Cyber-Angriffe, DORA, Zero Trust: Die Herausforderungen für die Finanzbranche bleiben mannigfaltig. IT-Sicherheitsexperte Alexander Sommer erklärt, wie Banken Resilienz aufbauen ohne dabei an Effizienz zu verlieren.
Alexander Sommer ist CEO der DSwiss AG und spezialisiert auf die sichere und effiziente Verwaltung sensibler Daten. Er unterstützt Unternehmen dabei, ihre Daten in einer zunehmend komplexen und schnelllebigen Umgebung zu schützen. Dazu entwickelt er gemeinsam mit seinem Team innovative Lösungen, die sowohl die Sicherheit als auch die Effizienz von Unternehmen steigern.
DSwiss AG
Springerprofessional.de: Finanzunternehmen sind mit einer wachsenden Bedrohung durch Cyber-Kriminelle konfrontiert. Durch DORA soll ihre digitale Resilienz steigen. Doch die komplexen Vorgaben stellen hohe Ansprüche an die Compliance von Banken und anderen Finanzdienstleistern. Welche konkreten Herausforderungen gibt es bei der Umsetzung, insbesondere in Bezug auf die Dokumentation und Nachvollziehbarkeit von Datenprozessen?
Alexander Sommer: Die Einführung von DORA stellt für den Finanzsektor einen wichtigen Schritt zur Stärkung der digitalen Resilienz dar. Gleichzeitig bringt die Umsetzung jedoch erhebliche Herausforderungen mit sich - sowohl auf personeller, technischer als auch organisatorischer Ebene. Besonders die detaillierten Anforderungen an die Dokumentation und die lückenlose Nachvollziehbarkeit von Datenprozessen bereiten vielen Finanzunternehmen Kopfzerbrechen. Es reicht nicht mehr aus, die eigene technische Infrastruktur abzusichern. Banken und Finanzdienstleister müssen vielmehr jederzeit nachweisen können, wie sensible Daten verarbeitet, gespeichert und weitergegeben werden - sowohl intern als auch extern. Gerade in komplexen Multi-Cloud- oder hybriden Umgebungen wird das schnell zu einer Mammutaufgabe.
Ein weiteres zentrales Thema ist die Datenverantwortlichkeit entlang der gesamten Wertschöpfungskette. Auch externe Dienstleister und Partner müssen DORA-konform agieren, was nicht nur vertragliche Klarheit, sondern auch technische Kontrollmechanismen und regelmäßige Audits erfordert. Langfristig wird es ohne automatisierte Lösungen nicht gehen. Besonders in den Bereichen Monitoring, Reporting und Audit-Trails sind automatisierte Tools unverzichtbar, um Echtzeit-Einblicke in Datenflüsse zu erhalten und die Anforderungen von DORA effizient zu erfüllen.
Phishing und Social Engineering bleiben Hauptangriffsvektoren. Wie können Banken und Versicherer ihre Mitarbeitenden so schulen, dass Sicherheitsbewusstsein nicht nur in der Theorie, sondern auch im Alltag gelebt wird?
Neben technischen Sicherheitsmaßnahmen bleibt die menschliche Komponente der größte Risikofaktor in der Cyber-Sicherheit. Die effektive Prävention gegen Phishing und Social Engineering setzt auf eine fundierte Sicherheitskultur. Der erste Schritt ist die regelmäßige Durchführung praxisnaher Schulungen. Diese sollten nicht nur theoretisch, sondern vor allem realitätsnah sein und Simulationen sowie Live-Tests beinhalten. Auf diese Weise lernen die Mitarbeitenden, verdächtige E-Mails, Anrufe oder Nachrichten schnell zu erkennen und adäquat zu reagieren. Wichtig ist, dass diese Schulungen nicht isoliert bleiben, sondern in ein kontinuierliches Security-Awareness-Programm eingebunden werden. In diesem Rahmen sollte regelmäßig auf aktuelle Bedrohungen und deren Erkennung eingegangen werden. Ein Schwerpunkt muss dabei auf konkrete Handlungsempfehlungen liegen: Wie erkenne ich verdächtige E-Mails? Welche internen Meldewege gibt es? Wie kann ich verdächtige Aktivitäten in Echtzeit melden?
