IT-Sicherheit: Banken kämpfen unter erschwerten Bedingungen

Für Banken in Deutschland wird es schwerer, die gewohnten Standards an IT-Sicherheit zu gewährleisten. Sechs von zehn Instituten sprechen von komplexeren Angriffsszenarien und neuen Anforderungen an den Umgang mit IT-Risiken. Bei den Retailbanken sind es fast drei Viertel der Institute, bei denen Digitalisierung, neue Bedrohungsszenarien sowie Regulierungsvorschriften die Arbeit der Sicherheitsmanager erschweren. Das sind die Ergebnisse des Branchenkompass Banking 2017 von Sopra Steria Consulting und dem F.A.Z.-Institut.

Die Herausforderungen der Banken steigen unter anderem durch die zunehmende Zahl an Lieferanten digitaler Technologien. Acht von zehn Finanzdienstleistern sind beispielsweise über digitale Plattformen oder Softwarelösungen mit Dienstleistern vernetzt, ergibt die Potenzialanalyse Digital Security von Sopra Steria Consulting, für die 51 IT-Entscheider von Banken und Versicherern befragt wurden. Viele Kreditinstitute sind beispielsweise mit externen Datenbanken für eine schnelle Bonitätsprüfung bei Onlinekreditanträgen verbunden. Zudem gibt es Plattformen, auf denen Finanzierungsvorhaben von Unternehmen mit Finanzierungsangeboten von Banken zusammengeführt werden. Durch die EU-Zahlungsdiensterichtlinie PSD2 sind Banken sogar verpflichtet, sich gegenüber Drittanbietern zu öffnen. Dazu kommt, dass Banken mit ihrem eigenen Online-Bezahldienst Paydirect künftig stärker mit Online-Händlern und dem Einzelhandel zusammenarbeiten werden.

All diese neuen digitalen Lösungen und Anbieter vergrößern die Angriffsfläche, und es wird anspruchsvoller, das nötige IT-Sicherheitslevel zu halten. „Die Institute müssen sicherstellen, dass auch diese Partner und ihre Lösungen die hohen Standards der Banken erfüllen. Das zu kontrollieren, wird bei einer wachsenden Zahl an Partnern immer aufwändiger“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting. Die Institute reagieren, in dem sie vermehrt Dienstleister-Audits durchführen und Mindeststandards vertraglich vereinbaren. Mehr als jeder zweite Finanzdienstleister führt einen derartigen Lieferanten-Check durch, andere Institute fordern von ihren Partnern eine Sicherheitszertifizierung.

WannaCry und seine Nachfolger erfordern mehr Tempo

Für eine wirksame Bekämpfung von Cybercrime-Attacken wie WannaCry und Petya muss das IT-Sicherheitsmanagement der Banken künftig deutlich schneller reagieren. Ein Grund: Ransomware wie WannaCry unterscheidet sich von bisheriger Malware. Sie sind in der Lage, wie ein Wurm andere Rechner im gleichen Netz zu infizieren. Die Reaktionszeit des Opfers ist dadurch gravierend kürzer, will man eine Ausbreitung verhindern. Zudem werden die Angriffe immer undurchschaubarer. Jüngste Attacken haben gezeigt, dass ein Angriff deutlich länger dauert und die Angreifer schlagen in verschiedenen Phasen an mehreren Stellen zu.

Diese Risiken wirksam einzudämmen, erfordert ein Sicherheitsmanagement mit oft unterschätztem Ressourcenbedarf und Kompetenzerfordernissen. Diese sind intern schwer zu finden und aufzubauen. Jeder dritte Finanzdienstleiser sucht auf dem Arbeitsmarkt nach passenden Cybersecurity-Spezialisten, um sich den neuen Bedrohungsszenarien zu stellen. Parallel suchen die Banken deshalb nach alternativen Lösungen.

Ein Weg, den Banken gehen können ist, das IT-Sicherheitsmanagement stärker zu automatisieren – beispielsweise über regelbasierte Prozeduren. „Die Institute sollten darüber hinaus das Thema IT-Sicherheit und Cybersecurity als Führungsinformation in ihre Ablauforganisation integrieren – als eine Art Lagebild für das Management – um Ressourcen besser zu steuern“, sagt Dr. Gerald Spiegel.

Banken sind vorsichtiger beim Outsourcing

Eine weitere Herausforderung der Banken ist, die strengeren Anforderungen der Bankenaufsicht an IT- und Informationssicherheit mit den Zielen einer effizienteren IT-Landschaft in Einklang zu bringen. Jedes fünfte Institut nutzt beispielsweise öffentliche Cloud-Computing-Lösungen, um Kosten zu sparen. Viele Banken verlagern zudem Arbeitsprozesse an Spezialisten. Risiken von Programmierfehlern und Sicherheitslücken sind damit schwerer zu kontrollieren. Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) reagiert auf wachsende IT-Risiken zum Beispiel mit den bankaufsichtlichen Anforderungen an die IT (BAIT). Diese lösen bei den Banken erheblichen Weiterentwicklungsbedarf ihrer IT-Sicherheitsprozesse aus. Als Folge wird Dienstleistern wie ihren Auftraggebern eine Compliance allerhöchster Güte abverlangt. Zudem sind Banken insgesamt vorsichtiger bei ihren Outsourcing-Vorhaben, so der Branchenkompass Banking 2017.

Über die Studien:

Die Ergebnisse der Studie Branchenkompass Banking 2017 wurden in zwei Schritten erhoben. Sopra Steria Consulting und das F.A.Z.-Institut haben erstmals Banken-Führungskräfte in einem Think-Tank zusam­mengebracht und mit ihnen über die Themen diskutiert, die die Branche bewegen. Regulatorik, Operations Management und Digitalisierung standen im Fokus. Im Mai 2017 wurden darüber hinaus 103 Führungskräfte aus Banken und Kreditinstituten zu den Branchentrends, Herausforderungen und Strategien befragt. Die Online-Befragung wurde unter Entscheidern von Banken mit Bilanzsummen über 500 Millionen Euro durchgeführt.

Für die Potenzialanalyse Digital Security wurden im Auftrag von Sopra Steria Consulting im April 2017 mehr als 200 (n=205) IT-Entscheider aus Unternehmen ab 500 Mitarbeitern aus den Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien, Öffentliche Verwaltung befragt. Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter von IT-Lösungen.

ZUM BRANCHENKOMPASS "Banking 2017"
ZUR POTENZIALANALYSE "Digital Security"

Über Sopra Steria Consulting

 

Birgit_Eckmueller_01Birgit Eckmüller

Tel.: +49 40 22703 0
presse.de@soprasteria.com