Mehr Cyberbedrohungen, strenge Regulatorik, hybride Cloud-Architekturen: Wie können sich Banken in diesem Umfeld zukunftssicher aufstellen? Zero-Trust ist das Design-Prinzip für erfolgreiche Finanz-CIOs. Moderne Sicherheitstechnologien, Integration und Automation sind die Schlüssel.
IT-Innovation, Cyberbedrohungen und Regulatorik prägen den Finanzmarkt.
Partner des Bank Blogs
Mobile Bezahldienste oder Überweisung per Foto-Scan via Smartphone – das sind nur zwei Beispiele von digitalen Services, die Kunden heute von ihrer Bank erwarten. Viele Finanzinstitute kämpfen mit einem Innovationsstau – nicht nur bei den Frontend Anwendungen, sondern auch bei den Kernsystemen und den darunter liegenden Betriebsplattformen.
Damit droht nicht nur eine Abwanderung der Kunden. Banken verpassen zudem Wachstumschancen, die durch neue Ökosystem-basierte Geschäftsmodelle entstehen. Zwei von drei Banken wollen laut Forrester Research daher in ihre IT investieren. Mehr Cyberbedrohungen, strenge Regulatorik, hybride Cloudarchitekturen: Wie können sich Banken in diesem Umfeld zukunftssicher aufstellen? Und welche Prinzipien nutzen erfolgreiche Finanz-CIOs? Aber von vorne:
Mehr als nur eine Herausforderung
Wollen Bank-CIOs Ihre Systeme modernisieren, sehen sie sich gleich mehreren Herausforderungen gegenüber:
Zum einen nimmt die Bedrohungslage zu. Finanzinstitute sind weltweit ein beliebtes Ziel von Hackerangriffen. Das zeigt der X-Force Threat Intelligence Index 2022 von IBM: Demnach waren 22,4 Prozent der Cyberattacken 2021 gegen Finanzdienstleister gerichtet. Nur das produzierende Gewerbe wird häufiger angegriffen.
Daraus folgt die nächste Herausforderung: Nationale und internationale Aufsichtsbehörden reagieren auf die fortwährenden Bedrohungen mit erweiterten und immer spezifischeren Vorgaben und Kontrollmechanismen. Der Digital Operational Resilience Act (DORA) und das Finanzmarktintegritätsstärkungsgesetz (FISG) sind nur zwei Beispiele für neue Vorgaben im bereits vorher streng regulierten Finanzmarkt. Kontrollen der BaFin gehen zunehmend in die Tiefe und prüfen nicht nur die Definition, sondern auch die Umsetzung wirksamer Cybersicherheitsmaßnahmen auf dem Stand der neusten Technik. Dabei greifen sie auch die aktuelle Technologieentwicklung – wie die Nutzung von Cloud-Computing – auf und erweitern die Kontrollspanne auf die Dienstleiter.
Auch die IT-Innovationen selbst bringen Herausforderungen mit sich: Wo Banken ihre Daten früher nur lokal und meist mit einem Provider verwalteten, kommen heute viele verteilte und Cloud-basierte Systeme zum Einsatz. Für den Erfolg im Ökosystem-orientierten Markt ist diese Offenheit auch notwendig.
Im Hinblick auf die Cybersicherheit und Compliance ergeben sich für die Banken und Finanzdienstleister aus den drei oben genannten Punkten aber auch Chancen. So können innovative Cyberschutzmaßnahmen teilweise an die externen Cloud- und SaaS-Anbieter ausgelagert und die Kosten über mehrere Mandanten verteilt werden. Bei der Ausrichtung der IT-Security kommt es auf verschiedene Punkte an:
Zero-Trust als Designprinzip
In einer Ökosystem-basierten Welt, in der kein System mehr geschlossen ist, greifen viele traditionelle Sicherheitsmaßnahmen nicht mehr. Wo vorher vollständige Kontrolle möglich war, muss ein CIO heute akzeptieren, dass er oder sie maximal einen Teil des Systems selbst überwachen kann. Zero Trust lautet daher das Gebot der Stunde. Das Konzept ist nicht neu, gewinnt aber in einer plattform-orientieren Welt mit ausgelagerten Systemen und Anwendungen an Bedeutung. Eine Zero-Trust-Sicherheitsstrategie kann Organisationen unterstützen, ihre Cyber-Resilienz zu erhöhen und die Risiken einer offeneren Geschäftsumgebung zu managen, während Benutzern weiterhin Zugriff auf die entsprechenden Ressourcen gewährt wird. Folgende Prinzipien gelten im Zero-Trust-Konzept:
- Least privilege access: Minimalprinzip von Zugriffsrechten,
- Never trust, always verify: Vertraue niemals, kontrolliere immer,
- Assume breach: Erwarte Datenmissbrauch und Cyber-Angriffe.
