BANKINGNEWS: Gehört die Finanzbranche aus Ihrer Sicht zu den Top-Zielen für Cyberkriminelle?
Christoph Volkmer: Aus unserem Blickwinkel ist die Finanzindustrie, neben dem öffentlichen Sektor, der Kundenkreis Nummer eins. Und in der Finanzindustrie ist es dann noch mal verdichtet auf die klassische Retail-Bank. Das hängt aber auch damit zusammen, dass diese Banken die meisten Schnitt-, Knoten- und Endpunkte im Außenverhältnis haben, die im Zweifel angegriffen werden können. Und da sind wir wahrscheinlich einer der ganz wenigen, vielleicht sogar die einzigen, die innerhalb von Stunden helfen können.
Kann man eingrenzen, wo Banken aktuell die größten Probleme haben?
Das Problem sitzt immer am Ende der Tastatur. Das wurde durch COVID und Homeoffice besonders sichtbar. Kunden sehen nur einen Bruchteil dessen, was sie sehen müssen, nämlich nur etwa 80 Prozent. Sie haben weder eine Echtzeitübersicht noch die volle Kontrolle. Das hängt auch mit der Architektur der Systemlandschaften zusammen, Hub-and-Spoke-Lines und den Serverwelten der letzten 25 Jahre. Das funktioniert aber nicht in unserer Welt, in der Cybersecurity nun mal stattfindet. Wie bei der Corona-Pandemie brauchen wir die volle Immunantwort und eben nicht nur 80 Prozent.
Also ein erhöhtes Sicherheitsrisiko durch Corona und Homeoffice?
Auf jeden Fall. Aber es hat das Grundproblem auch transparenter gemacht. Das Endgerät sitzt heute vor dem Router und einem VPN-Tunnel, das ist die Last Line of Defense. Die IT hat keine Ahnung, was am Endpunkt passiert. Das war vorher anders. Gerade wenn sich 95 Prozent der Geräte innerhalb einer sicheren Umgebung befanden und nur selten außerhalb, wie das in Banken der Fall war. Homeoffice hat das Problem zwar explodieren lassen, aber eigentlich war es vorher schon da.
Schulen Sie die Mitarbeiter Ihrer Kunden in dieser Problematik?
Ja, wir führen Cyber Assessments oder Hygene Assessments durch. Hygiene klingt auf Deutsch immer gemein, aber an sich geht es darum, den C-Level-Kollegen auf Kundenseite deutlich zu machen, vor welchen Risiken sie stehen. Hier spricht man von zwei grundlegenden Risiken, zum einen dem Risiko für das Institut als Ganzes und zum anderen dem persönlichen Risiko. Denn Sie haften als Vorstand dafür, dass Sie State-of-the-Art-Technologie einsetzen. Und wir finden bei diesen Assessments permanent Geräte, die gar nicht mehr existieren sollen. Von Kaffeemaschinen, die automatisch Kapseln nachbestellen bis hin zu Alexas, die in Firmen nichts zu suchen haben. Wenn Sie uns 1000 Endpunkte geben, finden wir 200 weitere in der Umgebung, die unbekannt waren und mindestens 50, die da nicht hingehören.
Wenn die Cyberkriminellen uns immer einen Schritt voraus sind, wie können wir aufholen?
Das ist im Prinzip nur auf zwei Arten möglich: Durch positive Aufklärung und den Haftungshinweis im Schadensfall. Das ist in vielen angelsächsischen Firmen deutlich ausgeprägter als bei uns. Doch wir gewinnen langsam an Fahrt, weil wir ein paar spektakuläre Fälle hatten, wie etwa Landratsämter, die plötzlich nicht mehr in der Lage sind, Sozialhilfe auszuzahlen. Aber es ist kein Schulungsproblem, es ist ein Sanktionierungs- und ein Verständnisproblem. Das heißt nicht, dass man technologieverschlossen sein soll. Das wäre genau der falsche Rückschluss.
Sie selbst haben im Mai ein Rechenzentrum für Tanium-as-a-Service (TaaS) in Frankfurt eröffnet. Was tun Sie dort genau und sind weitere Rechenzentren in Europa in Planung?
Sie können unsere Plattform als Cloud Service konsumieren, dann übernehmen wir den Betrieb. Wir merken zunehmend, dass es Firmen aus dem deutschen Mittelstand gibt, die teilweise Weltmarktführer sind und einem ganz besonderen Bedrohungsszenario gegenüberstehen. In der Regel haben sie nicht die Fachkräfte, um vollumfänglich ein Cyber Defense Center zu betreiben. Hier helfen wir mit unserem Cloud Offering. Wir sehen die zentraleuropäische Region als einen der Top-Wachstumsmärkte. Und je größer und globaler aufgestellt ein Kunde ist, umso leichter hat er Verständnis und Offenheit für das Thema.
Sollten sich Kreditinstitute angesichts dieser Lage nicht auch untereinander mehr unterstützen, um im Kampf gegen Cyberkriminelle die Oberhand zu gewinnen?
Ja, und es wird auch abhängig davon sein, was die neue Bundesregierung baut. Ich glaube, wir haben das Thema Digital- und Cybersecurity etwas schleifen lassen. Das machen andere Länder besser. Ich glaube auch, dass wir eine jüngere Generation haben, die die Dinge anders sieht und angeht. Diese Generation denkt viel globaler, vernetzter. Aber man muss dann auch tatsächlich erkennen, dass unsere Rezepte irgendwann auserzählt sind. Und das ist sicher etwas, was wir jetzt lernen müssen und auch lernen werden als Gesellschaft. Davon bin ich fest überzeugt und habe da keine Angst.
Auch die Welt wird immer vernetzter und die Anzahl an Endgeräten steigt. Wie kann man da langfristig die Übersicht behalten?
Es gibt zwei große Theorieströme aus meiner Sicht. Das eine Thema ist, dass die Nutzung von Cloud zunimmt, aber sie wird abgekapselt. Das ist kein neues Konzept, das gab es im Mainframe der 70er und 80er Jahre schon. Das wird nun in die Cloudtechnologie übersetzt. Das zweite ist das Client-Server-Thema der 90er. Alles, was Hardware verbraucht hat, hat man abgelehnt. Heute kostet Hardware kein Geld mehr. Das sind die beiden Dinge, die man wissen muss. Und man muss wissen, was man hat. Realtime, volle Sichtbarkeit, Visibility und damit auch Kontrolle.
Wenn es ein Problem gibt, muss ich es jetzt lösen. Idealerweise habe ich es proaktiv erkannt mit Hilfe einer Künstlichen Intelligenz. So bin ich schon geimpft, bevor mich der Virus befällt. Die Konzepte sind da, die Technologie muss nur umgesetzt werden. Das spielt aber kein Geld ein, im Gegenteil es kostet erstmal. Dann wird dort auch nicht investiert und der Maschinenraum sieht nicht gut aus. Wir räumen den Maschinenraum des Kunden auf. Man muss jetzt zu dem Schluss gelangen, die Dinge simpler zu machen, damit wir schneller auf diese Herausforderungen und Bedrohungen reagieren können.
Interview: Dennis Witzmann
Tipp: Sie möchten weitere interessante Interviews lesen? Dann lesen Sie hier unser Interview mit Rita Herbers von der Hamburger Volksbank oder erfahren Sie hier worüber wir mit Tobias Griess von Barclays gesprochen haben.