Aufrufe
vor 1 Jahr

die bank 09 // 2022

  • Text
  • Wwwbankverlagde
  • Finance
  • Token
  • Digitalen
  • Offenlegung
  • Bitcoin
  • Kagb
  • Digitalisierung
  • Institute
  • Unternehmen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG Verena

DIGITALISIERUNG Verena Battis Michael van Dinter Niklas Bunzel Deniz Ulucay ordnung gegen Ende 2022 gerechnet werden, eine „Scharfschaltung“ scheine zum Jahresbeginn 2024 möglich. Eine mögliche Übergangsfrist muss ggf. noch festgelegt werden. Höchste Zeit also, ins Detail zu gehen, ermunterte der Manager von der Wirtschaftsprüfungsgesellschaft Deloitte die Zuhörer der Cyber-Security-Fachtagung. Zur Sicherstellung der Compliance mit DORA können Institute ihre Abdeckung der BAIT-Anforderungen sowie die Ausrichtung der Informationssicherheit und des Business Continuity Managements an internationale Normen als Reifegradmesser nehmen. Wo die BAIT einen breiteren Bereich IKT-relevanter Themen abdeckt, erfordert DORA spezifischere Maßnahmen an die Steuerung von IKT-Risiken, vor allem im Bereich der Meldungen an die Aufsichtsbehörden und bei der Steuerung des Risikos durch IKT-Drittanbieter. Für die Bewältigung von IKT-Risiken zur Erzielung von mehr Betriebsstabilität baut DORA auf sechs Säulen auf. Diese stellen Anforderungen an folgende Bereiche: Z Governance: Hier wird vor allem eine bessere Abstimmung gefordert zwischen den Geschäftsstrategien von Finanzunternehmen und dem IKT-Risikomanagement. Z IKT-Risikomanagement: Implementierung stabiler IKT-Systeme und -Instrumente sowie geeigneter Systeme, zudem sollen die Auswirkungen der Risiken minimiert werden (inkl. Notallfall- und Wiederherstellungsplänen). Z IKT-bezogenene Vorfälle: Es muss ein Managementprozess zur Überwachung und Protokollierung solcher Vorfälle eingerichtet werden, und es soll eine Klassifizierung nach Kriterien hinsichtlich Wesentlichkeitsschwellen erfolgen. Z Digitale Betriebsstabilität: Schwachstellen sollen regelmäßig ermittelt und behoben werden, Mängel geprüft und Korrekturmaßnahmen umgesetzt werden. Z Risiko durch IKT-Drittanbieter: Gefordert ist eine solide Überwachung des Risikos durch Drittanbieter (nach grundsatzbasierten Regeln). Z Informationsaustausch: Finanzunternehmen sollen sich austauschen, um ihr Bewusstsein für IKT-Risiken zu schärfen und die Abwehrkapazitäten gegen Cyber-Bedrohungen ausweiten. Margreiter vertiefte die Hinweise zu den Anforderungen mit Beispielen. Im Bereich der Prüfung der digitalen Betriebsstabilität etwa ermögliche die Verordnung eine verhältnismäßige Anwendung der Anforderungen in Abhängigkeit von Größe, Geschäfts- und Risikoprofilen der Finanzunternehmen. Auch sollten zwar alle Unternehmen IKT- Instrumente und -Systeme testen. Doch nur diejenigen, die von den zuständigen Behörden als bedeutend und cyber-reif eingestuft wurden, werden auch zu erweiterten Threat Led Penetration Tests (TLPT) verpflichtet sein. Die Behörden gingen dabei so weit, dass sie die Anforderung für geeignete PenTester quasi wie in einem Stellenprofil 2 beschreiben würden, erläuterte der Deloitte-Mann. Krisenmanagement-Programme zur Abwehr von Cyber-Risiken Robin Kroha ist Head of Global Protection and Resilience der Allianz Services und leitet dort ein weltweites Team von Experten unter anderem für Krisen-, Notfall- und Geschäftsfortführungsmanagement. Unter den Top 10 der Geschäftsrisiken in Deutschland landeten Cyber-Vorfälle mit 50 Prozent schon an zweiter Stelle, führte Kroha auf der Fachtagung unter Verweis auf das Allianz Risk Barometer 2022 aus. Cyber-Risiken seien allgegenwärtig und er- forderten daher globale Krisenmanagement- Programme. Kroha forderte in diesem Zusammenhang unternehmensweite Schulungsprogramme, die das Wissen der Firma über Cyber Security nutzten. Notwendig seien ferner Krisenmanagement-Übungen- und -Seminare, die die Kultur und die Sicherheitslandschaft des Unternehmens berücksichtigten. Auch Krisenstäbe seien von großer Bedeutung, so der Experte weiter. Zentrales Werkzeug der Krisenstabsarbeit sei ein gemeinsames operatives Lagebild (Common Operational Picture, COP). Der Zweck des Lagebilds: Der Krisenstab erhalte hierdurch eine Aufzeichnung von Ereignissen, Entscheidungen und getroffenen Maßnahmen. Alle Mitglieder müssten über die aktuelle Situation und ihre individuellen Maßnahmen mit den zu erwartenden Zeitplänen informiert werden. Nur so könne sich der Krisenstab auf die wesentlichen Komponenten der Krisenbewältigung konzentrieren, erklärte Kroha. KI-Verfahren zur Ausweiserkennung Niklas Bunzel, der als wissenschaftlicher Mitarbeiter am Fraunhofer Institut für Sichere Informationstechnologie (SIT) tätig ist, schilderte in seinem Vortrag die Rolle der Künstlichen Intelligenz (KI) bei der IT-Sicherheit in Banken. KI komme in den Instituten etwa zur Nutzerauthentifizierung zum Einsatz. Immer mehr Geldhäuser setzten Video-Identifikation für das Kunden-Onboarding ein. Hierbei halten Kunden ihren Personalausweis vor eine Kamera, die mit einem KI-Verfahren die Ausweiserkennung durchführt. Algorithmen zur Bilderkennung helfen bei der digitalen Bildanalyse. Mit diesem auf Deep Learning basierenden Verfahren lassen sich Betrugsversuche zuverlässig erkennen. KI wird Bunzel zufolge auch beim Kreditscoring verwendet, um vorherzusagen, ob ein 58 09 | 2022

