Während die Zahl der Cyberangriffe auf Finanzdienstleister wächst, nimmt auch die Komplexität der IT-Anforderungen weiter zu. Dabei fällt es vielen Unternehmen zwischen Cloud und Homeoffice schwer, sich an die neue Umgebung anzupassen, wie eine KPMG-Studie zeigt. Welche Lösungsansätze es gibt, erklärt Christian Nern, Partner und IT-Security-Experte bei KPMG im Bereich Financial Services.
Der Run auf die Cloud ist auch bei Finanzdienstleistern in vollem Gange. Kaum eine Bank oder Versicherung, die sich noch nicht mit dem Thema beschäftigt hat. Das zeigt auch eine aktuelle Umfrage unter 100 Branchenexperten, die KPMG gemeinsam mit dem Marktforschungsinstitut Lünendonk durchgeführt hat. Ihr Ergebnis: 95 Prozent der untersuchten Finanzdienstleister werden bis zum Jahr 2023 eine Cloud-Strategie ausgerollt haben.
Noch nicht am Ziel
Ein begrüßenswerter Fortschritt in Sachen Digitalisierung, doch mit der Cloud allein sind die Finanzdienstleister noch lange nicht am Ziel. Jede neue Umgebung bringt neue Herausforderungen mit sich und in Sachen Cloud Security und Cyber Resilience sind die Defizite der Unternehmen noch immer groß. Der Grund: Trotz der verbreiteten Nutzung von Ökosystemen, Cloud Services und Drittanbietern, enden die Sicherheitsvorkehrungen bei 46 Prozent der Finanzdienstleister noch immer an den eigenen Unternehmensgrenzen. Die daraus entstehenden Lücken im Cyber-Schutzschild ermöglichen den Angreifern leichtes Spiel. Dennoch überprüfen lediglich 25 Prozent der Befragten Unternehmen regelmäßig den Sicherheitsstatus ihrer IT-Systeme. Eine Sonderrolle spielen hier allerdings Versicherungen, die aufgrund ihres Geschäftsmodells bereits stärker auf die Absicherung ganzer IT-Ökosysteme achten. Dennoch nehmen auch sie das Thema IT-Security vorwiegend als einen lästigen Kostenblock wahr.
Ähnliche Rückstände gibt es auch bei der Berücksichtig von Security-by-Design-Ansätzen, die nur 44 Prozent der Befragten bei der Entwicklung ihrer Produkte mit einbeziehen. Dabei würden sie eigentlich einen attraktiven Hebel darstellen, um die hohen Vorgaben der Aufsicht zu erfüllen. Grund für diese Vorgaben sind die sensiblen Kundendaten der Finnzdienstleister sowie ihre kritische Infrastruktur, die immer häufiger ins Fadenkreuz der Angreifer gerät. Dabei setzen die Hacker zunehmend auf immer professionelle cyber-kriminelle Erpressungsmethoden (targeted Attack), weshalb die Bedrohungslage laut aktuellem Bericht des Bundesamts für Informationssicherheit „angespannt und kritisch“ ist. Noch nicht eingeschlossen ist hier die Verschärfung der Cyberangriffe durch den Krieg in der Ukraine vor allem kritische Infrastrukturen wie Banken, Versicherungen und Asset Manager.
Zeit, einen Gang höher zu schalten
Vor diesem Hintergrund ist es umso erfreulicher, dass sich laut der aktuellen Studie bereits ein erstes Umdenken unter Finanzdienstleistern abzeichnet. Demnach planen alle befragten Unternehmen ihre Budgets für IT-Sicherheit mindestens auf dem gleichen Niveau zu halten wie im Vorjahr. Weiter visieren viele Finanzdienstleister Budget-Steigerungen von bis zu 10 Prozent in den Bereichen Früherkennung (74 Prozent) und Prävention (mehr als drei Viertel) an. Auch in den Bereichen Detection, Response und Recovery werden die Budgets in mehr als 50 Prozent der Fälle erhöht. Gleichzeitig reift im Top Management von immer mehr Unternehmen die Erkenntnis, dass die Bedrohung durch Cyber-Angriffe enorm hoch ist.
Der erste Schritt zu einem zeitgemäßen Cyber-Schutz ist damit bereits getan, doch reichen ein Bewusstseinswandel und Investitionen allein nicht aus, um der Gefährdungslage gerecht zu werden. Was es zusätzlich braucht: Ein Security-Konzept, das das gesamte IT-Ökosystem miteinschließt, sowie ein ganzheitlicher Ansatz, der IT-Security zur Chefsache macht und Verantwortungen nicht bloß an Dienstleister und die eigene Fachabteilung delegiert. Finanzdienstleister sollten sich deshalb ihre Cyber Resilienz auf allen Ebenen erhöhen. Dafür stehen diverse Tools und Strategien zur Verfügung, die bestenfalls aufeinander aufbauen – von „Identifiy“ (Identity and Access Management) über „Prevention“ (Monitoring, Cloud & Data Center Security) und „Detection“ (SIEM, SOC) bis zum „Response“ (Incident Response) und der „Recovery“ (Business Continuity). Für Unternehmen, die noch am Anfang ihrer Cyber-Strategie stehen, empfiehlt sich dagegen ein ganzheitliches Security Assessment (NIST-Basis) und die Festlegung von Minimumstandards und Benchmarks – sowie ein ordentlicher Tritt aufs Gaspedal. Denn klar ist: Datensicherheit wird für Kunden in den kommenden Jahren zu einer zentralen “Value Proposition” werden und den Wettbewerb mit anderen Unternehmen maßgeblich bestimmen.
home.kpmg/de