Cybersecurity: Banken müssen ihre Kronjuwelen schützen

Modernes Banking ist mit der gewachsenen IT-Infrastruktur im eigenen Rechenzentrum traditioneller Großbanken schon lange nicht mehr zu realisieren. Die dazu notwendige Flexibilität und Geschwindigkeit hat einen Trend weg von On-Premise, hin zur Cloud eingeläutet. Damit wird die IT zwar einerseits leistungsfähiger, andererseits aber auch deutlich komplexer. Gleichzeitig werden die Anforderungen an Compliance immer größer: Externe Partner müssen angebunden und im Idealfall ein Geschäftsbetrieb rund um den Globus ermöglicht werden.

Cybersecurity  ist dabei für Banken von enormer Bedeutung, um den unerwünschten illegalen Transfer von Geld, Wertpapieren oder Edelmetallen zu verhindern. Sicherheitsmaßnahmen aus dem letzten Jahrtausend greifen schon lange nicht mehr – die Bedrohungen von heute lassen sich nicht mehr durch Beton, dicke Tresortüren und bewaffnete Wachdienste in den Griff bekommen. Der moderne Bankräuber sitzt entspannt zu Hause (oder wo auch immer) an seinem Rechner und attackiert die IT-Systeme der Finanzdienstleister über das Internet. In Krisenzeiten wie der aktuellen Corona-Pandemie greifen Cyberkriminelle vermehrt und ganz gezielt Banken und Finanzdienstleister an.

Daher werden im Digital Banking besonders in der jetzigen Situation hocheffiziente und verlässliche Cybersecurity-Technologien benötigt. Mit der starken Zunahme an Ransomware-Angriffen hat sich der Bankensektor zum neuen Köder für Cyberkriminelle entwickelt. Durch verschiedene Social Engineering Aktivitäten und die steigende Zahl an Phishing-Angriffen ist das Bankwesen ständigen Sicherheitsbedrohungen ausgesetzt.

Laut einem kürzlich auf computerweekly.com erschienenen Artikel können 70% der Angriffe, die im März 2020 auf den Banken- und Finanzsektor abzielten, auf Trojaner zurückgeführt werden.

Diese Art von Angriffen attackieren ihre Opfer mittels bösartiger Installationsprogramme, um so Zugang zu Verwaltungsrechten auf den jeweiligen Systemen zu erhalten. Der Aufbau eines starken Cybersicherheits-Ökosystems hat daher höchste Priorität. Es müssen gezielt Sicherheitslösungen in den Bereichen Identitätsschutz, Datensicherheit, Endpoint Protection und Remedation implementiert werden, um die Widerstandsfähigkeit der Banken und Finanzdienstleister zu verbessern.

Somit spielt die IT eine Schlüsselrolle, wenn es um die wirtschaftliche Existenz einer Bank geht. Bei einem Ausfall der Banksysteme stehen schlicht gesagt alle Räder still.

Selbst machen oder outsourcen?

Heute muss die Banken-IT in der Lage sein, Kundeninfos und geistiges Eigentum (IP, Intellectual Property) zu schützen, regulatorische Anforderungen ohne Kompromisse abzudecken und gleichzeitig eine hohe Verfügbarkeit mit maximaler Sicherheit zu kombinieren. Die Systeme müssen dazu mit enormen Datenmengen (Big Data) umgehen können und praktisch in Echtzeit Analysen liefern, um einerseits Faktoren wie das Kundenverhalten zu untersuchen und auf der anderen Seite durch Erkennung ungewöhnlicher Muster betrügerische Aktionen entlarven zu können (bspw. Financial Fraud oder Geldwäsche).

Aus regulatorischer Sicht stehen Banken in der Pflicht, jederzeit nachweisen zu können, mit wem sie Geschäfte machen (Stichwort Know-Your-Customer – KYC) und gleichzeitig für den Schutz personenbezogener Daten gemäß DSGVO sorgen. Ein unbeabsichtigtes Abfließen von Daten (Data Leakage) gilt es ebenso zu verhindern wie das Eindringen von Schadsoftware wie Ransomware.

Die Aufzählung macht deutlich, dass ein großer Teil der angesprochenen Themen mit dem Bankgeschäft eigentlich nur peripher zu tun haben. Damit gibt es zwei grundsätzliche Optionen für die Verantwortlichen: Selbst die nötigen Ressourcen und Qualifikationen intern aufbauen oder mit einem spezialisierten Service-Anbieter zusammenarbeiten, um sich wieder auf das Kerngeschäft zu konzentrieren. Da speziell im Bereich der IT-Security ein extremer „Skill-Shortage” herrscht, ergibt sich die Antwort praktisch von selbst.

