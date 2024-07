Laut dem Report „Die Lage der IT-Sicherheit in Deutschland 2023“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden täglich etwa 70 neue Schwachstellen in Software-Produkten entdeckt – ein Anstieg um 25 Prozent im Vergleich zu 2022. Hackerkollektive arbeiten unter Einsatz von Künstlicher Intelligenz zunehmend spezialisiert, international und professionell organisiert.

Studie: „Von Cyber Security zu Cyber Resilience“

Wie sich diese Bedrohungslage auf den Finanzsektor mit seinen Daten auswirkt, wo es Nachholbedarf und wo besondere Potenziale für die Branche gibt, hat Christian Nern, Leiter der IT-Sicherheit für Finanzdienstleistungen bei der Unternehmensberatung KPMG, in einem Marktkommentar thematisiert. Er nimmt Bezug auf die von seinem Unternehmen beauftragte Studie „Von Cyber Security zu Cyber Resilience“, die einen Blick auf den Stand der Cyber-Resilienz in unterschiedlichen Branchen wirft. Aus 150 Unternehmen aus der DACH-Region wurden dafür Sicherheits-Verantwortliche telefonisch befragt.

Stärkere Bedrohungslage, mehr Angriffe

Christian Nern, @ KPMG

Kern fokussiert sich auf den Finanzsektor. Er spricht von 90 Prozent der Finanzdienstleister, die eine Steigerung der Bedrohungslage im Vergleich zu 2023 sehen – vor allem durch Ransomware und Phishing-Kampagnen, Insider-Bedrohungen, also der absichtlichen Weitergabe von Daten oder geistigem Eigentum durch Mitarbeiter, und Angriffe auf externe Dienstleister. Während zu Beginn des Jahres 2023 erst 37 Prozent der Unternehmen durch Insider eine hohe Bedrohung sahen, sind es 2024 bereits 65 Prozent im Gesamtdurchschnitt. 48 Prozent der befragten Unternehmen sehen zudem ein großes Risiko in Angriffen auf ihre IT-Dienstleister. Diese haben laut Nern meist das Ziel, die Systeme der jeweiligen Kunden zu infiltrieren und deren Daten zu erbeuten.

Auch die Einflussfaktoren „geopolitische Lage“ und „Distributed Denial of Service“ (DDoS, zu deutsch: verteilter Dienstverweigerungsangriff) wurden von den befragten Finanzdienstleistern deutlich stärker gewichtet als im Branchendurchschnitt. 24 Prozent der Banken, Versicherungen und Asset-Management-Firmen verzeichnen laut Studie einen Anstieg gefährlicher Cyber-Angriffe in den vergangenen zwölf Monaten – also Attacken mit konkreter Auswirkung auf den Geschäftsbetrieb und dessen Rentabilität.

Schwachstellen aufdecken

46 Prozent der Finanzdienstleister investieren fünf bis zehn Prozent ihres Jahresbudgets in Cyber-Sicherheit. Damit liegt die Branche allerdings nur marginal über dem Gesamtdurchschnitt 45 Prozent. Dennoch wird vor allem nach erfolgreichen Cyber-Angriffen verstärkt in den Aufbau von Security-Kompetenzen investiert, so Nern. Denn sehr viele Schwachstellen würden erst durch erfolgte Angriffe sichtbar – etwa in eingesetzter Software von Drittpartnern, veralteten IT-Systemen oder Hardware. Das Identifizieren von Schwachstellen und Sicherheitslücken (Vulnerability Management) sowie das „Identity and Access Management“ (deutsch: Identitäts- und Zugriffsmanagement) haben folglich mit einer Nennung von 88 Prozent aller Befragten einen besonders hohen Stellenwert.



Nachholbedarf bei Sicherheit von Cloud-Systemen

Auch im Zuge des Bedeutungsgewinns der Cloud-Migration nimmt ein Großteil der Finanzdienstleister eine verschärfte Bedrohungslage wahr. 72 Prozent glauben, dass sich durch die Cloud-Nutzung das Risiko erhöht, Opfer eines schwerwiegenden Cyberangriffs zu werden. Gefahr bestehe zudem, wenn sogenannte Legacy-Systeme mit Cloud-Diensten verbunden werden. Dann könnten sich über ungesicherte Stellen Zugriffe auf kritische Prozesse und Daten ergeben.

Nern: „Hier stehen Versicherungen mitunter vor Herausforderungen, wenn ihr Digitalisierungsgrad noch nicht dem allgemeinen Niveau der Branche entspricht.“ Neue Regularien wie der „Digital Operational Resilience Act“, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit und der „Cyber Resilience Act“ würden zukünftig zu den notwendigen Investitionen in die Cloud-Sicherheit führen, so der KPMG-Manager.

Hinsichtlich der Einbettung von „Identity and Access Management“ in die bestehenden IT-Systeme und Datenbanken sehen sich 66 Prozent der Unternehmen bereits gut aufgestellt. Bei den befragten Finanzdienstleistern ist das mit 57 Prozent seltener der Fall. Geht es konkret um die Frage, wie gut das Identitäts- und Zugriffsmanagement in die Cloud-Prozesse integriert ist, sehen sich nur 48 Prozent der befragten Unternehmen und sogar nur 28 Prozent der Finanzdienstleister gut gerüstet. Dabei ist laut Nern Cyber-Sicherheit ein elementarer Bestandteil der Cloud-Strategien des Finanzsektors.

