KPMG-Finanzexperte So wird Cyber Security zum Innovationstreiber
Wunde reinigen, Pflaster drauf, fertig: In vielen Finanzunternehmen wird Cyber Security als reaktive Maßnahme verstanden. Erst wenn ein Problem auftritt, wird es behandelt. Das ist zu kurz gedacht: Wer digitale Sicherheit nicht als Schutzschild, sondern als wichtigen Aspekt der Innovationsstrategie begreift, entdeckt ganz neue Geschäftsmodelle. Welche das sind und wie sie zum Erfolg führen.
Cyberkriminalität: Wirkung statt Wundschmerz
Zugangsdaten zu einer vom Statistischen Bundesamt betriebenen Datenplattform im Darknet, ein Datenleck bei einer großen Wirtschaftsauskunftei. Das sind nur zwei Beispiele, die zeigen: Cyberkriminalität ist auf dem Vormarsch. Der deutschen Wirtschaft sind dadurch in diesem Jahr laut IT-Branchenverband Bitkom rund 267 Milliarden Euro Schaden entstanden. Das sind 29 Prozent mehr als im Vorjahr, also zum Vergleich fast 40 Berliner Flughäfen. Durch Künstliche Intelligenz (KI) ermöglichte Angriffsmethoden wie Deep Fakes oder Prompt Scanning dürften diesen Trend zudem künftig noch verstärken.
Die Gefahr aus dem Netz wird größer. Das ist die schlechte Nachricht. Die gute: Der Schutz davor auch. Laut aktueller CEO-Befragung von KPMG glauben 76 Prozent der weltweit befragten Unternehmenslenker, dass sich Cyberkriminalität innerhalb der nächsten drei Jahre negativ auf ihren Geschäftserfolg auswirken wird. 73 Prozent von ihnen wollen demnach künftig mehr in die Cybersicherheit ihrer Betriebe investieren.
Das ist richtig und wichtig – und doch zu kurz gedacht. Viele Unternehmen begreifen Cyber Security noch immer als eine reaktive Maßnahme: Wunde reinigen, Pflaster drauf, fertig. Dabei kann IT-Sicherheit viel mehr. Wer sie in der Innovationsstrategie verankert, kann von ihr profitieren. Sicherheitsmaßnahmen können sogar zum Antrieb werden – vom Impuls für neue Dienstleistungen bis zum ganz neuen Geschäftsmodell.
Security by Design – Sicherheit muss von Anfang an mitgedacht werden. Wie beim Autofahren: erst anschnallen, dann losfahren.
Dora-Verordnung: Erst anschnallen, dann losfahren
Der Digital Operational Resilience Act (Dora) ist ein erster Schritt in diese Richtung. Mit dieser Verordnung will die Europäische Union (EU) den Finanzsektor resilient gegen Cyber-Attacken machen. Dafür schreibt sie unter anderem vor, dass Unternehmen ihre Bedrohungen genau kennen müssen. Somit zwingt Dora die Finanzinstitute bereits aus einer reaktiven in eine aktive Rolle: Sie müssen ihre Cyber-Risiken kennen und die geeigneten technischen und organisatorischen Maßnahmen umsetzen. Also nicht mehr erst ein Pflaster aufkleben, wenn die Wunde bereits existiert, sondern den Unfall vermeiden.
1.200% Rendite in 20 Jahren?
Das erfordert ein Umdenken in den Unternehmen. Cybersicherheit darf nicht länger als lästige Pflicht gesehen, sondern muss als zentrales Mittel zum Zweck der Gefahrenabwehr ganzheitlich gedacht und Teil eines Innovationsprozesses werden – besser noch: der Grundpfeiler einer jeden Innovationsstrategie. Anders als bisher sollte dieser Gedanke am Beginn des Innovationsprozesses stehen. Stichwort: Security by Design. Sicherheit muss von Anfang an mitgedacht werden. Wie beim Autofahren: erst anschnallen, dann losfahren.
Der technologische Fortschritt ist Treiber dieser Entwicklung. Automatisierung, moderne Security-Methoden, Technologien sowie AI-Komponenten verändern die Rolle der Sicherheitsfunktion in Unternehmen komplett. Es geht nicht mehr nur darum, das Unternehmen vor bekannten Bedrohungen zu schützen – mit Firewall, Antivirensoftware oder internen Erkennungssystemen. Cyber Security von morgen macht es möglich, mit Hilfe modernster Technologie innovativ zu sein, ohne dabei die Sicherheit des Unternehmens zu gefährden.
Um das zu schaffen, vereint Cyber Security künftig gleich vier Funktionen in einer:
- Sie ist Risikomanagerin. Sie wägt ab, welche Risiken so groß sind, dass sich das Unternehmen vor ihnen Schützen muss.
- Sie ist Investitionsberaterin. Sie weiß, wo Ressourcen zur Cybersicherheit am wirkungsvollsten eingesetzt werden.
- Sie ist Teil des Reportings. Wenn Erfolg bedeutet, dass nichts passiert, ist er schwer zu messen. Deshalb muss Cyber Security Messbarkeit ermöglichen, etwa, indem sie zeigt, wie Sicherheitsinvestitionen Sanktionen oder Betriebsausfälle verhindert haben zum Beispiel mittels KPIs.
- Sie ist Technologietreiberin. Zum Beispiel für KI. Diese Technologie schafft es, manuelle Arbeit im Sicherheitsmanagement zu automatisieren, etwa bei der Anomalie-Erkennung, beim Zusammenfassen von Daten und sogar beim Erstellen selbstheilender Systeme.
Die Bank als Datenbroker oder Emittent für eIDs?
Anwendungsfälle gibt es dafür in Finanzinstituten zu genüge. Etwa an den Schnittstellen. So arbeiten Banken in der Regel mit verschiedenen Systemen. Wann immer das eine in das andere greift, kann eine Sicherheitslücke entstehen. Doch statt erst das eine und dann das andere System abzusichern, sollten lieber beide Systeme ganzheitlich geschützt werden – End-to-End.