Banken sollten Cyber Security nicht als Kostenfaktor betrachten
Cyber Security ist kein Cost Case
Drei Tipps, wie Finanzinstitute mit Cyber Security Schadenfälle minimieren können
Cyberangriffe gibt es nicht nur in der Presse – sie sind mittlerweile stetig wiederkehrende Realität in deutschen und internationalen Unternehmen. Allein während der Corona-Pandemie ist die Zahl der Sicherheitsangriffe auf deutsche Finanzdienstleister laut dem „Modern Bank Heists 2020“ Report des US-amerikanischen Software-Anbieters VMware Carbon Black um 238 Prozent im Vergleich zum Vorjahreszeitraum gestiegen.
Obwohl Banken diese Risiken kennen, erfüllen die meisten von ihnen lediglich die Mindestanforderungen, die die Europäische Zentralbank (EZB) vorgibt. Das liegt daran, dass sie die Kosten für Cyber Security vermeiden wollen. Diese sind zugegebenermaßen kein Posten für die Portokasse. Doch obwohl Kosteneinsparungen Sinn ergeben, sind sie bei Cyber Security fehl am Platz, denn:
- Im Schadensfall leidet das Image des Instituts und Schadensummen erreichen schnell einen sieben- oder achtstelligen Betrag.
- Die Anzahl von Cyberangriffen nimmt stetig zu und es ist nicht auszuschließen, dass sie noch weiter ansteigen wird.
- Im Zuge der Digitalisierung werden IT-Umgebungen immer komplexer und unübersichtlicher.
Drei Tipps für Cyber Security
Die Bedeutung von Cyber Security ist also stark gestiegen und wird vermutlich noch weiter zunehmen. Auf möglichst milde Strafen und Auswirkungen in etwaigen Schadensfällen zu setzen, ist nicht nur unkalkulierbar, sondern auch ein gefährliches Unterfangen. Aus diesem Grund sind Banken gut beraten, wenn sie präventiv handeln und Sicherheitslücken von vornherein bestmöglich schließen.
Eine zentrale Bedeutung dabei haben innovative Tools und ein möglichst hoher Automatisierungsgrad. Denn automatisierte Prozesse steigern die Effizienz und minimieren menschliches Fehlverhalten. Aus diesem Grund prüft auch die EZB seit 2021, ob ihre Anforderungen automatisiert und dem technischen Status Quo entsprechend erfüllt werden. Um die eigene IT-Landschaft bestmöglich gegen Angriffe von innen und außen zu schützen, können folgende Tipps helfen:
1. Die Messlatte hoch legen
Die gesetzlichen oder regulatorischen Mindestanforderungen reichen für einen optimalen Schutz nicht aus. Banken, die der Cyber Security eine höhere Priorität einräumen wollen, brauchen daher einen anderen Rahmen, an dem sie sich orientieren können. Hierfür eignen sich als Grundlage zum Beispiel das MITRE Attack Framework oder Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Zusätzlich ergänzen die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) diese allgemeine Leitlinien um klare Handlungsempfehlungen für Finanzinstitute — zum Beispiel die Einbindung eines Security Information and Event Managements (SIEM) und eines Security Operation Centers (SOC).
2. Security by Design einführen
Security by Design bezeichnet eine Vorgehensweise, bei der Unternehmen Sicherheitsanforderungen definieren und diese bei der Einrichtung ihrer IT-Infrastruktur von Beginn an berücksichtigen. Darüber hinaus definieren sie, wie sich bestehende Anwendungen zu einem späteren Zeitpunkt entsprechend der Sicherheitsvorgaben weiterentwickeln oder ergänzen lassen. Security by Design ermöglicht dadurch eine integrierte und nahtlose Zusammenarbeit zwischen operativem Management sowie IT und Security und minimiert Sicherheitslücken. Auch neue regulatorische Anforderungen lassen sich bei derart aufgebauten IT-Strukturen leichter und schneller umsetzen.
3.Cloud-Strukturen berücksichtigen
Anstatt innovative Lösungen wie zum Beispiel Cloud-Anwendungen als Insellösungen an bestehende IT-Strukturen anzudocken, sollten Finanzdienstleister diese in ihre IT-Landschaft integrieren. Das bedeutet, dass sämtliche Schutzmaßnahmen und -Vorgaben für alle Anwendungen und Nutzenden gelten und somit auch auf neue Systeme angewendet werden. Speziell für Cloud-Lösungen müssen Verantwortliche einige Regularien — zum Beispiel den C5-Kriterienkatalog des BSI, die Cloud Controls Matrix der Cloud Security Alliance und die BAIT — berücksichtigen und klare Outsourcing Agreements festlegen.
Mit präventiven Kosten Schadensummen minimieren
Finanzinstitute, die ihre Cyber Security an erste Stelle setzen und mittels Security by Design ihre IT Security präventiv und ganzheitlich aufstellen, schaffen eine optimale Schutzbasis ihrer IT-Infrastruktur, die auch die regulatorischen Anforderungen erfüllt. Auch wenn die Kosten dafür nicht zu unterschätzen sind, lohnt sich das Investment. Denn schon ein Schadensfall kann die präventiven Cyber-Security-Kosten übersteigen und zusätzlich die Reputation des Unternehmens nachhaltig schädigen.