Diese Standards und Prinzipien sind einfach und für jeden klar verständlich. Die eigentliche Herausforderung liegt in der konstanten Umsetzung. Organisationen, Prozesse sowie IT-Infrastrukturen sind in jeder Bank und jedem Finanzinstitut unterschiedlich. Um die richtige Strategie zu finden, sind interaktive Workshops eine bewährte Möglichkeit. Die Workshops unterstützen Teilnehmer aus der Finanzindustrie bei der Entwicklung innovativer Ideen und stellt ihnen die Experten, Verfahren und Technologien zur Verfügung, mit denen sie diese Ideen rasch in geschäftlichen Nutzen umsetzen können.
Integration und Automation sind der Schlüssel
Hat das Finanzinstitut sein Zero-Trust-Prinzip definiert, gilt es die modernen Sicherheitstechnologien optimal zu nutzen. Durch die Verteilung der IT-Anwendungen und Infrastrukturen und deren Management auf Inhouse, klassische Outsourcing-Dienstleister sowie Cloud-Hyperscaler und SaaS-Anbieter, verteilen sich auch Aufgaben und Verantwortlichkeiten im Sicherheitsmanagement. Technologisch führende Cloud-Plattformen, auf denen die multimandantenfähigen SaaS-Anwendungen laufen, bieten in der Regel ein sehr hohes Maß an Sicherheit. Meist übersteigt es sogar das Level, das eine Bank allein leisten könnte.
Die Herausforderung für regulierte Finanzunternehmen besteht darin, über die gesamte Kette von Dienstleistern verstehen und nachweisen zu können, welche Sicherheitsmechanismen auf welcher Ebene greifen und durch wen sie erbracht werden. Der Fakt, dass dies meist nicht einfach und in voller Transparenz möglich ist, unterstreicht die Notwendigkeit des Zero-Trust-Ansatzes.
Die Nutzung von Cloud und SaaS erfordert ein gut aufgesetztes Third-Party-Riskmanagement, das schon auf der Vertragsebene detaillierte Verantwortlichkeiten zum Sicherheitsmanagement definiert. Operationale Schnittstellen setzen diese um und überwachen die Prozesse. Um Integrationen effizient umzusetzen, muss das hausinterne Informations-Sicherheits-Management-System (ISMS) der Banken und Finanzinstitute in der Regel neu ausgerichtet werden. Sicherheits- und Compliance-relevante Informationen müssen möglichst automatisiert und standardisiert von den unterschiedlichen Dienstleistern eingesammelt, zusammengeführt und bewertet werden. Je mehr Daten in einem gebündelten Cockpit zusammenlaufen und ganzheitlich analysiert werden können, desto besser. Zudem spielt die Automatisierung eine wichtige Rolle: Auf der Ebene des ISMS lassen sich heute schon viele sicherheitsrelevante Informationen unterschiedlicher externer und interner Quellen zusammenführen.
Ob erforderliche Standards eingehalten werden, kann der CIO dann aus den automatisch generierten Risikoanalysen und Compliance-Reports erfahren. Skills und Ressourcen sind im Sicherheitsmanagement weiterhin ein stark limitierender Faktor. Jede Aufgabe, die in diesem Umfeld automatisiert werden kann, zahlt sich für eine Bank aus. Damit die Bank ihr ISMS außerdem stets auf dem aktuellen Stand halten kann, lohnt es sich einen Partner zu suchen, der nicht nur die IT stellt, sondern auch beratend tätig ist und beispielsweise die Entwicklungen der Regulatorik aktuell verfolgt.
Fazit: Zukunftssicher dank Technologie
Die Finanzbranche befindet sich im Wandel – geprägt wird dieser von komplexer werdenden hybriden IT-Landschaften und strenger Regulatorik bei gleichzeitig höheren Kundenanforderungen. Gestiegene Risiken durch Cyberangriffe kommen als weitere Dimension hinzu. Um in diesem Umfeld erfolgreich zu sein, müssen Banken sich mit modernen Technologien befassen und dem Sicherheitsmanagement eine zentrale Rolle einräumen. Gelingen kann das mit Hilfe eines individuellen Zero-Trust-Designs und einem planvollen Third-Party-Riskmanagement. Dies integriert einerseits alle sicherheitsrelevanten Informationen und nutzt andererseits auf operationaler Ebene Automatisierung.
