Anzeige
STUDIEN & UMFRAGEN31. August 2017

Sopra Steria Studie: Institute sollten IT-Sicherheit in ihre Ablauf­organisation integrieren

Sopra Steria

Für Banken in Deutschland wird es schwerer, die gewohnten Standards an IT-Sicherheit zu gewährleisten. Sechs von zehn Instituten sprechen von komplexeren Angriffsszenarien und neuen Anforderungen an den Umgang mit IT-Risiken. Bei den Retailbanken sind es fast drei Viertel der Institute, bei denen Digitalisierung, neue Bedrohungsszenarien sowie Regulierungs­vorschriften die Arbeit der Sicherheitsmanager erschweren. Das sind die Ergebnisse der “Potenzialanalyse Digital Security” von Sopra Steria Consulting und dem F.A.Z.-Institut.

Die Herausforderungen der Banken steigen unter anderem durch die zunehmende Zahl an Lieferanten digitaler Technologien. Acht von zehn Finanzdienstleistern sind beispielsweise über digitale Plattformen oder Softwarelösungen mit Dienstleistern vernetzt, ergibt die Potenzialanalyse Digital Security von Sopra Steria Consulting, für die 51 IT-Entscheider von Banken und Versicherern befragt wurden.

Sopra Steria Consulting

Die Institute sollten […] das Thema IT-Sicherheit und Cybersecurity als Führungsinformation in ihre Ablauforganisation integrieren – als eine Art Lagebild für das Management – um Ressourcen besser zu steuern.“

Dr. Gerald Spiegel, Leiter Information Security Solutions Sopra Steria Consulting

Viele Kreditinstitute sind beispielsweise mit externen Datenbanken für eine schnelle Bonitätsprüfung bei Online-Kreditanträgen verbunden. Zudem gibt es Plattformen, auf denen Finanzierungsvorhaben von Unternehmen mit Finanzierungsangeboten von Banken zusammengeführt werden. Durch die EU-Zahlungsdiensterichtlinie PSD2 sind Banken sogar verpflichtet, sich gegenüber Drittanbietern zu öffnen. Dazu kommt, dass Banken mit ihrem eigenen Online-Bezahldienst paydirekt künftig stärker mit Online-Händlern und dem Einzelhandel zusammenarbeiten werden.

<q>Sopra Steria</q>
Sopra Steria
All diese neuen digitalen Lösungen und Anbieter vergrößern die Angriffsfläche, und es wird anspruchsvoller, das nötige IT-Sicherheitslevel zu halten. „Die Institute müssen sicherstellen, dass auch diese Partner und ihre Lösungen die hohen Standards der Banken erfüllen. Das zu kontrollieren, wird bei einer wachsenden Zahl an Partnern immer aufwändiger“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting. Die Institute reagieren, in dem sie vermehrt Dienstleister-Audits durchführen und Mindeststandards vertraglich vereinbaren. Mehr als jeder zweite Finanzdienstleister führt einen derartigen Lieferanten-Check durch, andere Institute fordern von ihren Partnern eine Sicherheitszertifizierung.

WannaCry und seine Nachfolger erfordern mehr Tempo

Für eine wirksame Bekämpfung von Cybercrime-Attacken wie WannaCry und Petya muss das IT-Sicherheitsmanagement der Banken künftig deutlich schneller reagieren. Ein Grund: Ransomware wie WannaCry unterscheidet sich von bisheriger Malware. Sie sind in der Lage, wie ein Wurm andere Rechner im gleichen Netz zu infizieren. Die Reaktionszeit des Opfers ist dadurch gravierend kürzer, will man eine Ausbreitung verhindern. Zudem werden die Angriffe immer undurchschaubarer. Jüngste Attacken haben gezeigt, dass ein Angriff deutlich länger dauert und die Angreifer schlagen in verschiedenen Phasen an mehreren Stellen zu.

<q>Sopra Steria</q>
Sopra Steria
Diese Risiken wirksam einzudämmen, erfordert ein Sicherheitsmanagement mit oft unterschätztem Ressourcenbedarf und Kompetenzerfordernissen. Diese sind intern schwer zu finden und aufzubauen. Jeder dritte Finanzdienstleiser sucht auf dem Arbeitsmarkt nach passenden Cybersecurity-Spezialisten, um sich den neuen Bedrohungsszenarien zu stellen. Parallel suchen die Banken deshalb nach alternativen Lösungen.

<q>Sopra Steria</q>
Sopra Steria
Ein Weg, den Banken gehen können, is, das IT-Sicherheitsmanagement stärker zu automatisieren – beispielsweise über regelbasierte Prozeduren.

Banken sind vorsichtiger beim Outsourcing

Eine weitere Herausforderung der Banken ist, die strengeren Anforderungen der Bankenaufsicht an IT- und Informationssicherheit mit den Zielen einer effizienteren IT-Landschaft in Einklang zu bringen. Jedes fünfte Institut nutzt beispielsweise öffentliche Cloud-Computing-Lösungen, um Kosten zu sparen. Viele Banken verlagern zudem Arbeitsprozesse an Spezialisten. Risiken von Programmierfehlern und Sicherheitslücken sind damit schwerer zu kontrollieren. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende IT-Risiken zum Beispiel mit den bankaufsichtlichen Anforderungen an die IT (BAIT). Diese lösen bei den Banken erheblichen Weiterentwicklungsbedarf ihrer IT-Sicherheitsprozesse aus. Als Folge wird Dienstleistern wie ihren Auftraggebern eine Compliance allerhöchster Güte abverlangt. Zudem sind Banken insgesamt vorsichtiger bei ihren Outsourcing-Vorhaben, so der Branchenkompass Banking 2017.

Der Umfangreiche Report kann hier nach Angabe der Kontaktdaten heruntergeladen werden.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert