Die COVID-19-Pandemie hat den Finanzsektor von heute auf morgen in den digitalen Raum katapultiert. Arbeitsmodelle wurden neu und flexibler gestaltet und Prozesse digitalisiert, um auf die veränderte Erwartungshaltung der Kunden zu reagieren. Zwar ist die Corona-Krise eine außergewöhnliche Situation, dennoch zeigt sie auf, an welchen Stellen Lücken im Informationssicherheitsmanagement existieren. Diese Defizite müssen behoben werden, denn bei Informationssicherheit geht es schon lange nicht mehr nur darum, Angriffe abzuwehren. Vielmehr sollten Finanzinstitute die Chance nutzen, Geschäftsmodelle neu auszurichten und ein auf die Zukunft ausgerichtetes innovatives Leistungsangebot zu entwickeln.
Wir empfehlen aktuell, dass Banken auf folgende Herausforderungen bezüglich Informationssicherheit dringend reagieren sollten:
- Unvollständiges Risikoinventar: Es bietet einen Überblick über die auf das Finanzinstitut einwirkende Risiken und muss fortlaufend angepasst werden, um auf sich ändernde Bedrohungen und deren Eintrittswahrscheinlichkeit zu reagieren – insbesondere in Krisenzeiten. Im Mai 2020 berichtete das Cyber Security-Unternehmen VMWare Carbon Black, dass innerhalb eines Jahres die Anzahl der Cyber Angriffe auf Finanzinstitute um 13 Prozent angestiegen ist. Im Zeitraum von Februar bis April 2020 – inmitten der Corona-Krise – stieg die Zahl jedoch auf 238 Prozent im Vergleich zum Vorjahr. Bedingt durch das mobile Arbeiten wird über eine Vielzahl neuer Kanäle auf Informationen zugegriffen, unter anderem die privaten Netzwerke der Mitarbeiter, wodurch sie einem erhöhten und vorher nicht dagewesenen Risiko ausgesetzt sind. Das führt dazu, dass die Risikolandschaft neu analysiert und das Risikoinventar aktualisiert werden muss, und zwar regelmäßig, da sich die aktuellen Gegebenheiten ständig ändern.
- Unklare Verantwortlichkeiten: Wenn es um Risiken geht, denen Informationen ausgesetzt sind, müssen Verantwortlichkeiten klar definiert und kommuniziert werden. Nur so können alle Information-Assets und Informationssicherheitsrisiken adressiert und angemessene Maßnahmen von den Information- und Risk-Ownern umgesetzt werden. Dies wird umso wichtiger vor dem Hintergrund, dass 80 Prozent aller Informationssicherheitsvorfälle durch das Einhalten grundlegender Maßnahmen vermieden werden könnten. Was dazu gehört und wer die Umsetzung der Maßnahmen verantwortet ist jedoch oft unklar.
- Notfallpläne nur auf kurzfristige Krisen ausgerichtet: Einerseits schließen Notfallpläne das Krisenszenario einer Pandemie nur selten ein, wodurch ein reibungsloser Ablauf der Krisen- und Wiederanlaufpläne genau dafür nicht gegeben ist. Andererseits sind die, durch die Business Impact-Analyse bestimmten Wiederanlaufzeiten auf Szenarien ausgerichtet, die sich nicht über Monate hinziehen. Zudem war bisher vorgesehen, dass Notfallpläne komplett durchgeführt und abgeschlossen werden können und dann der Normalbetrieb wieder aufgenommen wird. Aktuell zwingt die Situation dazu, dass bestimmte Teile der Notfallpläne weiter ausgeführt werden müssen.
