Transformation der Finanzindustrie: Warum bei digitalem Banking klassische Tugenden zählen

Die Finanzindustrie befindet sich wie viele andere Sektoren in einer beispiellosen Transformation. Durch die Digitalisierung entstehen neue Geschäftsmodelle und auf den Märkten drängen junge Unternehmen mit frischen Lösungen nach oben. Parallel hierzu weiten internationale Technologiekonzerne ihre Produktportfolios aus und preschen mit milliardenschweren Initiativen in den Finanzmarkt vor. Die etablierte Finanzindustrie muss sich rasch anpassen.

von Paul Kaffsack, Geschäftsführer bei Myra Security

Digitaltechnologien eröffnen der Finanzindustrie gänzlich neue Perspektiven. Globale Blockchain-Transaktionen, Smart Contracts, KI-gestützte RoboAdvisors und vieles mehr sind bereits Realität. Disruptive Entwicklungen wie Open Banking und die PSD2-Richtlinie versprechen noch mehr Dynamik für die Branche. Neue Multi-Banking-Apps könnten schon in Kürze die App-Stores von Apple und Google erobern. Der Ausbau von Instant-Payment-Lösungen wird neuen Playern Türen öffnen, und universelle Analysesysteme für Umsatzdaten mit Einbindung von Fremdkonten bilden Raum für eine ganze Reihe innovativer Banking-Produkte. Hier gibt es also enorme Möglichkeiten für etablierte und aufstrebende Player, sich mit neuen Geschäftsmodellen für die Zukunft zu positionieren.

Innovation allein reicht nicht

Technischer Fortschritt allein ist jedoch kein Erfolgsgarant, wenn es um Transformation geht. Viele FinTech-Start-Ups scheitern mit ihren ambitionierten Produkten am Markt. Der Grund hierfür liegt nicht etwa in fehlerhaften Produkten. Vielmehr fehlt den Start-ups die notwendige Reputation, um das Vertrauen potenzieller Kunden zu gewinnen. Internationale Technologiekonzerne haben zum Teil mit ähnlichen Problemen zu kämpfen, wenn sie als Quereinsteiger in den digitalen Banking- und Payment-Markt vordringen – und das trotz ihrer marktbeherrschenden Stellung.

Denn nicht alle Nutzer in Deutschland oder Europa vertrauen den Technologiegiganten aus Übersee mit ihren sensiblen Kontodaten.”

Etablierte Banken haben hier also einen Vorteil: gewachsenes Vertrauen. Denn viele Menschen bleiben beim digitalen Banking nach wie vor skeptisch. So ergab etwa eine aktuelle YouGov-Umfrage, dass trotz der Corona-Krise mit ihren weitreichenden Mobilitätsbeschränkungen rund drei Viertel der Deutschen ihre Banking-Gewohnheiten nicht geändert haben. Für rund ein Fünftel der Befragten war sogar Online-Banking und mobiles beziehungsweise kontaktloses Payment am Smartphone weiterhin keine Option. Als Hindernisgrund gaben die Umfrageteilnehmer mehrheitlich Ängste vor Betrug an. Sieht man sich die Statistiken zu Cyberkriminalität an, so sind diese Ängste durchaus begründet. Alle Transformation kommt mit gewissen Risiken.

Finanzindustrie im Visier von Cyber-Kriminellen

Der Finanzsektor ist seit Jahren bevorzugtes Ziel von Cyber-Kriminellen – die Branche wird laut Boston Consulting Group 300 mal so oft angegriffen wie andere Branchen. In kaum einem anderen Sektor fallen die Schäden durch Cyber-Attacken so hoch aus. Accenture rechnet für die globale Finanzbranche allein zwischen 2019 und 2023 mit etwa 347 Milliarden US-Dollar an Umsatzeinbußen durch Cyber-Kriminalität.

Die Angriffe mittels Malware, DDoS oder auch Spear Phishing zielen sowohl auf Banken und Zahlungsdienstleister als auch auf deren Kunden ab.”

Banking-Trojaner wie etwa Emotet, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die weltweit gefährlichste Schadsoftware überhaupt einstuft, nehmen gezielt Kunden von Banken und Payment-Anbietern ins Visier. Gerade in den vergangenen Monaten waren Banken und Zahlungsdienstleister auch vermehrt Opfer von kriminellen DDoS-Angriffen, die zum Teil zu schweren Ausfällen führten und Bankkunden massiv verunsicherten. Etablierte Banken können ihren Vertrauensvorteil beim Ausbau des Digital Banking daher nur effektiv nutzen, wenn sie über eine zukunftsorientierte Cyberabwehr verfügen.

