Sicherheitsvorfälle im Umfeld der Informationssicherheit gehören zum Alltag aller Unternehmen der Finanzbranche. Die hohe Anzahl und Komplexität von Cyberangriffen erfordert frühzeitige Schadenserkennung und die Umsetzung entsprechender Reaktionspläne.

Steigende Zahl und Komplexität von Cyberangriffen auf Banken

Anzahl und Komplexität von Cyberangriffen auf Banken nimmt zu.

Partner des Bank Blogs

Um die Wende des 21. Jahrhunderts hielten Menschen den Atem an und schauten voller Spannung auf ihre Computer. Die Auswirkungen des Millennium-Bugs standen kurz bevor. Fachexperten prognostizierten das Versagen vieler Computer, da aus Speichergründen nur die letzten zwei Zahlen der Jahresdaten gespeichert wurden. 00 würde das neue Jahrtausend als „1900“ kennzeichnen und folglich massive Probleme in allen Computersystemen der Welt verursachen. Unternehmen und Privatanwender mussten etliche Programme und Systeme auf den etwaigen Fehler prüfen.

Kleine Ursache – große Wirkung

Eine zu Beginn vermeintlich kleine Sache kann unvorhersehbare enorme Auswirkungen haben. Für die Informationssicherheit bedeutet das beispielsweise, dass ein kleiner unscheinbarer Router aufgrund von fehlenden Patches zum Einfallstor für einen Hackerangriff wird und zum Datendiebstahl der wichtigsten Patente des Unternehmens führen kann.

Besonders die Finanzindustrie ist aufgrund der liquiden Mittel und des hohen Digitalisierungsgrades ein beliebtes Ziel für Angreifer. Laut einer Studie liegt die Anzahl der kriminellen Cyber-Angriffe auf die Finanzbranche 65 Prozent über dem Durchschnitt aller anderen Industrien. Dabei müssen sich gerade Banken als Teil der kritischen Infrastruktur darauf konzentrieren, dass ihre Systeme funktionieren und die Daten von Dritten geschützt sind. Damit steht fest: Jedes Unternehmen der Finanzbranche braucht eine übergreifende Security-Strategie.

Was bedeutet Cyber-Resilienz?

Bei einer solchen Strategie stehen meist die drei Ziele der Informationssicherheit im Mittelpunkt:

  1. Vertraulichkeit: Sicherung von Daten, Informationen und/oder Ressourcen vor unbefugtem Zugriff.
  2. Integrität: Unversehrtheit von Daten, Informationen und Ressourcen vor unautorisierter Veränderung.
  3. Verfügbarkeit: Verfügbarkeit von Daten, Informationen und Ressourcen in einem größtmöglichen zeitlichen Rahmen.

Erweitert man nun diese normativen Anforderungen um operative Komponenten, wird man sich früher oder später auch mit der „Belastbarkeit“ der Systeme auseinandersetzen. Die Belastbarkeit bzw. Resilienz – wie es auch die europäische Datenschutzgrundverordnung geschrieben steht – bedeutet: einerseits die Widerstandsfähigkeit eines Unternehmens gegen Angriffe auf die drei Schutzziele; andererseits befasst sich das Paradigma genauso mit Vorgehensweisen, während eines Angriffs den Geschäftsbetrieb weiterhin zu gewährleisten, sowie nach einem Angriff aus Schwachstellen zu lernen und die Widerstandsfähigkeit des Unternehmens langfristig weiter zu stärken. Dabei darf Cyber-Resilienz nicht als Ziel, sondern als ein Prozess der kontinuierlichen Verbesserung verstanden werden.

Die Gefahr frühzeitig erkennen

Die Verantwortung der Cyber-Resilienz liegt oftmals beim Chief Information Security Officer (CISO). Er sollte im optimalen Fall Teil der Geschäftsführung und Gesamtverantwortlicher für die Sicherheit von Informationen sowie Technologien eines Unternehmens sein. Betrachtet man die Entwicklung der Unternehmen in den letzten 10 Jahren, wurde von CISOs der größte Teil ihres Budgets für präventive Sicherheitsmaßnahmen (Firewall, Proxy, etc.) verwendet.

Jedoch reichen präventive Maßnahmen allein nicht mehr aus, um eine gute Cyber-Resilienz zu erreichen. Cyber-Angriffe werden immer raffinierter und es ist schwer einzuschätzen, ob die etablierten präventiven Maßnahmen auch sicher keinen Angreifer ins Unternehmensnetzwerk gelassen haben. Vielen Unternehmen fehlt die Transparenz und es stellen sich die Fragen: „Sind meine präventiven Maßnahmen ausreichend? Oder bin ich bereits betroffen?“ Denn nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bleiben Angriffe durchschnittlich bis zu 243 Tage unentdeckt – das ist enorm viel Zeit für einen Angreifer, um großen Schaden anrichten zu können. Positiv zu bemerken ist, dass viele CISOs mittlerweile diese Gefahr erkannt haben. Denn laut der Digital Trust Insights 2021, einer aktuellen Cyber-Security-Studie von PwC Deutschland, gibt es eine sehr positive Entwicklung in Richtung „Greater Resilience“. 77 Prozent der befragten Teilnehmer geben an, dass sie große Fortschritte in diesem Umfeld machen.

