Der Druck wächst: Anfang März gab die Bankenaufsicht der Europäischen Zentralbank (EZB) bekannt, im kommenden Jahr europäische Banken einem Stresstest zur Cyberresilienz zu unterziehen. Zu Recht, denn Cyberangriffe auf Banken und Versicherer nehmen zu und werden stetig komplexer. Umso wichtiger ist deswegen, dass die gesamte Finanzbranche den Bereich Cybersecurity als Chance begreift und ihn nicht länger als notwendigen Kostenfaktor sieht.
Der angekündigte Stresstest kommt zeitlich nicht überraschend. Denn bereits in den Aufsichtsprioritäten für den Zeitraum 2023 bis2025, die die Bankenaufsicht der EZB bereits im Jahr 2022 veröffentlicht hat, stand Cybersecurity im Fokus. Die Aufsichtsprioritäten fordern die Banken unter anderem auf, ihre Widerstandsfähigkeit gegen IT- und Cyberrisiken zu stärken. Anfang März äußerte Andrea Enria, Vorsitzender der EZB-Bankenaufsicht, das Aufsichtsgremium sei über die wachsende Zahl von Hackerangriffen besorgt. Christian Nern, Partner bei KPMG im Bereich Financial Services, mahnt daher: „Finanzinstitute müssen sich zu einem proaktiven Akteur entwickeln, der Cyberrisiken frühzeitig erkennt, seine Schutzmechanismen kontinuierlich daraufhin anpasst und verbessert und so die Häufigkeit von Sicherheitsvorfällen reduziert.“ Im Jahr 2021 entfielen 22,4 Prozent aller Cyberattacken in Deutschland allein auf die Finanzbranche, so Nern. Zudem werden Cyberkriminelle immer raffinierter, wie eine Umfrage im Jahr 2022 unter 200 Experten bei Banken, Versicherungen und Finanzdienstleistern ergab.
Als die fünf häufigsten Angriffsszenarien nannten die Befragten:
- Business Process Compromise, beispielsweise Schlupflöcher in Geschäftsprozessen
- Credential-Diebstahl, etwa in Form von Phishing-Mails
- Ransomware, zum Beispiel durch Malware oder Viren
- Insider-Threats durch Mitarbeiter, Auftragnehmer oder Geschäftspartner
- Angriffe auf Datenbanken, beispielsweise über Brute-Force-Angriffe
Das Bewusstsein ist vorhanden, doch in der Umsetzung hapert es
Eine von Lünendonk & Hossenfelder gemeinsam mit KPMG im vergangenen Jahr durchgeführte Studie zeigt, dass sich die meisten Finanzinstitute der Bedrohung bewusst sind: 70 Prozent der befragten CIO und CISO in deutschen Banken, Versicherungen und Asset-Management-Gesellschaften rechnen nach eigenen Angaben damit, dass ihre Unternehmen in den kommenden zwei Jahren durch Phishing-Attacken Opfer eines schwerwiegenden Angriffs werden. Gleichzeitig gaben nur 62 Prozent der Befragten an, die eigenen Systeme regelmäßig durch Penetration-Tests zu überprüfen. Nern sieht hier ein Muster: „Oftmals beobachten wir bei unseren Mandanten nach Aufsichtsprüfungen, dass sie nur die minimal notwendigen Cybersecurity-Maßnahmen umsetzen.“ Er zählt hierzu die Maßnahmen, die durch Vorgaben der Aufsicht vorgeschrieben sind, etwa die Bankaufsichtlichen Anforderungen an die IT (BAIT) oder die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT).
