Mit klaren Zugriffsrechten die IT-Sicherheit stärken IAM bringt mehr Sicherheit für Banken und Versicherungen

Autor / Redakteur: Christian Nern / Peter Schmitz

In der Corona-Pandemie haben Hackerangriffe auf Banken und Versicherungen stark zugenommen. Häufig sind die Mitarbeiter das unmittelbare Einfallstor. Finanzunternehmen sollten daher Schutzmechanismen etablieren, die alle IT-Systeme gleichermaßen umfassen – etwa durch die Integration eines zentralen Identity and Access Managements (IAM). Klingt wenig spektakulär? Von wegen! Denn ein hochmodernes IAM spielt für Kunden gerade in Zeiten von Hybrid Cloud oder Plattformen die zentrale Rolle und birgt zudem Potenzial für mehr Effektivität und Sicherheit.

Firmen zum Thema

Banken und Versicherungen können sich vor Cyberangriffen schützen, indem sie der IT-Sicherheit einen hohen Stellenwert einräumen und ihre IT-Landschaft mit einem ganzheitlichen Sicherheitsansatz aufsetzen.
Banken und Versicherungen können sich vor Cyberangriffen schützen, indem sie der IT-Sicherheit einen hohen Stellenwert einräumen und ihre IT-Landschaft mit einem ganzheitlichen Sicherheitsansatz aufsetzen.
(© peshkova - stock.adobe.com)

Multi-Cloud-Modelle, Künstliche Intelligenz (KI), Prozess-Automatisierung: Banken und Versicherungen setzen sich zwar schon seit Längerem mit der digitalen Transformation auseinander, treiben sie aber oftmals nicht mit dem gebotenen Tempo voran. Denn die Digitalisierung bedeutet Veränderung, Aufwand und hohe Investitionskosten – Risiken, die viele Institute zunächst nicht bereit sind, einzugehen. Der enge regulatorische Rahmen sowie die schwierige gesetzliche Lage hemmen den Digitalisierungsfortschritt zusätzlich. Doch wollen die Banken im internationalen Wettbewerb weiter bestehen, brauchen sie innovative Lösungen, wie zum Beispiel Cloud-Anwendungen, die die dringend benötigte Geschwindigkeit, Effizienz und Skalierbarkeit ermöglichen.

Nicht zuletzt durch die Pandemie hat die Digitalisierung aber kräftig an Fahrt aufgenommen: Der spontane Wechsel tausender Mitarbeiter ins Homeoffice hat den Druck auf Finanzunternehmen erhöht. Es galt, kurzfristig entsprechende technische Lösungen zu integrieren, sodass Angestellte auch von zu Hause ihrer Arbeit ohne Einschränkungen nachgehen konnten – und die Servicequalität trotz räumlicher Veränderungen aufrechterhalten wurde. In der Branche hat Corona daher für einen Digitalisierungsschub gesorgt: So gaben bei einer Umfrage des Digitalverbands Bitkom 33 Prozent der Banken und Versicherungen an, dass sich das Tempo bei der Digitalisierung der Geschäftsprozesse seit der Pandemie erhöht habe.

Finanzunternehmen erweitern ihre IT-Infrastruktur zunehmend um Multi-Cloud-Konzepte, wodurch jedoch die Netzwerk-, Anwendungs- und Benutzeradministration deutlich komplexer wird. Denn oftmals verfügen die einzelnen Systeme über unterschiedliche Managementtools, was eine einheitliche Verwaltung erschwert – und ein manuelles Management der verschiedenen lokalen Rechenzentren (On-Premises) und cloudbasierten Umgebungen ist schlicht nicht möglich. Eine Automatisierung der Security-Prozesse ist daher unumgänglich. So nutzen einige Unternehmen zum Beispiel für die Vergabe, Verwaltung und Rollenmodellierung von Zugriffsrechten ein zentrales Identity and Access Management (IAM) gepaart mit KI-Unterstützung und SOC-Integration (Security Operations Center).

Cyberkriminelle auf dem Vormarsch

Doch mit zunehmender Digitalisierung steigt nicht nur die Komplexität der IT-Systeme, sondern auch die Gefahr eines Cyberangriffs. So ging die Zahl der Attacken auf den Finanzsektor während der Corona-Pandemie deutlich nach oben: Der Sicherheitsbericht „Modern Bank Heists 2020“ des US-amerikanischen Software-Anbieters VMware Carbon Black verzeichnete während des ersten Lockdowns im Frühjahr 2020 einen Anstieg um 238 Prozent gegenüber dem Drei-Monats-Zeitraum des Vorjahres.

