Zukunft der Cybersecurity im Finanzsektor: Sergej Epp von Palo Alto Networks im Interview

Schwerpunkt: Künstliche Intelligenz

Cybersecurity in der Finanzbranche steht vor neuen Herausforderungen: komplexe Angriffe auf Drittanbieter in der Lieferkette. Ein zukunftssicherer Sicherheitsansatz, der Automatisierung und Künstliche Intelligenz nutzt, ist entscheidend – meint Sergej Epp, Chief Security Officer bei Palo Alto Networks, blickt im Interview. Nur so können Banken und Versicherer regulatorischen Anforderungen wie DORA und NIS-2 gerecht werden. 

Herr Epp, welche Art von Angriffen sind aus Ihrer Sicht für die Finanzbranche besonders gefährlich? Wie kann man sie verhindern?

Gerade für die Finanzbranche muss man betrachten, wie sie sich in der Vergangenheit zum Thema Cybersecurity positioniert hat. Mit dem Einzug des Online-Bankings haben sich neue potenzielle Einfallstore aufgetan, die Cyberkriminelle ausnutzen können. Damit war das Finanzwesen die erste Branche, die aufrüsten musste. Deswegen haben wir als Hersteller auch schon früh die Notwendigkeit von grundlegenden Security-Hygiene-Maßnahmen kommuniziert.

Wenn wir die heutige Angriffslandschaft im Finanzumfeld betrachten, sehen wir deutlich, dass die schiere Komplexität der gesamten Anwendungen geschützt werden muss – von Legacy-Umgebungen über Mainstream-Tools bis hin zu modernen Cloud-Applikationen.”

Denn in einer so stark verknüpften – und historisch heterogen gewachsenen – Infrastruktur kann ein einziger kleiner Angriff dazu führen, dass das ganze Unternehmen betroffen ist und im schlimmsten Fall lahm liegt. Wenn wir uns die letzten Angriffe im Jahr 2023 anschauen, dann war vor allem die Zwei-Faktor-Authentifizierung im Fokus der Angreifer – obwohl diese bisher als besonders sichere Methode galt. Aber nicht nur die Finanzinstitute selbst werden zur Zielscheibe. Es sind auch immer mehr Third Party-Unternehmen innerhalb der Lieferkette stark betroffen.

Wie könnte eine zukunftssichere Sicherheitsstrategie im Finanzsektor aussehen?

Der Finanzsektor hat die einzelnen Prozesse und Technologien bereits relativ gut adressiert und Sicherheitsmaßnahmen etabliert.

Jetzt geht es vor allem darum, die Komplexität so weit wie möglich zu reduzieren – denn große Banken oder Versicherer setzen teils Hunderte von Sicherheits-Tools ein, die alle integriert werden müssen.”

Betrachten wir beispielsweise das Thema Threat Intelligence: Sicherheitskontrollen in diesem Bereich laufen von jedem Endgerät der Mitarbeiter über die Cloud bis hin zu den Zulieferern. Wenn ich auf diesem Weg einen Angreifer detektiere, müssen auch alle anderen Punkte der Kette über den Angriff informiert werden, damit dieser effektiv abgewehrt werden kann. Eine solche Integration funktioniert in der Regel nur über einen holistischen Plattform-Ansatz – was für Banken mit großen Legacy Stacks oft ein enormes Problem darstellt.

Wir sehen aber bereits einige moderne Banken, die es geschafft haben, einen Security-Plattform-Ansatz zu fahren, indem sie sich von Anfang an einen zukunftsorientierten Architektur-Plan überlegt haben. Anstatt sich also „nur” mit aktuellen Herausforderungen zu beschäftigen, setzen sie sich auch bereits mit künftig möglichen Technologien und Problemstellungen auseinander.

Fragen, die man sich in diesem Zuge stellen sollte, sind beispielsweise:

Inwieweit bin ich imstande, meine Sicherheitskontrollen schnell zu aktualisieren? Wie kann ich sicherstellen, dass ich eine Sicherheitskontrolle, die in der Vergangenheit nicht funktioniert hat, schnell und sicher nachrüsten kann?”