„In vielen Fällen fehlt es den Finanzdienstleistern an einer ganzheitlichen Cybersecurity-Strategie, in der definiert wird, was die genaue Sicherheitsarchitektur ist und welche Instrumente sich daraus ableiten.” Dieses Vorgehen sei für einen robusten und stringenten Schutz vor Cyberbedrohungen unerlässlich und setze einen Mentalitätswandel bei Vorständen, CIO und CISO voraus. Cybersecurity dürfe nicht länger als Bürde und Kostenfaktor gesehen werden, die Ausgestaltung nicht länger auf die minimalen Vorgaben der Aufsichten reduziert werden. „Die Institute müssen Cybersecurity als Wettbewerbsvorteil und als eigenes Geschäftsinteresse begreifen. Nur dann lässt sich eine echte Cyberresilienz erreichen“, so Nern. Cyberresilienz geht weit über eine reine Absicherung der IT-Systeme hinaus. Als ganzheitlicher Ansatz verfolgt sie das Ziel, den Betrieb nach einem Angriff möglichst zügig wieder aufnehmen zu können.
Dreiklang einer widerstandsfähigen IT-Landschaft
Selbst mit umfassender Prävention lassen sich erfolgreiche Cyberattacken nicht immer vermeiden. Deshalb ist es wichtig, Angriffe schnell zu entdecken, den Schaden zu begrenzen und potenzielle Ursachen zu beseitigen.
Damit dies gelingt, sollte Cybersecurity die folgenden drei Säulen enthalten:
- Detection and Response
- Digitale Identities (IAM/CIAM/PAM)
- Cyber Resilience & Cloud-Sicherheit
Viele Banken und Versicherungen haben unzureichende Fähigkeiten, Bedrohungen frühzeitig zu identifizieren und auf eingetretene Cyberangriffe adäquat zu reagieren. Genau hier setzt der sogenannte Detection-and-Response-Ansatz an. Er ermöglicht, Cyberangriffe zu erkennen und Gegenmaßnahmen zu ergreifen. Eine Methode, um solche Detection-and-Response-Fähigkeiten aufzubauen, ist ein eigenes Security Operations Center (SOC). „Das SOC ist eine Art Sicherheitsschaltzentrale innerhalb einer IT-Abteilung, das Protokolldaten aus unterschiedlichen Logquellen in einem SIEM-System (Security Information and Event Management) sammelt und auswertet. Es macht die Angriffsvektoren und die Schwachstellen eines Unternehmens sichtbar und hilft, diese zu bekämpfen“, beschreibt Nern.
Doch ein SOC ist mehr als nur ein Cockpit, mit dem Cyberangriffe erkannt, verhindert und dokumentiert werden. Es bietet auch die Chance, den Umgang mit Vorfällen zu automatisieren. Im SOC wird festgelegt, wie bei einem Cyberangriff operativ vorgegangen und welche Gegenmaßnahmen durchgeführt werden sollen, wenn ein bestimmter Angriffsvektor auftritt. Es definiert in Absprache mit den IT-Betriebseinheiten für das Unternehmen, was ein typischer Schaden ist, welche Instanz(en) informiert werden und wie auf den Angriff reagiert werden muss.
Ein zweiter Baustein einer widerstandsfähigen IT ist der Schutz der digitalen Identitäten, die mittlerweile wichtiger sind als die Informationssysteme selbst. „Kompromittierte Login-Daten und nicht überwachte Zugriffsberechtigungen können von Hackern als Einfallstore für Cyberangriffe genutzt werden. Um das eigene Unternehmen und die sensiblen Strategie- und Geschäftsdaten vor Angriffen durch Ransomware, Phishing-Mails, Malware oder sonstigen Angriffsarten zu schützen, ist ein durchdachtes Identity and Access Management unverzichtbar“, erläutert Nern. Das Identity and Access Management, kurz IAM, verwaltet alle personalisierten und nicht personalisierten Identitäten und Berechtigungen von Mitarbeitenden, externen Dienstleistern und Kunden. Und es steuert technische und/oder funktionale Berechtigungen innerhalb der Systemarchitektur des Unternehmens.
