Aufrufe
vor 5 Jahren

die bank 10 // 2018

  • Text
  • Banken
  • Institute
  • Deutschland
  • Unternehmen
  • Deutlich
  • Deutsche
  • Insbesondere
  • Direktinvestitionen
  • Anforderungen
  • Laut
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG Ein

DIGITALISIERUNG Ein zentrales Element einer effektiven Cybersecurity-Strategie ist auch die Schaffung von Organisations-, Reaktions- und Führungsstrukturen, die es möglich machen, transparent und agil auf Bedrohungen zu reagieren. Wichtig sind beispielsweise reformierte und agil anpassbare Strukturen und abteilungsübergreifende Fachkräfte mit eigenen Budgets und echten Entscheidungskompetenzen, die sowohl eine Abdeckung der gesamten Wertschöpfungskette als auch die langfristige Ausrichtung auf Widerstandsfähigkeit gegen Cyberangriffe – unter anderem durch „Security by Design“ – sicherstellen. Case Study Ein Sicherheitskonzept einzuführen, das einen umfassenden und bleibenden Schutz gegen Angreifer aus dem Internet gewährleistet, ist ein komplexes Unterfangen. Anhand des folgenden – fiktionalen, aber realistischen – Beispiels wird deutlich, wie der Weg zu einer Cybersecurity-Strategie aussehen kann. Die Szenerie: Ein international agierendes Finanzunternehmen wird Opfer eines Cyberangriffs. Zwar sind alle IT-Systeme auf dem neuesten Stand, und es werden regelmäßig Backups erstellt, doch unterschiedliche lokale Zweigstellen verwalten ihre IT selber. Der Einbruch wird deshalb erst spät entdeckt. Um solchen Situationen in Zukunft vorzubeugen, trifft das Unternehmen eine Reihe weitreichender Entscheidungen: So wird der Posten eines Chief Security Officers geschaffen, um die Cybersecurity-Strategie zu koordinieren und eine Sicherheitskultur im ganzen Unternehmen voranzutreiben. Daneben werden ein modernes Kontinuitätsmanagement und eine extra eingeplante Redundanz kritischer Systeme implementiert, um Betriebsstörungen im Krisenfall zu vermeiden. 62 10 // 2018

DIGITALISIERUNG Schließlich werden zahlreiche Prozesse verbessert, um das Risiko für Lieferanten im Fall eines Cyberangriffs zu minimieren. Das Ergebnis: Eine erhöhte Widerstandskraft gegen Internetkriminelle, ein besseres Risikomanagement sowie das Vertrauen, für digitale Zwischenfälle in Zukunft umfassender gewappnet zu sein. Die praktische Umsetzung Dieser Ansatz wirkt auf den ersten Blick umfangreich und teuer. Doch mittel- und langfristig nutzt er die vorhandenen Ressourcen deutlich effizienter aus. So kann eine Konzentration auf die wichtigsten Assets beispielsweise bis zu einem Fünftel der Kosten für eine Cybersecurity-Strategie einsparen. Daneben ist es essenziell, kontinuierlichen Fokus auf die „SOCIAL ENGINEERING“ Reduktion historisch gewachsener Komplexität von Prozessen und IT-Systemen sowie auf die langfristige (Daten-)Architektur zu legen. Durch Komplexitätsreduktion und effektive Architektur erreichen führende Unternehmen eine vergleichbare Sicherheit zu einem Bruchteil der Kosten. Auf dem Papier sieht eine solche umfassende und integrierte Sicherheitsstrategie gut, sinnvoll und effizient aus. Um sie praktisch umzusetzen, ist es aber außerdem wichtig, dass die nötigen Schritte von allen relevanten Entscheidern der Organisation mitgetragen werden – vom Management abwärts. Wird das C-Level in den Prozess integriert, kann das Management die nötigen Anpassungen mittragen – geschieht das nicht, verlaufen sie unter Umständen im Sand. „Ich muss an keiner Firewall vorbeikommen, wenn ich an der Sekretärin vorbeikomme“, so der Sicherheitsexperte Jayson Street. Kriminelle können Organisationen mit minimalem Aufwand großen Schaden zufügen, indem sie die zentrale Schwachstelle der meisten Sicherheitsstrategien ausnutzen: den Menschen. Sogenannte Social Engineers manipulieren Mitarbeiter, um an Passwörter, Login-Daten und andere geheime Informationen zu kommen. Treffen kann es jeden, selbst Vorstandsmitglieder und die Sicherheitsexperten selber sind davor nicht gefeit. Die Bandbreite möglicher Social-Engineering-Angriffe ist groß: Sie reicht von spontanen Manipulationsversuchen bis hin zu monatelangen Ausspähprojekten, für die intensive Recherche betrieben wird. Oftmals genügen bereits ein Telefonat oder eine Mail. Schutz ist aber möglich: Mitarbeiter sollten in die Lage versetzt werden, „auffällige“ oder ungewöhnliche Aufforderungen kritisch zu hinterfragen und Fehler oder Ungereimtheiten zu melden. Außerdem müssen alle Mitarbeiter darüber im Bild sein, welche Informationen per Mail oder telefonisch herausgegeben werden können, und welche unter allen Umständen nur persönlich weitergegeben werden dürfen. Das gilt auch für die Chefetage – denn gerade Entscheidungsträger sind aufgrund ihrer Zugangsberechtigung oft besonders gefährdet. Kurz: Schutz vor Social Engineering sollte in die Gesamtstrategie eingebettet werden. FAZIT Banken und andere Finanzinstitute brauchen ein Governance-Modell, das nicht nur die IT beinhaltet, sondern alle Abteilungen bis hin zur Abstimmung mit Dienstleistern und anderen Partnern einschließt. Um dies zu stärken, sollten die Experten für Cybersicherheit direkt an das Management berichten. Außerdem sollten sie – wenn möglich – ein Veto-Recht zu jeglichen für Cybersecurity relevanten Themen haben und über ein eigenes Budget verfügen. Es führt kein Weg daran vorbei, diejenigen, die für die digitale Sicherheit der Organisation verantwortlich sind, mit den nötigen Kapazitäten und Entscheidungskompetenzen auszustatten. Eine effektive und umfassende Cybersecurity-Strategie einzuführen, bedeutet im Kern, alle Systeme der Organisation durch das Prisma der IT-Sicherheit zu betrachten und entsprechend zu reformieren. Denn Sicherheit und der Schutz vor Hackern, Internetbetrügern und anderen Digitalverbrechern ist primär keine Frage der Technologie, sondern des Zusammenspiels der unterschiedlichen Bereiche. Wird dies konsequent umgesetzt, können kritische Angriffe mit hoher Wahrscheinlichkeit verhindert oder zumindest deutlich vermindert werden – und das auch mit Blick auf noch nicht absehbare Risiken. Autor Rolf Riemenschnitter ist Partner bei der Unternehmens- und Strategieberatung McKinsey. Zuvor war er CISO bei der Deutschen Bank. 10 // 2018 63

die bank