10:10 Uhr KI und Sicherheit – Maschinelles Lernen als Sicherheitsrisiko 11:10 Uhr Open Source Intelligence – Wie Hacker sich auf einen Angriff vor 12:00 Uhr Update ISO 27002:2022: Welche Neuerungen es jetzt umzusetzen DIGITALISIERUNG Programm zur Online-Fachtagung Cyber Security am Donnerstag, 29. September 2022, von 0 09:30 Uhr Begrüßung 09:40 Uhr Absicherung und Resilienz vor dem Hintergrund der aktuellen Cyber-Bedrohungslage Stephan Meyer | Bundesamt für Sicherheit in der Informationstechn Maximilian Margreiter Verena Battis und Niklas Bunzel | Fraunhofer Institut für Sichere Informationstechnologie (SIT) 10:55 Uhr Kaffeepause Alexandros Manakos | Apolllon Security GmbH Kredit zurückgezahlt werden könne oder ob Probleme zu erwarten seien. Auf KI-Basis werden Korrelationen zwischen den persönlichen Daten der Kreditantrag stellenden Person (Alter, Beruf) und einem hohen oder geringen Ausfallrisiko hergestellt. Bunzel referierte zudem über Adversarial Examples. Hierbei handelt es sich um von Kriminellen manipulierte Eingangssignale etwa in ein Künstliches Neuronales Netzwerk. Der Angriff auf die Integrität des Systems wird derart geschickt vorgenommen, dass ein Mensch die Manipulation nicht bemerkt. Als mögliches Angriffsziel nannte Bunzel die Online-Authentifizierung von Neukunden, etwa die Gesichtserkennung mit einem gestohlenem Ausweis. Die IT-Abteilungen der Banken seien gefragt, ein regelmäßiges Screening vorzunehmen, um Adversial Examples zu erkennen und gezielt zu blockieren, bevor diese massive Schäden anrichten könnten. Notwendig seien auch sogenannte Mitigation Strategies. Hierbei gehe es darum, bestimmte Funktionen vor das IT- System zu schalten, um die bösartigen Eigenschaften zu entfernen, so Bunzel. Auch sollte das hauseigene IT-System der Bank mit speziell generierten Adversarial Examples trainiert werden. ML-Methoden sind keine ultimative Antwort Verena Battis, ebenfalls wissenschaftliche Mitarbeiterin am SIT, fügte hinzu, dass KI und ML im Rahmen der Cyber-Abwehr sehr mächtig seien, aber nicht unfehlbar. Die gleichen Algorithmen, die Firmen zur Verfügung stünden, nutzen Battis zufolge auch die Bad Guys. ML-Methoden seien daher keine ultimative Antwort, sondern nur als komplementärer Einsatz zu menschlichem Fachwissen zu verstehen, betonte die Expertin. „Datensparsamkeit ist wichtig“, mahnte Alexandros Manakos. Der erfahrene Cyber- Security-Experte (ehemals CISO und Head of Cyber Security der HSBC) forderte die Besucher der Fachtagung auf, sich in die Denkweise von Hackern hineinzuversetzen und erläuterte bspw. die Strategie der Open Source Intelligence (OSINT). Auch ohne selbst Hacker-Kenntnisse zu haben, lassen sich mit relativ kleinem Aufwand bereits erschreckend viele Daten über Personen und Unternehmen im Web recherchieren. Für Profis ist das Internet erst recht eine schier unerschöpfliche Quelle. Findet ein Hacker etwa zufällig über Facebook heraus, dass „Uschi“ von der Bank XY Hunde liebt, ist es ein leichtes, ihr eine Phishing-Mail zu senden, in der man – getarnt als vermeintlicher Kollege und garniert mit süßen Welpenfotos – mal einen Austausch anbietet. Und schon hat der Hacker einen Fuß im System … Gefahren lauerten überall in den sozialen Medien, so Manakos, „googelt euch mal selbst!“ Dr. Deniz Ulucay, der als Principal Berater für Informationssicherheit im Bereich Managementsystems & Audit bei der Secunet Security Networks AG tätig ist, referierte über die ISO/IEC 27002, einen globalen Standard, der Empfehlungen für Kontrollmechanismen für die Informationssicherheit enthält. Hierbei geht es insbesondere um Maßnahmen zur Abwehr von Cyber-Attacken. Michael van Dinter, der als Head of Cyber-Security Germany das IT-Sicherheits-Team der HSBC Deutschland leitet, sprach schließlich über Cyber-Angriffe in der Lieferkette und den Schutz davor. FAZIT Wohl keine Branche ist so stark von Cyber-Angriffen betroffen wie der Finanzsektor. Das hängt wohl vor allem mit der Digitalisierung zusammen. Die Möglichkeit, alle Bankgeschäfte bequem daheim zu erledigen, bietet mit ihren sensiblen elektronischen Schnittstellen mögliche Eintrittspforten für potenzielle Cyber-Attacken. Die Digitalisierung ist für Banken und Finanzdienstleister damit Fluch und Segen zugleich. Investitionen in die Abwehr der kriminellen Angriffe aus dem Web lohnen sich, um Kunden und Institute maximal zu schützen, so das Fazit der Fachtagung. Autoren Dogan Michael Ulusoy und Anja U. Kraus. Dr. Deniz Ulucay | secunet Security Networks AG 12:35 Uhr Mittagspause 13:30 Uhr IT-Prüfungen im aufsichtlichen Kontext: Ablauf, Erwartungen und Erkenntnisse mit Schwerpunkt auf dem Bereich Informationssich und Informationsrisikomanagement Tina Hausknecht | Deutsche Bundesbank 14:20 Uhr Ausblick DORA – Was kommt auf die Banken zu? Maximilian Margreiter | Deloitte GmbH Wirtschaftsprüfungsgesellschaf 15:10 Uhr Kaffeepause 15:30 Uhr Supply Chain Security: Cyber-Angriffe in der Lieferkette und wie Sie sich schützen können Michael van Dinter | HSBC Deutschland 16:15 Uhr Cyber-Krisenmanagement: Auf den Ernstfall vorbereitet Robin Kroha | Allianz Services / Allianz Consulting 17:00 Uhr Ende der Veranstaltung Eine Veranstaltung von www.bv-events.de | @events_bv 1 Vgl. Art. 3 Abs. 50 „microenterprise“ aus Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014. 2 Vgl. Art 24, „Anforderungen an Prüfer“. 09 | 2022 59

die bank