5 Tipps nicht nur für Banken

Die Finanzbranche und der Kampf gegen Cybercrime

| Autor / Redakteur: Mohit Joshi, Vishal Salvi / Peter Schmitz

Für Banken ist eine lückenlose Cyber Security unverzichtbar, aber auch andere Unternehmen können von den Lehren der Finanzbranche lernen.
Für Banken ist eine lückenlose Cyber Security unverzichtbar, aber auch andere Unternehmen können von den Lehren der Finanzbranche lernen. (Bild: gemeinfrei)

Cyber-Attacken und Datenschutzverletzungen werden zunehmend komplexer und ausgefeilter. Immer mehr Banken und Finanzdienstleister setzen deswegen Protokolle ein, um ihre Stakeholder zu schützen. Jede Initiative, die Unternehmenssicherheit zu transformieren, erfordert aber eine entsprechende Strategie, belastbare Frameworks und einen unternehmensweiten Ansatz.

Laut einer BITKOM-Studie von 2018 wurden sieben von zehn Unternehmen (68 Prozent) in Deutschland in den vergangenen zwei Jahren Opfer von Datendiebstahl, Sabotage oder Spionage, weitere 19 Prozent der Unternehmen vermuten dies – es entstand ein Gesamtschaden von 43,4 Milliarden Euro. Es wird erwartet, dass der weltweite Schaden, der bis 2021 durch Cybercrime entstehen wird, die 6 Billionen US-Dollar-Grenze erreichen wird.

Insbesondere in der Financial Services-Branche gibt es zahlreiche Kanäle sowie schwache Standards für und bei der Datenübertragung – dies macht es für Hacker einfacher, sensible Daten zu stehlen. Doch gerade in dieser Branche hat der Schutz der Verbraucherdaten und -transaktionen oberste Priorität. Unternehmen benötigen deshalb umfassende Ansätze, um zu verhindern, dass Daten und Assets in die falschen Hände gelangen. Das erforderliche Level an Sicherheit sollte dabei sorgfältig und angemessen festgelegt werden. Dies vermeidet überflüssige Kosten und verhindert, dass Organisationen mögliche Geschäftspotenziale nicht ausschöpfen können.

Cybersecurity-Strategien sollten so entwickelt werden, dass sie das Cybersecurity-Framework eines Unternehmens unterstützen und Sicherheitsrisiken minimieren – und sich an den Geschäftszielen orientieren. Unternehmen benötigen konkrete Ziele, die einerseits das Geschäft unterstützen und andererseits kontinuierlich die Compliance durch effektive Kontrolle und Management von Cyber-Vorkommnissen verbessern.

Tipp 1: Die richtigen Fachkräfte einstellen

Unternehmen müssen eine dedizierte Abteilung aufbauen, die sich ausschließlich mit Cybersecurity beschäftigt und von einem Chief Information Security Officer (CISO) geleitet wird. Dieser sollte von spezialisierten Mitarbeitern mit der nötigen Technologieexpertise unterstützt werden. Analysten gehen davon aus, dass bis 2021 weltweit fast 3,5 Millionen Cybersecurity-Spezialisten fehlen werden – dabei sind diese gerade für den Bankensektor entscheidend. Da auch die Banken sich mitten in der digitalen Transformation befinden, geht das Thema Cybersecurity über die IT hinaus und betrifft auch Abteilungen wie HR, Legal oder Compliance. Cybersecurity-Teams sollten also funktionsübergreifend arbeiten, um den unternehmensweiten Datenschutz zu gewährleisten.

Tipp 2: Ausreichende Mittel zur Verfügung stellen

Sicherheit wird zu einem wichtigen Unterscheidungsmerkmal in der Bankenbranche: Die Kunden erwarten, dass ihr Geld, ihre Assets und ihre Daten sicher und geschützt sind. 2017 betrugen die direkten Kosten, die durch Cyberkriminalität in der Financial Services-Branche entstanden, pro Unternehmen weltweit 18,28 Millionen US-Dollar – keine andere Industrie wurde ähnlich schwerwiegend getroffen. Halten sich Unternehmen nicht an Sicherheitsprotokolle – und sind somit nicht compliant – können weitere Kosten auf sie zu kommen. Beispielsweise gibt es Prognosen, wonach die Nichteinhaltung der aktuellen EU-Datenschutzgrundverordnung (DSGVO) – Unternehmen bis zu 23,6 Millionen US-Dollar an Geldstrafe kosten kann. Sie sollten daher in ganzheitliche Cybersecurity-Systeme investieren, die den globalen Standards und Richtlinien entsprechen – und diese entsprechend umsetzen.

