Sicherheit ist einer der Grundpfeiler für Finanzdienstleistungen. Das betrifft auch die IT. Doch eine aktuelle Studie zeigt: Die Hälfte der Finanzunternehmen hat Anwendungen mit Sicherheitslücken von hohem Schweregrad im Einsatz.
Angesichts der immer ausgefeilteren KI-gesteuerten Angriffe, die die Sicherheit ihrer Vermögenswerte bedrohen, stehen Finanzinstitute vor erheblichen Herausforderungen.
Partner des Bank Blogs
Noch nie war es für den Finanzdienstleistungssektor so essenziell wie heute, den sich rasant entwickelnden Cybersecurity-Bedrohungen einen Schritt voraus zu sein. Laut einem Bericht des US-Finanzministeriums aus dem März 2024 setzen Bedrohungsakteure zunehmend KI-basierte Tools ein, um Software-Schwachstellen schneller und gezielter auszunutzen. Gleichzeitig verschärfen der steigende Wettbewerbsdruck und die hohen Kundenerwartungen an benutzerfreundliche Lösungen den Innovationsdruck auf Unternehmen und ihre Anwendungsentwicklung.
Die Folgen sind gravierend: Durchschnittlich betragen die Kosten pro Datenmissbrauch im Finanzsektor 6,08 Millionen Dollar. Kein anderer Bereich steht derart im Fokus raffinierter Cyberangriffe.
Sicherheitsschulden und Schwachstellen
Sicherheitsschulden in Software, also unbehobene Fehler, die älter als ein Jahr sind, betreffen 76 Prozent der Unternehmen im Finanzsektor, wie eine Studie von Veracode zeigt. Kritische Sicherheitslücken finden sich bei 50 Prozent dieser Unternehmen. Zudem weisen 40 Prozent der Anwendungen im Finanzbereich Sicherheitsmängel auf – ein Wert, der leicht unter dem branchenübergreifenden Durchschnitt von 42 Prozent liegt.
Besorgniserregend ist, dass lediglich 5,5 Prozent der Anwendungen im Finanzsektor vollkommen frei von Schwachstellen sind. Diese Zahlen verdeutlichen, dass trotz eines besseren Abschneidens im Vergleich zu anderen Branchen erhebliche Risiken bestehen, die dringend angegangen werden müssen.
Schwachstellenmanagement: Herausforderungen bei First- und Third-Party-Code
Ein Großteil der Sicherheitsprobleme im Finanzsektor betrifft den First-Party-Code (84 Prozent). Doch die Mehrheit der kritischen Sicherheitsmängel (79 Prozent) resultiert aus Abhängigkeiten von Third-Party-Code. Dies zeigt die dringende Notwendigkeit, sowohl internen als auch externen Code effektiv abzusichern.
Finanzunternehmen benötigen für die Beseitigung von Schwachstellen im eigenen Code durchschnittlich neun Monate, während für Schwachstellen in Third-Party-Code 13 Monate veranschlagt werden. Dies führt dazu, dass 52 Prozent der Schwachstellen in Third-Party-Code und 44 Prozent im First-Party-Code zu langanhaltenden Sicherheitsschulden werden.
Regulatorische Anforderungen und ihre Konsequenzen
Die zunehmende Bedrohungslage hat zu einer Verschärfung von Cybersicherheitsvorschriften geführt, die den Fokus auf Softwaresicherheit legen. Vorgaben wie ISO 20022, der Payment Card Industry Data Security Standard (PCI DSS), NIS2 und der Digital Operational Resilience Act (DORA) verlangen von Finanzunternehmen, Schwachstellen in Anwendungen präventiv zu verhindern und bestehende Sicherheitslücken schnellstmöglich zu schließen.
Das Risiko besteht, dass veraltete Abhilfestrategien dazu führen, dass Unternehmen die regulatorischen Anforderungen nicht erfüllen können. Die Veracode-Studie zeigt jedoch, dass eine gezielte Priorisierung helfen kann: Wenn die gefährlichsten drei Prozent der Schwachstellen mit kritischer Relevanz zuerst behoben werden, lässt sich das Risiko signifikant reduzieren.
Application Security Posture Management: Ein Werkzeug der Zukunft
Die Priorisierung von Risiken und der gezielte Einsatz von Application Security Posture Management (ASPM) werden immer wichtiger, um Sicherheitsprobleme während des gesamten Softwareentwicklungszyklus kontinuierlich zu verfolgen und zu beheben.
Durch den Einsatz von KI können Teams präventiv handeln, neue Schwachstellen verhindern und bestehende Sicherheitsrückstände effizient abbauen. Kontextbezogene Analysen ermöglichen es, Grundursachen für Sicherheitsmängel zu identifizieren und Entwicklern gezielte Handlungsempfehlungen zu geben. So wird die Risikominderung mit minimalem Aufwand maximiert und gleichzeitig die Sicherheitslage nachhaltig verbessert.
Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<
Neu: Tagespass Studien
Sie wollen direkten Zugriff auf einzelne Studien, aber nicht gleich ein Premium-Abonnement abschließen? Dann ist der neue Tagespass Studien genau das richtige für Sie. Mit ihm erhalten Sie für 24 Stunden direkten Zugriff auf sämtliche Studienquellen.
>>> Tagespass Studien kaufen <<<
Ein Service des Bank Blogs
Der Bank Blog prüft für Sie regelmäßig eine Vielzahl von Studien/Whitepapern und stellt die relevanten hier vor. Als besonderer Service wird Ihnen die Suche nach Bezugs- und Downloadmöglichkeiten abgenommen und Sie werden direkt zur Anbieterseite weitergeleitet. Als Premium Abonnent unterstützen Sie diesen Service und die Berichterstattung im Bank Blog.