Diskrepanz zwischen Reifegrad der IT-Sicherheit und Risikowahrnehmung

Er fragt deshalb, warum der tatsächliche Reifegrad der IT-Sicherheit und die Risikowahrnehmung im Finanzsektor so weit auseinander klaffen? Seine Antwort: „Hier kann nur spekuliert werden, dass die Branche womöglich besser geschützt ist, als sie glaubt. Einerseits führt ein vergleichsweise hoher Digitalisierungsgrad natürlich auch zu größerer Vulnerabilität, andererseits erfordert der junge Trend Cloud-Migration Vertrauen in externe Anbieter, das über Jahre wachsen muss. Diese investieren derzeit massiv in den Schutz ihrer Cloud-Infrastrukturen und Softwareprodukte – deutlich stärker, als es einzelne Organisationen mit limitierten Budgets leisten können.“

Welche Maßnahmen zu treffen sind

Nern fragt weiter, was konkret zu tun ist, um von IT-Sicherheit zu Cyber-Sicherheit und schließlich zu einer wirkungsvollen Cyber-Resillienz zu gelangen. Für 89 Prozent der befragten Unternehmen geht es vor allem darum, sich Transparenz über die Bedrohungslage zu verschaffen und dazu den Fokus deutlich stärker auf die Cyber-Risikobewertung zu legen sowie Kenntnisse über potenzielle Angriffsvektoren zu erhalten. Darüber hinaus ist die IT-Modernisierung für 81 Prozent der Unternehmen ein sehr wichtiges Element für den Aufbau von Cyber-Resilienz. Da die meisten IT-Landschaften historisch gewachsen, jahrzehntealt und häufig durch Eigenentwicklungen geprägt seien, finden sich laut des Autors oft Schwachstellen aufgrund veralteter Codes, Konfigurationsfehlern oder unzureichender Wartung.

Der wichtigste Faktor in der Finanzbranche sei aber die Cyber-Risikobewertung auf Basis einer präzisen Analyse der Angriffsvektoren. Dazu gehörten regelmäßige Sicherheitsüberprüfungen und die Optimierung von Audits und Schwachstellenanalysen, wie 76 Prozent aller Befragten angeben. 74 Prozent entwickeln sogenannte „Incident-Response-Pläne“ (zu deutsch: Vorfall-Reaktionspläne), 71 Prozent setzen auf gut eingespielte Krisenteams für den Fall von Cyber-Angriffen. Im Branchenvergleich zeigt sich, dass im hochregulierten Finanzdienstleistungssektor„End-2-End“-Prozesse darüber hinaus ein wichtiger Treiber für einen höheren Cyber-Sicherheitsgrad (58 Prozent) sind.

Einer automatisierten Reaktion auf Vorfälle 73 Prozent der Befragten eine hohe Bedeutung zu. Damit bewegt sich dieser Wert ungefähr auf dem Niveau des Vorjahrs. Dies zeigt laut Nern, dass bei der Reaktionsfähigkeit in den untersuchten Unternehmen weiterhin Handlungsbedarf besteht. „Incident Response“ beziehe sich vor allem auf die Prozesse und Technologie-Auswahl zur Cyber-Abwehr. Das Ziel sei, Cyber-Angriffe bereits im Vorfeld zu verhindern, und die Kosten und Betriebsunterbrechungen, die durch einen Angriff entstehen, zu minimieren. Neben einzelnen Technologien geht es vor allem darum, organisatorische und kommunikative Voraussetzungen zu schaffen, so der Autor.

Regulatorik zwingt Unternehmen zum Handeln

59 Prozent der Opfer von Cyber-Attacken verlagern mehr Sicherheitsprozesse nach innen. Das deute darauf hin, dass diese Unternehmen die Verantwortung für Cyber-Sicherheit nun stärker selbst übernehmen und nicht nur an externe IT-Dienstleistern delegieren, die in der Regel auch nicht haftbar gemacht werden könnten. Vor allem durch die kommenden Richtlinien seien die Unternehmen auch regulatorisch stärker gezwungen, mehr Sicherheitskompetenzen aufzubauen. Ein Blick auf die befragten Finanzdienstleister, die bereits seit vielen Jahren strenge regulatorische Vorgaben umzusetzen haben, zeigt, dass nur noch 12 Prozent der Unternehmen Cyber-Sicherheit mittlerweile als reines Compliance-Thema betrachten.

Das Fazit von Christian Nern: „Aufgrund ihrer besonders schützenswerten Daten, Güter und Leistungen ist die Finanzbranche zurecht besonders risikobewusst. Sie hat in Sachen IT-Sicherheit aber den richtigen Weg eingeschlagen. Investiert sie weiterhin konsequent in die notwendigen Strukturen und Technologien, wird sie bald noch mehr Vertrauen in Cloud, KI & Co. entwickeln und ihrer Führungsrolle mit Selbstverständlichkeit und Selbstvertrauen gerecht werden.“