Cybersicherheit als Wettbewerbsfaktor für die Finanzwirtschaft

Torsten Jüngling Foto: BT (Germany) GmbH & Co. oHG

In schöner Regelmäßigkeit wird die Öffentlichkeit schon seit einigen Jahren durch groß angelegte Cyberattacken aufgeschreckt. Mal sind ganz konkrete Funktionen von privaten Nutzern gestört, mal fällt die Infrastruktur von Unternehmen aus. Manchmal wird im Nachhinein ein größerer Datendiebstahl bekannt. All diese Vorfälle schüren Unsicherheit. Sie mindern möglicherweise die Akzeptanz für die Nutzung digitaler Angebote und bremsen den Ausbau neuer Lösungen. In der Finanzwirtschaft registriert der Autor eine vergleichsweise große Sensibilität für Sicherheitsfragen. Den Kunden wie dem Management bescheinigt er in dieser Branche sehr wohl ein gutes Gespür für die vertrauensbildende Wirkung von hohen Sicherheitsstandards. Er wirbt dafür, eine umfassende IT-Sicherheitsstrategie nicht als lästiges Beiwerk, sondern als Voraussetzung für eine erfolgreiche digitale Transformation - und ein wichtiges Differenzierungsmerkmal für die Finanzwirtschaft - anzusehen. (Red.)

In der Finanzwirtschaft wird die IT-Sicherheit oft noch als Hindernis auf dem Weg zur digitalen Transformation gesehen, etwa bei der Zusammenarbeit mit Fintech-Unternehmen. 71 Prozent der Entscheider in internationalen Finanzinstituten bezeichnen die IT-Sicherheit bei der Zusammenarbeit mit Partnern als Risiko für die eigene Organisation und damit als Bremse für digitale Innovationen. Das war eines der Ergebnisse einer Studie der auf Finanzthemen spezialisierten internationalen Anwaltskanzlei Simmons & Simmons im vergangenen Jahr.

Größere Angriffsfläche durch Digitalisierung und Internetvernetzung

Die Sorge der Finanzprofis ist nicht unberechtigt, denn die Bedrohung ist allgegenwärtig: Zwei von drei Industrieunternehmen sind in Deutschland in den vergangenen zwei Jahren Opfer von Cyberkriminellen geworden. Nach Angaben des Digitalverbands Bitkom belief sich der Schaden für die deutsche Industrie auf über 22 Milliarden Euro pro Jahr. Und die Gefahr nimmt zu: Cyberkriminelle machen sich die neuen Technologien zunutze, während Banken durch alte IT-Systeme und die fortschreitende Digitalisierung und zunehmende Vernetzung über das Internet eine immer größere Angriffsfläche bieten.

Eine neue Gefahr entsteht durch die Einführung der EU-Zahlungsdienste-Richtlinie "PSD2" (Payment Services Directive). Banken sind verpflichtet, sich gegenüber Drittanbietern zu öffnen, um den europaweiten Wettbewerb zu erhöhen und die Teilnahme auch von Nichtbanken am Zahlungsverkehr zu ermöglichen. Die dazu erforderlichen neuen Schnittstellen bedeuten auch zusätzliche Möglichkeiten für potenzielle Angreifer.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagierte auf die wachsenden IT-Risiken durch die Digitalisierung mit den "Bankaufsichtlichen Anforderungen an die IT". Das Regelwerk verlangt von den Geschäftsleitungen der Kreditinstitute unter anderem ein Informationssicherheitsmanagement, für das sie Informationssicherheitsprozesse zum Schutz vor Risiken sowie für Wiederherstellungsmaßnahmen definieren müssen, die dem aktuellen Stand der Technik entsprechen.

Ein zentrales Thema für Führungskräfte

Auch auf dem diesjährigen Weltwirtschaftsgipfel in Davos war das Thema Cybersicherheit einer der Diskussionsschwerpunkte für die Führungskräfte aus aller Welt, zumal sich die Erkenntnis durchgesetzt hat, dass Cyberangriffe wirklich jeden treffen und großen Schaden anrichten können. Umso erstaunlicher ist es, dass viele Vorstände die Sicherheit ihrer Informationstechnologie noch immer als lästige Notwendigkeit ansehen, anstatt sie als strategisch wichtiges Thema zu behandeln.

In einer internationalen Studie von BT gaben mehr als 20 Prozent der befragten CEOs an, dass Sicherheit für sie ein "notwendiges Übel" sei. Sie sind zwar der Meinung, dass mögliche Sicherheitsrisiken nicht ihre digitale Transformation bremsen sollten, dennoch sehen sie darin das größte Hemmnis ihrer Digitalstrategie.

Erfreulicherweise ist die Finanzbranche in dieser Hinsicht, auch aufgrund der strengen Regulierungs- und Sicherheitsvorgaben, einen großen Schritt voraus. Unter den befragten Entscheidern aus der Finanzindustrie gab fast die Hälfte (46 Prozent) an, dass Cybersicherheit für sie ein Differenzierungsmerkmal im Wettbewerb ist. Im Branchenvergleich liegen sie damit deutlich an der Spitze.

