Finanzdienstleister haben Nachholbedarf in puncto sichere Cloud-Strategien

Im April 2023 lieferte Skyhigh Security mit der Studie „The Data Dilemma: Cloud Adoption and Risk Report“ einen Überblick über die Sicherheit von Cloud-Daten in diversen Branchen. Nun nimmt der Security-Anbieter die Finanzbranche gesondert unter die Lupe – mit besorgniserregenden Ergebnissen.

von Thomas Wethmar, Regional Director DACH bei Skyhigh Security

Finanzdienstleister sind eines der attraktivsten Ziele für Cyberkriminelle. Die höchst sensiblen Daten, die sie verarbeiten, stehen unter anderem bei finanziell motivierten oder staatlichen Hackern hoch im Kurs. Durch den anhaltenden Trend zu hybriden Arbeitsmodellen und der damit einhergehenden dezentralen Datensicherung ist das Einfallstor für feindliche Akteure heute größer denn je. Die weiter zunehmende Nutzung von Cloud-Anwendungen und -Diensten erfordert daher resiliente und ganzheitliche Cybersicherheitsmaßnahmen. Der vor Kurzem veröffentlichte Cloud Adoption and Risk Report: Financial Services Edition von Skyhigh Security wirft jedoch Zweifel auf, ob die Finanzbranche ausreichend auf feindliche Angriffe vorbereitet ist:

78 % der befragten Finanzdienstleister geben an, bereits Opfer eines Cyberangriffs, einer Bedrohung durch Hacker oder eines Datendiebstahls gewesen zu sein.”

Die Cloud als Risikofaktor für die Datensicherheit

Cloud-Computing nimmt im Zeitalter des hybriden Arbeitens eine Schlüsselrolle ein. Unternehmen kommen nicht mehr umhin, das volle Potenzial der Cloud in puncto Produktivität und Flexibilität auszuschöpfen und greifen vermehrt zu Kommunikationszwecken und für die Sicherung von Daten auf Public-Cloud-Services zurück – beispielsweise Amazon Web Services, Microsoft 365 und Microsoft SharePoint. Die Nutzung einer Vielzahl von Anwendungen bringt jedoch auch multiple Risiken:

–Die durchschnittliche Zahl an Public-Cloud-Services, die Finanzdienstleister nutzen, ist innerhalb von drei Jahren um mehr als 50 % gestiegen: Von 20 Services im Jahr 2019 auf 31 Services im Jahr 2022.

–SaaS-Anwendungen und -Services stellen ein besonderes Risiko dar: Der Anteil der Unternehmen, die Sicherheitsvorfälle im Zusammenhang mit der Nutzung von SaaS-Anwendungen und -Services verzeichnen, ist innerhalb von drei Jahren um 13 % gestiegen: Von 82 % im Jahr 2019 auf 95 % im Jahr 2022.

–Finanzdienstleister speichern weit mehr als die Hälfte (61 %) ihrer sensiblen Daten, z. B. Kunden- und Mitarbeiterdaten, betriebsinterne und vertrauliche Aufzeichnungen, Kreditkarteninformationen und Bankverbindungsdaten, in der Public Cloud.

–82 % der Befragten geben an, dass die Schatten-IT ein Hindernis für den Datenschutz darstellt.”

Welche Maßnahmen werden bereits ergriffen?

Die Finanzbranche unterliegt – im Vergleich zu anderen Branchen – sehr viel strikteren regulatorischen Auflagen, wenn es um die Einhaltung des Datenschutzes geht.

Anhand des Reports wird deutlich, dass der Finanzsektor beim Thema Cybersicherheit anderen Branchen einen Schritt voraus ist.”

Finanzdienstleister verfolgen beispielsweise einen wesentlich proaktiveren Ansatz, um das Risiko, das die nicht autorisierte Cloud-Nutzung (Schatten-IT) mit sich bringt, zu unterbinden. Sie bemühen sich mehr als andere Branchen darum, Nutzer von Schatten-IT dazu zu bringen, vergleichbare, aber überprüfte Services zu verwenden, unterziehen Anwendungen und deren potenzielle Risiken regelmäßigeren Prüfungen und nutzen häufiger Lösungen für Identitäts- und Zugriffsmanagement.

Trotz des offensichtlich höheren Sicherheitsbewusstseins ist die Zahl der Sicherheitsvorfälle in der Finanzbranche auf einem Rekordwert.”

Ein klares Zeichen dafür, dass die bisherigen Bestrebungen zwar ein guter Start für die Sicherung von Daten in einer Cloud-nativen Umgebung darstellen, jedoch bei Weitem nicht ausreichen, um vollständigen Schutz gewährleisten zu können.

Die Zuständigkeitsfrage als zusätzliche Hürde

Um Daten auch in einer dezentralen Cloud-Umgebung optimal zu sichern, bedarf es in erster Linie gut geschulten Personals – doch genau daran scheint es breitflächig zu mangeln.

96 % der befragten Finanzdienstleister geben an, dass ihnen das Fachpersonal für die Planung und Durchführung adäquater Cybersicherheitsmaßnahmen fehlt.”

Damit liegen sie mit 4 Prozentpunkten über dem Wert, der dahingehend für alle anderen Branchen ermittelt wurde.

Erschwerend kommt hinzu, dass die Frage der Zuständigkeit für Cybersicherheit bei einem Großteil der befragten Finanzdienstleister ungeklärt zu sein scheint.

Als Hauptverantwortliche werden CIO und CTO genannt – allerdings schreiben auch 42 % der Befragten dem IT Security Manager und 35 % dem IT Manager Schlüsselrollen zu, wenn es darum geht, die Sicherung kritischer Daten und die Nutzung von Cloud-Anwendungen bzw. -Services zu überwachen und zu kontrollieren.”

Durch die ungeklärte Zuständigkeit für Cybersicherheit bleibt die Planung und Durchführung von Sicherheitsmaßnahmen potenziell auf der Strecke, wodurch die Schwachstellenerkennung und ihre -behebung maßgeblich beeinträchtigt werden.

Ausblick

Die Ergebnisse des Reports machen deutlich, dass der Schutz von Daten in einer komplexen hybriden IT-Infrastruktur noch nicht ausreichend gewährleistet ist und dringender Handlungsbedarf besteht. Gerade im Finanzsektor ist lückenloser Datenschutz unerlässlich. Die befragten Finanzdienstleister teilen offenbar diese Auffassung:

Fast zwei Drittel der Befragten geben an, dass größere Investitionen für bessere Cybersicherheit getätigt werden müssen. Ebenso zieht ein großer Teil der Befragten (etwas mehr als 40 %) den Wechsel hin zu einem Zero-Trust-Konzept in Betracht. Dieser Ansatz ist sinnvoll, um die Sicherheits-Standards anzuheben, den regulatorischen Anforderungen gerecht zu werden und sensible Daten genau dort zu schützen, wo sie liegen – und genau das ist die Quintessenz. Um Cloud-Daten zuverlässig abzusichern, muss die Security bereits in der Cloud greifen.Thomas Wethmar, Skyhigh Security