Sicherheitsvorfälle: Prävention, Detektion und Reaktion

Um nun eine „Greater Resilience“ bzw. vollumfängliche Cyber-Resilienz umzusetzen, ist es notwendig – neben einer gut aufgestellten Prävention gegen Cyber Angriffe – sich auch mit dem Perspektiven „Detektion“ von und „Reaktion“ auf Sicherheitsvorfälle zu beschäftigen. Die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) als öffentliche Konsultation der BaFin hat erst kürzlich im Oktober 2020 ihre Vorgaben zum Thema Detektion und Reaktion konkretisiert. Als neues Themengebiet wird nun auch das IT-Notfallmanagement beschrieben. Damit rücken Security Operation Center (SOC) als Schaltzentrale für das Überwachen, Erkennen und Isolieren von Vorfällen immer mehr in den Vordergrund. Denn viele in der BAIT beschriebene Maßnahmen des IT-Notfallmanagements (z.B. IT-Notfalltests auf Grundlage individueller bzw. für die Bank relevanter Gefährdungsszenarien) unterliegen der Verantwortung des SOCs.

Auch wenn Angriffe oftmals unvorhersehbar sind, müssen wir davon ausgehen, dass uns Fehler unterlaufen und diese große Auswirkungen haben können. Um sich auf den Ernstfall vorzubereiten, ist die Definition und Umsetzung von Notfallmanagementprozessen unabdingbar. Das SOC hat nun die schwere Aufgabe sich für verschiedene Eintrittsszenarien zu wappnen. Es mag auf den ersten Blick unmöglich erscheinen sich auf alle Möglichkeiten vorzubereiten. Jedoch jegliche Vorbereitung ist ein Schritt in die richtige Richtung. Denn Improvisation in so heiklen Situationen kann den Stillstand von ganzen Unternehmen führen.

Security Operation Center als zentrale Instanz

Für Covid-19 haben wir einen Schnelltest entwickelt, um Transparenz darüber zu bekommen, ob unsere präventiven Maßnahmen ausreichen. Auf die Informationssicherheit bezogen setzt das SOC auf Security Information & Event Management (SIEM) Plattformen zur Erkennung von Anomalien im Netzwerk. Wenn wir selbst nun Symptome für Covid-19 zeigen, ist unsere logische Reaktion zum Arzt zu gehen. Das SOC wiederum verwendet Security Orchestration, Automation and Response (SOAR) Systeme, die im Idealfall automatisiert und logisch auf Sicherheitsvorfälle reagieren. Ein Beispiel hierzu ist die Isolation eines Computers vom restlichen Netzwerk, nachdem dieser von Malware befallen wurde.

Damit steht das Security Operation Center für eine zentrale Instanz für Sicherheitsangelegenheiten in einem Unternehmen mit dem zentralen Fokus darauf Cyber-Resilienz operativ umzusetzen und die Widerstandsfähigkeit dauerhaft zu stärken.

Menschliche Fehler machen den Unterschied

Der erste, aber entscheidende Schritt auf dem Weg zu Cyber-Resilienz ist zu akzeptieren, dass Fehler zwangsweise passieren. Dies mag sich auf Schwachstellen in Systemen oder auch auf menschliche Fehler beziehen. Und genau diese Fehler können große Auswirkungen auf die Betriebsfähigkeit unserer Unternehmen haben. Daher müssen wir uns neben präventiven Sicherheitsmaßnahmen auch mit der Erkennung bzw. Detektion von Sicherheitsvorfällen als Resultat von Fehlern sowie der Reaktion mittels Notfallmanagementprozessen beschäftigen.

Die Verantwortung dieser beiden Maßnahmen liegt oftmals normativ beim CISO und operativ bei dem Security Operation Centern, welches unmittelbar auf erkannte Angriffe reagieren. Damit trägt diese Organisationseinheit einen fundamentalen Bestandteil zu Cyber-Resilienz bei.

E-Book „Anwendung und Nutzen von Zukunftstechnologien im Banking – Band 3″

Der Artikel ist Teil einer Artikelserie zu neuen Technologie im Banksektor.. Abonnenten von Der Bank Blog Premium können das 28-seitige E-Book mit allen acht Beiträgen direkt herunterladen.

Wenn Sie kein Abonnent sind können Sie das E-Book hier auch einzeln kaufen.

Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.

>>> Hier anmelden <<<


Achim Schäfer

Achim Schäfer ist Koautor des Beitrags. Er ist Partner bei PwC Deutschland im Bereich Cyber Security & Privac und in der Security-Beratung im Financial Services Sektor tätig. Der Fokus des Informatikers liegt auf den Themen Cyber Risk Management, SOC-/SIEM-Beratung sowie Kryptographie.