Ransomware-Angriffe auf Finanzinstitute: Warum eine resiliente IT- & Cloud-Infrastruktur die Lösung sein könnte
KPMG
von Vaike Metzger, Partnerin, und Markus Tomanek, Senior Manager, bei KPMG
Um sich vor Cyber-Angriffen zu schützen, setzen immer mehr Finanzinstitute in Deutschland auf Cloud-Lösungen. Eine wichtige Rolle spielt in diesem Zusammenhang die Cloud-Sicherheitsstrategie. Der Anspruch an die Cloud lautet, sicher, widerstandsfähig und regulatorisch compliant zu sein. Das heißt:
KPMG
Neben dem grundsätzlichen Verständnis der Anwendungsfälle in der Cloud beinhalten Sicherheitsstrategien auch Notfallstrategien in Form von Exitoptionen, Datenschutz, Weiterverlagerungen und Multi-Cloud-Adoptionen.”
Die eigentliche Herausforderung in diesem Kontext ist jedoch nicht, eine Cloud-Sicherheitsstrategie zu haben, sondern eine Strategie zu formulieren, die zum jeweiligen Unternehmen passt. Hier sind eine Reihe von Kriterien zu beachten wie die Unternehmensgröße, Konzernstruktur, organisatorische Abhängigkeiten, Handlungsfelder und Ziele, die das Unternehmen verfolgt. So sind bei großen, multinational agierenden Banken und Versicherungen ganz andere Rahmenbedingungen vorzufinden als bei kleinen und mittelständischen Pendants. Für die letzteren steht die Bereitschaft zur Investition in einen höheren Reifegrad im Fokus.
Konzeption einer resilienten Cloud-Plattform
Eine Cloud-Landschaft ist dann resilient oder widerstandsfähig, wenn sie sowohl im normalen Betrieb als auch im Fall einer Cyber-Bedrohung störungsfrei funktioniert.
Aus der Compliance-Perspektive bedeutet das: Jedes Finanzinstitut hat durch konkrete Maßnahmen Leitplanken zur Verringerung der Verletzlichkeit zu setzen.”
KPMG
Vaike Metzger besitzt über 26 Jahre Berufserfahrung im Finanzdienstleistungsbereich. Nach Ihrem Studium der Wirtschaftsmathematik an der Universität Hamburg startete sie 1997 ihre Laufbahn bei KPMG (Website). Sie ist Partnerin im Bereich Financial Services und berät Versicherungen, Banken und Asset Manager sowie deren IT-/Cloud-Dienstleister zu Themenstellungen im Bereich IT Compliance und Cyber Security. Sie leitet zudem die aktuelle Initiative zu EU DORA (Digital Operational Resilience Act) in Europa.
Eine der wichtigsten Maßnahmen ist die verlässliche Einrichtung einer Ausfall- und Redundanzen-Steuerung: Kritische Anwendungen werden über verschiedene Regionen oder Verfügbarkeitszonen des Cloud-Dienstanbieters verteilt (sogenannter Warm Standby). Alternativ wird auf Multi-Cloud-Strategien gesetzt, um so Anwendungen auf verschiedenen Clouds parallel zu hosten. Eine weitere Maßnahme ist die kontinuierliche Prüfung und Überwachung der Funktionalitäten. Das umfasst den Einsatz eines Security Information and Event Management (SIEM) sowie eines Security Operations Center (SOC). Aber nicht nur: Dazu gehören auch der Umgang mit technischen Limitationen und neu entdeckten Schwachstellen in der Cloud-Architektur sowie die Anpassung an die sich dynamisch entwickelnden Potenziale der Cloud-Plattform.
Durch die fortschreitende und rapide Entwicklung im Bereich der „Generative AI“-gestützten Anwendungen werden auch die Ressourcen der Cloud selbst stärker denn je gefragt.”
