Aufrufe
vor 1 Jahr

die bank 05 // 2016

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

2. Kompetenz durch

2. Kompetenz durch Dialog: Etablieren eines partnerschaftlichen Dialogs mit den Mitarbeitern. Vermeidung der Angst vor Fehlern. Identifizierung beó BERUF & KARRIERE Die Bedrohung wächst CYBERCRIME Die Geschäftsmodelle der Finanzinstitute stehen angesichts der digitalen Transformation vor disruptiven Veränderungen. Digitalisierung impliziert aber eine Öffnung bislang geschlossener Systeme und weitreichende Vernetzung. Daraus resultieren wachsende Bedrohungen durch Cyber-Kriminalität mit potenziellen Schäden im Millionenbereich. Hauptgefahrenquelle sind die eigenen Mitarbeiter, sogenannte Hired Hackers. Durch zielgerichtete Sensibilisierung können Finanzinstitute ihre Informationssicherheit verbessern und Reputationsrisiken sowie die Gefahr von nachhaltigen Kundenverlusten signifikant begrenzen. Carsten Wendt | Frank Hoffritz Keywords: Digitalisierung, Risikomanagement, Personal Produkt- und Serviceangebote werden systematisch digitalisiert und zu einem für Kunden relevanten und attraktiven Multikanalangebot gebündelt. Bankmitarbeiter interagieren über mediale Kanäle mit ihren Kunden bzw. der anonymen Web-Community. Die digitale Transformation birgt für Finanzinstitute deshalb erhebliche Risiken im Bereich Informationssicherheit. Zu nennen sind sowohl konkrete Betrugsfälle als auch Reputationsrisiken und daraus resultierende Kundenverluste. Eine erfolgreiche Digitalisierung von Finanzdienstleistungen erfordert deshalb eine wirksame Sicherheitsarchitektur. Banken und Sparkassen können sich keine Schwachstellen im Bereich Informationssicherheit leisten. Die Eintrittswahrscheinlichkeit für Cyber-Betrugsfälle sollte gegen Null gesenkt werden. Die anstehende Einführung des neuen IT-Sicherheitsgesetzes übt zusätzlichen Druck auf Finanzinstitute aus: Cyber-Attacken und Hacker-Angriffe müssen künftig offengelegt werden (anonymisierte Meldepflicht). Risikofaktor Mensch Die weltweit operierenden Hacker-Netzwerke sind in der Lage, nahezu jede Sicherheitsarchitektur zu knacken. Schwachstelle sind dabei weniger die zumeist gut ausgebauten IT-Systeme, sondern die Systemnutzer. Unachtsamkeit und Fehlverhalten von Mitarbeitern, interner Datendiebstahl, Sabotage sowie Phishing und Social Engineering (Human Hacking) sind Hauptursachen für Schadensfälle in Unternehmen. Die Mitarbeiter werden auf vielfältige Weise mit Bedrohungen aus dem Internet konfrontiert. Mehr als die Hälfte von 1.000 befragten Internetnutzern sind laut Bitkom bereits Opfer von Cyber-Kriminalität geworden. Die Risiken sind vielfach bekannt und werden trotzdem ausgeblendet. Eine Studie von Samsung zeigt, dass 26 Prozent der Angestellten private Endgeräte dazu genutzt haben, technische Sperren bei ihrer Arbeit zu umgehen. 55 Prozent wissen nicht, ob ihr Arbeitgeber Vorschriften zur mobilen Datensicherheit hat oder ignorieren sie einfach. Mitarbeiter öffnen so unbewusst Einfallstore für potenzielle Angreifer und entwickeln sich zu sog. „Hired Hackers“. Einigen Banken fehlt noch das ausreichende Bewusstsein für die hohe Gefährdung durch die Schwachstelle Mensch. Eine der vordringlichsten Aufgaben ist es daher, Mitarbeiter und Führungskräfte für Bedrohungen aus dem Internet und über Smartphones zu sensibilisieren. Sensibilisierungsinitiative für mehr Sicherheit Das Phänomen der Hired Hackers kann nur durch konsequente Sensibilisierung der Mitarbeiter und eine Verbesserung ihres Risikobewusstseins bekämpft werden. Ziel muss es sein, bei Bank-Mitarbeitern eine „Firewall im Kopf“ entstehen zu lassen. Die Mitarbeiter brauchen mehr Wissen über die Methoden potenzieller Angreifer und mehr Kompetenz im sicheren Umgang mit neuen Medien und sensiblen Informationen. In der Praxis bestehen oft erhebliche Ausbildungsdefizite. Die daraus resultierenden Risiken werden durch die bestehenden Risikomanagementsysteme nur unzureichend erfasst und gesteuert. Ein Instrument zur Verbesserung der Informationssicherheit sind Sensibilisierungsinitiativen, die ein Framework zur systemischen Mitarbeiterentwicklung mit Fokus auf die Risiken der digitalen Transformation darstellen, in Ergänzung zu bestehenden Schulungen zu IT-Sicherheit, Datenschutz und Compliance. Eine Sensibilisierungsinitiative sollte auf drei Prämissen basieren: 1. Bewusstsein durch Wissen: Schulung von Techniken, mit denen sich Mitarbeiter selbstständig Wissen aneignen bzw. vertiefen können. Sensibilisierung der Mitarbeiter für die Kausalität zwischen eigenem Handeln und möglichen Bedrohungen durch alltagstaugliche Beispiele (z. B. das Live Hacking von geschützten Accounts) 72 diebank 05.2016