Die dritte Säule der Cybersecurity innerhalb Financial Services kann generell mit Cyberresilience erklärt werden, also mit einer gesamtheitlichen Security-Strategie und Security-Architektur. Aktuell ist bei Financial-Services-Kunden gerade das Thema Sicherheit von Cloud-Infrastrukturen im Fokus. Bereits acht von zehn Finanzdienstleistern nutzen cloudbasierte Technologien. Damit die Cloud nicht zum Einfallstor für Cyberkriminelle wird, ist eine Identitäts- und Zugriffsverwaltung auf Basis einer Multi-Faktor-Authentifizierung unverzichtbar. Um die Sicherheit zu erhöhen, sollten z. B. innerhalb der Cloud Daten nur verschlüsselt gespeichert und das Netzwerk in unterschiedliche Netzsegmente aufgeteilt oder besser mikrosegmentiert werden. Auch Technologien wie Data Leak Prevention (DLP) sind bei Cloud Systemen empfehlenswert. Um die Unternehmenssicherheit nicht aus dem Blick zu verlieren, sollten Cloud-Infrastrukturen zwingend durch ein SOC überwacht werden und an ein zentrales IAM/CIAM angebunden sein.
Ohne Bestandsaufnahme und Strategie droht Flickwerk
Wie sollten Banken und Versicherungen am besten vorgehen, wenn sie Cybersecurity zukunftsfähig ausrichten wollen? Zunächst braucht es eine schlüssige IT-(Security)-Strategie: Sie benennt die Ziele, legt Prioritäten bzw. den Risikoappetit fest und definiert Kennzahlen für das Monitoring. Für ein Konzept aus einem Guss ist jedes Finanzinstitut als Ganzes zu betrachten: „Welche Unternehmensbereiche, Informationswerte und IT-Anwendungen sind besonders kritisch und schützenswert? Was sind die relevanten Angriffsvektoren für das jeweilige Finanzinstitut?“, fasst Nern zusammen. Der oben beschriebene Dreiklang aus Detection and Response, IAM und Cloud-Sicherheit sei das grundlegende Gerüst.
Drei Ebenen stehen Nern zufolge bei einer Analyse im Fokus. Erstens: Die eigenen Mitarbeiterinnen und Mitarbeiter. Denn zu den häufigsten Cyber-Angriffsarten zählen Phishing, Fraud und Ransomware. Cyberkriminelle suchen sich ihre Opfer gezielt aus – die Angestellten können so zum Risikofaktor werden und müssen besonders sensibilisiert werden. Ein Bewusstsein der Beschäftigten für unscheinbare Bedrohungen hilft, sie zu verhindern. Zweitens sind die Prozesse zu analysieren: Greifen die bestehenden Security-Prozesse fließend ineinander? Hat das Finanzinstitut alle relevanten Daten, die es für die Abwehr von Bedrohungen benötigt? Was soll überhaupt mit dem SOC überwacht werden? Und der dritte Aspekt ist die Technologie. Hier kann es sein, dass viele Lösungen bereits vorhanden sind – manchmal sogar zu viele. Es gilt abzuwägen, welche Lösungen wirklich erforderlich sind. Gibt es eingesetzte Lösungen, die eventuell nur optimiert werden müssen? Welche Lösungen fehlen und sollten ergänzt werden?
Da Cyberkriminelle meist nicht nur einzelne Finanzinstitute angreifen, sondern häufig Angriffe auf mehrere gleichartige Ziele durchführen, ist es nach Ansicht Nern entscheidend, dass die Institute die beobachteten Indikatoren untereinander austauschen, wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits empfiehlt. Davon könnten alle Institute profitieren.
Fazit
Der für 2024 angekündigte Banken-Stresstest für IT-Sicherheit macht deutlich: Aus der Perspektive der Aufsicht messen Finanzinstitute Cybersecurity nicht die notwendige Bedeutung zu. Nun sind die Banken gefordert, ihr bisheriges Engagement in der IT-Sicherheit auszubauen und ihr höchste Relevanz einzuräumen. Denn Cybersecurity wird über die Zukunftsfähigkeit einer Branche entscheiden, die als kritische Infrastruktur unverzichtbar für eine funktionierende Volkswirtschaft ist.