Wahl des Cloud-Providers: Worauf zu achten ist
Bei der Entscheidung für einen Cloud-Provider sollten die Finanzinstitute darauf achten, ob der in Frage kommende Provider in der Lage ist, auch bei sich wandelnden regulatorischen Anforderungen diese künftig zu erfüllen. Darüber hinaus sollte der Fokus auf Skalierbarkeit liegen. Lassen sich die bestehenden Ressourcen erhöhen, um einem wachsenden Bedarf Rechnung zu tragen? Des Weiteren sind bei der Suche des passenden Betreibers die Funktionalitäten der jeweiligen Cloud entscheidend: Bieten sie einen Mehrwert für die eigene IT-Infrastruktur? Sind diese und die Tools des Anbieters anwendbar auf die Ziele, die das jeweilige Finanzinstitut verfolgt?
Ein Unternehmen, das seine Datenbanken in der Cloud stabil laufen lassen will, hat andere Ansprüche als eines, das die Cloud für die Datenanalyse und Steuerung von Künstlicher Intelligenz (KI) einsetzen will. Es kommt also darauf an, ob das Leistungsportfolio des Anbieters auch zum tatsächlichen Anwendungsfall passt.”
Spagat zwischen Compliance und Security schaffen
In der Vergangenheit ergaben sich Herausforderungen für Banken und Versicherungen, wenn es darum ging, die genutzten Public-Cloud-Lösungen in die bestehende IT-Infrastruktur zu integrieren.
Zum einen stehen die Finanzinstitute vor der Herausforderung, regulatorische Vorgaben zu erfüllen, zum anderen gibt es auch aus der Perspektive der Sicherheit Mindestanforderungen, die einzuhalten sind.”
Deshalb empfiehlt es sich, bei der Integration der Cloud in die eigene IT-Infrastruktur einige grundlegende Punkte zu berücksichtigen: Zuerst sollten die Finanzdienstleister prüfen, ob die eigenen Daten, Datenbanksysteme und Tools bereit für die Cloud sind. Je reifer die Infrastruktur ist, desto schneller können Daten und Tools in die Cloud migriert werden. Dann sollten sich die Organisationen über die Anbindung an das eigene Netzwerk Gedanken machen. Hier rücken Programmierschnittstellen (APIs) und die Latenzen von Backend-Systemen in den Mittelpunkt.
Weiter stellt sich die Frage, wie das Unternehmen die Transparenz und Visibilität der Daten in der Cloud sicherstellen kann.”
Eine Möglichkeit stellen Third Party Tools wie das Cloud Security Posture Management (CSPM) dar. Es liefert Informationen, mit denen die Cloud überwacht und die Sicherheit effizient und effektiv gestaltet werden kann. Alternativ können die nativen Cloud-Anwendungen der Anbieter – wie Microsoft Defender, GCP Security Command Center und Amazon GuardDuty – helfen, die in der Cloud gehosteten Anwendungen zu schützen.
Um eine hohe Widerstandsfähigkeit der Cloud zu erreichen, dürfen sich Compliance und Security nicht ausbremsen, sondern sollten miteinander harmonisieren.”
Damit das gelingt, müssen Cloud Resilienz ganzheitlich gedacht und alle betroffenen Disziplinen wie Informationssicherheit, Risikomanagement und Business Continuity Management einbezogen werden. Ermöglicht wird dies durch ein entsprechend aufgesetztes Cloud-Operating-Modell.
Das Cloud-Operating-Modell (COM) dient dazu, den Rahmen zu setzen, wie ein Unternehmen in der Cloud agieren will.”
Im Zielbetriebsmodell sind Szenarien definiert, wie Potenziale der Cloud effizient ausgeschöpft werden können, sowie Szenarien zur Vermeidung von Sicherheitsvorfällen, Kontrollverlust und hohen Kosten aufgrund unzureichender Ressourcenplanung. Dabei ist das COM eines Finanzinstituts individuell zu betrachten, da sich die Struktur der Verantwortlichkeiten und die Verteilung der Kompetenzen innerhalb der Organisationsbausteine je nach Hyperscaler, Anwendungslandschaft, tatsächlichem Konsum der Cloud-Funktionalitäten sowie nach innerbetrieblichen Bedürfnissen unterscheiden. Einen Einfluss haben hier die Wahl des Cloud-Providers, des unterstützenden Dienstleisters, bereits vorhandene Prozesse sowie die interne Positionierung der kritischen Erfolgsfaktoren.
