:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mit klaren Zugriffsrechten die IT-Sicherheit stärken IAM bringt mehr Sicherheit für Banken und Versicherungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
In der Corona-Pandemie haben Hackerangriffe auf Banken und Versicherungen stark zugenommen. Häufig sind die Mitarbeiter das unmittelbare Einfallstor. Finanzunternehmen sollten daher Schutzmechanismen etablieren, die alle IT-Systeme gleichermaßen umfassen – etwa durch die Integration eines zentralen Identity and Access Managements (IAM). Klingt wenig spektakulär? Von wegen! Denn ein hochmodernes IAM spielt für Kunden gerade in Zeiten von Hybrid Cloud oder Plattformen die zentrale Rolle und birgt zudem Potenzial für mehr Effektivität und Sicherheit.
Multi-Cloud-Modelle, Künstliche Intelligenz (KI), Prozess-Automatisierung: Banken und Versicherungen setzen sich zwar schon seit Längerem mit der digitalen Transformation auseinander, treiben sie aber oftmals nicht mit dem gebotenen Tempo voran. Denn die Digitalisierung bedeutet Veränderung, Aufwand und hohe Investitionskosten – Risiken, die viele Institute zunächst nicht bereit sind, einzugehen. Der enge regulatorische Rahmen sowie die schwierige gesetzliche Lage hemmen den Digitalisierungsfortschritt zusätzlich. Doch wollen die Banken im internationalen Wettbewerb weiter bestehen, brauchen sie innovative Lösungen, wie zum Beispiel Cloud-Anwendungen, die die dringend benötigte Geschwindigkeit, Effizienz und Skalierbarkeit ermöglichen.
Nicht zuletzt durch die Pandemie hat die Digitalisierung aber kräftig an Fahrt aufgenommen: Der spontane Wechsel tausender Mitarbeiter ins Homeoffice hat den Druck auf Finanzunternehmen erhöht. Es galt, kurzfristig entsprechende technische Lösungen zu integrieren, sodass Angestellte auch von zu Hause ihrer Arbeit ohne Einschränkungen nachgehen konnten – und die Servicequalität trotz räumlicher Veränderungen aufrechterhalten wurde. In der Branche hat Corona daher für einen Digitalisierungsschub gesorgt: So gaben bei einer Umfrage des Digitalverbands Bitkom 33 Prozent der Banken und Versicherungen an, dass sich das Tempo bei der Digitalisierung der Geschäftsprozesse seit der Pandemie erhöht habe.
Finanzunternehmen erweitern ihre IT-Infrastruktur zunehmend um Multi-Cloud-Konzepte, wodurch jedoch die Netzwerk-, Anwendungs- und Benutzeradministration deutlich komplexer wird. Denn oftmals verfügen die einzelnen Systeme über unterschiedliche Managementtools, was eine einheitliche Verwaltung erschwert – und ein manuelles Management der verschiedenen lokalen Rechenzentren (On-Premises) und cloudbasierten Umgebungen ist schlicht nicht möglich. Eine Automatisierung der Security-Prozesse ist daher unumgänglich. So nutzen einige Unternehmen zum Beispiel für die Vergabe, Verwaltung und Rollenmodellierung von Zugriffsrechten ein zentrales Identity and Access Management (IAM) gepaart mit KI-Unterstützung und SOC-Integration (Security Operations Center).
Cyberkriminelle auf dem Vormarsch
Doch mit zunehmender Digitalisierung steigt nicht nur die Komplexität der IT-Systeme, sondern auch die Gefahr eines Cyberangriffs. So ging die Zahl der Attacken auf den Finanzsektor während der Corona-Pandemie deutlich nach oben: Der Sicherheitsbericht „Modern Bank Heists 2020“ des US-amerikanischen Software-Anbieters VMware Carbon Black verzeichnete während des ersten Lockdowns im Frühjahr 2020 einen Anstieg um 238 Prozent gegenüber dem Drei-Monats-Zeitraum des Vorjahres.
Durch den schnellen Wechsel ins Homeoffice mussten bei Unternehmen aus dem Bereich Financial Services IT- Lösungen oft kurzfristig aufgesetzt werden. Im Fokus stand die Aufrechterhaltung des laufenden Betriebs, sodass eine zügigen Implementierung Vorrang vor absoluter Sicherheit hatte. Cyberkriminelle rechneten mit solchen Schwachstellen, die sich durch eine remote gesteuerte IT-Landschaft ergibt, wie der massive Anstieg an Angriffsvektoren zeigt. Darüber hinaus waren Mitarbeiter durch die veränderte Situation und die Nutzung neuer Tools im Homeoffice leichter angreifbar und anfälliger für Social Engineering. Der Bericht zur Lage der IT-Sicherheit in Deutschland 2020 des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt auf, dass Cyberkriminelle die Unsicherheiten während der Pandemie rasch für sich genutzt haben – etwa mittels Phishing-Kampagnen, CEO- bzw. CFO-Fraud oder durch den Einsatz von Malware. Angreifer sorgten zum Beispiel mit gezielten Phishing-Attacken dafür, dass ihre Opfer Schadsoftware oder Trojaner installierten, die anschließend den PC, Kommunikationswege und Passwörter ausspionierten. Dadurch öffneten sich Einfallstore auf die unternehmensinterne IT-Infrastruktur. So haben sich zum Beispiel Ransomeware-Angriffe gegen Banken laut des Sicherheitsberichts von VMware Carbon Black verneunfacht.
