Banken und Versicherungsbetriebe tun sich zunehmend schwer damit, in ihren komplexen hybriden Infrastrukturen den zuverlässigen Schutz ihrer sensiblen Assets sicherzustellen. Thomas Wethmar, Regional Director beim Cloud-Security-Spezialisten Skyhigh Security, verrät im Interview, warum Datenschutz und Informationssicherheit untrennbar verbunden sind – und wie Unternehmen die Weichen für eine sichere Cloud-Nutzung stellen.
Skyhigh Security hat jüngst einen neuen »Cloud Adoption & Risk Report« für das Finanzwesen vorgelegt – mit alarmierenden Zahlen. Drei von vier befragten Banken waren nach eigenen Angaben schon Opfer eines erfolgreichen Angriffs, und 95 Prozent der Institute, die SaaS-Dienste nutzen, kämpfen mit Security-Problemen. Wie ernst ist die Lage?
Die Lage ist tatsächlich brisant, und sie spitzt sich immer weiter zu. Wir beobachten seit Jahren, dass die Zahl der Angriffe zunimmt, und dass auch die Kosten, die mit einer erfolgreichen Attacke einhergehen, immer weiter steigen. Wenn sowohl das Risiko als auch das Schadenspotenzial steigen, müssen bei den Risikomanagern natürlich alle Alarmglocken läuten. Hinzu kommt, dass die Institute heute weltweit strengen gesetzlichen Bestimmungen, rigiden Branchenstandards und umfassenden Dokumentationspflichten gerecht werden müssen – und das in hybriden, Cloud-basierten und globalisierten Umgebungen, deren Komplexität ebenfalls explodiert. Die Herausforderungen sind also enorm.
Thomas Wethmar, Regional Director
Skyhigh Security
Wie kam es zu dieser Eskalation?
Die Art, wie wir arbeiten, hat sich in den vergangenen Jahren radikal verändert. Die Enterprise-Netze der großen Banken und Versicherungen waren zwar auch früher schon hochkomplex und sicherheitskritisch. Die Zahl der Standorte und der Anwendungen war aber relativ überschaubar, und die Datenhaltung in der Regel zentralisiert. Heute haben sich neue, dezentrale Infrastrukturen mit Tausenden von Endpunkten und Apps durchgesetzt. Niederlassungen und Fachabteilungen können heute zudem jederzeit mit wenigen Mausklicks neue Cloud-Server und Online-Dienste einrichten – und viele nutzen diese Option auch bereitwillig, weil die Produktivitätsgewinne nun einmal nicht zu leugnen sind. In der Praxis kommt es so zu einer brandgefährlichen Schatten-IT, in der es schwer ist, den Überblick über die Systeme zu haben – und man schwerlich weiß, wo sich welche Daten befinden.
… und weil man nicht schützen kann, was man nicht kennt, ist die Gefahr von Datenverlusten groß, richtig?
Ganz klar. Und das in einer ganz anderen Dimension als früher: In den Entwicklungsumgebungen großer Banken werden heute mitunter ganze Serverfarmen ohne Wissen der IT hochgefahren, mit kritischen Daten befüllt und oft nie wieder vom Netz genommen. Und auch die zunehmend beliebten KI-Tools wie ChatGPT können gravierende Datenverluste verursachen. Unsere Telemetriedaten belegen, dass weltweit allein im ersten Halbjahr 2023 fast eine Million Anwender aus Unternehmensnetzen auf ChatGPT zugegriffen haben, und dass die Zahl der Anwender in dieser Zeit um 1.500 Prozent gestiegen ist. Darunter sind einige, von denen etliche Gigabyte sensibler Daten in ChatGPT hochgeladen wurden, ohne über die Security- und Compliance-Implikationen nachzudenken. Und mit jedem dieser Uploads wanderten regulierte personenbezogene Daten auf ausländische Server – inzwischen bei über 500 verschiedenen Cloud Service Providern. Das darf nicht passieren.
Weil die Institute damit gegen geltendes Recht verstoßen?
Genau. Sicherheit ist ja nur der eine Aspekt. Der zweite ist natürlich die Compliance, und die ist genauso kritisch. Banken und Versicherungen müssen heute Dutzenden von Vorgaben gerecht werden – von gesetzlichen Bestimmungen wie der DSGVO über Branchenstandards wie BaFIN und PCI DSS bis hin zu ihren eignen internen Richtlinien. Und bei Verstößen – gerade, wenn diese wiederholt nachgewiesen werden können – drohen drakonische Strafen, die schnell existenzbedrohend werden können, von den Imageschäden bei einem solchen Vorfall ganz zu schweigen.
