ADVERTORIAL
BANKINGNEWS: Die aufsichtsrechtlichen Anforderungen an Systeme und Prozesse der Banken sind groß und wandeln sich ständig. Wie stellt man bei diesen sich verändernden Bedingungen einen durchgehenden und aktuellen Schutz vor Cyberkriminalität sicher?
Jan Wilde: Generell werden die Schutzsysteme einer Bank vor allem von zwei Gruppen auf den Prüfstand gestellt. Einerseits von Cyberkriminellen, die permanent auf der Suche nach Lücken in der Abwehr von Instituten sind. Andererseits von der Finanzaufsicht, die die Einhaltung der Compliance-Vorgaben überwacht. Ziel einer Bank muss es also sein, mit den implementierten Schutzsystemen in beiden Situationen zu überzeugen. Und überzeugen können nur Institute, die Cybersicherheit als Prozess begreifen. Hier muss fortwährend nachjustiert werden. Neuartige Angriffskampagnen und Schwachstellen müssen schnellstmöglich geschlossen und neue regulatorische Vorgaben umgesetzt werden. Essenziell ist dabei, die individuellen Schwerpunkte beim Schutzbedarf genau zu definieren und die bestehenden Aufgaben zu adressieren. Jede Bank, jede Abteilung und jedes Projekt sind unterschiedlich weit digitalisiert. Cybersecurity-Lösungen sollten natürlich dennoch alle Compliance-Anforderungen komplett erfüllen – Pauschallösungen sind daher unangebracht.
Die privaten Geräte der Mitarbeiter sind oft ungeschützt. Wie hat sich das mobile Arbeiten auf die Sicherstellung dieses Schutzes ausgewirkt?
Die sichere Anbindung externer Arbeitskräfte und auch der eigenen Mitarbeiter, die aus den unterschiedlichsten Gründen remote auf die IT-Infrastruktur zugreifen, ist für viele Unternehmen ein heikles Thema. Das hat nicht zuletzt die Corona-Pandemie eindrücklich unter Beweis gestellt. Für die Finanzindustrie mit ihren straffen Compliance-Vorgaben gilt das besonders. Die Nutzung privater Geräte für geschäftliche Zwecke ist hier meist schon durch die interne Compliance der Institute untersagt. In sensiblen Sektoren ist das Standard. Andernfalls lässt sich kein verlässliches Schutzniveau garantieren. Um mit dem Firmenlaptop sicher remote oder im Homeoffice zu arbeiten, muss die Verbindung in das Netzwerk der Bank über ein VPN erfolgen. So können Banken potenzielle Schwachstellen im heimischen Netzwerk der Angestellten umgehen. Selbst wenn sich Angreifer einen Weg auf den privaten Router verschafft haben sollten, können sie dennoch nicht die verschlüsselte VPN-Verbindung im Netzwerk der Bank einsehen oder manipulieren. Damit diese sichere Anbindung von Remoteworkern aber dauerhaft sichergestellt werden kann, müssen die dafür erforderlichen VPN-Server ebenfalls stabil und performant arbeiten. Auch dort können Cyberkriminelle ansetzen und gezielt DDoS-Angriffe auf die VPN-Infrastruktur starten, um das externe Personal vom Bankennetzwerk auszusperren.
Kosten und Komplexität sorgen dafür, dass Banken immer häufiger ihre IT-Sicherheit auslagern. Was muss bei diesem Prozess beachtet werden?
Ja, der Trend zu Outsourcing lässt sich in vielen Bereichen der Finanzindustrie beobachten. Die Auslagerung von Diensten ist für Banken eine effektive Methode, um die digitale Transformation zu beschleunigen und wertvolle Ressourcen für das Kerngeschäft freizumachen. Outsourcing wird zunehmend zum zentralen Bestandteil der Geschäftsstrategien von Finanz- und Kreditinstituten. Laut einer PwC-Studie haben schon heute bereits 92 Prozent aller befragten Institute verschiedene IT-Dienstleistungen vollständig oder zumindest teilweise ausgelagert. Besonders beim Cloudcomputing sind erfahrene Partner mit Branchenexpertise entscheidend, um fortwährende Qualität und Compliance sicherzustellen. Banken geht es beim Einsatz von Dienstleistern nicht nur primär darum, Geld und Ressourcen einzusparen. Vielmehr wollen die Institute Vertrauen und eine langfristige sowie erfolgreiche Geschäftsbeziehung aufbauen.
Das Outsourcing an Dienstleister unterliegt ebenfalls vielen Regularien. Wie können Banken hier effektiv die Gratwanderung zwischen Sicherheit und Compliance managen?
Servicepartner mit Expertise in der Finanzindustrie bedienen sowohl den Bereich Cybersecurity als auch Compliance vollumfänglich. Gratwanderung wäre hier also der falsche Begriff. Compliance-Schwierigkeiten können allenfalls bei Branchenneulingen oder Anbietern aus dem Ausland auftreten. Letztere lassen sich je nach Art und Bedeutung des Outsourcings nur bedingt Compliance-konform einsetzen. Seit dem Aus von Privacy Shield durch das Schremms-II-Urteil besteht hier keine Rechtssicherheit mehr, daran ändern auch die neu überarbeiteten Standardvertragsklauseln wenig. Um etwa den Schutz von personenbezogenen Daten bei Datentransfers in die USA sicherzustellen, sind zusätzliche Maßnahmen wie der Einsatz effektiver Verschlüsselungstechnologien oder Informationspflichten bei behördlichen Anfragen einzurichten. Für Banken kann die Dienstleisterwahl damit einen erheblichen Mehraufwand mit sich bringen. Solche Compliance-Hürden müssen Banken aber gar nicht erst eingehen. Denn lokale Anbieter vereinen Cloud-Know-how und DSGVO-Konformität.
Wie gelingt der Aufbau eines starken Cybersicherheits-Ökosystems?
Zunächst ist, wie gesagt, wichtig, dass der Fokus auf kritische Geschäftsprozesse gelegt wird und diese Compliance-konform und bedarfsgerecht abzusichern. Diese Schutzsysteme müssen dann regelmäßig erprobt, sowohl intern als auch extern, und mit den dabei resultierenden Informationen nachgebessert werden. Inhouse können nur die wenigsten Unternehmen der Branche sämtliche Sicherheitsfragen adressieren. Darum ist die Partnerwahl entscheidend. Mit lokalen Spezialisten als Servicepartner lassen sich Cybersicherheit und Cyber-Resilienz in kurzer Zeit enorm ausbauen. Und dank der Cloud geht das, ohne Mittel für zusätzliche Software oder Hardware aufbringen zu müssen. Mit Outsourcing per Managed Security Service umgehen Banken außerdem die Problematik des Fachkräftemangels. Speziell in der IT sind tausende Stellen bundesweit unbesetzt. Das erschwert den Aufbau und den Betrieb eines eigenen IT-Sicherheits-Teams zusätzlich. Wer auf Dienstleister setzt, muss sich um Implementierung, Betrieb und Wartung der IT-Sicherheit nicht mehr kümmern.
Interview: Daniel Fernandez
Tipp: Sie sind an Cybersicherheit und IT-Themen interessiert? Dann sollten Sie den Cybercrime Day 2022 nicht verpassen. Jetzt anmelden.