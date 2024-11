Wunde reinigen, Pflaster drauf, fertig: In vielen Finanzunternehmen wird Cyber Security als reaktive Maßnahme verstanden. Erst wenn ein Problem auftritt, wird es behandelt. Das ist zu kurz gedacht: Wer digitale Sicherheit nicht als Schutzschild, sondern als wichtigen Aspekt der Innovationsstrategie begreift, entdeckt ganz neue Geschäftsmodelle. Welche das sind und wie sie zum Erfolg führen.

Cyberkriminalität: Wirkung statt Wundschmerz

Zugangsdaten zu einer vom Statistischen Bundesamt betriebenen Datenplattform im Darknet, ein Datenleck bei einer großen Wirtschaftsauskunftei. Das sind nur zwei Beispiele, die zeigen: Cyberkriminalität ist auf dem Vormarsch. Der deutschen Wirtschaft sind dadurch in diesem Jahr laut IT-Branchenverband Bitkom rund 267 Milliarden Euro Schaden entstanden. Das sind 29 Prozent mehr als im Vorjahr, also zum Vergleich fast 40 Berliner Flughäfen. Durch Künstliche Intelligenz (KI) ermöglichte Angriffsmethoden wie Deep Fakes oder Prompt Scanning dürften diesen Trend zudem künftig noch verstärken.

Die Gefahr aus dem Netz wird größer. Das ist die schlechte Nachricht. Die gute: Der Schutz davor auch. Laut aktueller CEO-Befragung von KPMG glauben 76 Prozent der weltweit befragten Unternehmenslenker, dass sich Cyberkriminalität innerhalb der nächsten drei Jahre negativ auf ihren Geschäftserfolg auswirken wird. 73 Prozent von ihnen wollen demnach künftig mehr in die Cybersicherheit ihrer Betriebe investieren.

Das ist richtig und wichtig – und doch zu kurz gedacht. Viele Unternehmen begreifen Cyber Security noch immer als eine reaktive Maßnahme: Wunde reinigen, Pflaster drauf, fertig. Dabei kann IT-Sicherheit viel mehr. Wer sie in der Innovationsstrategie verankert, kann von ihr profitieren. Sicherheitsmaßnahmen können sogar zum Antrieb werden – vom Impuls für neue Dienstleistungen bis zum ganz neuen Geschäftsmodell.

Security by Design – Sicherheit muss von Anfang an mitgedacht werden. Wie beim Autofahren: erst anschnallen, dann losfahren.

Dora-Verordnung: Erst anschnallen, dann losfahren

Der Digital Operational Resilience Act (Dora) ist ein erster Schritt in diese Richtung. Mit dieser Verordnung will die Europäische Union (EU) den Finanzsektor resilient gegen Cyber-Attacken machen. Dafür schreibt sie unter anderem vor, dass Unternehmen ihre Bedrohungen genau kennen müssen. Somit zwingt Dora die Finanzinstitute bereits aus einer reaktiven in eine aktive Rolle: Sie müssen ihre Cyber-Risiken kennen und die geeigneten technischen und organisatorischen Maßnahmen umsetzen. Also nicht mehr erst ein Pflaster aufkleben, wenn die Wunde bereits existiert, sondern den Unfall vermeiden.

Das erfordert ein Umdenken in den Unternehmen. Cybersicherheit darf nicht länger als lästige Pflicht gesehen, sondern muss als zentrales Mittel zum Zweck der Gefahrenabwehr ganzheitlich gedacht und Teil eines Innovationsprozesses werden – besser noch: der Grundpfeiler einer jeden Innovationsstrategie. Anders als bisher sollte dieser Gedanke am Beginn des Innovationsprozesses stehen. Stichwort: Security by Design. Sicherheit muss von Anfang an mitgedacht werden. Wie beim Autofahren: erst anschnallen, dann losfahren.

Der technologische Fortschritt ist Treiber dieser Entwicklung. Automatisierung, moderne Security-Methoden, Technologien sowie AI-Komponenten verändern die Rolle der Sicherheitsfunktion in Unternehmen komplett. Es geht nicht mehr nur darum, das Unternehmen vor bekannten Bedrohungen zu schützen – mit Firewall, Antivirensoftware oder internen Erkennungssystemen. Cyber Security von morgen macht es möglich, mit Hilfe modernster Technologie innovativ zu sein, ohne dabei die Sicherheit des Unternehmens zu gefährden.

