,

Das GRC-Modell in Banken: “Entscheidungen ins Blaue hinein entfallen“ 

Banken sind komplexe Unternehmen mit vielen Geschäftsbereichen. Dabei kann es sich lohnen, Aufgaben und Prozesse zusammenzuführen. Das gilt gerade für Compliance- und Sicherheitsaspekte. Andreas Meneder-Nieuwenhuizen von der Deutschen Telekom Security GmbH über die Synergieeffekte eines GRC-Modells.


Compliance
NicoElNino via Getty Images

ADVERTORIAL

BANKINGNEWS: Unternehmensführung, Riskmanagement und Compliance sind in Unternehmen getrennte Bereiche. Warum sollten diese in einem GRC-Modell vereint betrachtet werden?  

Andreas Meneder-Nieuwenhuizen: Die Themenbereiche Governance, Risk und Compliance zusammen im GRC-Modell zu betrachten, bietet viele Vorteile. Unternehmen sind heutzutage in ihrer IT- und Compliance-Welt von einer Vielzahl an Gesetzen und Standards umgeben, die sie beachten und bewältigen müssen. Parallel sind Unternehmen angehalten, Entscheidungen mit den eigenen Geschäftsprozessen zu koordinieren und Risiken zu minimieren. Und das kann ab einer gewissen Unternehmensgröße nur sinnvoll funktionieren, wenn man ein GRC-Modell festlegt. Synergien lassen sich so optimal nutzen, unternehmensinterne Ressourcen effektiver einsetzen und Doppelarbeit vermeiden. Die Zusammenführung dieser Informationen führt auch zu einer besseren Grundlage für eine Entscheidungsfindung, sei es hinsichtlich der strategischen Ausrichtung oder der Mitigation eines Risikos. Im Idealfall kann ein Unternehmen dann deutlich effektiver mit den Compliance-Vorgaben umgehen. 

Würden Sie sagen, dass das Modell aktuell noch einmal an Relevanz gewonnen hat? Und wenn ja, warum? 

Ich denke schon, dass das GRC-Modell aktuell und auch perspektivisch über die nächsten Jahre für Unternehmen massiv an Wert gewinnt. Wenn wir im Bankensektor bleiben, sehen wir, dass verschiedene Gesetze in diese Richtung zeigen. Natürlich fordern auch Regulierungsbehörden wie die BaFin hier zunehmend entsprechende Rahmenbedingungen ein und sanktionieren bei Nicht-Vorhandensein. Zudem werden Geschäftsprozesse immer komplexer. Wir beschäftigen uns allerdings auch intensiv mit den Security-Aspekten des Modells. Hier bietet es eine optimale und breite Grundlage, Sicherheitsrisiken proaktiv zu identifizieren und zu managen. Es können strukturiertere und effizientere Entscheidungen getroffen werden, die sowohl besser zu den eigenen Geschäftsprozessen passen als auch das Finanzbudget schonen. Entscheidungen, die ins Blaue hinein getroffen wurden, entfallen.  

“Banken sollten sich ihre Cloud-Provider ganz genau anschauen.” 

Welche regulatorischen Vorgaben sollten Banken aktuell besonders im Auge behalten? 

In Deutschland bestehen zum Beispiel hohe Anforderungen im Bereich Datenschutz, vor allem mit der Datenschutzgrundverordnung (DSGVO). Eine Bank verarbeitet naturgemäß viele sensible personenbezogene Daten. Hier gilt es, diese Daten zwingend zu schützen, konform mit den EU-Regularien. Parallel steigen die Anforderungen im Cyber-Security-Bereich. Banken gelten seitens der Europäischen Union bekanntlich als Kritische Infrastrukturen. Das heißt, auch von dieser Seite haben sie hohe IT-Security-Anforderungen zu erfüllen und die Einhaltung nachzuweisen. Davon einmal abgesehen gibt es natürlich noch Branchen-Anforderungen. Da gab es Anlassfälle, Stichwort Wirecard, die die Regulierungsbehörden noch einmal aufhorchen lassen haben. Sie verstärken aktuell ihre Prüferkapazitäten, um ihren Kontrollpflichten nachkommen zu können.  

