Aufrufe
vor 1 Jahr

die bank 09 // 2022

  • Text
  • Wwwbankverlagde
  • Finance
  • Token
  • Digitalen
  • Offenlegung
  • Bitcoin
  • Kagb
  • Digitalisierung
  • Institute
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG CYBER-SECURITY-FACHTAGUNG Die Trefferfläche für Angriffe wird immer größer Für Banken und Finanzdienstleister stellt der Schutz vor Cyber-Angriffen eine große Herausforderung dar. Experten, wie z. B. Stephan Meyer vom Bundesamt für Sicherheit in der Informationstechnik (BSI), sehen in der stetig voranschreitenden Digitalisierung eine Ursache dafür, dass Institute anfälliger für Attacken werden. Mit dem Digital Operational Resilience Act (DORA) soll der Finanzsektor widerstandsfähiger gegen Attacken aus dem Netz und Störungen in der IT gemacht werden. Neun von zehn Banken, Versicherungen und Vermögensverwaltungen in Deutschland sind einer Studie zufolge derzeit gut gegen Cyber-Angriffe geschützt. Dennoch rechneten sieben von zehn Befragten damit, dass ihre Unternehmen in den kommenden zwei Jahren infolge von Phishing-Attacken zum Opfer eines schwerwiegenden Angriffs werden könnten. 97 Prozent der Unternehmen gehen der Analyse zufolge im Fall eines Cyber-Angriffs von einem schwerwiegenden Schaden für ihr Unternehmen aus. Dennoch überprüften nur sieben von zehn Finanzdienstleistern regelmäßig die Wirksamkeit ihrer IT-Security-Strategie. Eine Überprüfung der IT-Systeme auf Schwachstellen finde nur bei sechs von zehn der Finanzdienstleistern statt, so eine Lünendonk-Analyse in Zusammenarbeit mit KPMG. Dass das Thema Cyber Security eine hohe Relevanz besitzt, war auch die Quintessenz der Fachtagung „Cyber Security“ des Bank- Verlags Ende September in Köln. Moderiert wurde die Veranstaltung von Andrea van Kessel vom Geschäftsbereich Medien des Unternehmens. Cyber-Angriffe gehörten mittlerweile zu den größten Risiken für Finanzdienstleister, erklärte Stephan Meyer, der beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Betreuung des Sektors Finanz- und Versicherungswesen verantwortlich ist, auf der Tagung. Doch was ist der Grund für die diese Entwicklung? Warum wird Cyber Crime zu einem immer größeren Risiko? Meyer führte aus, dies liege letztlich daran, dass die Trefferfläche für Angriffe aufgrund der voranschreitenden Digitalisierung immer größer werde. Er nannte als Beispiele Industrie 4.0., Smart Cities, Smart Homes, Cloud Computing, Big Data oder Künstliche Intelligenz (KI). Wer füllt auch heutzutage noch Überweisungsträger aus? Die Digitalisierung erschließt einfach immer mehr Bereiche. Deutliche Zunahme der Fallzahlen Auch die Statistiken sprechen hier eine eindeutige Sprache. Die Experten beobachten eine Zunahme der Fallzahlen im Bereich Cyber Crime. Im Berichtszeitraum, der dem BSI- Lagebericht 2021 zugrunde liegt, habe es im deutschen Cyber-Raum insgesamt 144 Millionen neue Schadprogramm-Varianten gegeben, das entspricht einem Plus von 22 Prozent gegenüber dem Betrachtungszeitraum des Vorjahresberichts mit 117,4 Millionen Varianten. Im Berichtszeitraum des Lageberichts 2021 seien im Durchschnitt 44.000 Mails mit Schadprogrammen pro Monat in deutschen Regierungsnetzen abgefangen worden. Im gleichen Zeitraum des Vorjahres waren es laut Lagebericht nur 35.000. Meyer zufolge haben sich die Täter immer weiter professionalisiert. Es gehe längst nicht mehr nur um ein paar Kapuze tragende Kleinkriminelle im Keller. Vielmehr sei von einer wachsenden kriminellen Industrie auszugehen, 56 09 | 2022

DIGITALISIERUNG Stephan Meyer die mittlerweile riesige Umsätze generiere. Als größte operative Bedrohung sieht das BSI laut Meyer Ransomware. Hierbei handelt es sich um Erpressungssoftware, die den PC sperren kann und mit der Täter anschließend ein Lösegeld für die Freigabe fordern können. Meyer betonte, dass die Qualität der Angriffe stetig steige, die Attacken erfolgten zudem mit hoher Agilität. Von Zahlungen rate das BSI dringend ab. Wer einmal Geld gebe, sende das Signal aus, dass auch ein zweiter Angriff durchaus lohnend sei. Hier stellt sich nun die Frage, was Banken und Finanzdienstleister tun können, um der Bedrohungen Herr zu werden. Meyer nannte hier die Durchführung einer Business-Impact-Analyse (BIA). Mit dieser könnten die kritischen Geschäftsprozesse und Ressourcen sowie Kenngrößen für deren Wiederanlauf nach Unterbrechungen ermittelt werden, schreibt das BSI auf seiner Website. Aufgabe der BIA sei es, zu untersuchen, wie gravierend sich Ausfälle von Prozessen und Ressourcen auswirken könnten. Das Ergebnis gibt dem BSI zufolge Aufschluss darüber, welche Prozesse besonders abzusichern seien, damit eine Institution auch in Krisen und Notfällen ihre wichtigsten Ziele und Aufgaben erfüllen könne. IT-Sicherheit sei Chefsache, führte der Referent aus. Methoden zur Absicherung stünden zur Verfügung, sie müssten nur umgesetzt werden. Allerdings sei die vorhandene Absicherung kein Garant für das Ausbleiben erfolgreicher Angriffe. Am Ende gehe es vor allem darum, Vorkehrungen zur Verbesserung der Sicherheitsvorkehrungen und der Resilienz umzusetzen – vor allem vor dem Hintergrund der aktuellen Bedrohungslage, so Meyer. Prüfungen können vier bis acht Wochen dauern Eine erfahrene Prüferin aus den Reihen der Zentralbank erklärte den Zuhörern die verschiedenen Arten von IT-Prüfungen, die von der Bundesbank durchgeführt. Tina Hausknecht aus dem Bereich On-Site Inspections IT Security erläuterte, diese Prüfungen würden sich in Full-Scope- Prüfungen, reine IT-Prüfungen mit Schwerpunkt auf dem Informationsrisiko sowie IT-Prüfungen mit Fokus auf Cyber Security unterteilen. Die Dauer der Prüfungen hängt von ihrer Art ab und kann einen Zeitraum zwischen vier bis acht Wochen umfassen. Dabei bestehen die Analyse- Teams in der Regel aus fünf bis zwölf Mitarbeitenden und einem Prüfungsleiter; fachlich handelt es sich bei ihnen meist um Wirtschaftswissenschaftler und Informatiker, so die Bundesbankerin. Die Erwartungshaltung der Prüfer hinsichtlich des Informationsrisikomanagements orientiert sich vor allem an Kapitel 3 der BAIT in Verbindung mit Teilen der MaRisk und dem KWG. Die zu prüfenden Institute müssen beispielsweise alle Informationen, Datenflüsse und die Systeme sowie Infrastruktur kennen, einen Maßnahmenkatalog erstellen und den Schutzbedarf der Daten, Risiken identifizieren, geeignete Gegenmaßnahmen ergreifen und einen regelmäßigen Risikobericht erstatten. Die Feststellungen der Prüfer, sprich Auffälligkeiten, sind zumeist im Bereich der Abhängigkeiten und Schnittstellen der Geschäftsprozesse oder Datenflüsse zu finden oder aber im Bereich der Schutzbedarf-Vererbung. Manchmal werde auch der Informationssicherheitsbeauftragte unzureichend eingebunden. Die Prüfer erwarten auch, dass Informationssicherheitsvorfälle erkannt und analysiert werden. So wird im Rahmen des Informationssicherheitsmanagements von den Instituten die Implementation einer Informationssicherheitsleitlinie und deren regelmäßige Überprüfung erwartet. Über die Definition und Einhaltung geeigneter Sicherheitsprozesse soll ein fachkundiger und von der IT unabhängiger Informationssicherheitsbeauftragter wachen. Zur Vermeidung künftiger Beanstandungen sollen die Mitarbeitenden im Institut mithilfe eines Sensibilisierungsprogramms geschult werden. Dass Tina Hausknecht mit dem Erfahrungsbericht aus ihrem Arbeitsalltag offenbar einen Nerv traf, zeigten die zahlreichen und detaillierten Nachfragen der TeilnehmerInnen. Alexandros Manakos DORA beschäftigt 21.000 Banken und weitere Unternehmen Ein weiteres Thema bei der Fachtagung war der Digital Operational Resilience Act, kurz DORA. Die kommende Verordnung über die Betriebsstabilität digitaler Systeme zielt darauf ab, einerseits das Innovations- und Wettbewerbspotenzial des digitalen Finanzwesens weiter zu erschließen und zu fördern. Andererseits hat DORA das Ziel, möglicherweise auftretende Risiken zu mindern. Die EU möchte den Finanzbereich widerstandsfähiger gegen Cyber-Angriffe und Störungen in der IT machen, da diese erhebliche Schäden nach sich ziehen – nicht nur finanzieller Art, sondern auch für die Reputation eines Instituts. DORA wird für einen riesigen Anwenderkreis gelten, und alle Anwender sollen letztendlich von dem einheitlichen Regelwerk profitieren. Nach Angaben der europäischen Aufsichtsbehörden betrifft DORA weit mehr als 21.000 Banken, Finanzdienstleister und viele andere Unternehmen. Ausgenommen werden lediglich sehr kleine Unternehmen mit weniger als zehn Mitarbeitenden und unter 2 Mio. € Jahresumsatz. 1 Was auf Banken im Rahmen von DORA zukommt, das erläuterte detailliert Maximilian Margreiter in Köln. Seiner Einschätzung nach kann mit einem Inkrafttreten der Ver- Robin Kroha 09 | 2022 57

die bank