Dazu kommt die Frage nach den Kosten: Wie können diese für die Sicherung der gesamten Infrastruktur im Rahmen gehalten werden? Das gilt vor allem in einer hochregulierten Branche wie der Finanzbranche, in der laufend neue Vorschriften hinzukommen, für die man nachrüsten muss. So sind bereits in der Vergangenheit für viele Institute die Kosten explodiert – auch ohne eine gute Sicherheitsarchitektur vorweisen zu können.

Nachdem wir das Morgen aber relativ schlecht abschätzen können, bleibt uns eigentlich nur, die Cybersecurity-Landschaft so aufzubauen, dass sie sich schnell und günstig aufrüsten sowie modernisieren lässt, um mit dem Innovationstempo am Markt mitzuhalten. Hier sind Künstliche Intelligenz und Automatisierung die Stichworte.

Wie schätzen Leiter IT/Orga, CTOs und CISOs der Branche das Thema Cybersecurity ein? Gibt es bereits Umsetzungen?

Dass Cybersecurity eines der treibenden Themen aktuell ist, ist mittlerweile überall angekommen.

Meine Erfahrung aus vielen Gesprächen mit Vorständen ist, dass mittlerweile rund 90 Prozent der CIOs und CISOs in Deutschland das Thema als absolute Priorität einschätzen.”

Speziell für die Finanzbranche zeigt sich das nicht zuletzt in der Fokussierung der EZB, des BSI und der BaFin auf Tests der Finanzinstitute. Ob die Verantwortung für die Sicherung der Finanzinstitute letztlich bei den CTOs, den CIOs oder den CISOs liegt, ist ganz unterschiedlich.

Erste Umsetzungen mit einem integrierten Plattform-Ansatz gibt es bereits, vor allem bei den großen Banken. Die Anforderungen verschärfen sich jetzt noch einmal deutlich, Finanzinstitute fangen aber nicht von vorne an. Kleine Banken müssen sich jedoch nun mit neuen Regulationen beschäftigen und ihre Cybersecurity aufrüsten.

Wie und welche KI setzt Palo Alto Networks zur Gefahrenabwehr ein?

Seit der Entstehung von Palo Alto Networks setzen wir Automatisierungen auf Basis von Machine Learning (ML) bei der Lösungsentwicklung ein. Bei Künstlicher Intelligenz (KI) lässt sich grob zwischen der Narrow KI und der Generativen KI unterscheiden.

Narrow KI kommt schon lange in speziellen Tools zum Einsatz – beispielsweise für die Identifizierung von Malware, die Klassifizierung von Websites oder die Feststellung von Anomalien im Netzwerkverkehr.”

Diese Narrow KI basiert auf klassischen Ansätzen des ML, wie Supervised, (Un-)Supervised oder Reinforcement Learning, und bildet nahezu 80 bis 90 Prozent der gesamten Use Cases in der Cybersecurity ab.

Die Generative KI erreichte die breite Öffentlichkeit durch die Bekanntheit von Large-Language-Modellen wie ChatGPT und ermöglicht es uns, riesige Mengen unstrukturierter Daten zu analysieren. Ein Anwendungsbeispiel in der Cybersicherheit ist die Data Leakage Prevention – eine Sicherheitskontrolle, die früher für Sicherheitsverantwortliche nur sehr schwer greifbar war.

Mithilfe von GenAI können wir heute klare Zuordnungen schaffen, welche Dateien wirklich kritisch sind und die Unternehmensgrenzen nicht verlassen dürfen – in der Vergangenheit fast unmöglich.”

Das gilt aber nicht nur für die Datenanalyse, sondern auch beispielsweise für die Software-Entwicklung. Heute können wir ganz anders mit Software kommunizieren, beispielsweise durch die Integration von CoPilots, die sich über die Eingabe von natürlichsprachlicher Befehle steuern lassen und sich in die bestehende Sicherheitstechnologien wie Firewalls, SASE oder Cyber-Defense-Plattformen integrieren lassen. Unsere Technologien bereiten die entscheidenden Daten dann so übersichtlich auf, dass Anwender die Antworten schnell und einfach verstehen sowie entsprechend handeln können.

Stellen Sie sich vor, ich kann mich mit meiner Cloud-Security-Plattform in englischer Sprache unterhalten.”