Konkret? 

Geldwäsche zum Beispiel ist ein weites Feld. Jede Privatperson, die einen Kredit aufnimmt, muss Auskünfte geben, wie das Geld verwendet wird und über wie viel Eigenkapital sie verfügt. Und die Bank muss mit diesen Angaben wiederum nachweisen, dass sie Anti-Geldwäsche-Regulierungen und Anti-Terrorismusfinanzierungsregulierungen einhält. Hier braucht es entsprechende Systeme und Prozesse in der Bank, um das Ganze überhaupt bewerten zu können. Ich kann mir vorstellen, dass bei vielen Banken, die im Großraum Russland tätig waren, geopolitische Risiken hinzugekommen sind. Sie müssen mit dem gesteigerten politischen Druck auf ihr Geschäftsmodell umgehen. 

Oft wird gesagt, dass sich die Cyber-Bedrohungslage durch den Ukraine-Krieg verschärft hat. Können Sie das bestätigen? 

Grundsätzlich kann man das schon bestätigen. Aber die Cyber-Sicherheitslage insgesamt hat sich über die letzten Jahre verschärft. Mit der Digitalisierung und Cloudifizierung sind Unternehmen angreifbarer geworden. Das ganze Konstrukt bringt viele Vorteile mit, ist aber nicht frei von Risiken – auf die man reagieren muss. Und in Russland haben wir aber auch schon vor dem Ukraine-Konflikt eher aggressivere Cyber-Operationen gesehen, die einerseits politisch motiviert agieren, andererseits punktuell auch wirtschaftliche Ziele verfolgen, also Industriespionage betreiben. Ich glaube, da kann man nicht trennscharf abgrenzen. Die Motivation ist individuell, die Angriffsszenarien sind dagegen relativ geradlinig. Es werden Phishing-Attacken, Malware-Infektionen und Ransomware-Angriffe eingesetzt, da man mit diesen Methodenschnell einen großen Adressatenkreis erwischt und es auch einmal „auf gut Glück“ versuchen kann. Die Angriffsszenarien haben sich durch die Ukraine-Krise nicht sonderlich verändert. Aber die Anzahl insgesamt hat zugenommen und die Angriffe kommen auch nicht nur aus Russland. Es sind auch andere Länder und private Akteure involviert.  

“Die Angriffsszenarien haben sich durch die Ukraine-Krise nicht sonderlich verändert.” 

Deutsche Banken galten lange als nicht Cloud-affin, das hat sich in den letzten Jahren geändert. Worauf müssen Banken beim Schritt in die Cloud besonders achten? 

Banken haben insgesamt lange mit dem Schritt gewartet. Sie haben oft mit organisch gewachsenen Kernbanksystemen und aufwendigen Mainframe-Infrastrukturen zu tun, die jetzt durch Cloud-Services abgelöst werden sollen. Das sind Langzeit-Projekte, in denen viele Ressourcen und hohe finanzielle Aufwände stecken. Selbstverständlich läuft so etwas auch nicht ohne Risiken ab. Eine solche Infrastruktur zu cloudifizieren, ist komplex und umfangreich. Das hat viele Banken vom Schritt in die Cloud abgehalten. Aber die Vorteile sind in allen Branchen erkennbar: Massive Kosteneinsparungspotenziale, mehr Flexibilität und mehr Skalierbarkeit in den eigenen IT-Applikationen. Und worauf Banken wirklich achten müssen, wenn sie eine Cloudifizierung planen, ist dass sich ihren Cloud-Provider ganz genau anschauen. Wo ist der Firmensitz und wo liegen die Daten? Wie schützt er die Daten? Und erfüllt er die Compliance-Vorgaben? Nur weil eine Bank ihre IT an einen Cloud-Dienstleister übergibt, entbindet sie das nicht aus der Verantwortung, die Daten der Kunden zu schützen und gesetzliche Vorgaben zu erfüllen. Institute sind verpflichtet, regelmäßig zu auditieren, ob der Provider diesen Anforderungen gerecht wird. Und wenn dann doch etwas passiert – in der IT nicht auszuschließen – ist es natürlich wichtig zu schauen, ob der Provider ausfallsicher ist. Wie sind die Systeme des Cloud-Dienstleisters aufgebaut? Hat er Incident Response Prozesse? Kann er schnell reagieren, wenn etwas passiert? Hat er die Möglichkeit, Daten zu portieren, zu löschen und sicherzustellen, dass auch keine Dritten unberechtigten Zugriff darauf bekommen? Das ist alles in allem ein großes „Brett“, das viele Banken vor sich haben. Und ich glaube, das hat wahrscheinlich viele Institute abgehalten, den Schritt in die Cloud zu gehen. 

