Verbraucher wünschen sich von ihrer Bank Zinsen für ihr Geld und unkompliziertes Banking. Dieser Wunsch steht auf einer Stufe mit der Sicherheit ihrer Transaktionen und Daten vor Cyberattacken. Cyber Security kann deshalb von Banken und Finanzdienstleistern nicht hoch genug eingeschätzt werden.
Digital Security und IT-Sicherheit sind strategische Themen für Banken und Sparkassen
Partner des Bank Blogs
Der Anspruch der Deutschen an die Sicherheit von Banken ist groß, häufig sogar größer als an die Performance. Es würden mehr Bundesbürger wegen einer Sicherheitslücke bei ihrer Hausbank zum Wettbewerber wechseln als bei zu geringer Rendite des Aktienfonds, zeigt eine Befragung der HSBC-Bank. Insgesamt betrachtet genießen die Banken hierzulande ein großes Vertrauen ihrer Kunden, dass Geld und Daten sicher sind. Speziell beim Online-Banking sieht die Sache schon anders aus. Laut DsiN-Sicherheitsindex 2016 schätzen rund 40 Prozent der befragten Verbraucher Bankgeschäfte im Internet als „gefährlich“ oder „sehr gefährlich“ ein. Zum Vergleich: Beim Einkauf über Online-Händler sind es nur 20 Prozent.
Damit sich die Institute ihren übergreifenden Vertrauensbonus auch im Onlineumfeld verdienen und trotzdem digital mit dem Wettbewerb Schritt halten, müssen sie laufend die hohen IT-Sicherheitsanforderungen mit Innovationen für den Kunden in Einklang bringen. Finanzdienstleister in Deutschland arbeiten hier in der Regel nach dem Motto „IT-Sicherheit zuerst“. Das zeigen die Ergebnisse der Studie „Potenzialanalyse Digital Security von Sopra Steria Consulting“ deutlich. In mehr als 85 Prozent der Institute ist es gelebter Standard, dass ohne IT-Sicherheitskonzept kein neues digitales Produkt und keine neue interne Software vom Stapel laufen. In jedem dritten Unternehmen muss ein derartiges Konzept sogar vorliegen, bevor – bildlich gesprochen – die erste Code-Zeile geschrieben werden darf.
Die Analyse der Ergebnisse zeigt, dass IT-Sicherheit im Innovationsmanagement der Banken ein fester Bestandteil ist – ohne allerdings neue Produktentwicklungen per se auszubremsen. Viele Institute sind sich inzwischen bewusst, dass sie die Entwicklung einer neuen App oder das Update einer Software nicht einfach pauschal aufhalten dürfen, weil Schutzbedarfsanalyse und Risikobewertung, Maßnahmen zur Vermeidung von Cyberattacken bei Projektbeginn nicht in Gänze und Detailtiefe vorliegen. Das widerspricht den Erwartungen des Marktes an Agilität. Es kommt somit darauf an, Sicherheit und schnelle Produktentwicklung auszubalancieren.
Sicherheitszone Zahlungsverkehr schwer zu schützen
Speziell im Zahlungsverkehr erfordert der Spagat zwischen Sicherheit und Innovation eine extreme Dehnbarkeit. Der Druck für die Banken ist immens, den Markt nicht vollständig an PayPal und Co. zu verlieren. Unkomplizierte digitale Bezahlsysteme sind bei den Verbrauchern gefragt. Zahlungsdienstleister müssen darauf mit Angeboten reagieren – schnell reagieren. Gleichzeitig müssen sie wie in kaum einem anderen Produktbereich der Bankenbranche mit Mechanismen aufwarten, die Schutz vor immer neuen Angriffsmustern bieten. Investitionen in Cyber Security sollten Bank und Kunde einschließen, denn die Angreifer setzen nicht nur direkt bei den Kreditinstituten an, längst haben sie den Kunden als Schwachstelle ausgemacht.
Die Sicherheitszone Zahlungsverkehr ist schwer zu schützen: Die Herausforderung besteht darin, Sicherheit, Datenschutz und Kundenerlebnis in Einklang zu bringen. Ein wirksames Betrugspräventionssystem kombiniert deshalb verschiedene Ansätze und Methoden. Dazu zählen die sichere Identifikation des Kunden durch einfach zu bedienende Authentifizierungsverfahren, eine regelbasierte Prüfung der Transaktion in Echtzeit, Mustererkennungsverfahren zum Aufspüren auffälliger Zahlungen sowie das Einbauen von Prognosemethoden, beispielsweise durch automatisiertes „Lernen“ auf Basis historischer Datenbestände.