BERUF & KARRIERE ó stehender Schwachstellen in der Bank. Einbindung von Verbesserungsvorschlägen zur Risikoreduzierung. 3. Motivation durch Eigenverantwortung: Förderung der Eigenverantwortung der Mitarbeiter und Unterstützung des selbstständigen Engagements für mehr Informationssicherheit. Anreize zur aktiven Auseinandersetzung mit dem Thema setzen. Kommunikation positiver Entwicklungen. Zur Umsetzung von Sensibilisierungsinitiativen hat sich ein Vier-Phasen-Modell bewährt: Status quo der Informationssicherheit Ausgehend von einer Analyse der aktuellen Informationssicherheit sollten Handlungsfelder identifiziert werden. Untersucht werden dabei potenzielle Gefährdungspunkte an den Schnittstellen zwischen Finanzinstitut und Web-Community, die arbeitsplatzspezifischen Anforderungen an die Informationssicherheit, differenziert nach den Einsatzgebieten der Zielgruppen, das Vorhandensein von differenzierten Richtlinien zur Steigerung der Informationssicherheit im Unternehmen, der Ausbildungs- bzw. Kenntnisstand der Mitarbeiter in Bezug auf Informationssicherheit sowie bekannte Sicherheitsvorfälle der jüngeren Vergangenheit (Root Cause Analysis). Sensibilisierungsinitiative Auf Basis der Standortbestimmung und der identifizierten Handlungsfelder werden konkrete Ziele für die Sensibilisierungsinitiative festgelegt und messbare Zielvorgaben definiert. Im nächsten Schritt können dazu passende Maßnahmen konzipiert und auf unterschiedliche Zielgruppen kalibriert werden. Eine wirksame Sensibilisierungsinitiative kann u. a. zielgruppenspezifische Impulsveranstaltungen, Informationsveranstaltungen in Ergänzung zum obligatorischen Schulungsangebot, Workshops oder Schulungsmaterialien beinhalten. Ein hohes Aktivierungspotenzial haben Praxisbeispiele wie aktuelle Bedrohungen durch Angriffe auf das eigene Firmennetzwerk. Umsetzung Nun werden die identifizierten Maßnahmen umgesetzt. Angesichts der starken Heterogenität der Zielgruppen hat sich zur Mitarbeiterinformation eine Kombination aus digitalen (Newsletter, Rubrik im Intranet, Blog) und haptischen Instrumenten (Broschüre) bewährt. Die Ausund Weiterbildungsmaßnahmen zur Verbesserung der Informationssicherheit müssen mit bereits geplanten Schulungen der Personalabteilung bzw. der Sicherheitsbeauftragten inhaltlich und zeitlich verzahnt werden. Ein sehr erfolgreiches Instrument ist die Einführung von Reflexionsrunden: Durch systematischen Austausch über das Thema Informationssicherheit in Verbindung mit Gruppendynamik werden Schulungs-und Trainingsinhalte verstetigt und die Eigenmotivation der Mitarbeiter signifikant gesteigert. In Ergänzung zu diesen Maßnahmen empfiehlt sich eine Kampagne zur Präsentation des Themas, die Vorstellung der konzipierten Maßnahmen und die Motivation der Mitarbeiter zur aktiven Teilnahme. Die Kampagne sollte auf einen Zeitraum von ca. zwölf Monaten angelegt sein. Evaluierung der Initiative In der Evaluierungsphase sollten die Sensibilisierungsinitiative insgesamt sowie die umgesetzten Maßnahmen bewertet und, falls erforderlich, adjustiert und weiter verstetigt werden. Die Bewertung sollte aus den unterschiedlichen Perspektiven der Stakeholder erfolgen: Mitarbeiter: Im Mittelpunkt steht der Mensch. Die Akzeptanz der Initiative ist grundlegend für eine nachhaltige Verbesserung der Informationssicherheit. Die Zufriedenheit der Mitarbeiter mit der Initiative und der Wirksamkeit der getroffenen Maßnahmen ist die entscheidende Zielgröße. Mitarbeiterfeedback wird deshalb eng kontrolliert über unterschiedliche Kanäle eingeholt. Sicherheitsbeauftragte: Sie sind in Konzeption, Umsetzung und Bewertung der Initiative eng eingebunden und kontrollieren permanent den Umsetzungserfolg. Risikomanager: Mehr Informationssicherheit führt zu einer Reduzierung operationeller Risiken und Eigenkapitalanforderungen. Bereits bei der Konzeption der Sensibilisierungsinitiative wird die Anschlussfähigkeit der umzusetzenden Maßnahmen an die internen Risikomodelle der Bank sichergestellt, um die risikomindernde Wirkung der jeweiligen Maßnahmen zu gewährleisten. Vorstand: Der Vorstand ist über laufende Feedbacks eng in die Initiative eingebunden. Fazit Informationssicherheit wird zum kritischen Erfolgsfaktor im Bankgeschäft. Das Hauptrisiko für Finanzinstitute bilden die eigenen Mitarbeiter, die durch unsachgemäßen Umgang mit den neuen Medien unbewusst Einfallstore für Cyber-Kriminelle öffnen. Effizientes Management und die Verbesserung der Informationssicherheit können nicht ausschließlich technisch erreicht werden. Entscheidend ist vielmehr die gezielte Weiterentwicklung der Mitarbeiter und konsequente Vorbereitung auf das durch die Digitalisierung fundamental veränderte Arbeitsumfeld. Ein praxiserprobtes Instrument ist die Durchführung einer mittelfristig angelegten Sensibilisierungsinitiative. Durch systemische Personalentwicklung können Banken die Risiken digitaler Geschäftsmodelle reduzieren. Dies trägt dazu bei, die Institute zukunftsfähig aufzustellen und die Herausforderung der digitalen Transformation erfolgreich zu meistern. ó Autoren: Carsten C. Wendt ist Managing Partner der Unternehmensberatung Wthink GmbH, Frankfurt/Main. Frank Hoffritz ist Geschäftsführender Gesellschafter der ML Gruppe, Köln. 05.2016 diebank 73