Ein oft unterschätzter Aspekt ist die Fehlerkultur. Mitarbeitende müssen sich sicher fühlen, Vorfälle zu melden - ohne Angst vor Konsequenzen. Ein positiver Umgang mit Sicherheitsmeldungen stärkt die Bereitschaft, Bedrohungen frühzeitig zu erkennen und zu kommunizieren. Schließlich sollten Unternehmen sicherstellen, dass klare Melde- und Eskalationswege etabliert sind. Dies reduziert die Reaktionszeit im Ernstfall und ermöglicht es, potenzielle Schäden zu minimieren.
Viele Banken setzen zunehmend auf Cloud-Lösungen. Das bringt Vorteile, aber auch Risiken. Wie lassen sich Cloud-Sicherheit und regulatorische Anforderungen effizient in Einklang bringen?
Die Cloud bietet Finanzunternehmen viele Vorteile in Bezug auf Flexibilität, Skalierbarkeit und Effizienz. Gleichzeitig bringt die Nutzung von Cloud-Lösungen jedoch zusätzliche Herausforderungen mit sich, insbesondere in Bezug auf die Einhaltung regulatorischer Anforderungen wie DORA und der Datenschutz-Grundverordnung (DSGVO). Dies gilt besonders dann, wenn Anbieter sich nicht vollständig auf die Einhaltung dieser Vorgaben einlassen.
Worauf sollte das Augenmerk in der Praxis liegen?
Ein entscheidender Ansatz für Banken und Versicherer ist die geteilte Verantwortung. Während Cloud-Anbieter für die Sicherheit der Infrastruktur verantwortlich sind, liegt es in der Verantwortung der Finanzinstitute, ihre Daten und Anwendungen zu schützen. Hierzu gehört unter anderem die Ende-zu-Ende-Verschlüsselung, um Daten während der Übertragung und Speicherung zu sichern. Granulares Zugriffsmanagement stellt sicher, dass nur autorisierte Personen Zugang zu sensiblen Informationen haben, während lückenlose Audit-Trails eine vollständige Nachverfolgbarkeit gewährleisten, um regulatorischen Anforderungen gerecht zu werden. Einen besonderen Vorteil bieten Zero-Knowledge-Architekturen. In diesem Fall hat selbst der Cloud-Anbieter keinen Zugriff auf die gespeicherten Daten, was die Sicherheitsanforderungen zusätzlich stärkt.
Die Datenresidenz bleibt zudem ein zentrales Thema. Banken müssen stets wissen, wo ihre Daten gespeichert und verarbeitet werden, um sicherzustellen, dass diese den geltenden Vorschriften entsprechen. Gerade vor dem Hintergrund geopolitischer Unsicherheiten gewinnt der Aspekt der technologischen Souveränität zunehmend an Bedeutung. Finanzunternehmen sollten daher in Erwägung ziehen, vermehrt in europäische Cloud-Lösungen zu investieren, um geopolitische Risiken besser abzufedern und Geo-Hedging zu betreiben.
Gibt es eine Sicherheitslücke, sind oft schnelle Entscheidungen gefragt. Wie können Banken eine wirklich effektive Incident-Response-Strategie aufbauen, die über formale Pläne hinausgeht und im Ernstfall zeitnah und pragmatisch greift?