Ist den Unternehmen denn bewusst, wie hoch das Gefahrenpotenzial bei der Security und der Compliance ist? Und was tun sie angesichts der Risiken?
Das ist die gute Nachricht – die Awareness ist da. An Sicherheitsbewusstsein mangelt es den Verantwortlichen heute nicht, und auch nicht an Handlungsbereitschaft. Von den Unternehmen, mit denen wir für unseren Cloud Security Report gesprochen haben, investiert mehr als die Hälfte in hohem Umfang in neue Cybersecurity – etwa in Data Leak -Prevention und Zero Trust. Viele schließen auch Cyberversicherungen ab. Und, was uns besonders freut: Mehr als die Hälfte der befragten Unternehmen investiert nachhaltig in die Fortbildung ihrer eigenen Mitarbeiterinnen und Mitarbeiter. Denn neben technischen und organisatorischen Maßnahmen ist die Sensibilisierung der Mitarbeiter ein wichtiger Baustein für den Schutz der eigenen Daten.
Die Unternehmen sind also auf einem guten Weg?
Es ist auf jeden Fall Bewegung in den Unternehmen. Leider zeigen die Investments aber nicht immer die gewünschte Wirkung. Es vergeht auch heute kaum eine Woche, ohne dass ein neuer großer Ransomware-Fall oder Datenabfluss durch die Medien geht – und bedauerlicherweise sind gerade Finanzinstitute als begehrtes Ziel häufig von diesen Vorfällen betroffen.
Woran liegt es, dass so viele Maßnahmen wirkungslos bleiben? Und was sollten die Banken und Versicherungen ändern?
Das führt uns wieder zurück zu unserem anfänglichen Vergleich zwischen dem Gestern und dem Heute. Unserer Erfahrung nach sind in der Finanzbranche viele Sicherheitskonzepte noch zu sehr auf die zentralisierten, geschlossenen IT-Umgebungen von früher zugeschnitten. Seinerzeit verließ man sich oft auf den vermeintlich robusten Perimeter um das eigene Netzwerk, um Angreifer außen vor zu halten. Wobei das speziell im Bereich Datensicherheit schon damals nur eingeschränkt funktionierte: Wenn man früher über DLP sprach, erforderte dies zunächst, alle Daten auf den eigenen Systemen zu klassifizieren – und dann je nach Kategorie deren Ein- und Ausgang am Perimeter zu überwachen und zu reglementieren. Nur, dass es in der Praxis meist schon an der Klassifizierung scheiterte, und dementsprechend auch alle nachgelagerten Schritte wirkungslos blieben. Heute müssen die Unternehmen das Thema Datensicherheit also ganz anders angehen.
Wie sieht denn ein zeitgemäßer Ansatz im Bereich Data Leak Prevention aus?
Unsere Philosophie ist: Wer Daten in der Cloud schützen will, muss selbst Teil der Cloud werden. Denn nur mit einer Cloud-nativen Plattform erreicht man die Transparenz, die Skalierbarkeit und die Performance, die nötig ist, um die gigantischen Datenmengen von heute im Blick zu behalten. Umgekehrt heißt das aber auch: Wenn es uns auf diese Weise gelingt, das Potenzial der Cloud zu erschließen, können wir nicht nur die gespeicherten Daten schützen – sondern auch die Data-in-Use und die Data-in-Motion, die gerade verarbeitet werden. Und wir können die Möglichkeiten der Cloud für eine granularere Klassifizierung nutzen. Unter dem Strich erreichen wir also einen wesentlich besseren Schutz.
Vielen Dank, das war viel Wissen in kurzer Zeit. Könnten Sie für die Leser noch konkrete erste Schritte skizzieren, um die Weichen für eine sichere Cloud-Nutzung zu stellen?
Gerne. Der erste Schritt ist es, sich vor Augen zu führen, dass Datensicherheit in erster Linie immer eine Frage der Transparenz ist. Wie Sie schon sagten: Man kann nicht schützen, was man nicht kennt. Am Anfang gilt es also, sich einen lückenlosen Überblick über die Anwendungslandschaft des Unternehmens zu verschaffen – On-Premises und in der Cloud. Im nächsten Schritt müssen Sie dann die Daten erfassen, die in den jeweiligen Anwendungen verarbeitet und gespeichert werden, und davon ausgehend die Datenströme analysieren und regeln. Eine ganzheitliche, Cloud-native Plattform ermöglicht es Ihnen anschließend, die Daten genau da zu schützen, wo sie sich gerade befinden – und so die Weichen für lückenlose Sicherheit und Compliance zu stellen.
Herzlichen Dank für das Gespräch.