Cybersicherheit an neue Geschäftsmodelle anpassen

Durch die zunehmende Digitalisierung und Transformation der Branche und die regulatorischen Vorgaben zur Öffnung durch PSD2 wird sich die Angriffsfläche für Cyber-Kriminelle vergrößern. Neue digitale Funktionen und Portale öffnen immer auch neue technische Ansatzpunkte für Cyber-Kriminelle. Je mehr digitale Schnittstellen es gibt, und je mehr Daten über Schnittstellen mittels Cloud-Services übertragen werden, umso größer das Risiko.

Weit verbreitete Core Banking Legacy-Systeme sind dabei besonders anfällig für Angriffe über neue digitale Zugangskanäle. Die Anstrengungen zur Absicherung müssen diesen Risiken Rechnung tragen.”

Beim Aufbau neuer digitaler Geschäftsmodelle gilt es sowohl für die Sicherheit der eigenen Produkte zu sorgen als auch die vernetzten APIs und Drittanbieter-Dienste gewissenhaft auszuwählen und abzusichern. Denn für den Kunden ist es letztlich egal, wo die Fehler in der digitalen Lieferkette liegen. Ist ein Produkt in seiner Funktion eingeschränkt, fehlerhaft oder unsicher, wird der Finanzdienstleister vom Kunden dafür verantwortlich gemacht. Das verspielte Vertrauen ist nur schwer wiederzugewinnen und sorgt für dauerhafte Umsatzeinbußen in einer Branche, deren Geschäftsmodell auf Vertrauen fußt.

Compliance – Pannen in der IT-Sicherheit sind teuer

Zu den hohen Erwartungen seitens der Kunden kommen regulatorische Vorgaben beispielsweise durch MaRisk, BAIT, DSGVO, PCI-DSS, PSD2 oder auch C5. Dort sind die technischen Anforderungen definiert, mit denen Banken und Finanzdienstleister ihre Systeme absichern müssen, und welche Abläufe für das Risikomanagement und die stetige Auditierung durchzuführen sind.

In der Praxis hapert es allerdings oft an der Umsetzung der regulatorischen Vorgaben, wie von der BaFin schon mehrfach kritisiert wurde. Hier herrscht akuter Handlungsbedarf, denn Verstöße gegen die regulatorischen Verordnungen zu IT-Sicherheit, Datenschutz und Compliance werden je nach Ausmaß mit Millionenstrafen belegt. Fließen sensible Kundendaten aufgrund von Fahrlässigkeit ab, können verantwortliche Führungskräfte sogar mit Geld- und Freiheitsstrafen belegt werden.

Bei der Zusammenarbeit mit außereuropäischen Partnern ist besondere Sorgfalt geboten. Abweichende regulatorische Vorgaben wie etwa der in den USA geltende Cloud Act sind nur schwer mit der europäischen Datenschutz-Grundverordnung vereinbar. Wer auf Nummer Sicher gehen will, setzt daher am besten auf lokale Anbieter.

Die Umsetzung der regulatorischen Vorgaben – inhouse sowie auf der Seite von Partnern und Zulieferern – hat oberste Priorität. Um Sicherheits- und Compliance-Vorgaben vollumfänglich zu erfüllen, bietet sich beispielsweise ein detailliertes Vendor Risk Management an, das als Grundlage für die Auswahl und kontinuierliche Prüfung geeigneter Geschäftspartner dient.

Cybersicherheit schafft Vertrauen

Nur die wenigsten Unternehmen verfügen über genug Ressourcen und Knowhow, um einen vollumfänglichen Schutz ihrer immer komplexeren Systeme sicherzustellen. Wir sehen in der Branche daher einen eindeutigen Trend hin zur Auslagerung von Cybersicherheit an zertifizierte und erfahrene Spezialanbieter, die die hohen technischen und regulatorischen Anforderungen der Branche erfüllen können.

Zuverlässige Cybersicherheit bildet somit das Fundament für zukunftsfähige Geschäftsmodelle in der Finanzindustrie.”

Unternehmen müssen bei Cybersicherheit und dieser digitalen Transformation den Gold-Standard ansetzen, um Kunden für neue digitale Angebote zu gewinnen und zu halten. Das gilt sowohl für die Inhouse-Lösungen als auch für ausgelagerte Dienste. Der Einsatz eines anerkannten und unabhängig geprüften Sicherheitsanbieters schafft Vertrauen beim Kunden und hilft Unternehmen, eine langfristige Reputation als digitaler Leader aufzubauen. Denn ungeachtet der rasanten Transformation bleibt Vertrauen die Basis für neue Geschäftsmodelle in der Finanzindustrie.Paul Kaffsack, Myra Security