Cyber Security – Herausforderung für Finanzdienstleister

12 Juni, 2016

PwC-Partner Marc Billeb erklärt die jüngsten Entwicklungen im Bereich Cyber-Kriminalität und welche neuen Herausforderungen sich daraus für die Finanzindustrie ergeben. Angesichts der sich wandelnden Bedrohungslage werden die Fähigkeit zum Erkennen von Cyber-Attacken und adäquate Gegenmaßnahmen für die Financial-Services-Branche immer wichtiger. Entscheider sollten daher beim Thema Cyber-Sicherheit neue Prioritäten setzen.

Im Gespräch mit Marc Billeb

Mit der fortschreitenden Digitalisierung der Finanzindustrie wachsen auch die Anforderungen an die IT-Sicherheit der Branche. Müssen die Institute hier nachbessern?

Marc Billeb: Bislang haben sich die Institute beim Thema IT-Sicherheit eher auf die eigenen vier Wände konzentriert und über bestimmte Abschirmmechanismen wie Firewalls für Sicherheit innerhalb der Institute gesorgt. Durch die zunehmende Digitalisierung der Geschäftsprozesse sowie die fortschreitende Vernetzung mit Kunden, Drittanbietern und Hausbanken wachsen die digitalen Ökosysteme der Institute und damit auch die Gefahren von Cyber-Angriffen. Sicherheitsbedrohungen aus dem Cyberraum sind nicht mehr länger ein reines IT-Thema. Nun ist ein breiterer Ansatz erforderlich, der das gesamte digitale Ökosystem von Banken, Versicherern und anderen Finanzdienstleistern miteinbezieht.

Auch durch neue Technologien wie Mobile Banking, institutsübergreifende digitale Prozesse und die Einbindung von Drittanbietern entstehen immer mehr Angriffsmöglichkeiten für Cyber-Attacken. Hat sich auch die Struktur der Angreifer verändert?

Marc Billeb: Ja. Früher waren es vorwiegend Einzeltäter mit einfachen technischen Mitteln, heute handelt es sich bei den Cyber-Angreifern vorwiegend um Insider, aber auch Staaten, Hacktivisten und Cyber-Terroristen. Besonders zugenommen hat die organisierte Kriminalität, die jetzt auch auf andere Bereiche des Finanzsystems übergreift, wie Vorfälle aus der jüngeren Vergangenheit zeigen. Die Motive und Angriffsziele der einzelnen Gruppen unterscheiden sich deutlich. Die Mittel für Cyber-Attacken sind im Dark Web relativ leicht verfügbar. Heute sind Angreifer häufig finanziell gut ausgestattet und verwenden komplexe, langfristig angelegte und sehr individuelle Methoden, bei denen die herkömmlichen Sicherheitskonzepte der Branche oft nicht mehr ausreichen. Die Frage ist nicht mehr ob, sondern wann ein Angriff stattfindet und identifiziert wird.

Welche Risiken drohen den Instituten durch Cyber-Attacken?

Marc Billeb: Das größte Risiko für eine Bank ist ein Reputations- und Vertrauensverlust beim Kunden. Hinzu kommen finanzielle Verluste oder Strafzahlungen an Vertragspartner sowie Maßnahmen der Regulatoren. Durch Betrugsfälle von Insidern besteht die Gefahr, dass vertrauliche Geschäfts- und Kundendaten offen gelegt werden. Cyber-Terroristen und Hacktivisten zielen eher auf eine Zerstörung von Systemen und Daten oder eine Störung von Geschäftsprozessen.

Mit einem Cyber-Angriff verbunden ist auch immer ein hoher operativer Aufwand, die Systeme wiederherzustellen und hochlaufen zu lassen. Zwar sind alle Daten in einem Backup-Zentrum gespeichert und können wieder eingespielt werden, jedoch werden Angriffe auf Firmennetzwerke im Schnitt erst nach ca. 200 Tagen erkannt. Daher kann es sein, dass die Backup-Daten bereits kontaminiert sind und die Schadsoftware beim Wiedereinspielen erneut in die Systeme gelangt. Also müssen auch lange etablierte IT-Prozesse überdacht werden. Es gilt nicht nur, die Risiken zu identifizieren und darauf zu reagieren, auch der Wiederanlauf der Systeme muss neu konzipiert werden.

Wie sichern sich Banken gegen finanzielle Verluste durch Cyber-Attacken ab?

Marc Billeb: Cyber-Risiken zählen bei Banken zu den IT-Risiken, die als Teil der operationellen Risiken mit Eigenkapital zu hinterlegen sind. Da die Bedrohungslage zunimmt, ist dieses Risiko gestiegen. Immer mehr Institute sichern sich auch durch Cyber-Policen von Versicherungen gegen mögliche Schadensfälle durch Cyber-Kriminalität ab.