Tipp 3: Bedrohungen analysieren

Plattformen zur Bedrohungsanalysen sammeln Informationen über Angriffe und teilen Updates zu Patches, Protokollen, Hauptursachen, Malware usw. So können Unternehmen sich vor künftigen Attacken schützen. Damit solche Plattformen effektiv sein können, müssen die verschiedenen Interessensgruppen eng zusammenarbeiten. Besonders wichtig ist eine hohe Transparenz hinsichtlich der Art des Angriffs sowie der gefährdeten Unternehmens-Assets. In Deutschland gibt es hierfür beispielsweise die Allianz für Cybersicherheit. Hierbei handelt es sich um eine Initiative des Bundesamts für Sicherheit und Informationstechnik und des BITKOM mit über 3.000 Institutionen. Ziel der Allianz ist es, Informationen zu Cyberbedrohungen zur Verfügung zu stellen sowie den Informations- und Erfahrungsaustausch zwischen den Mitgliedern zu fördern.

Tipp 4: Eine zukunftsorientierte Strategie verfolgen

Cyber-Kriminelle sind kontinuierlich auf der Suche nach Infrastruktur-Schwachstellen. So gab es beispielsweise zahlreiche Angriffe auf Geldautomaten, bei denen Hacker die schwache Verschlüsselung oder remote installierte Malware nutzten, um Protokolle zu überschreiben und große Summen abzuheben. Dies unterstreicht, wie wichtig eine umfassende Sicherheitsstrategie ist, die die Bedrohungslandschaft und das Asset-Portfolio durchgehend bewertet, Fehlalarme von tatsächlichen Bedrohungen trennt und neue Technologien für eine höhere Agilität einsetzt.

Tipp 5: Geschäftsrisiko bewerten

Cybersecurity-Anwendungen zielen darauf ab, das Risiko auf ein überschaubares Maß zu minimieren. Banken und Finanzdienstleister müssen unternehmensweite Rahmenbedingungen für die Risikobewertung entwickeln und klare Strategien zur Risikominderung formulieren. Fachkenntnisse sollten dies weiter verstärken. Dabei ist es wichtig, dass das Sicherheitspersonal versteht, wie verschiedene Branchen im Tagesgeschäft arbeiten, um Risikopotenziale besser zu bewerten, die passenden Verteidigungsprotokolle einzusetzen und angemessen auf Bedrohungen zu reagieren. Damit Cybersecurity zu einer organisationsweiten Initiative und nicht nur zu einem punktuellen Ansatz wird, ist eine enge Zusammenarbeit der Abteilungen erforderlich.

Trotz technologischer Fortschritte sind Banken immer noch Opfer von Online-Angriffen und Datenschutzverletzungen. Der Einsatz von Best-in-Class-Technologien allein reicht nicht aus. Unternehmen benötigen die richtige Sicherheitsstrategie, die entsprechende Technologien zum Schutz interner und externer Daten nutzen kann. Die richtige Strategie konzentriert sich auf die Einstellung der passenden Fachkräfte, die Bewertung des Geschäftsrisikos, die kontinuierliche Verbesserung der Sicherheitsmaßnahmen, die Zuweisung ausreichender Ausgaben für die Unternehmenssicherheit sowie den Aufbau umfassender Funktionen zur Bedrohungsanalyse. Ein auf der Grundlage dieser Strategie entwickeltes Framework bietet eine starke Steuerung, Sicherheits-Layers, Transformationsmöglichkeiten und Fähigkeiten zur Bedrohungserkennung und -reaktion in Echtzeit. Unternehmen sind so Angriffen einen Schritt voraus und können Risiken und negative Auswirkungen auf das Unternehmen minimieren.

Über die Autoren: Mohit Joshi ist Präsident von Infosys, Vishal Salvi ist SVP und Chief Information Security Officer (CISO) von Infosys.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45825410 / Hacker und Insider)