Damit die Cloud compliant, sicher und resilient betrieben werden kann, empfiehlt es sich, ein Gerüst aus den Blöcken Governance, Sicherheit, Outsourcing und Reporting vorzudenken, sodass das „Haus“ ein stabiles Fundament bekommt.”
Resilienz im Zeitalter von KI
Eine Erhöhung der Resilienz geht mit der Verringerung von negativen Vorfällen wie etwa Fehlkonfigurationen einher. Die hier erwähnten verstärkten Überwachungsmaßnahmen durch CSPM bieten bereits KI-gestützte Dienste, welche fortgeschrittene Analyseverfahren und Algorithmen basierend auf maschinellem Lernen nutzen. Diese Funktionalitäten unterstützen die kontinuierliche Auswertung von Bedrohungsmustern und die Aufdeckung fehlkonfigurierter Ressourcen sowie nicht eingehaltener Richtlinien und Schutzfunktionen der Cloud-Plattform. Gleichzeitig wird sich jedoch auch die Bedrohungslandschaft unter Anwendung von KI-gestützten Technologien erweitern und dynamischer auf verletzliche Cloud-Infrastrukturen fokussieren.
Bereits jetzt ist es notwendig, die vorherrschende Strategie und das Zielbetriebsmodell der Cloud anzupassen und prozessuale sowie technische Kontrollmaßnahmen zu definieren.”
KPMG
Markus Tomanek besitzt über 7 Jahre Berufserfahrung im Finanzdienstleistungsbereich. Er startete seine Laufbahn in der Risikoprüfung bei einer „Big Four“ Wirtschaftsprüfungsgesellschaft, mit einem kombinierten Studium der Wirtschaftsinformatik an der Dualen Hochschule Baden-Württemberg. Seit 2023 ist er Senior Manager bei KPMG (Website) im Bereich Financial Services. Er fokussiert sich auf die Harmonisierung der IT Compliance und Cyber Security und berät Banken, Hedgefonds und Versicherungen zur Gestaltung von IT & Cloud-Architekturen.
Diese beschreiben klar, was zu tun ist und wer agieren muss unter Berücksichtigung von u. a. KPIs, identifizierten Risiken und Auslastungspeaks. Das steigert am Ende nicht nur die Resilienz, sondern entlastet die Governance- und IT-Sicherheitsteams von der Bürde, mit überwältigenden Datenmengen umzugehen, einschließlich sogenannter „false positives“ aufgrund überdurchschnittlich potenter Überwachungstools.
Fazit
Cloud-Lösungen sind für die Finanzindustrie ein geeignetes Werkzeug, um die Daten und Anwendungen vor Cyber-Angriffen zu schützen. Damit die Cloud auch tatsächlich widerstandsfähig wird, sollten Compliance- und Security-Anforderungen nicht als Gegensätze, sondern als zwei Seiten derselben Medaille gedacht werden. Ergänzend braucht es konkrete Sicherheitsmaßnahmen und Notfallstrategien, mit denen Cyber-Bedrohungen aktiv ausgesteuert werden können. Das wird durch ein strukturiertes und integriertes Cloud-Operating-Model begünstigt, welches die organisatorischen Prozesse lenkt und adäquat die Bedürfnisse des Finanzinstituts an die Cloud im Allgemeinen und die IT-Funktionalitäten berücksichtigt – insbesondere im Zeitalter der sich entwickelnden künstlichen Intelligenz. Vaike Metzger und Markus Tomanek, KPMG
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/164118
Schreiben Sie einen Kommentar