Es besteht weiterhin ein massiver Nachholbedarf bei Banken in Bezug auf Cybersicherheit. IT-Sicherheit wird noch immer als Kostenblock gesehen, der möglichst geringgehalten werden soll. Oft wird die IT-Verantwortung einzelnen Abteilungen überlassen oder einem Dienstleister übertragen. Die Komplexität der IT nimmt allerdings kontinuierlich zu, es gibt kaum mehr ein neues System, dass ohne Onlineanbindung gebaut wird und nicht mit weiteren Technologien vernetzt ist. Den Systemen bieten sich dadurch zahlreiche Vorteile, es bringt aber auch einige Gefahren mit sich. Die Systeme sind heutzutage ständig im Fluss, was die Anzahl der Sicherheitslecks stark erhöht. Diese Dynamisierung macht es notwendig, die Sicherheit fortlaufend zu analysieren, evaluieren und anzupassen. Dabei werden beide Seiten der IT-Sicherheit benötigt: Einerseits den Schutz von Systemen durch Hackerangriffe, Manipulation und Erpressung und andererseits den Schutz von Programmcode und geistigem Eigentum vor Diebstahl, Raubkopieren und Reverse Engineering. Die weltweit bekanntesten Attacken dürften der “Yahoo Data Breach” sein, bei dem durch einen Hackerangriff Daten von Millionen Nutzern geklaut wurden, sowie das Schadprogramm “WannaCry”, wo tausende Rechner großer Unternehmen mit einer Erpressungssoftware (Ransomware) infiziert und verschlüsselt wurden, um Lösegeld zu fordern. Diese und zahlreiche weitere Attacken zeigen, wie wichtig das Thema IT-Sicherheit heutzutage ist und dass es weiterhin an Bedeutung gewinnen wird.
Dieser Artikel beleuchtet die Herausforderungen, denen sich Finanzinstitute im Bereich der Cybersicherheit stellen müssen und welche möglichen Lösungen helfen können, um die Systeme für Banken sicherer zu machen.
Herausforderungen der IT-Sicherheit
Technologische Entwicklungen und die wachsende Komplexität von IT-Infrastrukturen stellen Finanzinstitute mit Blick auf ihre IT-Sicherheit vor große Herausforderungen. Nach Angaben von befragten Unternehmen bestehen die Security-Herausforderungen in der Sicherheitskomplexität, dem Datenschutz bzw. der Privacy, Ransomware-Attacken, dem Fachkräftemangel sowie der Sicherheit von vernetzten Umgebungen. Die größte Bedrohung liegt im Bereich Ransomware, die den Zugriff auf Daten und Systeme vorwiegend über Datenverschlüsselungen einschränkt oder verhindert. Eine Freigabe erfolgt mittels Erpressung dann nur gegen Zahlung eines Lösegelds, meistens in Form elektronischer Währungen (wie bspw. Bitcoin). Die Angriffe erfolgen durch Fehler wie falsche Bedienung, Fehlkonfigurationen, veraltete Software oder mangelhafte Datensicherungen. Des Weiteren ist fehlendes Know-How der Mitarbeiter im Bereich der IT-Security ein wesentlicher Faktor für Angriffe. Mitarbeiter haben Zugang zu kritischen Daten und sind trotzdem oft nicht ausreichend darin geschult, Angriffsrisiken zu erkennen. Auch Innovationen an sich können zu großen Herausforderungen führen. Banken, die früher ihre Daten lokal und meist bei einem Provider verwaltet haben, nutzen heute häufig verteilte Cloud-Lösungen. Diese bieten allerdings auch die Chance, innovative Sicherheitsmaßnahmen an externe Cloud Anbieter auszulagern und die Kosten auf verschiedene Mandate zu verteilen.
