:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fachkräftemangel bei Finanzunternehmen Der Finanzwelt fehlten Cyber-Security-Fachkräfte
Die digitale Transformation bringt für alle Unternehmen riesige strategische und betriebliche Möglichkeiten birgt aber auch neue Risiken für Unternehmen und neue Angriffswege für Kriminelle. In der Finanzbranche werden fast täglich Systeme von Hackern angegriffen. Dies ist die dunkle Seite der Digitalisierung und sie verdient genauso viel Aufmerksamkeit wie die Chancen, die die Digitalisierung mit sich bringt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Banken, Investmentgesellschaften und Versicherungen zählen zu beliebten Angriffszielen von Cyber-Kriminellen. Die Motive sind dabei sehr unterschiedlich; vom klassischen Diebstahl von Geld oder sensiblen Daten bis hin zur Manipulation von Geschäftsprozessen oder gar der Zerstörung wichtiger Infrastrukturen. Der in den vergangenen Jahren im Finanzdienstleistungssektor entstandene finanzielle Schaden aufgrund Cyber-Attacken ist im Branchenvergleich mit der höchste.
Der kritische Aspekt im Umgang mit Cyber-Risiken ist bei einigen Instituten noch immer primär nur auf dem Papier geregelt. Institute, die lediglich reagieren und nicht proaktiv agieren, werden früher oder später mit schmerzhaften und teilweise auch kostspieligen Problemen konfrontiert. Es gibt viele zwingend erforderliche Maßnahmen, um gegen Angriffe gewappnet zu sein. Um das Thema Cybersecurity nicht als Trivialität weg zu delegieren, ist es essentiell, das entsprechende Know-how an Bord zu holen. Neben Standardkenntnissen rund um die Themen ISMS, IT-Riskmanagement und Sicherheitsmanagement sind auch fundierte Erfahrungen mit gängigen Netzwerken, Systemen, Anwendungsentwicklungen und Rechenzentren von Nöten. Die Rekrutierung von IT-Sicherheitstalenten kann sogar zum Wettbewerbsvorteil werden.
Finanzinstitute aller Größen haben Sicherheitslücken
Viele Institute verfügen über eine Governance und können Bedrohungspotentiale für sensible und kritische Daten identifizieren. Einige Institute haben zwar Schutzmechanismen eingeführt, jedoch fehlt es häufig an Regularien, die den Umgang mit komplexeren Bedrohungsszenarien beschreiben. Ebenso fehlt es oft an notwendigen Erweiterungen für die Anwendung technischer Überwachungsansätze. Viele kleinere Institute haben nur einen minimalen Aufwand vorgesehen, um den normalen Geschäftsbetrieb nach einer Attacke zeitnah wieder aufnehmen zu können.
Cybermanager und Talente gesucht
Die für den Sicherheitsbereich gesuchten IT-Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Bankinterne ISMS Rahmenwerke müssen gemäß MaRisk weiterentwickelt und regelmäßig gepflegt werden sowie relevante IS-Kontrollen (IKS) etabliert und überwacht werden. Führungskräfte müssen außerdem Informationssicherheitsstandards etablieren und mithilfe gezielter Kampagnen und Trainings im Unternehmen einführen sowie Sonderaudits zur Sicherheitsüberwachung planen und durchführen.
Eine effektive Präventionsarbeit dieser Spezialisten beinhaltet auch die Planung potenzieller Angriffs-Szenarien, beispielsweise wenn Datenbanken angezapft oder Prozesse blockiert werden sollen. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich, Kryptografie und natürlich Vertrautheit mit allen gängigen Softwareherstellern und deren Produkten erforderlich. Vorteilhaft sind auch Zertifizierungen wie CISM, CISA oder CISSP und Kenntnisse in den gängigen Sicherheitsstandards wie ISO 2700x, BSI Grundschutz, CoBit, NIST, etc. Zudem muss der IT-Spezialist sich in die vermutete Zielsetzung und idealerweise sogar in die Denkweise der Hacker hineinversetzen können, um geeignete Gegenmaßnahmen zu ergreifen.
Neben der theoretischen Konstruktion von ‚worst case Szenarien‘ ist es natürlich auch erforderlich, mögliche Schlupflöcher im gesamten System aufzufinden. Auch sollten Szenarien überdacht werden, die nicht rein auf der Programmierung, dem Angriff auf die Firewall oder direkten anderen Angriffen beruhen. Erhebliches Gefährdungspotential an Cyberangriffen ist mittlerweile auch dem Social Matching zuzuschreiben.