die bank

die bank 01 // 2019
die bank 02 // 2019
die bank 03 // 2019
die bank 04 // 2019
die bank 05 // 2019
KINOTE 01.2019
die bank 06 // 2019
diebank 07 // 2019
diebank 08 // 2019
diebank 09 // 2019
diebank 10 // 2019
die bank 01 // 2018
die bank 02 // 2018
die bank 03 // 2018
die bank 04 // 2018
die bank 05 // 2018
die bank 06 // 2018
die bank 07 // 2018
die bank 08 // 2018
die bank 09 // 2018
die bank 10 // 2018
die bank 01 // 2017
die bank 02 // 2017
die bank 03 // 2017
die Bank 04 // 2017
die bank 05 // 2017
die bank 06 // 2017
die bank 07 // 2017
die bank 08 // 2017
die Bank 09 // 2017
die bank 10 // 2017
die bank 01 // 2016
die bank 02 // 2016
die bank 03 // 2016
die bank 04 // 2016
die bank 05 // 2016
die bank 06 // 2016
die bank 07 // 2016
die bank 08 // 2016
die bank 09 // 2016
die bank 10 // 2016
die bank 11 // 2016
die bank 12 // 2016
die bank 01 // 2015
die bank 02 // 2015
die bank 03 // 2015
die bank 04 // 2015
die bank 05 // 2015
die bank 06 // 2015
die bank 07 // 2015
die bank 08 // 2015
die bank 09 // 2015
die bank 10 // 2015
die bank 11 // 2015
die bank 12 // 2015

© die bank 2014-2018