Diese Aspekte sollten keinesfalls unberücksichtigt bleiben und Finanzinstitute müssen tätig werden –nicht nur um ihre Daten zu schützen, sondern auch um eine leistungsfähige und innovative Informationssicherheit auszubauen. Dafür rücken bestimmte Aspekte in den Fokus:
- Risiken kontinuierlich überwachen: Das Risikomanagement schließt das Management von Informationssicherheitsrisiken ein. Finanzinstitute müssen sicherstellen, dass ihre Prozesse fehlerfrei laufen und alle relevanten Stakeholder jederzeit auf dem neuesten Stand sind. Dazu gehört, dass Risiken kontinuierlich beobachtet und deren Auswirkungen und Eintrittswahrscheinlichkeit analysiert werden müssen – mit dem Ziel Informationsrisiken frühzeitig zu identifizieren und angemessen zu steuern, insbesondere wenn die beschleunigte Digitalisierung stetig ändert, wie wir auf Informationen zugreifen. Nur so können unternehmensinterne Informationen gesichert und eine stabile Leistungserbringung gewährleistet werden.
- Auf die definierten Risiken reagieren: Durch ein durchdachtes Informationssicherheitsmanagement und Cyber Security lassen sich Abläufe effizienter gestalten und Unternehmen für Krisen wappnen. Dafür brauchen Finanzinstitute zum einen schlagkräftige Abwehrmechanismen, um sich vor Hacker-Angriffen zu schützen und müssen zum anderen im Bereich Information Security Awareness aktiv werden. Security Awareness bezeichnet das Wissen und Bewusstsein von Mitarbeiter*innen hinsichtlich Informationsrisiken und deren Vermeidung. Dies ermöglicht Finanzinstituten die Sicherstellung ihrer Daten und Systeme, schützt ihre Prozesse und lässt sie flexible innovative Lösungen finden.
- Neuausrichtung der Notfallpläne: In der derzeitigen Situation ist es wichtiger denn je, dass Finanzinstitute das Wohlergehen ihrer Mitarbeiter*innen an erste Stelle setzen – und dies auch noch über eine unbekannte weitere Zeit sicherstellen können. Notfallpläne müssen so ausgeweitet werden, dass sie deutlich länger Bestand haben: das Dienstleistermanagement muss zukunftsträchtig aufgestellt werden und den Bereich der Informationssicherheit mit abdecken. Der Trend zu mehr Auslagerungen und Kooperationen mit und über Fintechs hält an. In einer Umfrage betätigten drei Viertel der Befragten, dass externe Dienstleister ein entscheidender Faktor wären, um Ertragssteigerungen zu erreichen. Finanzinstitute beabsichtigen so ihre Digitalisierung weiter voranzutreiben und Geschäftsprozesse effizienter zu gestalten.
FAZIT
Finanzinstitute wissen heute mehr denn je, dass sie der Informationssicherheit mehr Bedeutung beimessen müssen als sie es aktuell tun. Eine Neuausrichtung des Informationssicherheitsmanagements ist ein zielgerichteter Ansatz, um die Chancen der aktuellen Situation zu nutzen und innovative Geschäftsmodelle der Finanzinstitute umzusetzen. Zur Schaffung weitreichender Handlungsspielräume, muss Reaktion durch Prävention ergänzt werden.
Informations- und Cyber-Sicherheit sollten so ausgerichtet sein, dass sie die Digitalisierung nicht nur ermöglichen, sondern sogar beschleunigen. Nur so kann der Weg für sicheres neues Wachstums geebnet werden.
Sie wünschen einen persönlichen Austausch mit uns? Unsere Experten sind für Sie da.
KONTAKT
Carsten Hahn, Partner
T +49 69 9760 9091
M +49 17 2213 3144
E Carsten.Hahn@capco.com
QUELLEN
1 VMWare Carbon Black, “Modern Bank Heist 3.0”, 05/2020
2 Cyber Observer, “29 Must-know Cybersecurity Statistics for 2020”, zuletzt aufgerufen: 31.08.2020
3 Geldinstitute, “Darum lohnt sich der Symbiose von Geldinstituten und Fintechs“, 31.07.2020, zuletzt aufgerufen: 04.09.2020.