Steigende regulatorische Anforderungen allein stärken die Cyber-Resilienz von Banken und Finanzdienstleistern nicht. Sie brauchen eine ganzheitliche Sicherheitsstrategie, damit Investitionen nicht in Silo-Projekten versickern, sagt Bankexperte Thomas Schumacher.
Springer Professional: Wie sehr hat sich das Thema Cyber-Security bei den Banken und Finanzdienstleistern in Deutschland und europaweit in den vergangenen Jahren verschärft? Können Sie uns aktuelle Zahlen nennen?
Thomas Schumacher: Das Thema Cyber-Security hat besonders durch Covid-19 an Relevanz gewonnen. Das geht unter anderem mit der veränderten Arbeitsrealität einher, die dazu beiträgt, dass die Angriffszahlen steigen. Das Softwareunternehmen VMware Carbon Black stellt im eigenen Threat Report dar, dass allein zwischen Februar und April 2020 die Zahl der Angriffe global um das Zweieinhalbfache stieg, berücksichtigt man Attacken mithilfe von Erpressungssoftware sogar um das Neunfache. Mehr als ein Viertel dieser Angriffe richtet sich gegen die Finanzbranche. Das zeigt deutlich: Der Drang zu Handeln ist da. Nichtsdestotrotz liegt auch im Finanzsektor noch Potenzial bei der Identifikation und Abwehr von Angriffen: Laut der State of Cyberresilience-Studie von 2020 wurde kaum jeder dritte Sicherheitsvorfall im Finanzsektor binnen der ersten 24 Stunden entdeckt. Bedenkt man die Kritikalität der Daten von Finanzinstituten, zeigt sich hier noch immer deutlicher Handlungsbedarf.
Obwohl jetzt schon wachsende Budgets in die IT-Sicherheit investiert werden, schaffen es Hacker immer wieder, die Mechanismen zu umgehen. Warum können die Banken die Sicherheitslücken offenbar nicht richtig oder vielleicht auch nicht zügig genug schließen?
Zwar sind die Budgets gestiegen, aber oftmals fehlt es an einer einheitlichen Security-Strategie und es wird stattdessen in Einzelmaßnahmen investiert. Das hängt teils auch mit der steigenden Regulatorik für die Finanzbranche zusammen, die hinsichtlich Cyber-Security stark zugenommen hat. Das schafft zwar eine gute Basis für die Branche, ist aber nicht gleichzusetzen mit umfassendem Schutz. Um sich gegen derzeitige und künftige Angriffsmuster zu schützen, sollten Finanzinstitute auf Informationen zu diesen zurückgreifen und ihre Abwehrmaßnahmen darauf ausrichten. Während der Covid-19 Pandemie können wir beispielsweise eine Renaissance der Ransomware beobachten – per Phishing eingeschleuste Schadsoftware. Kennt ein Unternehmen aktuelle Trends, kann es sich besser dagegen wappnen und auch Mitarbeitende dafür sensibilisieren.
Welche Strategien und Technologien sollten die Institute aus Ihrer Sicht nun angehen, um hier erfolgreicher zu agieren?
Es gilt eine maßgeschneiderte Strategie zu entwickeln, die über den Ansatz der technologie-basierten Abwehr hinausgeht. Risiken entstehen oft an den Schnittstellen von Technologie, Menschen und Prozessen. Aus diesem Grund ist es entscheidend, dass die Strategie unternehmensweit Anwendung findet und möglichst viele Mitarbeitende durch Schulungen diese Strategie mittragen. Doch auch an der Unternehmensgrenze darf Cyber-Sicherheit nicht enden, sondern muss gemeinsam im Ökosystem mit etwaigen Partnern umgesetzt werden.
Können sie uns in diesem Zusammenhang die Vorteile des sogenannten Zero-Based-Ansatz erläutern und warum Banken damit effizienter gegen Cyber-Kriminelle vorgehen?
Kern des Zero-Based(ZBx) -Ansatzes ist, gezielte Investitionen zu tätigen, statt immer wieder einzelne isolierte Maßnahmen zu ergreifen, die nicht ihr Potenzial über das ganze Unternehmen entfalten können und gegebenenfalls nicht zur Sicherheitsstrategie passen. Oftmals versanden eben jene Investitionen, erweisen sich als unnötige Doppelabsicherung beziehungsweise fließen in Tools, die nicht mehr genutzt werden. Der ZBx-Ansatz dient dazu, jene Kosten zu identifizieren und sinnvoller zu allokieren.
Wie lassen sich mit diesen Prinzipien zugleich die Cyber-Sicherheit verbessern und die Kosten im IT-Bereich senken? Haben Sie konkrete Zahlen für uns?
Investitionen in Cyber-Security sind kostspielig, während die verfügbaren Budgets beschränkt sind. Rund elf Prozent des IT-Budgets fließen durchschnittlich pro Unternehmen in Sicherheitsmaßnahmen. Doch in den letzten Jahren haben einige Unternehmen ihre Ausgaben diesbezüglich kontinuierlich erhöht. Ohne gesamtheitlich gedachte Strategie versickern diese Kosten in Silo-Projekten, die nicht aufeinander abgestimmt sind. Durch ZBx lassen sich diese Posten aufdecken und die Qualität der Sicherheitsmaßnahmen steigern, während sich Kosten zeitgleich reduzieren.
Was sind die Voraussetzungen?
Dafür gilt es folgende Fragen zu stellen: Was ist bereits vorhanden und was brauche ich tatsächlich? Im ersten Schritt geht es also um eine Bestandsaufnahme aller Maßnahmen und aktiven Abwehrtools und die Entscheidung, was davon tatsächlich nötig ist. Nach der Nullung und Neubewertung müssen die vorhandenen Budgets konsequent in Geschwindigkeit, Skalierung, Schulungen und Kooperation fließen. Somit gelingt es Kosten einzusparen und zeitgleich einen ganzheitlichen Überblick über Sicherheitsmaßnahmen zu gewinnen.
Was kann durch die Reinvestition der freigewordenen Mittel erreicht werden?
Mit der Reinvestition frei gewordener Mittel ist es in erster Linie möglich die eigene Cyber-Security-Strategie neu zu denken und zu definieren. Dementsprechend lassen sich dann anhand dieser Erkenntnisse gezielt Tools auswählen, die schützenswerte Aspekte in den Mittelpunkt der Stategie stellen. So kann es gelingen, dass man mit weniger Kosten die eigene Cyber-Abwehr verstärkt.