Je mehr Daten aus unterschiedlichen Quellen in die Betrugsabwehr einfließen, desto besser die Ergebnisse. So könnten beispielsweise die GPS-Daten des Kunden-Smartphones oder der Banking-App zum Zeitpunkt eines Einkaufs mit den IP-Daten des Ortes der letzten Kartenzahlung abgeglichen werden. Hier besteht allerdings die Aufgabe für die Banken, ihre Präventionslösungen mit den neuen Bestimmungen des Datenschutzes in Deckung zu bringen. Die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung verlangt unter anderem, dass die Löschung gespeicherter Daten für den Kunden genauso einfach sein muss wie die Zustimmung zur Nutzung. Ändert sich der Datenverarbeitungszweck, so muss der Kunde informiert werden und ggf. erneut sein Einverständnis geben.
SIEM: Informationssicherheit von morgen
Der Zahlungsverkehr wird allerdings künftig nicht mehr Hauptangriffsfläche für Betrüger und Cyberkriminelle sein. Je weiter Banken zu digitalen Unternehmen werden und sich mit Kunden, Lieferanten und Partnern vernetzen, desto mehr sind die Institute gefordert, diese Schnittstellen zu sichern. Zwei Drittel der Finanzdienstleister sind über digitale Plattformen oder Softwarelösungen mit Dienstleistern vernetzt – beispielsweise mit Partnern Fintechs und mit Cloud-Anbietern. Sorgfalt bei der Auswahl und beim Management von Partnern ist oberste Devise. Jeder zweite Finanzdienstleister vereinbart zum Beispiel Mindestsicherheitsmaßnahmen, verlangt ein Sicherheitszertifikat von seinen Dienstleistern und führt regelmäßig Audits durch.
Die wachsenden digitalen Ökosysteme lassen sich allerdings mit Überwachung im klassischen Stil nicht mehr schützen. Das automatisierte Erkennen von Angriffen, basierend auf Protokolldaten von Anwendungen, Infrastruktur und Netzwerkkomponenten – auch bezeichnet als Security Information and Event Management (SIEM) – gewinnt an Bedeutung. Diese Überwachungsform von IT-Systemen und Anwendungen wird künftig zum unverzichtbaren Instrument eines internen Kontrollsystems (IKS) von Banken. Die Entwicklung möglicher Angriffsszenarien (Use Cases) und die passenden Prüfmechanismen (SIEM-Regeln) übernimmt in Zukunft künstliche Intelligenz, zum Beispiel IBM Watson, so dass Cyberangriffen unverzüglich, hochgradig volatil und fokussiert begegnet werden kann.
Fazit: Mix aus ineinandergreifenden Vorkehrungen
WannaCry war ein Weckruf, der das in der Bankenbranche ausgeprägte Bewusstsein für IT-Sicherheit noch einmal verstärken wird. Das Internet der Dinge und speziell bei Banken der Ausbau mobiler Bezahlverfahren verschärft die Situation durch die Vielzahl vernetzter Geräte und Organisationen zusätzlich. Ein rein technischer Ansatz greift zu kurz. Es braucht einen Mix aus ineinandergreifenden Vorkehrungen, bestehend aus einer vom Vorstand getriebenen Strategie, automatisierten Verfahren für Prävention und Kontrolle – bisweilen sogar Reaktion – und intelligenten Security-Lösungen, die Sicherheitslecks selbständig aufspüren, sowie einer kontinuierlichen Sensibilisierung aller Mitarbeiter.
Über die Studie:
Für die „Potenzialanalyse Digital Security“ wurden im Auftrag von Sopra Steria Consulting im April 2017 mehr als 200 (n=205) IT-Entscheider aus Unternehmen ab 500 Mitarbeitern aus den Branchen Banken, Versicherungen, sonstige Finanzdienstleister, Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe, Telekommunikation und Medien, Öffentliche Verwaltung befragt. Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter von IT-Lösungen.
