Wie gut sind Finanzdienstleister auf Cyberbedrohungen vorbereitet? Eine aktuelle Studie von Lünendonk und KPMG zeichnet ein genaues Bild der IT-Sicherheit in der Finanzbranche.
Das Thema Nachhaltigkeit dominiert seit einigen Jahren nicht nur den öffentlichen Diskurs, es ist auch im Herzen des Finanzsektors angekommen. Etwa in Gestalt nachhaltiger Investments und ESG-Regulatorik. Doch im Schatten dieser scheinbar größten Herausforderung unserer Zeit ist eine neue Bedrohung entstanden, die genauso gefährlich ist wie der Klimawandel – jedoch lautlos und unsichtbar: Cyberkriminalität.
Laut dem Report „Die Lage der IT-Sicherheit in Deutschland 2023“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden täglich etwa 70 neue Schwachstellen in Softwareprodukten entdeckt – ein Anstieg um 25 Prozent im Vergleich zu 2022. Mit seinem Angriff auf die Ukraine 2022 hat Russland dem Westen den Cyberkrieg erklärt, Hackerkollektive arbeiten zunehmend spezialisiert, international und professionell organisiert. Und der Einsatz von Künstlicher Intelligenz (KI) hebt die Fähigkeiten von Cyberkriminellen derzeit auf ein neues Level. Wie wirkt sich diese Bedrohungslage auf den Finanzsektor mit seinen besonders schützenswerten Daten aus? Wo gibt es Nachholbedarf, wo besondere Potentiale für die Branche? Christian Nern, Experte für IT-Sicherheit bei KPMG, beleuchtet diese Fragen in einem Marktkommentar.
Die aktuelle Lünendonk®-Studie „Von Cyber Security zu Cyber Resilience“ (2024) mit Unterstützung von KPMG wirft in nunmehr dritter Auflage einen umfassenden Blick auf den Stand der Cyberresilienz in unterschiedlichen Branchen. Aus 150 Unternehmen aus der DACH-Region wurden Security-Verantwortliche telefonisch befragt: Wie sehen sich Unternehmen im deutschsprachigen Raum hinsichtlich des Spannungsfeldes aus digitaler Transformation und Cyber Security aufgestellt? Welche Maßnahmen ergreifen sie, um ihre Geschäftsprozesse und Daten auch in einer digitalen und vernetzten Welt zu sichern?
Ein wichtiger Faktor in dieser Konstellation ist der Finanzsektor: Zum einen sind die Sicherheit und Zuverlässigkeit von Kreditwesen, Aktienmärkten und Vermögenswerten grundlegend für das Funktionieren unseres gesamten Wirtschaftssystems. Zum anderen steht die Branche traditionell unter größerem Regulatorikdruck und strengerer Behördenbeaufsichtigung als viele andere Unternehmen. Drittens befindet sie sich gegenwärtig durch die Digitalisierung in einem tiefgreifenden Transformationsprozess mit teils hohen Investitionshürden. In diesem Spannungsfeld müssen Banken und Versicherungen den Cyberbedrohungen einer hypervernetzten, sich technologisch rasant weiterentwickelnden Welt entschlossen und effizient begegnen. Grundlage dafür ist es, seinen Feind genau zu kennen.
Alarmstufe Rot
90 Prozent der Finanzdienstleister sehen eine Steigerung der Bedrohungslage im Vergleich zu 2023 – vor allem durch Ransomware und Phishing-Kampagnen, Insider Threats und Angriffe auf externe Dienstleister. Auch die Einflussfaktoren „geopolitische Lage“ und „Distributed Denial of Service (DDoS)“ wurden von den befragten Finanzdienstleistern deutlich stärker gewichtet als im Branchendurchschnitt. 24 Prozent der Banken, Versicherungen und Asset-Management-Firmen verzeichnen einen starken Anstieg der Cyberangriffe in den letzten 12 Monaten – also eine Attacke mit konkreter Auswirkung auf den Geschäftsbetrieb und dessen Rentabilität. Und auch bei leichten Anstiegen liegen Finanzdienstleister mit 66 Prozent sechs Prozentpunkte über dem Durchschnitt.
Die sich verändernde geopolitische Lage bedeutet eine neue Qualität der Bedrohung: Hackerkollektive versuchen, durch Datenklau oder DDoS-Attacken Geld von großen Konzernen zu erpressen. Doch sie gehen auch darüber hinaus: Die Gruppierungen verfolgen auch das Ziel, die Kritische Infrastruktur im Westen zu zerstören. Seit Beginn des russischen Angriffskriegs auf die Ukraine ist eine Zunahme von Advanced Persistent Threats (APTs) zu beobachten. APT-Angriffe sind langfristig und mit großem Aufwand geplante Attacken auf ausgewählte Ziele, die der kriminellen Gewinnerzielung dienen, oft aber auch politisch motiviert sind. Neben der Landesverteidigung, der Infrastruktur vom Verkehr über das Gesundheitswesen bis zur Energieversorgung, befindet sich mit der Finanzbranche auch das Rückgrat unseres Wirtschaftssystems im Fadenkreuz.
Einen enormen Anstieg zeigt die Studie von Lünendonk und KPMG bei Insider Threats, also der absichtlichen Weitergabe von Daten oder geistigem Eigentum durch Mitarbeitende. Während zu Beginn des Jahres 2023 erst 37 Prozent der Unternehmen hierdurch eine hohe Bedrohung sahen, sind es 2024 bereits 65 Prozent im Gesamtdurchschnitt. 48 Prozent der befragten Unternehmen sehen zudem ein großes Risiko in Angriffen auf ihre IT-Dienstleister. Diese haben meist das Ziel, die Systeme der jeweiligen Kunden zu infiltrieren und deren Daten zu erbeuten.
Im Branchenvergleich zeigt sich insbesondere bei den befragten Finanzdienstleistern eine etwas höhere Bedrohungslage gegenüber dem Jahr 2023 – unter anderem aufgrund der veränderten geopolitischen Lage und der damit verbundenen Zunahme von DDoS-Angriffen auf Finanzdienstleister. Beide Einflussfaktoren auf die Bedrohungslage – geopolitische Lage und DDoS – wurden von den befragten Finanzdienstleistern deutlich stärker gewichtet als im Branchendurchschnitt.
Von der Not zur Tugend: Schwachstellen aufdecken
Trotz dieser besorgniserregenden Bedrohungslage gibt es positive Nachrichten: Die Finanzbranche deutet die Zeichen der Zeit richtig und ergreift Gegenmaßnahmen. Das spiegelt sich unter anderem in den Budgets wider: 46 Prozent der Finanzdienstleister investieren fünf bis zehn Prozent ihres Jahresbudgets in Cybersicherheit. Damit liegt die Branche knapp vor der Industrie (44 %) und über dem Gesamtdurchschnitt (45 %).
Vor allem nach erfolgreichen Cyberangriffen wird verstärkt in den Aufbau von Security-Kompetenzen investiert. Denn sehr viele Schwachstellen werden erst durch erfolgte Angriffe sichtbar – etwa in eingesetzter Software von Drittpartnern, veralteten IT-Systemen oder Hardware. Ein Beispiel hierfür ist die Kundenschnittstelle: Durch selbstentwickelte oder externe Software wird sie zunehmend digitalisiert, im Vertrieb kommen Digital-Commerce-Plattformen zum Einsatz. Immer mehr solcher Softwareprodukte weisen laut dem BSI schwerwiegende Schwachstellen auf – oft im Identity and Access Management (IAM), also dem Schutz und der Verwaltung von digitalen Identitäten und Zugriffsrechten.
Um Schwachstellen zu erkennen, bevor Schäden auftreten, investieren die meisten Unternehmen daher in den Bereich „Identify“. Ein effektives IAM gilt als eines der wirksamsten Methoden, um die Kompromittierung der IT-Systeme zu verhindern. Im Fokus aller Studienteilnehmer stehen das Identifizieren von Schwachstellen und Sicherheitslücken (Vulnerability Management) sowie das Identity and Access Management (88 %) als besonders kritisches Element einer Cyber-Security-Strategie. Als Teilbereich vom Identity and Access Management richten 81 Prozent aller befragten Unternehmen ihr Augenmerk auf das Privileged Access Management (PAM). Bei den Banken gehören analog zu diesen Trends Ausbau und Optimierung von IAM, PAM und BCM (Business Continuity Management) zu den Top-Investitionsbereichen. Auch mit Investitionen in ihre Security Operations Center (SOC) mit Fokus auf KI-gestützte Gefahrenabwehr, eine Verbesserung des Vulnerability Managements und den Ausbau von Incident-Response-Strategien, hat der Finanzsektor den richtigen Weg eingeschlagen.
Safety first: Cyber Security bei Cloud-Migration
Im Bankensektor hat die Cloud-Migration in den letzten zwei Jahren stark an Fahrt aufgenommen. In diesem Kontext nimmt ein Großteil der Finanzdienstleister aber auch eine verschärfte Bedrohungslage wahr. 72 Prozent glauben, dass sich durch die Cloud-Nutzung das Risiko erhöht, Opfer eines schwerwiegenden Cyberangriffs zu werden. Diese Wahrnehmung der Cloud als Security-Risiko für den Geschäftsbetrieb ist durchaus nachvollziehbar, da Finanzdienstleister in der Regel ein deutlich stärker digitalisiertes Geschäftsmodell haben und erfolgreiche Cyberangriffe sich damit unmittelbar auf den Geschäftsbetrieb auswirken (z. B. Störungen im Onlinebanking oder Zahlungsverkehr).
Gefahr besteht zudem, wenn Legacy-Systeme mit Cloud-Diensten verbunden werden. Dann können sich über ungesicherte Stellen Zugriffe auf kritische Prozesse und Daten ergeben. Hier stehen Versicherungen mitunter vor Herausforderungen, wenn ihr Digitalisierungsgrad noch nicht dem allgemeinen Niveau der Branche entspricht. Neue Regularien wie der Digital Operational Resilience Act (DORA), verpflichtend ab Januar 2025, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) und der Cyber Resilience Act (CRA) werden aber zu den notwendigen Investitionen in die Cloud Security führen.
Dass 58 Prozent der befragten Unternehmen in der zunehmenden Cloud-Nutzung ein höheres Sicherheitsrisiko sehen, hängt unter anderem damit zusammen, dass viele von ihnen hinsichtlich ihrer Cloud-Security-Prozesse noch nicht optimal aufgestellt zu sein scheinen. Lediglich hinsichtlich der Einbettung von Identity and Access Management in die bestehenden IT-Systeme und Datenbanken sehen sich zwei von drei Unternehmen (66 %) bereits gut aufgestellt. Bei den befragten Finanzdienstleistern ist das mit 57 Prozent allerdings deutlich seltener der Fall. Geht es konkret um die Frage, wie gut das IAM in die Cloud-Prozesse integriert ist, sehen sich nur 48 Prozent der befragten Unternehmen und sogar nur 28 Prozent der Finanzdienstleister gut gerüstet.
Allerdings kommt die Studie ebenfalls zu dem Ergebnis, dass Cyber Security ein elementarer Bestandteil der Cloudstrategien des Finanzsektors ist. Gerade hinsichtlich DORA sind regelmäßige Security Audits, Verschlüsselung und Integration in typische Security-Themen geplant. 90 Prozent der Finanzdienstleister investieren ins Security Incident and Event Management (SIEM). Hinzu kommen der Aufbau von IAM/PAM, Lösungen im Security Orchestration and Automation Response (SOAR) sowie der Aufbau einer Cyber Security Management Platform (CSPM). In SOAR-Lösungen wollen branchenübergreifend 69 Prozent der Unternehmen stärker investieren.
Warum aber klaffen der tatsächliche Reifegrad der IT-Security und die Risikowahrnehmung im Finanzsektor so weit auseinander? Hier kann nur spekuliert werden, dass die Branche womöglich besser geschützt ist, als sie glaubt. Einerseits führt ein vergleichsweise hoher Digitalisierungsgrad natürlich auch zu größerer Vulnerabilität, andererseits erfordert der junge Trend Cloud-Migration Vertrauen in externe Anbieter, das über Jahre wachsen muss. Diese investieren derzeit massiv in den Schutz ihrer Cloud-Infrastrukturen und Softwareprodukte – deutlich stärker, als es einzelne Organisationen mit limitierten Budgets leisten können. Und wie immer in solchen Fällen fehlen Vergleichswerte dazu, ob die Branche mit einer sperrigen, aufwendigen und oft veralteten On-Premise-IT-Sicherheit heute besser aufgestellt wäre.
Maßnahmenpaket: Von der Sicherheit zur Resilienz
Was ist konkret zu tun, um von IT-Sicherheit zu Cyber Security und schließlich zu einer wirkungsvollen Cyber Resilience zu gelangen? Für 89 Prozent der befragten Unternehmen geht es vor allem darum, sich Transparenz über die Bedrohungslage zu verschaffen und dazu den Fokus deutlich stärker auf die Cyber-Risikobewertung auf Basis der Threatvektoren (wie DORA verpflichtend ab Januar 2025 vorschreibt) zu legen sowie Kenntnisse über potenzielle Angriffsvektoren zu erhalten.
Darüber hinaus ist die IT-Modernisierung für 81 Prozent der Unternehmen ein sehr wichtiges Element für den Aufbau von Cyber-Resilienz. Da die meisten IT-Landschaften historisch gewachsen, jahrzehntealt und häufig durch Eigenentwicklungen geprägt sind, finden sich oft Schwachstellen aufgrund veralteter Codes, Konfigurationsfehlern oder unzureichender Wartung.
Der wichtigste Faktor in der Finanzbranche ist die Cyber-Risikobewertung auf Basis einer präzisen Analyse der Angriffsvektoren. Dazu gehören regelmäßige Sicherheitsüberprüfungen (76 % gesamt) und die Optimierung von Audits und Schwachstellenanalysen. 74 Prozent aller Befragten entwickeln Incident-Response-Pläne, 71 Prozent setzen auf gut eingespielte Krisenteams für den Fall von Cyber-Angriffen. Im Branchenvergleich zeigt sich, dass im hochregulierten Finanzdienstleistungssektor End-2-End-Prozesse darüber hinaus ein wichtiger Treiber für einen höheren Cyber-Sicherheitsgrad (58 %) sind.
Um einen Gesamtüberblick über die Security-Prozesse aller Systeme zu gewinnen und deren End-2-End-Orchestrierung vorzunehmen, sind die Tools Security Incident and Event Management (SIEM) und Security Orchestration and Automation Response (SOAR) entscheidend. Daher ist es nur konsequent, dass branchenübergreifend 81 Prozent der befragten Unternehmen einen starken Fokus auf das Security Information and Event Management (SIEM) legen. Die steigenden Investitionen in ein SIEM stehen aber nicht nur in einem engen Zusammenhang zu den regulatorischen Anforderungen rund um die zunehmende Cloud-Nutzung. Auch der Schutz von geistigem Eigentum sowie sensiblen Kundendaten sind wichtige Faktoren. In SOAR-Lösungen wollen die untersuchten Finanzdienstleister mit 78 Prozent überdurchschnittlich häufig investieren.
Ist ein Cyberangriff erfolgt, kommt es darauf an, schnell zu handeln, da dieser im Durchschnitt weniger als 30 Minuten dauert. Denn je effektiver die Reaktion – die Response – auf einen Security-Vorfall ist, desto höher ist die Chance, einen Datendiebstahl, das Verschlüsseln der Systeme oder den Ausfall produktiver Prozesse zu verhindern. Eine weitere tragende Säule für den Finanzsektor im Kampf gegen Cyberbedrohungen ist daher die Incident Response mit automatisierten Runbooks.
Der Anteil der Unternehmen, die im Jahr 2024 ihren Fokus darauf richten, ist mit 73 Prozent etwa auf dem Niveau des Vorjahrs. Dies zeigt, dass bei der Reaktionsfähigkeit in den untersuchten Unternehmen weiterhin Handlungsbedarf besteht. Incident Response bezieht sich vor allem auf die Prozesse und Technologie-Auswahl zur Cyber-Abwehr. Das Ziel der Incident Response ist es, Cyberangriffe bereits im Vorfeld zu verhindern, und die Kosten und Betriebsunterbrechungen, die durch einen Cyberangriff entstehen, zu minimieren. Neben einzelnen Technologien wie SIEM oder Endpoint Security geht es bei Incident Response vor allem darum, organisatorische und kommunikative Voraussetzungen zu schaffen.
59 Prozent der Opfer von Cyberattacken verlagern mehr Security-Prozesse nach innen. Das deutet darauf hin, dass diese Unternehmen die Verantwortung für Cyber Security nun stärker selbst übernehmen und nicht nur an externe IT-Dienstleistern delegieren, die in der Regel auch nicht haftbar gemacht werden können. Vor allem durch die kommenden NIS-2-Richtlinie und DORA sind die Unternehmen nun auch regulatorisch stärker gezwungen, mehr Security-Kompetenzen aufzubauen. Ein Blick auf die befragten Finanzdienstleister, die bereits seit vielen Jahren strenge regulatorische Vorgaben umzusetzen haben, zeigt, dass nur noch 12 Prozent der Unternehmen Cyber Security mittlerweile als reines Compliance-Thema betrachten.
Abwehr mit Köpfchen: Cybersicherheit und KI
Ein Gamechanger in der gesamten IT-Landschaft ist Generative KI. Mit ihrer Hilfe können unerfahrene Hacker Malware leicht erstellen und Phishing-Kampagnen individuell auf das jeweilige Ziel abstimmen. Doch Künstliche Intelligenz (KI) kann auch von den Unternehmen und Organisationen zur Cyberabwehr eingesetzt werden – vor allem dort, wo es um die Analyse großer Datenmengen geht.
Das ist im Finanzsektor bei der Optimierung des SOC der Fall, wo die für die Cybersicherheit essenziellen SIEM-Systeme verwaltet werden. Mit Hilfe von KI können diese deutlich schneller Daten aus verschiedenen Quellen sammeln und in Echtzeit analysieren, was zu besseren Sicherheitsentscheidungen führt.
Darüber hinaus ist Threat Intelligence für Banken und Versicherungen besonders interessant. Vor allem durch den Einsatz von Machine Learning werden Angriffsmuster frühzeitig erkannt, was eine deutlich bessere Prävention gewährleistet. Machine-Learning-Algorithmen können Millionen Ereignisse kontinuierlich und automatisiert überwachen und Bedrohungsmuster in Gestalt von Anomalien schnell und zuverlässig erkennen. Vor allem um der steigenden Zahl von Bot-Angriffen und immer neuen Schadsoftwareprogrammen zu begegnen, ist Machine Learning das Mittel der Wahl.
Ein weiterer Hebelpunkt für den Finanzsektor ist die User Behavior Analytics. Sie wird von 67 Prozent aller befragten Unternehmen als wichtiges Einsatzgebiet der KI betrachtet. Dabei filtert die Technologie aus großen Mengen an Datenverkehr ungewöhnliches oder abweichendes Nutzerverhalten. Dies ist für die Früherkennung von Insiderbedrohungen besonders wichtig. Entsprechende Tools erkennen Sicherheitsrisiken, indem sie Nutzerverhalten analysieren und abweichende Aktivitäten identifizieren, die auf Insider-Bedrohungen, Betrug oder andere Sicherheitsverletzungen hinweisen.
Überraschend: Trotz des Hypes hat sich noch nicht allzu viel in der KI-gestützten Cyberabwehr getan. Nur jedes zweite aller befragten Unternehmen sieht darin derzeit einen Investitionsschwerpunkt. Es ist aber zu hoffen, dass die stark digitalisierte Finanzbranche diesen Weg konsequent weitergeht und auch hier bald in die Pionierrolle schlüpft.
Neben der Energiewende, die den für alle sichtbaren Klimawandel verlangsamen soll, ist Cybersicherheit vielleicht die größte – unsichtbare – Herausforderung unserer Zeit. Ähnlich wie die gesamte Gesellschaft befindet sich die Wirtschaft in einer dynamischen Transformationsphase: Die Digitalisierung unseres Lebens, vor allem aber unserer Infrastruktur und Ökonomie ist nicht aufzuhalten – das haben die Unternehmen verstanden, auch wenn es in manchen Bereichen noch Herausforderungen und Nachholbedarf gibt. Aufgrund ihrer besonders schützenswerten Daten, Güter und Leistungen ist die Finanzbranche zurecht besonders risikobewusst. Sie hat in Sachen IT-Sicherheit aber den richtigen Weg eingeschlagen. Investiert sie weiterhin konsequent in die notwendigen Strukturen und Technologien, wird sie bald noch mehr Vertrauen in Cloud, KI & Co. entwickeln und ihrer Führungsrolle mit Selbstverständlichkeit und Selbstvertrauen gerecht werden.