:quality(80)/images.vogel.de/vogelonline/bdb/1364800/1364800/original.jpg "Die Nachfrage nach Cybersecurity-Experten steigt schneller steigt als das interne Personalangebot in Unternehmen diese erfüllen kann. (Capgemini)")
Capgemini-Studie
Fachkräftemangel bei Security-Experten am größten
Rekrutierungsprobleme für Finanzinstitute
Das Bewusstsein und auch die Sensibilisierung für die neuen Anforderungen an IT-Sicherheit ist zwar gewachsen, jedoch ist die Umsetzung noch sehr langsam. Die ersten Hochschulen bieten mittlerweile Lehrstühle oder haben eine auf IT-Sicherheit spezialisierte Professur eingerichtet.
Viele Finanzinstitute erkennen die hohe Bedeutung der IT-Sicherheit, haben es aber sehr schwer, personell aufzurüsten, um geeignete Qualifikationen an Bord zu holen. Generell sind aktuell auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuellsten Standards bieten.
:quality(80)/images.vogel.de/vogelonline/bdb/1317400/1317445/original.jpg "Bringt man cyberkriminelle Jugendliche auf den richtigen Weg, kann das auch das Problem des IT-Fachkräftemangels lösen. Dazu müssen aber viele Verantwortliche zusammenarbeiten. (Gorodenkoff - stock.adobe.com)")
Cybercrime und Fachkräftemangel
Auswege für cyberkriminelle Jugendliche
Der Quereinstieg im IT-Sicherheitsumfeld
Als Quereinsteiger in der IT-Sicherheitsbranche Fuß zu fassen, bedeutet oftmals, intensive Umschulungsprogramme und Weiterbildungsmaßnahmen zu absolvieren, die hohen persönlichen Einsatz erfordern. Von Quereinsteigern wird hohe Flexibilität und Eigeninitiative erwartet. Sie haben es angesichts der steigenden Komplexität immer schwerer, in die IT-Sicherheitsbranche zu gelangen. Durch die Komplexität und Anfälligkeit der IT-Systeme ist es gleichzeitig erforderlich, neben dem Fachwissen auch ein Verständnis für systemübergreifende Zusammenhänge mitzubringen.
:quality(80)/images.vogel.de/vogelonline/bdb/1318600/1318639/original.jpg "Trotz guter Chancen sehen viele Frauen eine Karriere in der IT-Sicherheit als wenig reizvoll. (pixabay)")
Studie von Kaspersky Labs
Junge Frauen sehen wenig Anreiz in Karriere im IT-Sicherheitsumfeld
Gesamtfazit
Der IT-Sicherheitsbereich im Finanzsektor hat Nachholbedarf, insbesondere wenn es um das personelle Aufrüsten geht. Da das Thema IT-Security alle Branchen betrifft und Fach- und Führungskräfte rund um die IT-Sicherheit eher rar sind, handelt es sich mittlerweile um einen Arbeitnehmermarkt. Daher empfiehlt es sich, auf Kompromisse bei geeigneten Bewerbern einzugehen, wenn nicht alle fachlichen Kompetenzen vorhanden sind. Darüber hinaus lohnt es sich, in hochqualifizierte Mitarbeiter und Weiterbildungsangebote zu investieren, um die größtmögliche Expertise im Unternehmen zu bündeln und zu halten.
Über den Autor: Henning Sander ist Business Unit Manager für den Bereich Banking bei der Hager Unternehmensberatung und besetzt Management- und Fachpositionen in der Bankenbranche. Henning Sander arbeitete er als internationaler Personalberater und war in diesem Rahmen sowohl für Recruiting als auch für Trainings und Auswahlverfahren zuständig. Darüber hinaus ist er ausgebildeter systemischer Coach.
(ID:45236920)
:quality(80)/images.vogel.de/vogelonline/bdb/1894000/1894030/original.jpg "Die Bedrohungslage im Bereich IT-Sicherheit ist in Deutschland hoch. Als Konsequenz fordert das BSI, der Informationssicherheit einen höheren Stellenwert beizumessen. (MH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881457/original.jpg "Soziale Medien beeinflussen politische Meinungsbildung: Mehr als die Hälfte der befragten Abgeordneten sehen eher Risiken als Chancen für die Demokratie. (Norbert - stock.adobe.com)")