Welche technischen und organisatorischen Maßnahmen helfen im Fall einer Cyber-Attacke?

Marc Billeb: Bei einer klassischen Cyber-Attacke wird eine Phishing-Mail mit einem Link zu einer Webseite oder einem präparierten Anhang in Umlauf gebracht. Diese gefährlichen Links werden von Mitarbeitern noch viel zu häufig geöffnet. Eine wesentliche Maßnahme zum Schutz sind Awareness-Trainings für Mitarbeiter, welche die unterschiedlichen Cyber-Angriffe illustrieren und die jeweiligen Risiken aufzeigen. Dazu kommen technische Möglichkeiten, wie bspw. die Multi-Faktor-Authentifizierung bei der Anmeldung in Anwendungen durch Passwörter und Smartcards sowie moderne Methoden zum Scannen, bei denen automatisch Anhänge entfernt und geprüft werden, bevor sie den Empfänger erreichen. Außerdem ist die regelmäßige Aktualisierung der Systeme und Sicherheits-Software unabdingbar, um eine Infektion durch Schadsoftware vorzubeugen. Eine sehr wirkungsvolle Maßnahme ist zudem, dass jeder Nutzer nur so viel Zugriffsrechte erhält, wie er für seine Tätigkeit wirklich benötigt.

Welche Prioritäten sollte das Management im Bereich Financial Services setzen, um künftig für mehr Cyber-Sicherheit zu sorgen?

Marc Billeb: Das National Institute of Standards and Technology (NIST) hat ein Vorgehensmodell mit fünf Phasen entworfen, was ein gutes Hilfsmittel zur Analyse darstellt. Dabei sollten zunächst in einer Bestandsaufnahme die Risiken und Bedrohungen der eigenen Daten identifiziert werden (Identify). Anschließend sollten entsprechende Kontrollen und Schutzmaßnahmen eingerichtet werden (Protect). Hinzu kommt die kontinuierliche Überwachung des IT-Systems in Echtzeit nach Auffälligkeiten (Detect) sowie die Fähigkeit zu reagieren und adäquate Maßnahmen einzuleiten, um die Auswirkungen von Cyber-Attacken zu begrenzen (Respond). Im Schadensfall sind auch Maßnahmen zur Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs notwendig (Recover). Die Banken sollten die Notfallkonzepte für ihre IT-Systeme nun stückweise anpassen. Für Unternehmen ist es sicherlich sehr hilfreich die Phasen des NIST-Modells zu durchlaufen, um Schwachstellen strukturiert und ganzheitlich zu identifizieren. Eine PwC-Umfrage bei deutschen Banken hat gezeigt, dass die größten Lücken im Bereich Detect und Respond bestehen. Viele Institute investieren gerade verstärkt in den Ausbau ihrer Sicherheitskonzepte wie zum Beispiel biometrische Verfahren zur Authentifizierung. Um das Bewusstsein vor allem von Vorständen und Aufsichtsräten für die Bedeutung und Funktionsmechanismen von Cyber-Security zu stärken, hat PwC das Rollenspiel „Game of Threats“ für Führungskräfte in Banken und anderen Unternehmen entwickelt, bei dem realistische Cyber-Attacken simuliert und Gegenmaßnahmen durchgespielt werden.

Bislang gibt es von Seiten der Staaten und Aufsichten wenig institutionalisierte Strukturen für Notfälle. Sind auch Regierungen und Aufsichten stärker im Kampf gegen Cyber-Kriminalität gefragt?

Marc Billeb: Besonders wichtig ist der Aufbau eines branchenübergreifenden Früherkennungs- und Frühwarnsystems. Einige Maßnahmen gehen bereits in die richtige Richtung. Die Bundesregierung hat beispielsweise für Banken und andere Unternehmen mit kritischen Infrastrukturen über das seit 2015 geltende IT-Sicherheitsgesetz Meldepflichten für Cyber-Vorfälle eingeführt. Darüber hinaus gibt es Zusammenschlüsse aus Banken und Sicherheitsbehörden zum Austausch über Cyberangriffe und Abwehrmaßnahmen. Auch das Thema „Intelligence on Threats“ gewinnt bei der Identifizierung von Cyber-Attacken und deren Rückverfolgung bis hin zum Angreifer an Bedeutung. Solche Datenbanken zur Analyse der Vorfälle existieren bereits. Stresstests von Seiten der Aufsicht könnten ebenfalls ein probates Mittel sein, um herauszufinden, wie widerstandsfähig das eigene IT-System gegen Cyber-Attacken ist, wobei hier berücksichtigt werden muss, dass sich die Technologien und Angreifer laufend verändern und weiterentwickeln.

Contact us

Marc Billeb
Leader Cyber Security
Tel.: +49 69 9585-2723
E-Mail

Follow us