Aufrufe
vor 1 Jahr

die bank 07 // 2022

  • Text
  • Wwwbankverlagde
  • Sparkasse
  • Unternehmen
  • Deutschland
  • Deutsche
  • Cbdc
  • Verbriefungen
  • Markt
  • Deutschen
  • Anlageberatung
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG Gefragt

DIGITALISIERUNG Gefragt sind ganzheitliche Sicherheitsstrategien Auch direkte Nachfragen bei den Banken und Sparkassen zeigen, dass die Entscheidungslenker die Bedrohungslage im IT-Bereich sehr ernst nehmen und entsprechende Maßnahmen gegen Cyber-Risken ergreifen. Die Sparkassen Finanzgruppe teilte beispielsweise mit, dass der gruppeneigene IT-Dienstleister Finanz Informatik (FI) mittlerweile über eine umfassende Sicherheitsarchitektur aus organisatorischen, technischen und auf Information und Aufklärung abzielenden Maßnahmen verfüge. In Bezug auf die organisatorischen Maßnahmen heißt das konkret, dass die FI für den operativen Schutz ihrer Systeme und die Abwehr von Angriffen ein eigenes Cyber Defence Center (CDC) betreibt. Darüber hinaus gibt es organisatorische Schutzmaßnahmen, um den korrekten Umgang mit Daten und Informationen sicherzustellen, dazu zählen regelmäßige Sicherheits-Audits und interne sowie externe Penetration-Tests, um die Sicherheit der Systeme zu überprüfen, sagte eine Sprecherin. Im Bereich technischer Maßnahmen limitiert in der Sparkassen-Finanzgruppe ein umfassendes Rollen- und Rechtemanagement den Zugriff auf sensible Informationen. Sicherheit und Datenschutz seien außerdem wesentliche Bausteine der Produktentwicklung, die in der Konzeption, Entwicklung und technischen Umsetzung der Systeme von Anfang an mitgedacht werden. Allen Verantwortlichen sei aber auch klar, dass es wenig bringe, viel in Technik zu investieren und Angriffsszenarien durchzuspielen, wenn die Mitarbeiter und Kunden nicht ausreichend sensibilisiert sind. Die Sparkassen-Finanzgruppe bezieht deshalb den Faktor Mensch ganz bewusst in ihre Cyber-Strategie ein: Die Mitarbeiter erhalten regelmäßig verpflichtende Schulungen, um das Bewusstsein für mögliche Angriffsmuster und Gefahrensituationen zu schärfen, diese zu erkennen und frühzeitig zu melden, betonte die Sprecherin. Aber auch die KundInnen können viel dazu beitragen, ihre Sicherheit beim Online Banking zu erhöhen. Sie sollten besonders sorgfältig mit ihren Zugangsdaten umgehen. Das bedeutet beispielsweise, keine Kennwörter und Benutzernamen sowie Zugangscodes im Browser oder auf der Festplatte zu speichern und besondere Vorsicht beim Öffnen von E-Mail-Anhängen walten zu lassen. Denn Schadprogramme werden oft über Dateianhänge in E-Mails verbreitet. Auch sollten Downloads von Programmen aus dem Internet nur dann erfolgen, wenn die Quelle vertrauenswürdig ist, und das Betriebssystem sollte durch Sicherheits-Updates immer auf dem neuesten Stand gehalten werden. Die sich rasch entwickelnde Bedrohungslage zwingt die Institute auch dazu, mehr Investitionen in die Cyber-Sicherheit zu tätigen. Bei der Sparkassen Finanzgruppe verteilen sich die Investitionen sowohl auf direkt zurechenbare Budgets für das Sicherheitsmanagement und das CDC als auch auf die Kosten für interne Sicherheitskampagnen. Sehr viel größer sind jedoch die Aufwendungen, die durch sicherheitstechnische und organisatorische Maßnahmen entstehen, wie etwa beim Konzeptions- und Entwicklungsaufwand bei jeder Software und in jedem Betriebskonzept zur Berücksichtigung der nicht funktionalen Sicherheitsanforderungen. Commerzbank und Deutsche Bank Auch die Commerzbank hat das Thema früh als wichtig erkannt und Cyber-Risiken als eigene wesentliche Risikoart definiert. Insgesamt beschäftigt sich im ganzen Unternehmen eine dreistellige Anzahl von Mitarbeitern hauptsächlich mit Informationssicherheit und Cyber-Risiken. Wie das Statement einer Sprecherin zeigt, wird das Thema Cyber-Sicherheit hier ebenfalls ganzheitlich angegangen: „Bei der Diskussion von Cyber-Risiken wird oft auf den Schutz des internen Netzwerks fokussiert oder auf das Beseitigen von Verwundbarkeiten in Software-Komponenten. Tatsächlich durchziehen die Maßnahmen gegen Cyber-Risiken die meisten digitalen Prozesse. Das Ziel ist dabei, resilienter zu werden. Neben der unabdingbaren Prävention (Cyber-Hygiene) wird auf die schnelle Wiederherstellungsfähigkeit der Systeme gesetzt.“ Auch Awareness-Programme für Mitarbeiter und Kunden zählen selbstverständlich zur Prävention. Laut der Sprecherin ist die interne Kampagne der Commerzbank für Mitarbeiter-Awareness inzwischen sogar mehrfach ausgezeichnet worden. Für Firmenkunden bietet das Geldhaus eigene Schulungen an, damit sie sich vor Cyber-Angriffen auf ihren Zahlungsverkehr schützen können. Auch stellt sie ihre eigene Prävention und die Erkennungsfähigkeiten mit Red-Teaming-Angriffssimulationen gemäß dem TIBER-DE Rahmenwerk der Bundesbank selbst auf den Prüfstand, um von möglichst vielen Erfahrungen anderer zu profitieren. Angesichts der fortschreitenden Digitalisierung und der damit verbundenen Zunahme von Cyber-Bedrohungen muss allerdings auch 64 07 | 2022

