Advertorial
Wie groß das Risiko bei unzureichendem Informationsschutz in der Kreditwirtschaft ist, zeigt eindrucksvoll ein virtueller Bankraub, der Anfang 2016 weltweit Aufsehen erregte: Kriminelle hatten seinerzeit via SWIFT gefälschte Überweisungsaufträge an die Federal Reserve Bank (Fed) in New York gesandt und vom dortigen Konto der Zentralbank Bangladeschs knapp eine Milliarde US-Dollar in diverse asiatische Länder verschoben. Zwar gelang es im Nachhinein, die nicht autorisierten Buchungen für einen Teil der Summe zu annullieren – für 81 Millionen Dollar indes kam jede Reaktion zu spät. Ihre Spur verlor sich auf den Philippinen, wo vermutlich Spielkasinos als Geldwäschemaschinen dienten. Die eingesetzten Angriffswerkzeuge waren laut Sicherheitsforschern speziell für diesen einen spektakulären Beutezug entwickelt worden – ein maßgeschneiderter Angriff also, der in Fachkreisen Advanced Persistent Threat (APT) heißt. Toolkits für solche APTs werden im Dark Net längst kommerziell gehandelt.
Firewalls, Virenscanner und regelmäßige Patches gewährleisten im APT-Zeitalter allein keinen adäquaten Informationsschutz mehr. Kreditinstitute und ihre IT-Dienstleister benötigen stattdessen einen holistischen IT-Sicherheitsansatz, der Informationsschutz als dauerhaften Prozess begreift und mit dem sich konkrete Abwehrstrategien flexibel an eine permanent veränderte Bedrohungslage anpassen lassen. Dies gilt umso mehr, weil viele Banken nach dem Inkrafttreten des IT-Sicherheitsgesetzes den Nachweis erbringen müssen, dass ihr Security Management tatsächlich wirksam ist.
Proaktiv und risikobezogen
Auf wirtschaftlich vernünftige Weise können Banken ihre neuen gesetzlichen Verpflichtungen wie die Vorgaben der BaFin nur durch ein ganzheitliches Information Security Management System (ISMS) erfüllen. Es empfiehlt sich daher, Informationssicherheit explizit als ein Unternehmensziel festzuschreiben – was auch im Eigeninteresse jeder Bank am Werterhalt ihrer wichtigsten Produktionsressource sowie an präventiver Schadensvermeidung liegt.
Grundlage für ein ISMS ist ein ausgearbeitetes IT-Risikomanagement: Als Informationseigentümer klassifizieren die Fachabteilungen gemeinsam mit der IT (oder einem eigens dafür geschaffenen Gremium) zunächst die Kritikalität der von ihr bearbeiteten Informationen. Daraus lassen sich dann diverse Kategorien etwa in Bezug auf Vertraulichkeit und Integrität ableiten und schließlich der konkrete Schutzbedarf der betreffenden Information sowie entsprechende Maßnahmen festlegen. Durch eine risikobezogene Klassifikation vermeiden Banken effektiv unnötigen Security-Aufwand für Maßnahmen, die in keinem ökonomisch sinnvollen Verhältnis zur geschäftlichen Relevanz der geschützten Informationen stünde. Gleichfalls aus wirtschaftlichen Gründen sollte das ISMS stets eine ausgewogene Balance zwischen Prävention, Detektion und Reaktion wahren: Prävention, wo immer dies möglich ist. Detektion nur da, wo Prävention entweder zu teuer oder unmöglich ist. Je nach Schutzklasse ist es manchmal am besten, sich auf eine angemessene Reaktion im Fall der Fälle zu beschränken.
Orientierung bieten in diesem Kontext einschlägige Standards wie ISO 27001/2 und die Richtlinien zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Weithin anerkannte Normen sind eine verlässliche Basis für das richtige methodische Vorgehen. Weitere ISMS-Kernelemente betreffen das Security Incident Management – inklusive Response-Plan für den Krisenfall. Angemessene Reaktionen auf Cyberangriffe bedürfen der schnellen und umfassenden Information aller Verantwortlichen, weshalb dem Reporting im ISMS-Kontext eine besondere Bedeutung zukommt. Alles in allem wird damit klar: Ein proaktives Management der Informationssicherheit liegt im ureigenen Interesse einer jeden Bank – und gehört daher definitiv auf die Agenda der Vorstandsetage.
