Warum IT-Security heute ein Wettbewerbsfaktor ist

Wettbewerbsfaktor: IT-Security

IT-Security gehört bei Banken auf die Geschäftsagenda

Mobile-Banking, Mobile-Payment, Online-Shopping: Digitale Services und Lösungen bestimmen unseren Alltag — und verändern nicht nur die Erwartungen und Ansprüche der Verbraucher:innen, sondern erfordern auch immer schnellere, effizientere IT-Systeme im Hintergrund, die die Services zu einem angenehmen Kundenerlebnis werden lassen. Mit digitalen Angeboten direkt verbunden ist ihre Sicherheit. Und deshalb ist IT-Security keine Disziplin unter vielen – sie ist ein entscheidender Wettbewerbsfaktor.

Gerade Banken, die immer mehr Transaktionen in immer kürzerer Zeit durchführen und kontinuierlich neue Geschäftsmodelle und Services schaffen müssen, benötigen sie eine IT-Infrastruktur, die höchste Ansprüche an Leistungsfähigkeit, Effizienz und Sicherheit erfüllt. In Zeiten, in denen auch Cloud-Lösungen einen immer größeren Stellenwert im Bankensektor erhalten, gelangen viele Systemlandschaften traditioneller Institute an ihre Grenzen.  Unabhängig davon, ob eine Bank ihre IT-Systeme neu gestaltet oder gezielt erweitert: Eine große und viel zu oft unterschätzte Bedeutung hat die IT-Security. Denn Sicherheitsmängel können Daten, operatives Geschäft und Reputation des Instituts beeinträchtigen oder sogar nachhaltig schädigen. Und solche Auswirkungen wiederum gefährden die Wirtschaftlichkeit des Unternehmens.

Vier Aspekte für die Sicherheit der Systeme

Aus diesem Grund — und weil auch die Aufsichtsbehörden klare Vorgaben an die Cyber Security machen — muss die Sicherheit der IT-Systeme an erster Stelle stehen. Um dies ganzheitlich und erfolgreich in die Praxis umzusetzen, sollten Banken folgende vier Aspekte berücksichtigen:

1. Risikobereitschaft festlegen:

Da eine zu 100 Prozent risikofreie IT-Infrastruktur unrealistisch ist, muss der Vorstand des Instituts auf Basis von Geschäftsplanung, Digitalisierungsplänen und regulatorischen Vorgaben definieren, welche Risiken er grundlegend eingehen möchte und welche nicht.

2. Schwachstellen identifizieren:

Nur wer die Schwachstellen kennt, kann Lösungen entwickeln und die Schnittstellen auf etwaige Vorfälle überprüfen. Wichtig ist in diesem Zusammenhang nicht nur zu wissen, welche Schnittstellen gefährdet sind, sondern auch, wo kein Gesamtkonzept, sondern nur manuelle Lösungen vorhanden sind. Wichtig: Dies muss für die gesamte IT erfolgen, auch und vor allem für Cloud-Lösungen — Entwicklung, Engineering, Testing, Deployment, Daten, Netzwerke, Perimeter und die Systeme selbst müssen mit Blick auf die IT-Security überprüft werden.

3. Bedrohungslandschaft simulieren:

Nach erfolgreicher Analyse wird eine typische Bedrohungslandschaft erstellt, die dann als Grundlage für alle weiteren Entscheidungen und Maßnahmen dient. Mit einer solchen Bedrohungslandschaft können Verantwortliche Auswirkungen von Sicherheitsangriffen simulieren, eine sinnvolle Sicherheitsumgebung definieren und die Kosten bzw. IT-Risiken dafür kalkulieren.

4. Security-Architektur aufbauen:

Auf Basis der Simulationen geht es dann darum, die Prozesse und Vorgaben für die Security-Architektur sowie den Betrieb mit (Managed-)Serviceprovidern festzulegen. Wichtig ist in dem Zusammenhang auch, so viele Arbeitsschritte und Prozesse wie möglich zu automatisieren. Zum einen, weil es regulatorisch vorgeschrieben ist, um Sicherheitsangriffe optimal steuern zu können. Zum anderen aber auch, um durch Menschen verursachte Sicherheitsmängel, die rund die Hälfte alle Security-Vorfälle ausmachen, weitestgehend zu reduzieren. Sämtliche Prozesse und Arbeitsschritte sollten regelmäßig hinterfragt und ggf. verbessert sowie untereinander verzahnt werden, um maximale Effizienz — und damit optimalen Ressourceneinsatz — zu erzielen.

Finanzinstitute haben Nachholbedarf

Bedauerlicherweise betrachten viele Finanzdienstleister IT-Sicherheit vorrangig als Kostenfaktor und nicht als Erfolgsfaktor für effiziente Prozesse und Sicherung der Wettbewerbsfähigkeit (hier erläutere ich, warum IT-Security kein „Cost Case“ ist). Gerade das Cloud-Zeitalter, in das auch die Finanzbranche zunehmend eintritt, birgt zahlreiche Chancen mit Blick auf Skalierbarkeit und Geschwindigkeit. Gleichzeitig erfordert es aber umso mehr eine unternehmensweite und gut geplante IT-Security, um Sicherheitslücken und Angriffspunkte für Hacker:innen zu minimieren. Wir sind sicher: Banken, die die Sicherheit ihrer IT-Umgebung an erste Stelle setzen und diese ganzheitlich und integriert aufsetzen, erlangen dadurch einen  Wettbewerbsvorteil und werden sich mittel- bis langfristig an der Spitze der Finanzbranche positionieren.