IT Sicherheitsgesetz: Wichtige Teilaspekte treffen auch Banken, Sparkassen und Versicherer
Herr Härtner, bringt das IT-Sicherheitsgesetz jetzt zusätzliche Anforderungen an die Banken, oder ist nicht alles schon durch die bisherigen Regulierungsanforderungen abgedeckt?
Die Anforderungen des IT-Sicherheitsgesetzes in der verabschiedeten Form bringen vordergründig keine wesentlichen Neuerungen bezüglich zu treffender Vorsorgemaßnahmen für die eigene Sicherheit bei Banken und Finanzdienstleistern. Sowohl die Garantie eines Mindestsicherheitsniveaus in der IT als auch die Verpflichtung zur Meldung von IT-Sicherheitsvorfällen sind gelebte Praxis und Bestandteil der Auflagen zum Beispiel im Kreditwesengesetz (KWG) oder der Mindestanforderungen für Risikomanagement (MaRisk).
Für die Einhaltung dieser vergleichbaren, teilweise sogar schärferen Regelungen als im IT-Sicherheitsgesetz sorgen seit Längerem unter anderem die Aufsichtsorgane für deutsche Banken, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Bundesbank.
Damit unterscheidet sich das Finanzwesen gravierend von anderen Wirtschaftsbereichen, in denen nun erstmals konkrete Maßnahmen bezüglich Sicherheit und Risikominimierung gefordert werden.
Fakt ist aber, dass bei der bisherigen Regulierung ausschließlich die Sicherheit der Finanzbranche im Zentrum stand, nicht die Sicherheit von Nutzern oder der Öffentlichkeit.
Und was wird das IT-Sicherheitsgesetz aus Ihrer Sicht für Banken bedeuten?
Der Aufwand für Anpassungen bei Vorsorgemaßnahmen ist aufgrund der bereits hohen Standards also vermutlich vernachlässigbar. Sofern die vom Gesetz vorgesehene Möglichkeit der Schaffung branchenüblicher Standards, zum Beispiel durch BaFin oder den Ausschuss der Europäischen Bankenaufsichtsbehörden (CEBS), genutzt wird, führt selbst dies voraussichtlich nicht zu großen Mehraufwänden.
Trotzdem gibt es drei Teilaspekte, die sich auf die Finanzbranche auswirken können.
Dazu gehören zunächst die weitergehenden Regelungen bezüglich der Melde- und Berichtspflicht. Diese gilt gegenüber Aufsichtsbehörden, wozu nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt, welches seinerseits unter bestimmten Voraussetzungen auch die Öffentlichkeit informieren kann.
Darüber hinaus müssen aber auch die Nutzer informiert werden, sofern Bedrohungen von ihnen ausgehen – beispielsweise in Form von Trojanern oder Malware.
Damit reicht es nicht mehr aus, die Sicherheit der eigenen Services sicherzustellen! Vielmehr sind Banken und Versicherer nun gezwungen, Sicherheit auch außerhalb des ehemaligen eigenen Verantwortungsbereiches und ganzheitlich, nämlich vom Nutzer bis zur eigenen Applikation, zu gewährleisten und Bedrohungen mitzuteilen. Identifikations-, Abwehr- und Berichtsinstanzen sind nunmehr so zu konzipieren, dass dies mit möglichst vertretbarem Aufwand – aber wirksam – geschehen kann.
Zweiter Teilaspekt ist die Einführung von Sanktions- und Interventionsandrohungen. Damit gewinnt die Umsetzung der schon bisher geforderten vorbeugenden Maßnahmen, aber auch die Einführung der erweiterten Berichts- und Meldepflichten an Bedeutung. Dabei geht es gar nicht so sehr um eventuelle Bußgelder, welche sich in einem zum Beispiel für Banken durchaus erträglichen Bereich bewegen. Vielmehr ist es die Möglichkeit der nicht mehr steuerbaren Veröffentlichung von Risiken, Bedrohungen und Sicherheitsvorfällen, welche zu einem immensen Reputationsverlust und damit auch zu finanziellen Einbußen führen können. Der Druck zu gesetzeskonformem Verhalten wird also größer, was hoffentlich auf der Ebene der IT- und Sicherheitsverantwortlichen hilft, die notwendige finanzielle und organisatorische Unterstützung im Unternehmen zu erhalten.
Letzter – nicht zu unterschätzender – Teilaspekt ist die rein nationale Auslegung des IT-Sicherheitsgesetzes. Ansätze zu internationalen Regelungen, beispielsweise der EU mit der Netzwerk-Informations-Sicherheits-Richtlinie (NISR), wurden nicht abgewartet, die zu erwartenden harmonisierten Regeln deutlich schärfer ausgelegt. Das Fehlen von gleichen Regeln und Kontrollen mindestens im EU-Raum führt also zu höheren Aufwänden und damit zu einer Wettbewerbsverzerrung. Das gilt bereits heute; sollte eine nochmalige Anpassung an zukünftige internationale Auflagen kommen, wird dies noch dramatischer.