Gibt es aus ihrer Sicht auch Vorurteile, die Banken in Bezug auf die Cloud haben? 

Weniger Vorurteile, es sind vielmehr Umsetzungsbedenken. Damit meine ich die Aufwände und Fehlerpotenziale, die mit dem Schritt in die Cloud einhergehen. Datenhoheit und Datenschutz sind wichtig. Kann ich in eine AWS-Cloud gehen oder verstoße ich hier schon gegen die EU-Datenschutzgrundverordnung? Außerdem ist für Banken die Frage nach Zugriffsmöglichkeiten relevant, sobald die Daten migriert sind. Welche Verhandlungsmacht habe ich als Bank gegenüber Amazon oder Google wirklich, wenn etwas nicht passt? Bin ich da nur ein Kunde von vielen, obwohl ich selbst eine ordentliche Größe habe? Diese Aspekte sind schwer wegzudiskutieren, wenn es um diese Entscheidung geht. Denn der große US-Konzern kann sich vielleicht nicht nach individuellen Anforderungen einzelner Kunden orientieren, weil es schlichtweg um ein enorm breites Kaliber an Services geht. 

“Produkte sollten die bestehende Welt des Kunden erweitern, nicht etwas Fremdes aufzwingen.” 

Sie haben auch über die Integration in die internen Prozesse gesprochen. Wie unterstützen Sie Ihre Kunden dabei? 

Bevor wir uns für Technologien oder Prozesse entscheiden, müssen wir wissen, wo der Kunde steht und wo er hinmöchte. Basierend auf diesen Rahmenbedingungen kann er mitentscheiden, welche Services, Produkte oder Technologien überhaupt in Frage kommen. Sie sollten die bestehende Welt des Kunden erweitern, nicht etwas Fremdes aufzwingen, sodass die gesamte IT neu ausgerichtet werden muss. Alles muss kompatibel mit den bestehenden IT-Systemen und Softwareanwendungen sein. Können die Systeme miteinander kommunizieren? Bauen wir durch die Auswahl einer neuen Technologie Fehlfunktionen ein, gibt es Leistungseinbußen? Im Bankenumfeld sind diese Aspekte auch im Hinblick auf die Benutzerfreundlichkeit wichtig und gehen mit Akzeptanz seitens der Mitarbeiter einher. Kann man den Umgang schulen? Gibt es Support, wenn Fragen aufkommen? Und auch nicht zu unterschätzen: Banken haben teilweise starke Wachstumskurse mit neuen Produkten am Markt. Dann ist es relevant, ob ein Produkt oder eine Technologie entsprechend skalierbar ist, damit sie das Geschäftswachstum auch über die nächsten Jahre mitbegleiten kann. Denn niemand möchte in Probleme hineinlaufen, wenn das Geschäft ausgebaut werden soll. Kompatibilität, Benutzerfreundlichkeit und Skalierbarkeit sind die wichtigsten Punkte, auf die wir bei unseren initialen Workshops mit den Kunden schauen.  

Interview: Daniel Fernandez 

Andreas Meneder-Nieuwenhuizen

Deutsche Telekom Security GmbH

Andreas Meneder-Nieuwenhuizen ist Head of Critical Infrastructure Consulting bei der Deutsche Telekom Security GmbH.