Eine wirksame Incident-Response-Strategie geht weit über das Erstellen eines Notfallplans hinaus. Der Schlüssel liegt darin, eine gelebte Sicherheitskultur zu etablieren und die relevanten Prozesse regelmäßig zu testen. Im Ernstfall ist Schnelligkeit gefragt. Ein schlagkräftiges Incident-Response-Team (IRT), das sowohl interne als auch externe Experten umfassen sollte, muss in der Lage sein, schnell und zielgerichtet zu handeln. Wichtig ist, dass jedes Teammitglied genau weiß, welche Rolle es übernimmt, und dass klare Eskalationsstufen und Kommunikationswege definiert sind. Prävention und Vorbereitung sollten stets auf dem Prüfstand stehen. Tabletop-Übungen und Red-Teaming-Simulationen sind nützlich, um Schwachstellen zu identifizieren und zu beheben. Ein oft übersehener, aber wichtiger Aspekt ist die Post-Mortem-Analyse. Nach einem Vorfall sollten Unternehmen eine detaillierte Auswertung durchführen, um sicherzustellen, dass die gewonnenen Erkenntnisse in die Weiterentwicklung der Sicherheitsstrategien einfließen und zukünftige Angriffe noch besser abgewehrt werden können.
Wie lässt sich das Zero-Trust-Modell in komplexen, regulatorisch beschränkten Finanzinfrastrukturen umsetzen, ohne dass Geschäftsprozesse langsam oder zu komplex werden?
Die Implementierung eines Zero-Trust-Modells stellt eine bedeutende Weiterentwicklung der Sicherheitsarchitektur für Banken und Versicherer dar. Der Grundsatz "Never trust, always verify" ist besonders in komplexen Infrastrukturen und in Anbetracht strenger regulatorischer Anforderungen von großer Bedeutung.
Wie lässt sich Zero Trust umsetzen, ohne die Effizienz der Geschäftsprozesse zu beeinträchtigen?
Um Zero-Trust erfolgreich umzusetzen, empfiehlt es sich, einen schrittweisen Ansatz zu verfolgen: Zunächst sollte eine Segmentierung der Netzwerke erfolgen, um das Risiko lateraler Bewegungen zu minimieren. Gleichzeitig sind granulare Zugriffskontrollen erforderlich, wobei jeder Zugriff kontextbasiert und durch Multi-Faktor-Authentifizierung verifiziert werden sollte. Echtzeit-Monitoring und automatisierte Anomalie-Erkennung sind entscheidend, um Bedrohungen frühzeitig zu identifizieren. Wichtig ist, dass der Zero-Trust-Ansatz die Effizienz nicht beeinträchtigt. Durch den gezielten Einsatz von Automatisierungslösungen können Sicherheitskontrollen flexibel und ohne Verzögerungen durchgeführt werden, sodass Geschäftsprozesse nicht unnötig verlangsamt oder verkompliziert werden.
Gibt es neue Bedrohungen im Bereich Cyber-Kriminalität, auf die die Finanzbranche derzeit besonders achten und sich präventiv vorbereiten muss - idealerweise vor einem Sicherheitsvorfall?
Finanzunternehmen sehen sich zunehmend mit neuen und hochentwickelten Bedrohungen konfrontiert, die weit über klassische Phishing- oder Malware-Angriffe hinausgehen. Zu den derzeit besonders relevanten Bedrohungen gehören Supply-Chain-Angriffe, bei denen Cyber-Kriminelle Schwachstellen bei Drittanbietern ausnutzen, um Zugang zu Banken oder Versicherern zu erlangen. Ebenso gewinnen Deepfakes und KI-gestützte Angriffe an Bedeutung. Durch den Einsatz von echten Stimmen- und Video-Simulationen werden Bertrugsversuche einfach verschleiert. Auch Angriffe auf API-basierte Architekturen werden zunehmend zu einem Angriffsziel. Da immer mehr Banken auf APIs setzen, stellen diese einen attraktiven Vektor für Cyber-Kriminelle dar.
Was bedeutet das für das Präventionsmanagement?
Zur präventiven Vorbereitung sind kontinuierliches Bedrohungsmanagement, Sicherheitsaudits sowie der Einsatz von KI-basierten Monitoring-Tools zur frühzeitigen Bedrohungserkennung unverzichtbar. Zudem bleibt die Aufklärung der Mitarbeitenden ein zentraler Bestandteil der Cyber-Abwehr.