DIGITALISIERUNG FAZIT Das Thema Cyber-Sicherheit wird auch zukünftig ein Dauerbrenner im Finanzsektor bleiben, denn die Bedrohungslage verändert sich kontinuierlich. Bei genauer Betrachtung zeigt sich allerdings, dass deutsche Banken und Sparkassen in puncto Cyber-Sicherheit gut aufgestellt sind. Das mag mit Sicherheit daran liegen, dass Kreditinstitute zur ordnungsgemäßen die Commerzbank ver- Gestaltung ihrer Informationssicherheit mehrte Investitionen tätigen, um die Gefahren er- aufsichtsrechtlich verpflichtet sind. Allerdings hat das Thema Cyber-Sicherheit auch folgreich abzuwehren. frühzeitig Gehör in den Vorstandsetagen „Wir investieren kontinuierlich in Cyber-Security gefunden, sodass mithilfe kontinuierlich wachsender Investitionsbudgets und gut und arbeiten hier transparent mit unseren Aufsichts- geschultem Fachpersonal entsprechende Sicherheitskonzepte entwickelt und implebehörden zusammen. Neben den oben angeführten mentiert werden konnten. Das zahlt sich heute aus, und es kann zu Recht behauptet werden, dass die hiesigen Geldhäuser ganz wenige Produkte, Prozesse Beispielen lassen sich nur auch in der momentan unsicheren Zeit gut oder Maßnahmen allein dem Thema gerüstet sind, um sich vor Cyber-Risiken zu Cyber-Security zuordnen und budgetieren. Der Schwerpunkt unserer schützen. Positiv hervorzuheben ist auch, dass Security-Aktivitäten orientiert sich ein kontinuierlicher Austausch zwischen zum einen an den operativen Investitionen der Bank, um unsere IT- Aufsichtsbehörden und der Finanzindustrie zusätzlich dafür sorgt, Angriffe und und Anwendungslandschaft (z. B. Bedrohungen besser verstehen zu können, Digitalisierung, datenzentrische Architektur) weiterzuentwickeln sowie um entsprechende Präventionsmaßnahmen einzuleiten. unsere Sicherheitsinfrastruktur an die aktuelle Cyber-Bedrohungslage anzupassen“, erklärt eine Sprecherin. Bei der Deutschen Bank ist die Informationssicherheit ebenfalls ein zentrales Thema, das einer zunehmenden Sensibilisierung bedarf. Laut dem nichtfinanziellen Bericht 2021 konzentrierte sich die strategische Entwicklung der Informationssicherheit im vergangenen Jahr darauf, wie die Bank die Cloud-Technologien sicher nutzen kann. Ein weiteres Augenmerk lag darauf, die bedrohungsbasierte Methodologie auszubauen, um die Informationssicherheits-Kontrollen wirksam aufrechtzuerhalten und kontinuierlich zu verbessern. Die aktuelle Cyber-Sicherheitslage, Anforderungen aus DORA, die novellierte ISO27002 u. v. m.: Besuchen Sie unsere (hybride) Fachtagung Cyber Security am 29. September 2022 Alle Infos und Anmeldungen hier: Weitere Aktivitäten der Deutschen Bank manifestieren sich in regelmäßigen Fortbildungen der Mitarbeiter, der engen Zusammenarbeit mit den Aufsichtsbehörden, dem Austausch mit nationalen und internationalen Sicherheitsorganisationen, dem Aufbau von Informationssicherheits-Kontrollen auf allen Technologie-Ebenen und der kontinuierlichen Überwachung der Informationssicherheit von Drittanbietern. Autorin Carmen Mausbach. Die Diplom- Kauffrau ist seit 2002 als freie Wirtschaftsjournalistin tätig. Ein weiterer Schwerpunkt ihrer Tätigkeit ist die redaktionelle Mitarbeit im Bus-Netzwerk für betriebswirtschaftliche und steuerliche Fachinformationen. 1 https://www.baesystems.com/en-financialservices/insights/the-covid-crime-index. 2 https://news.vmware.com/security/modern-bank-heists-5-0-the-escalation-from-dwell-to-destruction. 07 | 2022 65

die bank