Unternehmen, die die fundamentale Bedeutung von Cybersecurity für die Sicherheit und Profitabilität ihres Geschäfts erkannt haben, können sich einen wertvollen Vorsprung vor der Konkurrenz erarbeiten - zumal Kunden es zunehmend wertschätzen, wenn ihre Bank durch hohe Sicherheitsstandards hervorsticht. Gerade deutsche Kunden stellen besonders hohe Sicherheitsanforderungen an ihre Banken. Nach einer Befragung der Bank HSBC würden deutsche Kunden wegen einer Sicherheitslücke bei ihrer Hausbank eher zu Wettbewerbern wechseln als bei zu geringer Rendite ihres Aktienfonds. IT-Sicherheit zahlt sich also für Banken aus und gehört unbedingt auf die Agenda des Vorstands als wesentlicher Bestandteil der digitalen Transformationsstrategie.

Neue Angriffsmöglichkeiten durch komplexere Strukturen

Die digitale Transformation passt jedoch nicht immer ohne Weiteres zu den IT-Sicherheitsstrategien. Die zunehmende Verbreitung von sogenannten softwaredefinierten Netzwerken (SDNs) sowie cloudbasierten Anwendungen wirkt beispielsweise als Katalysator für die digitale Transformation von Finanzdienstleistungen. Für jeden dritten CEO ist Cloud Computing der wichtigste Trend in den kommenden zwei bis drei Jahren. Allerdings stellt Cloud Computing die IT-Abteilungen vor große Herausforderungen, denn viele Unternehmen verfügen nicht über die Expertise, hybride Infrastrukturen zu implementieren und zu verwalten. Sie sind komplexer und deshalb schwieriger zu schützen, Cyberkriminellen bieten sie neue Angriffswege.

CIOs der Finanzbranche sollten sich bei der digitalen Transformation zunächst fragen, ob sie sich auch tatsächlich der Risiken bewusst sind, die mit diesen Technologien einhergehen, und wie sie ihre bestehende Struktur nahtlos in die neue, hybride Welt überführen können. Die am 25. Mai in Kraft tretende Datenschutz- Grundverordnung der Europäischen Union (DSGVO) verdeutlicht, dass die Zeiten, in denen über Sicherheit und Infrastruktur als zwei getrennte Dinge gesprochen wurde, endgültig vorbei sind. Bei datenschutzrechtlichen Verstößen drohen Unternehmen künftig Bußgelder von bis zu vier Prozent ihres globalen Umsatzes. Fazit: Sicherheit muss bereits beim Entwurf der digitalen Infrastruktur ein integraler Bestand sein und nicht später hinzugefügt werden.

Proaktive statt reaktive Sicherheitskonzepte

Wie können Unternehmen also die Cyberrisiken von Hybridtechnologien verringern und die digitale Transformation vorantreiben? Zunächst geht es darum, das Thema Cybersicherheit auf Vorstandsebene zu verankern. Sicherheitsexperten oder CISOs (Chief Information Security Officers) müssen die Problematik für Geschäftsführung und Vorstand greifbar machen und die ungeheuren Auswirkungen eines Sicherheitszwischenfalls für das gesamte Unternehmen verdeutlichen. Überzeugend sind zum Beispiel Livevorführungen, bei denen die katastrophalen Schäden eines echten Angriffs simuliert werden. Gefragt ist ein proaktives statt eines reaktiven Sicherheitskonzepts: Unternehmen mit hybriden Umgebungen sind immer anfällig für Cyberangriffe. Sie müssen sich daher gründlich mit einem Notfallplan auf mögliche Angriffsszenarien vorbereiten.

Auch wenn das Wort "Cyber" darauf hindeuten könnte, dass nur die IT-Abteilung sich mit dem Thema beschäftigen müsse bei der IT-Sicherheit ist ein ganzheitlicher Ansatz gefragt. Vorstände sollten der IT-Sicherheit die gleiche strategische Bedeutung beimessen wie anderen Unternehmensthemen. Gerade in der Finanzbranche ist das Vertrauen gewissermaßen der Kitt, der Banken und ihre Kunden zusammenhält. Cybervorfälle können dieses Vertrauen schwer beschädigen. Mit der richtigen Vorbereitung kann ein Unternehmen aber selbst im Fall eines schwerwiegenden Zwischenfalls zeigen, dass es die Situation unter Kontrolle hat und das Risiko begrenzen kann. IT-Sicherheit ist deshalb nicht der Hemmschuh, sondern bildet die Grundlage für die digitale Transformation in der Finanzbranche.

Quellen

Hyperfinance - Studie von Simmons & Simmons, https://hyper-finance.com

BITKOM: Industrie im Visier von Cyberkriminellen, www.bitkom.org

BaFin: Bankaufsichtliche Anforderungen an die IT, www.bafin.de

"Digital CEO"-Studie von BT, www.globalservices. bt.com

Torsten Jüngling Leiter Security für Deutschland, Österreich und die Schweiz (DACH), Skandinavien sowie Osteuropa, BT (Germany) GmbH & Co. oHG, München

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X