Um das zu schaffen, vereint Cyber Security künftig gleich vier Funktionen in einer:

Sie ist Risikomanagerin. Sie wägt ab, welche Risiken so groß sind, dass sich das Unternehmen vor ihnen Schützen muss. Sie ist Investitionsberaterin. Sie weiß, wo Ressourcen zur Cybersicherheit am wirkungsvollsten eingesetzt werden. Sie ist Teil des Reportings. Wenn Erfolg bedeutet, dass nichts passiert, ist er schwer zu messen. Deshalb muss Cyber Security Messbarkeit ermöglichen, etwa, indem sie zeigt, wie Sicherheitsinvestitionen Sanktionen oder Betriebsausfälle verhindert haben zum Beispiel mittels KPIs. Sie ist Technologietreiberin. Zum Beispiel für KI. Diese Technologie schafft es, manuelle Arbeit im Sicherheitsmanagement zu automatisieren, etwa bei der Anomalie-Erkennung, beim Zusammenfassen von Daten und sogar beim Erstellen selbstheilender Systeme.

Die Bank als Datenbroker oder Emittent für eIDs?

Anwendungsfälle gibt es dafür in Finanzinstituten zu genüge. Etwa an den Schnittstellen. So arbeiten Banken in der Regel mit verschiedenen Systemen. Wann immer das eine in das andere greift, kann eine Sicherheitslücke entstehen. Doch statt erst das eine und dann das andere System abzusichern, sollten lieber beide Systeme ganzheitlich geschützt werden – End-to-End.

Gleiches gilt für neue Technologien: Es reicht nicht aus, nur die Erweiterung oder Drittanbieter APIs abzusichern. Vielmehr sollten bei der Integration neuer Anwendungen in alte Systeme auch neue Sicherheitsfunktionen installiert werden – solche, die das Gesamtsystem schützen.

Es gibt also mit zunehmender Digitalisierung eine ganze Reihe neuer Kundenszenarien, die abgesichert werden müssen. In ihrer neuen Rolle kann Cyber Security somit zum Ermöglicher neuer Geschäftsmodelle werden. Zum Beispiel im Bereich Datensicherheit. In einer digitalen Welt könnten Geldhäuser zum Broker für Daten werden. Die Elektronische Identität (eID) ist ein Beispiel dafür.

Mit ihr können Bürger beispielsweise einen Ausweis beantragen oder sich für bestimmte Dienste verifizieren. Verwalten sie diese Identität auf ihren eigenen Geräten und die Daten gehen verloren, sind sie verloren. Werden diese eIDs jedoch bei Banken verwaltet und durch die entsprechenden Systeme abgesichert, besteht dieses Risiko nicht mehr. Bürger wissen ihre Daten geschützt und Banken können diesen Service zum Geschäft machen.

Cybersicherheit muss ins Zentrum von Digitalisierungsvorhaben

Dienstleistungen wie diese können aber nur etabliert werden, wenn die Cybersicherheit ins Zentrum rückt. Mit anderen Worten: Jedes Digitalisierungsprojekt muss Security als Kernelement haben. Andersherum muss bei jedem Security-Projekt überlegt werden, wie es der Digitalisierung nützt. Security by Design – und umgekehrt. Wenn auch die Automatisierung vollständig stimmt, dann werden aus Security Sicht die höchsten Effizienzen gehoben und ein neues Security Level erreicht.

Eine Mehrheit der Unternehmen hat das erkannt. Laut KPMG-Befragung setzen 72 Prozent der CEOs auf Security by Design, indem sie Cyber-Teams in frühen Phasen ihrer Projekte einbeziehen. Bitkom dürfte diese Tatsache wiederum freuen. Gut möglich, dass ihre Befragungen in Zukunft positiver ausfallen.

Christan Nern, KPMG © KPMG

Über den Autor:

Christian Nern ist Partner und Leiter Security bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet.