Kommentar: Vertrauen und digitale Technologie

Cyber-Sicherheit ist das Rückgrat des modernen Bankwesens

Mobile Security
LinkedInRedditWhatsAppPocket

Banken müssen der Cyber-Bedrohungslandschaft mit fortschrittlichen Sicherheitsstrategien begegnen, von der Nutzung von Zero-Trust-Frameworks bis zur Gefahrenaufklärung bei Kunden.

Blickt man auf die Zahlen, dann sieht man, dass Banken in Deutschland nach Erkenntnis unserer Sicherheitsforscher wöchentlich 899 Attacken hinnehmen müssen. Damit liegen sie auf Platz acht der gefährdeten Bereiche in Deutschland, wobei die Zahlen im ersten Halbjahr 2024 höher lagen. Außerdem gab es hierzulande bereits einige bedenkliche Zwischenfälle. So wurde im Jahr 2023 bekannt, dass ein Datenleck bei einem Dienstleister dafür sorgte, dass Tausende von Kundendaten von vier großen Banken in Deutschland gestohlen wurden (Quelle). Ebenfalls 2023 wurde die Deutsche Leasing AG, eine Tochter der Sparkassen, von Hackern angegriffen, wobei sowohl die Mitarbeiter als auch die Kunden den Zugriff auf die Systeme verloren haben (Quelle). Im Juni 2024 kam heraus, dass die Kunden der Immobilientochter der DZ-Bank, die zweitgrößte Bank in Deutschland und Mutter der Volksbanken, das Opfer eines Hacker-Angriffs geworden sind (Quelle).

Anzeige

Gemäß Daten von IMF (International Monetary Fund) and Advisen cyber loss data, hat der Finanz-Sektor in den letzten 20 Jahren rund 12 Milliarden US-Dollar (rund 11,4 Milliarden Euro) durch über 20 000 Cyber-Attacken verloren. Dies macht deutlich, wie wichtig die Cyber-Sicherheit für das Bankwesen ist. Robuste Frameworks stellen sicher, dass die Finanzinstitute ihre Versprechen gegenüber den Kunden im digitalen Zeitalter einhalten können.

Die Art und Weise der Attacken und ihre Wirkung lässt sich in diesem Sektor in drei Punkte zusammenfassen:

  • Finanzielle Verluste: Direkter Diebstahl von Geldern oder Ressourcen, die für die Wiederherstellung der Systeme erforderlich sind.
  • Unterbrechung kritischer Bankdienstleistungen: Verzögerungen bei elektronischen Zahlungen und beim Zugang zu Konten wirken sich auf das tägliche Leben der Kunden aus.
  • Erosion der Marke: Unzufriedenheit der Kunden und die Berichterstattung in den Medien schaden dem Ruf.

Eine solche Bedrohung der finanziellen und wirtschaftlichen Stabilität durch die Erosion des Vertrauens in die Finanzsysteme könnte weitere weitreichende Folgen haben, die möglicherweise so weit gehen könnten, dass die globalen Finanzoperationen gestört werden, indem der Kreditfluß zwischen den Finanzinstituten behindert wird.

Anzeige

Die Aufrechterhaltung des Kundenvertrauens hängt jetzt von der Fähigkeit einer Bank ab, sensible digitale Informationen zu schützen und nahtlose, sichere Transaktionen zu gewährleisten – besonders angesichts des modernen Bankings mit Apps über Smartphones.

Weltweit haben die Regierungen daher Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen, die in letzter Zeit an Fahrt gewonnen haben, da der Finanzsektor häufig als kritische Infrastruktur (KRITIS) für jedes Land angesehen wird.

In Europa setzt die Datenschutzgrundverordnung (DSGVO) der EU strenge Datenschutzgesetze durch, die von den Banken verlangen, robuste Cyber-Abwehrmaßnahmen zum Schutz der Kundendaten umzusetzen.