Durch den schnellen Wechsel ins Homeoffice mussten bei Unternehmen aus dem Bereich Financial Services IT- Lösungen oft kurzfristig aufgesetzt werden. Im Fokus stand die Aufrechterhaltung des laufenden Betriebs, sodass eine zügigen Implementierung Vorrang vor absoluter Sicherheit hatte. Cyberkriminelle rechneten mit solchen Schwachstellen, die sich durch eine remote gesteuerte IT-Landschaft ergibt, wie der massive Anstieg an Angriffsvektoren zeigt. Darüber hinaus waren Mitarbeiter durch die veränderte Situation und die Nutzung neuer Tools im Homeoffice leichter angreifbar und anfälliger für Social Engineering. Der Bericht zur Lage der IT-Sicherheit in Deutschland 2020 des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt auf, dass Cyberkriminelle die Unsicherheiten während der Pandemie rasch für sich genutzt haben – etwa mittels Phishing-Kampagnen, CEO- bzw. CFO-Fraud oder durch den Einsatz von Malware. Angreifer sorgten zum Beispiel mit gezielten Phishing-Attacken dafür, dass ihre Opfer Schadsoftware oder Trojaner installierten, die anschließend den PC, Kommunikationswege und Passwörter ausspionierten. Dadurch öffneten sich Einfallstore auf die unternehmensinterne IT-Infrastruktur. So haben sich zum Beispiel Ransomeware-Angriffe gegen Banken laut des Sicherheitsberichts von VMware Carbon Black verneunfacht.

Aufgrund der Pandemie hat auch die BaFin IT- und Cyberrisiken zu einem der Schwerpunkte des Aufsichtshandelns für 2021erklärt. Der verstärkte Fokus auf die IT-Sicherheit rührt insbesondere daher, dass die Menschen die digitalen Angebote von Finanzinstituten während der Lockdowns intensiver als zuvor genutzt haben. Ein Trend, der anhalten wird, wie eine Umfrage des Bitkom ergab: So erledigen mittlerweile 80 Prozent der Deutschen ihre Bankgeschäfte online. Digitale Geschäftsmodelle erfreuen sich also wachsender Beliebtheit. Doch damit verändern sich auch die Zugangs- und Kommunikationskanäle für Kunden, weshalb die BaFin einen weiteren Schwerpunkt in diesem Jahr auf den kollektiven Verbraucherschutz legt.

Ganzheitliches Sicherheitskonzept

Daher gilt nach wie vor die alte Regel: Die größte Gefahr bei Hackerangriffen geht zu 50 Prozent von der Architektur aus, zu 50 Prozent vom Menschen. Der Mensch wird zur Schwachstelle, wenn er Angaben blind vertraut und Forderungen per Mail ungeprüft nachkommt, wie beim CFO-Fraud. Ein weiterer Schwachpunkt ist die Wahl eines unsicheren Passworts für Firmen-Accounts, sodass sich Hacker leicht Zutritt verschaffen können. Und nicht zuletzt ist der Mitarbeiter auch dann eine Schwachstelle, wenn er dem Unternehmen bewusst schadet und zum Beispiel Daten oder Passwörter an Dritte weitergibt.

Banken und Versicherungen können sich aber schützen, indem sie der Cybersicherheit einen hohen Stellenwert einräumen und ihre IT-Landschaft mit einem ganzheitlichen Sicherheitsansatz aufsetzen. Dazu gehört unter anderem die Integration eines ausgefeilten Identity and Access Managements (IAM). Es sorgt für Sicherheit, indem Einfallstore für Hacker geschlossen werden, und vereinfacht gleichzeitig die Prozesse, da es die Zugriffsrechte auf die IT-Systeme der Regulatorik entsprechend festlegt. Voraussetzung dafür ist allerdings, dass sich die Verantwortlichen der Institute um eine klare Zuordnung von Rechten kümmern. Richtlinien bei der Definition von Rechten bzw. zugehörigen Rollenmodellen erhalten Banken und Versicherungen durch Policies, Governance und Aufsicht, zum Beispiel durch das Need-to-know-Prinzip und die Funktionstrennung. Basierend darauf erarbeiten Institute in einem ersten Schritt ein unternehmensweites Berechtigungskonzept, das notwendige Prozesse und Kontrollen wie Joiner-Mover-Leaver und Rezertifizierungen berücksichtigt. Dabei spielt auch das Privileged Access Management (PAM) eine Rolle: So sind nur wenige Mitarbeiter privilegierte User, die umfangreiche Administratoren-Rechte benötigen und deren Rechte sicher verwaltet werden müssen. Und Angestellte im Fachbereich brauchen andere Zugriffsrechte als beispielsweise Dienstleister. Vorgaben zum Berechtigungsmanagement, zur Funktionstrennung (SoD) sowie zur Rezertifizierung definieren zusammen mit der PAM-Prozessrichtlinie die Rechtevergabe und erleichtern sie dadurch.

Aufwand, der sich lohnt

Da die Integration eines IAM mit End-to-End-Ansatz zunächst viel Arbeit bedeutet, scheuen viele Institute oftmals davor zurück. Doch ein IAM, das sich über die gesamte IT-Infrastruktur eines Unternehmens erstreckt, hat viele Vorteile und macht den initialen Mehraufwand schnell durch eine effizientere Prozessgestaltung wett. Wird das IAM von Beginn an stringent aufgesetzt – angefangen bei der Definition von Benutzern, Rollen und Berechtigungen über den Prozess bis hin zur technischen Umsetzung und auch für Kundensysteme (Customer Identity- und Access Management, CIAM) – profitieren Banken und Versicherungen von einem durchdachten Zugriffsmanagement. Zum Erfolg wird das IAM, wenn sich fachliche und technische Verantwortliche in einem konsequenten Informationsaustausch befinden und organisatorische Abläufe sowie institutseigene Besonderheiten bei der Implementierung berücksichtigen.

Über den Autor: Christian Nern ist Partner bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang als Führungskraft in verschiedenen Bereichen in der IT-Industrie gearbeitet.

(ID:47635366)