Aber vieles wird ja nicht so heiß gegessen wie es gekocht wird …
Alle drei Teilaspekte sind momentan unumkehrbar und müssen akzeptiert werden. Banken und Finanzdienstleister sind deshalb gut beraten, dies als Chance zu sehen und zu nutzen. Gestaltet man die eigene Sicherheitsarchitektur so, dass Abwehr- und Erkennungsmechanismen nicht auf das eigene Rechenzentrum beschränkt sind, können erstens alle Berichtspflichten problemlos erfüllt werden. Die dazu notwendigen Lösungen gibt es bereits heute. Zweitens entlastet eine frühzeitige Beseitigung von Bedrohungen, etwa beim Endanwender oder im Netz, die eigene Infrastruktur und gewährleistet die gewünschte Verfügbarkeit aller Services mit größtmöglicher Flexibilität. Und drittens schafft ein aktiv beworbenes und anforderungsgerechtes Sicherheitskonzept gerade in der Finanzbranche die notwendige Kundenbindung und auch das notwendige Vertrauen, wenn interne und externe Endnutzer sicher sein können, dass ihr Kontakt und jede Transaktion durch Maßnahmen des Anbieters geschützt sind.
Wieso ist nicht mehr nur das Rechenzentrum der schützenswerte Bereich?
Seit jeher war das Unternehmensnetzwerk und natürlich das Rechenzentrum der Fokusbereich der IT-Sicherheit. Deshalb investieren Unternehmen auch circa 70 Prozent des gesamten IT-Sicherheitsbudgets in die Netzwerksicherheit, und ungefähr 80 Prozent der Geschäftsführer gehen deshalb davon aus, dass das Rechenzentrum damit sicher ist. Soweit so gut, allerdings wissen das auch Hacker und greifen das Netzwerk als solches überhaupt nicht mehr an. Denn der überwältigende Großteil der Angriffe – wir sprechen von etwa 80 Prozent – zielt auf Applikationen. Diese werden bei Weitem nicht so gut geschützt. Die Applikation läuft zwar im Rechenzentrum, sie endet aber erst beim Endnutzer auf dem jeweiligen Client. Hier warten die verschiedensten Gefahren wie Würmer, Trojaner oder korrumpierte Daten, die wiederum die unternehmenseigenen IT-Infrastrukturen gefährden. Der Client ist heute also Teil des Rechenzentrums und muss zwingend in ein wirksames IT-Sicherheitskonzept integriert werden.
Würden sich auch Online-Banking-Nutzer direkt von der Bank schützen lassen?
Online-Betrug ist leider ein weitverbreitetes – globales – Phänomen. Hackerbanden auffliegen zu lassen, die über die ganze Welt verteilt sitzen und Kunden von deutschen Banken um ihr Geld gebracht haben, ist sehr schwierig. Deshalb müssen Banken ihre Sicherheitskonzepte überdenken. Denn: Mit geeigneter Software können sich Finanzinstitute wehren und gleichzeitig ihre Endkunden beim Online-Banking wirksam schützen. Beispiele sind WebSafe- und MobileSafe-Dienste, die sich direkt in Banking-Apps integrieren lassen und die Malware auf dem Endgerät des Nutzers, Man-in-the-Middle-Angriffe sowie Keylogger erkennen und erbeutete Daten für Angreifer unbrauchbar machen. Das funktioniert sowohl für Tablets und Smartphones als auch für PCs und Laptops. Und die Kunden müssen weder selbst weitere Software installieren noch merken sie einen Unterschied in der sogenannten User-Experience. Zudem können Banken den Kunden informieren, wenn ein für Online-Banking benutztes Gerät infiziert ist. Das stärkt natürlich auch das gegenseitige Vertrauen.
Und was müsste Ihrer Meinung nach eine Bank für ein effektives Sicherheitskonzept tun?
Die Grenzen des Rechenzentrums müssen neu definiert werden. Häufig wird heute noch die äußere Grenze des Rechenzentrums an der Firewall gezogen – also quasi an der Haustüre.
Das ist zu kurz gegriffen. Denn die Angriffsparameter und die technischen Möglichkeiten für Cyberkriminelle haben sich gewandelt – eine vermeintlich sichere Verschlüsselung schützt nicht automatisch vor schädlichem Datenverkehr. Das ist so, als ob Sie ein Paket annehmen, ohne den Inhalt zu kennen. Es kann Gefahrgut enthalten, das durch die Verpackung nicht erkennbar ist. Dem können Sie nur entgegenwirken, indem der Inhalt des Pakets genau geprüft wird.