Fragt man Experten nach Best Practices, so kann folgendes empfohlen werden:

  1. Implementierung einer Zero-Trust-Architektur: Alle Geräte und Benutzer werden standardmäßig als nicht vertrauenswürdig eingestuft, bis sie das Gegenteil beweisen.
  2. KI-gesteuerte Erkennung von Bedrohungen nutzen: KI kann Anomalien in Echtzeit erkennen und neutralisieren.
  3. Sensible Daten verschlüsseln: Sichere Daten sowohl bei der Übertragung als auch im Ruhezustand.
  4. Regelmäßige Sicherheitsaudits: Häufige Kontrollen helfen, Schwachstellen zu erkennen und zu entschärfen.
  5. Sichere Integration von Drittanbietern: Prüfung von Anbietern und Überwachung von Schwachstellen in der Lieferkette.
  6. Kundenschulung: Die Aufklärung der Kunden über bewährte Praktiken der Cyber-Sicherheit – von strengen Passwortrichtlinien über die Förderung von Multi-Faktor-Authentifizierungen bis zur Schulung der Kunden (und Mitarbeiter) in der Erkennung von Phishing-Versuchen. Bei einem informierten Kunden ist die Wahrscheinlichkeit geringer, dass er einem Betrug zum Opfer fällt, was sowohl das individuelle als auch das institutionelle Risiko einer Hacker-Attacke verringert.

Hinzu kommt mit dem Digital Operational Resilience Act (DORA) der EU eine weitere Regulierung, die ab 17. Januar 2025 anzuwenden ist. Sie betrifft beinahe alles, was unter Bank- und Kreditwesen zusammengefasst werden kann. Zentrale Bedeutung kommt dem ITK-Risikomanagement zu, Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme sichergestellt werden. Auch Awareness im Rahmen von Schulungen – auch der Geschäftsleitung – wird eine wichtige Rolle spielen. Zudem sind Kommunikationspläne und -strategien für interne und externe Zielgruppen dann Pflicht, wobei mindestens eine Person zum Mediensprecher ernannt wird, die agieren muss, sollte es zu einem ITK-Vorfall kommen. Was ein ITK-Vorfall ist, wurde nach Kriterien klassifiziert. Diese sind meldepflichtig.

Außerdem ist das Testen der Widerstandsfähigkeit der eigenen Netzwerke ebenfalls ein Bestandteil von DORA und erfordert entsprechende Programme, was damit auch Drittparteien inkludiert – und die Aufsichtsbehörden. Basistests sind eine Pflicht für den gesamten Finanzsektor und umfassen unter anderem Schwachstellen-Scans, Quell-Code-Tests und Performance-Tests, während die fortgeschrittenen Tests Threat Led Penetration Tests (TLPT) meinen. Letztere betreffen aber nur systemrelevante Unternehmen im Finanz-Sektor. Sie basieren auf dem Rahmenwerk TIBER der EU (Threat Intelligence-based Ethical Red Teaming). Somit wird die Umsetzung von DORA zwar ein Kraftakt, besonders für kleinere Banken und Finanzdienstleister, aber mit diesem Rahmenwerk können die Unternehmen ein holistisches Konzept der Cyber-Sicherheit umsetzen und damit eine tiefergehende Cyber-Abwehr erreichen, um ihre wertvollen Operationen zu schützen.

Abschließend lässt sich sagen: Im digitalen Zeitalter beruht das Vertrauen in das Bankwesen nicht nur auf der Qualität der Dienstleistungen, sondern auch auf der Fähigkeit des Instituts, seine Computer-Systeme und die Daten zu schützen. Die Cyber-Sicherheit ist das Rückgrat des Kundenvertrauens und gewährleistet finanzielle Stabilität und operative Belastbarkeit. Anlässlich des Internationalen Tages der Banken sollten alle sich bewusst machen, dass das Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängt. Dies sollten die Führungskräfte im Bankwesen bedenken, wenn es um Investitionen in IT-Sicherheitslösungen und Schulungen geht.


Marco

Eggerling

LL.M, Global CISO

Checkpoint Software Technologies GmbH

Anzeige

Artikel zu diesem Thema

Zscaler: Intelligente Zero Trust Segmentation für Zweigstellen, Fabriken und Clouds

Weitere Artikel

Trends im Attack Surface Management und der Rolle des CISO für 2025
Dringender Bedarf an verbesserter Cyber-Sicherheit in den Schulen
DORA: EU-Gesetz zur digitalen Betriebsresilienz
Sicherheitsverantwortliche sehen Maschinenidentitäten als Ziel für Cyberangriffe
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.