Cybersicherheit Lösungen
Cyberkriminalität entwickelt sich rasant weiter. Banken sind gut beraten, mit geeigneten Schutzmaßnahmen und deren kontinuierlicher Überprüfung zu reagieren. Als eine mögliche Cybersecurity-Strategie gewinnt “Zero Trust” dabei immer mehr an Bedeutung. Bei diesem Modell wird niemandem in einem Netzwerk vertraut und jeder Schritt wird geprüft. Alle Komponenten, egal ob Hersteller oder User, müssen sich authentifizieren. Dadurch, dass jede Änderung vor der Umsetzung geprüft wird, erhöht sich die Wahrscheinlichkeit einer Früherkennung und letztendlich Abwendung von Hackerangriffen. Wichtig ist, dass der Zugriff im Netzwerk konsistent gesteuert und auditiert wird. Diese Sicherheitsstrategie kann Unternehmen unterstützen, ihre Cyber-Resilienz zu erhöhen und die Risiken einer offeneren Geschäftsumgebung zu managen. Die Strategie folgt dabei folgenden Prinzipien:
• Least privilege access: Minimalprinzip von Zugriffsrechten,
• Never trust, always verify: Vertraue niemals, kontrolliere immer,
• Assume breach: Erwarte Datenmissbrauch und Cyber-Angriffe.
Eine hilfreiche Lösung, welche die Arbeit erleichtern und für mehr Sichtbarkeit sorgen kann, ist eine ständige automatisierte Suche nach Geräten im Netzwerk und die anschließende (ebenfalls automatisierte) Änderung von Anmeldedaten. Auch das Rotieren von Passwörtern und die ständige Aktualisierung der Gerätefirmware sind einfache, aber wirkungsvolle Maßnahmen. Die Automatisierung alltäglicher Abläufe vereinfacht Prozesse und stärkt die Abwehr von Bedrohungen. Eine zentrale Sicherheitsarchitektur senkt dabei auch den Verwaltungsaufbau und sorgt für Ordnung bei der Dokumentation für Audits. Eine weitere Möglichkeit bietet die Kombination mit KI-fähigen Systemen, wie das zurzeit sehr im Trend liegende Chat-Programm ChatGPT. Tatsächlich kann es dazu genutzt werden, um Schwachstellen in der IT-Landschaft aufzudecken. Voraussetzung ist allerdings dafür, dass dem Chat-Programm die richtigen Fragen gestellt werden und der richtige Kontext gegeben ist. Auf diese Weise kann ChatGPT unterstützend eingesetzt werden und hilft Experten dabei, neue oder komplexe Situationen und Probleme besser zu verstehen.
Da viele Hackerangriffe auch durch Unachtsamkeit und fehlendes Bewusstsein der Mitarbeiter im Unternehmen initiiert werden bevor sie sich weiter im Netzwerk ausbreiten, ist es wichtig, Schulungen anzubieten und Mitarbeiter im Bereich der Cybersicherheit intensiver aufzuklären. Weiteres Potenzial zur Abwehr von Angriffen bieten die Beauftragung interner und externer Audits bzw. Penetrationstests, sowie die Ausschreibung von Bug-Bounty-Programmen und die konsequente Durchsetzung eines Role-Based-Access, was derzeit allerdings noch wenig Anwendung findet.
Um das Thema Informationssicherheit stärker in den Fokus zu rücken, haben Aufsichtsbehörden wie die BaFin eine straffere Regulatorik eingeführt. Mit der Aktualisierung der BAIT (Die Bankaufsichtlichen Anforderungen an die IT) im August 2021 wird das Ziel verfolgt, dass Banken und Finanzdienstleister sich intensiver mit ihrer IT-Architektur und den daraus folgenden Compliance-Themen auseinandersetzten. Das schafft ein höheres IT-Risikobewusstsein und hilft, hohe Standards bei der Cyber-Resilienz zu setzen. Dabei stehen sowohl die Informationstechnik als auch der Schutz von relevanten Informationen im Vordergrund. Die BAIT stellt bspw. auch klar, dass ein umfangreiches Programm zur Schulung und Sensibilisierung von Mitarbeitern durch Institute zu entwickeln ist.
Fazit
Technologien werden sich im Hinblick auf die Cybersicherheit weiterentwickeln. Was heute gut funktioniert und sicher ist, ist morgen vielleicht angreifbar. Banken dürfen bei ihren Bemühungen im Bereich der IT-Sicherheit nicht nachlassen. Dabei ist es wichtig, IT-Sicherheit als Teil der Unternehmenskultur zu betrachten und das Sicherheitsbewusstsein der Mitarbeiter zu stärken. Denn trotz aller aufgestellter technischer Stacheldrahtzäune ist am Ende ihr Wissen und eine schnelle Reaktion auf Bedrohungen essentiell, um diese frühzeitig zu erkennen und zu beseitigen.