwickeln und Services, die als redundant, unerwünscht oder riskant eingestuft wurden, einschränken oder blockieren.
Wenn IT-Entscheider auf diese Weise lückenlose Kontrolle über ihre Anwendungslandschaft erhalten haben, gilt es im nächsten Schritt, darauf aufsetzend eine ganzheitliche Security-Strategie für ihre hybride Infrastruktur zu entwickeln. Der Schutz sensibler Daten sollte hierbei konsequent im Mittelpunkt stehen: Ziel muss es sein, die lokalen und die in der Cloud vorgehaltenen Daten gleichermaßen zuverlässig abzusichern - und das nicht nur auf dem Datenträger, sondern auch während der Übertragung und der Verarbeitung.
Sicherheit für die Cloud gibt es nur in der Cloud
Einen konsequent datenzentrierten Schutz können Banken und Finanzdienstleister heute vor allem auf der Basis einer ganzheitlichen, cloudnativen Plattform erreichen. Diese sichert Daten dort, wo sie sich gerade befinden - also auf lokalen Festplatten und Gateways ebenso wie in der digitalen Wolke. Hinzu kommt, dass die Unternehmen nur mit cloudbasierten Technologien die hohe Leistung, Geschwindigkeit und Flexibilität erhalten, die sie benötigen, um die rasant expandierenden Angriffsflächen in ihrer Gesamtheit abzudecken.
Fazit: Auch wenn die Einbindung von Cloud Services neue Angriffspunkte schafft, können Finanzdienstleister nicht auf das Potenzial dieser aufregenden neuen Technologie verzichten. Cloud Services sind flexibel und agil, passen sich nahezu in Echtzeit (und immer öfter automatisiert) an neue Anforderungen an und lassen sich unbegrenzt skalieren, ohne in eigene Hardware oder internes Knowhow zu investieren.
Bei all dem müssen sich die Verantwortlichen aber jederzeit der Risiken, die in der Cloud warten, bewusst sein - und mit einer ganzheitlichen und datenzentrierten Security-Strategie die Weichen für eine sichere und compliancekonforme Nutzung stellen. Die gute Nachricht ist, dass die dafür erforderlichen Technologien und Best Practices längst verfügbar sind.