Überall verfügbar, möglichst günstig und am liebsten digital – diese Ansprüche stellt der Kunde heute an die Services seiner Bank. Die Corona-Pandemie hat diesen Trend noch weiter beschleunigt: Fast Zwei Drittel der Europäer haben im vergangenen Jahr darüber nachgedacht, vom „physischen Banking“ zu einer digitalen Plattform zu wechseln, so eine Studie von Mastercard. Banken müssen in Zukunft verstärkt auf digitale Services setzen, um weiterhin wettbewerbsfähig zu bleiben.
Ihre Zukunft liegt in der Cloud. Die überwiegende Mehrheit der deutschen Finanzinstitute hat das hohe Potenzial erkannt und nutzt bereits Cloud-Services. Denn nur wer über eine flexible und leistungsfähige IT-Infrastruktur verfügt, kann schnell auf sich ändernde Kundenbedürfnisse reagieren und Kunden ganzheitlich beraten.
Sicherheit im Blick
Warum gehen (deutsche) Banken dann noch eher zögerlich in die Cloud? Ein “Hemmnis” für Banken auf ihrem Weg in die Wolken ist das Thema Cloud Security. Natürlich ist für Banken der Aspekt Sicherheit extrem relevant. Eine der zentralen Herausforderungen für Finanzinstitute bei der Digitalisierung bleibt, ihren entscheidenden Wettbewerbsvorteil gegenüber Bigtechs und Fintechs, nämlich das Kundenvertrauen, durch Auslagerungen und die Adaption neuer Services nicht zu gefährden. Und bei Schwachstellen in der Cloud Security stehen in der Finanzbranche hochsensible Zahlungs- und Kundendaten auf dem Spiel.
Bei einem Datenschutzvorfall oder Service-Ausfall würden Banken nicht nur das Vertrauen ihrer Kunden verlieren und einen Reputationsschaden erleiden, sondern beim Verstoß gegen regulatorische Vorgaben außerdem hohe Bußgelder riskieren. Doch bei diesen relevanten Bedenken sollten Finanzinstitute im Hinterkopf haben, dass Cloud nicht nur Risiken, sondern vor allem auch Chancen bietet.
Regulatorische Vorgaben belasten
Das gilt besonders bei Compliance-Vorgaben, die von Banken als sehr belastend empfunden werden. Laut der Studie „Digital Outlook 2025: Financial Services“ von Lünendonk & Hossenfelder bewerten 77 Prozent der Befragten die Behinderung durch regulatorische Vorgaben für den Cloud-Einsatz in der Finanzbranche als stark oder sehr stark. Sie müssen unter anderem die Anforderungen gemäß MaRisk erfüllen, mit denen die BaFin vorgibt, was Banken und Finanzdienstleister beim Outsourcing von Prozessen zu beachten haben. Dieses Regelwerk, präzisiert durch die BAIT, fordert von Banken ein dauerhaftes und wirksames Informationssicherheitsmanagement.
Eine wichtige Compliance-Vorgabe hierbei ist das Patch-Management, mit dem offene Schwachstellen geschlossen werden. Besonders in komplexen, hybriden Infrastrukturen kann sich dies als sehr aufwändig erweisen. Die IT-Infrastruktur von Banken ist historisch gewachsen und kann On-Premise noch zahlreiche Legacy Systeme beinhalten, für die es gar keine Patches mehr gibt. Auch der Test von Patches vor dem Roll-Out kostet oftmals viel Ressourcen und Zeit, die man nach dem Erkennen neuer Schwachstellen nicht hat.
Virtual Patching: Eine Sorge weniger
Eine Security-Lösung, die Virtual Patching einsetzt, kann also den Unterschied machen zwischen einer Schwachstelle, die nur erkannt wurde, und einer Schwachstelle, die auch rechtzeitig geschlossen werden konnte. Denn Virtual Patching schließt Schwachstellen automatisiert auf Netzwerkebene und ist performanter und sicherer als Exploit-Filter aus herkömmlichen IDS/IPS-Lösungen (Intrusion Detection System/Intrusion Prevention System) und Firewalls.
Anders als diese Lösungen muss Virtual Patching nicht für jeden neuen Exploit einen neuen Filter entwickeln. Virtual Patching betrachtet stattdessen die Schwachstelle an sich, vermeidet False Positives und ist bei dem Einsatz der Zero Day Initiative (ZDI) auch vor zukünftigen Exploits geschützt. Die ZDI sammelt Daten von Schwachstellenforschern und stellt diese für Anbieter bereit. Virtual Patching, das auf den Daten der ZDI basiert, kann so schon Schwachstellen schließen, die noch gar nicht veröffentlich sind.
Entsprechend steigt auch die Zahl der Kreditinstitute stetig, die das Potenzial der Cloud für sich nutzen. Diejenigen, die sich noch nicht in die Cloud getraut haben, hindern “Angstmarketing”, Compliance- und Sicherheitsbedenken, den Schritt endgültig zu wagen. Dabei verspielen sie sich wichtige Chancen in der ganzheitlichen Kundenbetreuung, zur Verbesserung ihres Risikomanagements und zur Abwehr von Cyberangriffen. Aber: Ebenso wichtig wie der Schritt selbst ist die Wahl des richtigen Cloud-Security-Partners. Denn bei der Abwehr von Cyberkriminellen zählt jede Minute, und nur ein einziger Datenschutzvorfall kann einen langen Schatten auf die Beziehung zum Kunden werfen.
Näheres zum Thema Cloud Security finden Sie hier: Sicher in die Cloud umziehen – Cloud Migration und Hybrid Cloud