Bankenindustrie – Cyberrisiken und Security Awareness

illu (c) norton dyre trojaner

illu (c) norton trojaner

Banken definieren »IT-Security« als den Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten und Informationstechnologie durch angemessene Maßnahmen und Sicherheitsprozesse geschützt sind. IT-Security Lösungen (Software und Services) sind immer Teil eines IT-Security-Management-Systems. Mit geeigneten IT-Security-Lösungen werden Bedrohungen und Gefahren erkannt und abgewendet, sodass Risiken minimiert und wirtschaftliche Schäden (Reputation, Haftung, etc.) unterbunden werden können.

Insbesondere geschäftskritische Funktionen wie Office-/Mail-Systeme, Datenbanken, Core-Banking-Systeme, Risikomanagement-Anwendungen, Zahlungsverkehrssysteme, Handelssysteme sowie digitalisierte Schnittstellen zu Kunden (Mobile Banking, Cash Management) müssen besonders geschützt werden. Disruptive Technologien und neue IT-Operating-Modelle bringen zusätzliche Herausforderungen; Funktionen wie Cloud-, Data-Center-, Database- und Mobile-Security gewinnen in der Bankenindustrie verstärkt an Bedeutung. Cyberrisiken, mit negativen Konsequenzen für die Geschäftsabläufe und die Bankkunden, werden immer akuter. Nach aktueller Aussage der BaFin und der EZB (SSM) hat die Qualität der Cyberrisiken im Finanzsektor ein »alarmierendes Niveau« erreicht.

Das Sicherheitsniveau muss erhöht werden

Auf der Agenda der EZB (SSM, Single Supervisory Mechanism) und der BaFin hat die IT-Sicherheit der Banken oberste Priorität. Die BaFin und die Deutsche Bundesbank thematisieren in Sonderprüfungen verstärkt die IT-Sicherheit. Die BaFin fordert, dass das Sicherheitsniveau erhöht und in eine dynamische und aktive Abwehr durch moderne Sicherheitssysteme investiert wird. Hier besteht auch aus Sicht der EZB aktuell großer Nachholbedarf.

Die BaFin stellt in den Mindestanforderungen für das Risikomanagement (MaRisk) Anforderungen an das IT-Sicherheitsmanagement der Banken. Die MaRisk verpflichten die Banken, ihre IT-Systeme und IT-Prozesse zum Schutz der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten auf gängige Standards abzustellen. Die Banken müssen regelmäßig überprüfen, ob ihre IT-Systeme und Prozesse diese Anforderungen erfüllen, und zwar unabhängig davon, ob die IT-Systeme von den Banken selbst oder externen IT-Providern betrieben werden (IT-Sourcing, Cloud-Services). Die Sicherheitsstandards sind auch von den IT-Providern einzuhalten. Die BaFin will auch den Trend, dass immer mehr IT-Prozesse in die Cloud ausgelagert werden, wodurch neue Risiken geschaffen und IT-Expertise und mögliche Innovationsressourcen verloren gehen könnten, genauer beobachten.

Die BaFin fordert von den Banken Schutzmaßnahmen gegen Cyber-Angriffe

IT-Sicherheitsmanagement, ausgerichtet an den ISO 27000 Standards beziehungsweise den BSI-Standards (100-1 bis 100-4), sorgfältige Planung, Absicherung und Überwachung der IT-Systeme und der Netzwerke, Überprüfung der IT-Systeme und Prozesse auf Sicherheitslücken, zum Beispiel durch Audits, Verwundbarkeitsscans oder Penetrationstests, wirksames Patch-Management, Sicherheitsmaßnahmen in der Software-Entwicklung sowie Berücksichtigung der IT-Sicherheit bei der Auslagerung von Aktivitäten und Beschaffung von IT-Systemen (IT-Sourcing).

Die BaFin hat auch Anforderungen an die Systeme und Kontrollen für den Algorithmushandel (Algo Trading) definiert. Algo Trading wird von Hedgefonds, Pensionsfonds, Investmentfonds, Banken und anderen institutionellen Anlegern genutzt, um Orders automatisch zu generieren und/oder auszuführen. Hier generieren Computer selbstständig Kauf- und Verkaufssignale, die in Orders auf dem Finanzplatz umgesetzt werden. Je nach Automatisierungsgrad kann das System selbstständig über bestimmte Aspekte der Order entscheiden (Timing, Preis, Volumen oder Zeitpunkt der Orderaufgabe).

15 Top-Bedrohungsvektoren

Die European Union Agency for Network and Information Security (ENISA) hat für das Jahr 2014 15 Top-Bedrohungsvektoren ausgemacht. Diese reichen von Phishing, Würmern, Trojanern über Web basierte Attacken, Botnetze, Identitätsdiebstahl bis hin zur Spionage. Ein Beispiel: Distributed-Denial-of-Service–Angriffe (DDoS). Bei einem DDoS-Angriff werden IT-Systeme absichtlich überlastet, um die Banking Services wie beispielsweise Online-Banking oder die Geldautomaten-Systeme in ihrer Funktionsfähigkeit zu stören. Die Europäische Bankenaufsichtsbehörde (EBA) hat eine Task-Force zu IT-Risiken gegründet, die neue Anforderungen an die IT-Organisation der Banken in Europa aufstellen soll. Die EZB beschäftigt sich derzeit besonders mit der Widerstandsfähigkeit der bedeutenden Banken gegen Cyber-Attacken (sogenannte Cyber Resilience) und will nach Auswertung der Erhebungen über weitere Maßnahmen entscheiden. Der deutsche Gesetzgeber hat im Kontext der Cybersicherheitsstrategie im Juni 2015 das IT-Sicherheitsgesetz verabschiedet. Auch im Rahmen der Digitalen Agenda der Europäischen Union (Digital Single Market Strategy) hat die Gewährleistung der Netz- und Informationssicherheit Top-Priorität. Mit der digitalen Transformation der Bankprozesse, Industrie 4.0 und dem Internet der Dinge (IoT) sollte auch die Funktionseinheit »IT-Security« neu strukturiert und verstärkt in das Business integriert werden. Das bedeutet, dass sich Organisationsstrukturen (IT-Security & IT-Governance) nachhaltig verändern müssen. Das Bankmanagement (Geschäftsleitung gemäß § 25a KWG) wird, vor dem Hintergrund der neuen Rahmenbedingungen und Anforderungen auf Basis von Markttransparenz (IT-Security-Markt) verstärkt in eine integrierte IT-Sicherheitsarchitektur investieren müssen.

Arnold Wagner, Experton Group, www.experton-group.com

Weitere Artikel zu