Die Kronjuwelen schützen

Spricht man mit Verantwortlichen in Banken (und anderen Unternehmen), gibt es häufig eine gleichlautende Aussage: „Beim Thema Sicherheit geht man keine Kompromisse ein”. Das ist natürlich einerseits richtig, denn Sicherheit sollte selbstverständlich in allen IT-bezogenen Entscheidungen berücksichtigt werden. Auf der anderen Seite geht diese Aussage aber an der aktuell zu beobachtenden Realität vorbei: Mit Blick auf offene, flexible Plattformen mit möglichst schnellen Reaktionszeiten ist eine hundertprozentige Sicherheit der eigenen IT nicht mehr zu erreichen – jedenfalls nicht mit einem begrenzten Budget.

Die Sicherheitsmaßnahmen müssen ständig angepasst werden, weil auch die Angriffsvektoren sich permanent verändern. Man denke nur an die Spectre-Sicherheitslücke in CPUs, die bis dato niemand wirklich auf dem Schirm hatte. Oder IoT-Schadsoftware, die zumindest theoretisch über jede Überwachungskamera oder jedes vernetzte Heizungsthermostat das interne Netzwerk infiltrieren kann. Daraus ergibt sich schlussendlich, dass IT-Security sich nicht mehr an einem statischen Gegner abarbeiten kann, sondern immer auf ein bewegliches Ziel feuert. Vor diesem Hintergrund ist es nicht mehr die entscheidende Frage, ob ein Unternehmen einmal von einem Hackerangriff betroffen sein wird, sondern eher wann das passiert – und wo.

Wichtig ist hierbei, den potentiellen Schaden in Form von Datenabflüssen oder Systemausfallzeiten bereits „by design” so gering wie möglich zu halten. Um das zu erreichen, sollten Unternehmen ihre Ressourcen sinnvoll einsetzen und bspw. verschiedene Sicherheitszonen definieren, anstatt einen monumentalen Wall um alles zu errichten. Selbst im sprichwörtlich sicheren Fort Knox ist nur die innerste Zone des insgesamt rund 270 Quadratkilometer großen Truppenstützpunktes mit 20 Tonnen schweren Stahltüren, meterdicken Wänden, Minenfeldern und Selbstschussanlagen gesichert. Analog dazu gilt es auch in der IT, sensible Bereiche zu kapseln und dafür zu sorgen, dass die wichtigsten Daten – also quasi die Kronjuwelen – mit Maßnahmen wie Privileged Access Control und Datenverschlüsselung zum Hochsicherheitstrakt werden, während in anderen Bereichen die Sicherheit zugunsten der Zugänglichkeit und Usability heruntergedrosselt wird.

Cybersecurity rund um die Uhr

Flexibilität und IT-Security sind hier die Pole, zwischen denen ein geeigneter Weg zu suchen ist. Beides kann nicht gleichermaßen gewährleistet werden. Was aber jederzeit sichergestellt sein muss, ist, dass unverzüglich auf jede Form von Incidents reagiert wird – und jederzeit bedeutet tatsächlich 24*7*365. Cyberkriminelle pflegen bedauerlicherweise nicht, sich Freitags um 17:00 Uhr ins Wochenende zu verabschieden.

Auch Banken im DACH-Raum stehen unter massivem Druck, Kosten zu sparen. Outsourcing ist hier ein probates Mittel, um die Fixkosten zu senken. Gerade im Bereich IT-Security ist es auch aus inhaltlichen Gründen sinnvoll, auszulagern. Nur wer täglich mit den Bedrohungen kämpft, kann beim Thema Security up-to-date bleiben. Wipro beispielsweise, betreibt auf der ganzen Welt verteilt neun top ausgestattete Security Operations Centers (SOCs) in verschiedenen Zeitzonen, die den Datenverkehr und die Systeme von Kunden permanent analysieren und sichern.

Immer mehr Banken gehen den Weg des Outsourcings, wenn es um bestmögliche Security geht. Auf sich allein gestellt kann kein Finanzinstitut der Welt seine Sicherheit in der Informationstechnik gewährleisten – wozu auch, es zählt ja nicht zur Kernkompetenz von Banken. Aber dafür gibt es zum Glück passende Partner, für die IT-Security das Tagesgeschäft ist.

Autor: Henk van der Heijden
Head Cybersecurity and Risk Service Continental Europe, Wipro Limited

Henk verfügt über 30 Jahre Erfahrung im Bereich IT und Security. In leitender Funktion bei globalen Organisationen und als Vortragender bei Veranstaltungen hat er sich als IT-Sicherheitsexperte einen Namen gemacht. Aktuell leitet Henk den Bereich Cybersecurity and Risk Service von Wipro Limited in Kontinentaleuropa.

Wipro Limited

Wipro Limited ist ein führender globaler Anbieter von IT-, Consulting- und Business-Process-Services. Mit Cognitive Computing, Hyperautomatisierung, Robotik, Cloud, Analytik und neuesten Technologien verhelfen wir unseren Kunden zum Erfolg in der digitalen Welt. Wir verbinden Technologie-Expertise mit tiefer Branchen-Kenntnis und gestalten gemeinsam mit unseren Kunden die Zukunft.