Statt komplizierter Datenanalysen kann ich dann einfach fragen, ob mein Unternehmen von bestimmten Sicherheitslücken betroffen ist, wie und wo ich diese am effektivsten löse, oder einfach den Co-Pilot fragen, diese Sicherheitslücke zu patchen.

So verändern wir nicht nur die Art und Weise, wie unsere Kunden Technologie zur Gefahrenabwehr nutzen, sondern auch unsere eigene. Sie hilft uns beispielsweise bei der Beantwortung von RFPs oder unterstützt unsere Ingenieure bei der Konfiguration maßgeschneiderter Technologien für unsere Kunden. Wir haben viele Möglichkeiten, die wir heute und in Zukunft nutzen wollen.

Was bringt das den Unternehmen?

Dazu gibt es sehr viele Beispiele. KI und ML können beispielsweise überall dort zum Einsatz kommen, wo repetitive Tätigkeiten automatisiert werden sollen und wo mit unstrukturierten Daten gearbeitet wird. Speziell bei Kundenanfragen, die sonst telefonisch oder manuell im Online-Banking bearbeitet werden müssten, kann das für enorme Entlastung sorgen.

Wichtig zu verstehen ist, dass die Unternehmen für die Antworten dieser Chatbots auch haften, wie wir das neulich bei Air Canada gesehen haben.”

Und leider können aber auch genau diese GenAI-basierten Anwendungen wie Chatbots leicht durch Hacker ausgetrickst werden. Ein Spiel, was das gut veranschaulicht: Gandalf von Lakera. Versuchen Sie einfach einmal, ein Passwort zu erraten, indem Sie dem Modell verschiedene Fragen stellen. Das geht erstaunlich leicht.

Wenn solche Systeme verstärkt Eintritt in den Markt finden, müssen sie entsprechend abgesichert werden, ohne die traditionelle Sicherheit zu gefährden. Denn bereits in der Trainings- oder Lernphase können diese Modelle angegriffen werden, indem schlechte Verhaltensweisen gelehrt werden. Hier entsteht für Kunden eine ganz neue Kategorie der möglichen Sicherung: Sie müssen ihre Large Language Models bei der Einführung und Nutzung absichern.

DORA muss bis Januar 2025 vollständig implementiert sein. Welcher Handlungsbedarf ergibt sich daraus für 2024?

In Sachen DORA sehen wir natürlich eine Weiterentwicklung der Cybersecurity in bestimmten Kernbereichen für Finanzunternehmen. Der erste Kernbereich ist das gesamte Thema Risikomanagement, bei dem jetzt auch die Sicherheit der Lieferketten und Third Parties in den Fokus rückt. Das ist aber gerade für große Banken nichts Neues – sie implementieren bereits seit Jahren Maßnahmen zum Schutz ihrer Lieferketten.

Neu ist allerdings der zweite Kernbereich:

Dass unter DORA erstmals alle Banken und Finanzunternehmen dazu verpflichtet sind, sich unabhängigen Penetration-Tests zu unterziehen und den Regulatoren bestimmte Daten aus diesen Tests zur Verfügung zu stellen – oder sie sogar an den Tests teilhaben zu lassen.”

Das bringt nun eine ganz neue Qualität in die regulatorische Prüfung und teils auch viel Druck für die Banken

Und was glauben Sie – wie weit sind die Unternehmen der Finanzbranche heute?

Aus unseren Gesprächen wissen wir, dass vor allem die großen Banken schon deutlich besser vorbereitet sind als kleine Institute. Diese lassen sich 2024 auch durch den Stresstest der EZB prüfen, um potenzielle Lücken im System und ihren Lieferketten festzustellen und diese zu patchen.

Das wird zusätzliche Transparenz über den aktuellen Stand der Cybersecurity und der Umsetzung der DORA-Maßnahmen schaffen.”

Meiner Einschätzung nach werden wir da aber keine großen Überraschungen erleben. Allerdings wird sich die Frage stellen, wie die Informationsmengen nach dem Test an den Regulator weitergegeben werden – und wie dieser sie verarbeitet. Da wird einiges an Arbeit auf ihn, Banken und Zulieferer zukommen. Damit schaffen wir sehr viel Bürokratie, die uns gerade bei der Cybersecurity nicht lähmen darf.

Darüber hinaus gibt es aktuell einen Gesetzentwurf zur Network and Information Security Directive (NIS-2), die im Oktober 2024 in Kraft treten soll. Was wird Ihrer Meinung nach in diesem Zuge auf Banken und Finanzunternehmen zukommen?

NIS-2 ist im Prinzip eine Fortführung des Cyber-Sicherheitsgesetzes 2.0, das auf europäischer Ebene umgesetzt wird.

Im Anforderungsbereich für Banken wird sich dabei nicht viel ändern, weil die Regulatoren der Finanzindustrie bereits in der Vergangenheit Maßnahmen geprüft haben, die NIS-2 übersteigen.”

Auch die technischen Anforderungen, beispielsweise Haftungen von Geschäftsführern, sind bereits adressiert.

Der Fokus der Finanzindustrie liegt also wohl eher auf DORA und zukünftig auf dem Cyber Resilience Act und dem AI Act.”

Mit der Umsetzung von Letzterem haben wir zwar noch etwas Zeit, aber er wird enorm wichtig werden – schlicht aus dem Grund, dass Banken mit KI digitale Produkte herstellen und einsetzen.

Welche Rolle spielen innovative Technologien wie AI und ML auch bei der Implementierung der neuen Regularien? Und wie lässt sich das mit der regulatorischen Forderung von xAI in Einklang bringen?

Betrachtet man die Fülle der neuen Anforderungen, die gerade Finanzinstitute allein im Bereich der Cybersecurity erfüllen müssen – bei großen Banken global bis zu 3.000 Anforderungen von hunderten Regulatoren –, können KI und ML verstärkt zur Erkennung von Gefahren und Schadsoftware sowie zur Konsolidierung des Anforderungsdesigns für ein klareres Verständnis eingesetzt werden.

Wir arbeiten aktuell an weiteren Lösungen, die die Komplexität und den Bürokratie- sowie Ressourcenaufwand zusätzlich reduzieren. Darüber hinaus gibt es bereits Initiativen wie die des Cyber Risk Institutes, dem bereits einige deutsche Banken angehören, die zu diesem Zweck regulatorische Anforderungen in Standards bündeln und mit Regulatoren abstimmen wollen.

Ich wünsche mir, dass Regulatoren dieses Vorhaben unterstützen, weil das eine gemeinsame Sprache zwischen allen Beteiligten ermöglicht und die Erfüllung der Anforderungen für uns alle – Hersteller und Zulieferer inklusive – leichter sowie transparenter gestaltet.”

Nicht zuletzt helfen KI und ML, vor allem LLMs, beim Testen der Sicherheitsarchitektur, indem sie realistische Angriffe von außen automatisch simulieren und orchestrieren. Natürlich ersetzt das keine menschlichen Experten, es unterstützt sie aber enorm bei der Simulation von professionellen Hacks, der Identifizierung von Schwachstellen sowie bei deren Fixing.

Wie können Finanzinstitute eine proaktive Sicherheitsstrategie entwickeln, um den Anforderungen von NIS2 / DORA gerecht zu werden und gleichzeitig die digitale Transformation voranzutreiben?

DORA stellt eine Erweiterung der bereits bestehenden Anforderungen an die Finanzinstitute in Aussicht bzw. macht diese verpflichtend. Das gestaltet das Thema Cybersecurity noch intensiver und verlangt von Banken und Versicherungen, dass sie jederzeit mit dem schnellen technologischen Wandel Schritt halten.

Deswegen müssen sie sich heute schon überlegen, was in Zukunft auf sie zukommen könnte – vor allem durch die Resultate der Red Teams, also der simulierten Angriffe – und sich entsprechend zukunftssicher aufstellen.”

Dabei ist es wichtig, eine gesamtheitliche Cyber-Sicherheitsarchitektur im Blick zu haben und zu prüfen, wo Automatisierungen und eine integrative Plattform Sinn machen.

Mit einem solchen Ansatz ist man auch für zukünftige Regularien gut gerüstet.aj