IT-Sicherheit bei Banken

Die Digitalisierung bringt uns viele Vorteile. Technologien machen zahlreiche Prozesse schneller und erleichtern uns den Alltag in unterschiedlichen Bereichen. Auch in der Finanzdienstleistungsbranche werden neue digitale Möglichkeiten genutzt, um alle Themen rund um Kapital und Geld noch effektiver zu gestalten. Doch gerade hier, wo sensible Daten verarbeitet werden, stehen viele Finanzinstitute vor Sicherheitsrisiken, die sich virtueller Natur zeigen. Cyberkriminalität ist längst keine Seltenheit mehr und IT-Sicherheitslücken machen es Hackern einfach. IT-Systeme von Finanzdienstleistern geraten gezielt in das Visier von Cyberkriminellen und gerade hier können Cyberattacken großen Schaden anrichten. Essenziell für die Banken- und Finanzbranche ist es daher höchste IT-Sicherheit zu schaffen und Sicherheitslücken zu schließen.

IT-Sicherheits-Strategie für Finanzdienstleiter und Banken

Immer mehr Kreditinstitute bemühen sich um mehr IT-Sicherheit und bereiten sich auf die Abwehr von Cyberkriminalität gezielter vor. Großbanken sind dabei den kleinen und mittelständischen Banken bereits einen Schritt voraus. Unabhängig von der Größe ist eine IT-Sicherheits-Strategie essenziell und umfasst unterschiedliche Maßnahmen. Dazu zählt in erster Linie der Aufbau einer angemessenen technisch-organisatorischen Ausstattung des IT-Systems sowie die Ausarbeitung eines Notfallplans. Zur Grundabsicherung gehören zum Beispiel auch Zugriffskontrolle, Back-up, Recovery und Patching. Softwarelösungen müssen zuverlässig Angriffe erkennen. Mitarbeiter müssen zudem regelmäßig geschult werden. Häufig machen es Sicherheitslücken in der IT den Angreifern einfach.

Eine Möglichkeit, um Schwachstellen zu identifizieren, bietet ein Pentest (Penetration Testing). Bei diesem werden IT-Systeme auf Schwachstellen manuell geprüft. Anders als bei einer Sicherheits- und Risiko-Analyse werden beim Pentest erkannte Sicherheitslücken ausgenutzt, um ein genaues Bild der Realität zu liefern und auf Missstände eindringlicher aufmerksam zu machen. Erkannte Lücke werden dokumentiert, auf das Gefahrenpotenzial hin eingeschätzt und Lösungsempfehlungen ausgegeben.

Die Kosten eines Penetration Tests zeigen sich dabei im Vergleich zu einem wirtschaftlichen Schaden bei einem Cyberangriff als gering.

Sinnvoll ist ebenso der Einsatz von automatisierten Tools, die in der Lage sind Cyberattacken mittels künstlicher Intelligenz rechtzeitig zu erkennen. Durch maschinelles Lernen erkennen die Systeme anomales Verhalten, was von dem vorher als „normal“ definierten Verhalten abweicht, schon zu einem frühen Zeitpunkt und können dabei helfen Schäden zu begrenzen.

Eine Sicherheitskultur aufbauen

In Bezug auf die Cyber-Sicherheit reagiert auch der Gesetzgeber und stufte Finanzdienstleistungsunternehmen als besonders gefährdet ein. Ab einer bestimmten Größe gelten Bankinstitute als sogenannte Kritische Infrastrukturen (KRITIS). Anfang November 2017 wurde dazu die BAIT (Bankaufsichtsrechtlichen Anforderungen an die IT) eingeführt. Diese zeigen, welche Anforderungen in Bezug auf die IT-Systeme gelten. Dabei handelt es sich um Mindestanforderungen, die der sich permanent wandelnden IT-Struktur längst nicht mehr gerecht werden. Experten sind sich daher einig, dass ein Unternehmen durch reine Vorschriften nicht wirklich sicherer wird. Vielmehr geht es darum eine grundsätzliche Sicherheitskultur zu etablieren, die das Ziel des umfassenden Schutzes aller Prozesse der Wertschöpfungsketten hat und damit auch der Cyber-Sicherheit. Cyber-Spezialisten müssen damit den Blick auf das Ganze haben. Eine ganzheitliche Sicherheitskultur und eine umfassende IT-Sicherheits-Strategie gehen dabei Hand in Hand.