Analog verhält es sich in der IT. Folgende Fragen müssen beantwortet und in einen entsprechenden Kontext gesetzt werden, um die IT-Sicherheit so effektiv wie möglich zu gestalten:
– Wer tritt in Interaktion?– Wo befindet sich der Anwender?
– Mit welchem Gerät greift er auf die Applikation zu?
– Welche Art von Daten schickt er ins Rechenzentrum?
– Welche Art von Transaktion möchte er durchführen?
Es ist heute nicht mehr ausreichend, dass sich ein Anwender mit Username und Passwort identifiziert, denn diese Daten können relativ leicht gestohlen werden. Vielmehr muss jede Antwort auf oben genannte Fragen bei Bedarf zusätzliche Maßnahmen auslösen können, wie etwa eine weiterführende Authentifizierung seitens des Anwenders. Hier ein vereinfachtes Beispiel: Stellt man fest, dass sich ein in Europa ansässiger Anwender, der sich gewöhnlich über sein Laptop einloggt, nun aus einem Internetcafé einloggt und eine hohe Summe auf ein Konto in Asien überweisen will, können weitere Maßnahmen zur Identitätsbestimmung – etwa in Form eines Anrufes der Bank beim Anwender oder Eingabe einer mTan – eingeleitet werden.
Ein effektives Sicherheitskonzept muss sich also nicht nur bis zu den Endgeräten der Kunden beziehungsweise der Mitarbeiter erstrecken und damit sicherstellen, dass über diesen Kanal keine korrumpierten Daten in das System gelangen. Zusätzlich muss ein zeitgemäßes Sicherheitskonzept eine technologische Infrastruktur beinhalten, die in der Lage ist, geografische und physikalische Faktoren mit Handlungsmustern in einen Kontext zu setzen, diesen zu analysieren und entsprechende Maßnahmen einzuleiten. Sie sollte die Inhalte der Kommunikation lesen, verstehen und entscheiden können, ob ein Verstoß gegen die Sicherheitsregeln des eigenen Unternehmens vorliegt. Technisch ist das bereits alles möglich.
Die IT hat ja leider oft nur Dienstleistungscharakter. Wie kommt die IT mit an den Vorstandstisch?
Solange die IT als Kostenstelle rangiert, IT-Sicherheit als notwendiges Übel betrachtet wird und der CIO/CTO an den Finanzvorstand berichtet, bleibt es schwierig.
Die IT ist in etablierten Unternehmen meist über viele Jahre hinweg mit der Technologie gewachsen und zeigt sich heute in einer silo-artigen Struktur, die irgendwann einmal sinnvoll gewesen sein mag. Diese Struktur wurde jedoch von der sich stetig und immer schneller entwickelnden Technologie überholt. Deshalb gibt es beispielsweise heute immer noch Netzwerkabteilungen, die sich nur um die Verbindung von Datenpaketen kümmern, oder Server-, Storage- und Applikationsabteilungen. Alle mit einer klar umrissenen Aufgabenstellung, aber nicht inhaltlich miteinander vernetzt! Diese Struktur macht es unmöglich, der IT die gestaltende Rolle zu übertragen, die sie im Rahmen der neuen technologischen Herausforderungen dringend braucht, um den Unternehmenserfolg nachhaltig zu unterstützen. Das Ziel muss sein, neue Geschäftsprozesse schnell, sicher und effizient mit minimalen Betriebskosten auf die IT-Infrastruktur abzubilden.
Solange sich die IT nicht von innen heraus neu aufstellt und beweist, dass sie neue, tragfähige Geschäftsmodelle umsetzen kann, solange wird ihr wohl der notwendige Platz am Vorstandstisch verwehrt bleiben. Ein Chief Digital Officer (CDO) kann hier Abhilfe schaffen.
Sie sprechen vom Chief Digital Officer. Braucht es den wirklich, oder genügt nicht auch der CIO?
Es braucht ihn wirklich! In meinen Augen müsste er die Aufgabe haben, die Silos der bestehenden IT aufzubrechen und nach den Anforderungen und Möglichkeiten heutiger Technologien neu auszurichten. Das bedeutet eine Erweiterung des Aufgabengebietes, und das sollte auch durch den Titel kommuniziert werden. Die Rolle der IT muss eine aktiv gestaltende werden und nicht eine reaktive bleiben, damit die Möglichkeiten neuer Technologien in strategische und potente Geschäftsmodelle übersetzt werden können. Das Ziel ist und bleibt sichere Kommunikation und Transaktion – leistungsfähig und benutzerfreundlich gestaltet für den Anwender, rasch und kostengünstig umzusetzen für das Unternehmen.
Herr Härtner, vielen Dank!aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/18508
Schreiben Sie einen Kommentar