Aufgrund der Pandemie hat auch die BaFin IT- und Cyberrisiken zu einem der Schwerpunkte des Aufsichtshandelns für 2021erklärt. Der verstärkte Fokus auf die IT-Sicherheit rührt insbesondere daher, dass die Menschen die digitalen Angebote von Finanzinstituten während der Lockdowns intensiver als zuvor genutzt haben. Ein Trend, der anhalten wird, wie eine Umfrage des Bitkom ergab: So erledigen mittlerweile 80 Prozent der Deutschen ihre Bankgeschäfte online. Digitale Geschäftsmodelle erfreuen sich also wachsender Beliebtheit. Doch damit verändern sich auch die Zugangs- und Kommunikationskanäle für Kunden, weshalb die BaFin einen weiteren Schwerpunkt in diesem Jahr auf den kollektiven Verbraucherschutz legt.
Ganzheitliches Sicherheitskonzept
Daher gilt nach wie vor die alte Regel: Die größte Gefahr bei Hackerangriffen geht zu 50 Prozent von der Architektur aus, zu 50 Prozent vom Menschen. Der Mensch wird zur Schwachstelle, wenn er Angaben blind vertraut und Forderungen per Mail ungeprüft nachkommt, wie beim CFO-Fraud. Ein weiterer Schwachpunkt ist die Wahl eines unsicheren Passworts für Firmen-Accounts, sodass sich Hacker leicht Zutritt verschaffen können. Und nicht zuletzt ist der Mitarbeiter auch dann eine Schwachstelle, wenn er dem Unternehmen bewusst schadet und zum Beispiel Daten oder Passwörter an Dritte weitergibt.
Banken und Versicherungen können sich aber schützen, indem sie der Cybersicherheit einen hohen Stellenwert einräumen und ihre IT-Landschaft mit einem ganzheitlichen Sicherheitsansatz aufsetzen. Dazu gehört unter anderem die Integration eines ausgefeilten Identity and Access Managements (IAM). Es sorgt für Sicherheit, indem Einfallstore für Hacker geschlossen werden, und vereinfacht gleichzeitig die Prozesse, da es die Zugriffsrechte auf die IT-Systeme der Regulatorik entsprechend festlegt. Voraussetzung dafür ist allerdings, dass sich die Verantwortlichen der Institute um eine klare Zuordnung von Rechten kümmern. Richtlinien bei der Definition von Rechten bzw. zugehörigen Rollenmodellen erhalten Banken und Versicherungen durch Policies, Governance und Aufsicht, zum Beispiel durch das Need-to-know-Prinzip und die Funktionstrennung. Basierend darauf erarbeiten Institute in einem ersten Schritt ein unternehmensweites Berechtigungskonzept, das notwendige Prozesse und Kontrollen wie Joiner-Mover-Leaver und Rezertifizierungen berücksichtigt. Dabei spielt auch das Privileged Access Management (PAM) eine Rolle: So sind nur wenige Mitarbeiter privilegierte User, die umfangreiche Administratoren-Rechte benötigen und deren Rechte sicher verwaltet werden müssen. Und Angestellte im Fachbereich brauchen andere Zugriffsrechte als beispielsweise Dienstleister. Vorgaben zum Berechtigungsmanagement, zur Funktionstrennung (SoD) sowie zur Rezertifizierung definieren zusammen mit der PAM-Prozessrichtlinie die Rechtevergabe und erleichtern sie dadurch.
Aufwand, der sich lohnt
Da die Integration eines IAM mit End-to-End-Ansatz zunächst viel Arbeit bedeutet, scheuen viele Institute oftmals davor zurück. Doch ein IAM, das sich über die gesamte IT-Infrastruktur eines Unternehmens erstreckt, hat viele Vorteile und macht den initialen Mehraufwand schnell durch eine effizientere Prozessgestaltung wett. Wird das IAM von Beginn an stringent aufgesetzt – angefangen bei der Definition von Benutzern, Rollen und Berechtigungen über den Prozess bis hin zur technischen Umsetzung und auch für Kundensysteme (Customer Identity- und Access Management, CIAM) – profitieren Banken und Versicherungen von einem durchdachten Zugriffsmanagement. Zum Erfolg wird das IAM, wenn sich fachliche und technische Verantwortliche in einem konsequenten Informationsaustausch befinden und organisatorische Abläufe sowie institutseigene Besonderheiten bei der Implementierung berücksichtigen.
Über den Autor: Christian Nern ist Partner bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang als Führungskraft in verschiedenen Bereichen in der IT-Industrie gearbeitet.
(ID:47635366)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913855/original.jpg "Sind zu viele digitale Identitäten in Unternehmenssystemen hinterlegt, wird die Verwaltung schnell schwierig oder sogar zum Sicherheitsrisiko. (freshidea - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881457/original.jpg "Soziale Medien beeinflussen politische Meinungsbildung: Mehr als die Hälfte der befragten Abgeordneten sehen eher Risiken als Chancen für die Demokratie. (Norbert - stock.adobe.com)")