Cyber-Resilience: Wie Finanzdienstleister auf steigende Sicherheitsrisiken reagieren sollten

• Laut einer neuen Studie von KPMG und Lünendonk & Hossenfelder beobachten 84 Prozent der Unternehmen im Vergleich zum Vorjahr einen Anstieg der Bedrohungslage.
• Finanzdienstleister sehen in Phishing und Ransomware sowie DDoS-Attacken derzeit die größten Risiken.
• Sicherheitslücken ergeben sich durch digitale Identitäten – doch erst ein Viertel der Unternehmen hat geeignete Tools, um sie zu verwalten.
• Nur 38 Prozent der Finanzdienstleister verwenden ein zentrales Security-Monitoring. Ohne ein solches System wird die Überwachung der gesamten IT-Landschaft deutlich erschwert.

Banken und Versicherer zählen seit Jahren zu den präferierten Zielen von Hackern. Die neue Studie „Von Cyber Security zur Cyber-Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ von KPMG und Lünendonk & Hossenfelder gibt Einblicke in den Stand der Cyber-Resilienz von Unternehmen in Deutschland. Für Christian Nern, Partner bei KPMG, zeigen die Ergebnisse, dass Finanzdienstleister im Vergleich zu anderen Branchen oft besser in der Cyber-Security aufgestellt sind. doch es bleibt für eine solide Cyber-Resilienz noch einiges zu tun.

Das Fachmagazin „CSO Online“ listet seit Jahresbeginn bereits mehr als 30 Cyber-Angriffe auf Unternehmen verschiedener Branchen auf. Die Dunkelziffer dürfte jedoch höher liegen. Die neue Studie von KPMG und Lünendonk & Hossenfelder liefert aktuelle Erkenntnisse zur Cyber-Resilience und zum Reifegrad von Banken, Versicherern und weiteren Branchen. Hierfür wurden 100 Verantwortliche für IT-Security in Unternehmen mit einem Umsatz von mehr als 250 Millionen Euro befragt.

So nehmen 84 Prozent der Befragten einen Anstieg der Bedrohung durch Cyberangriffe gegenüber dem Vorjahr wahr. Als die Top-3-Einflussfaktoren für die erhöhte Bedrohungslage nannten 71 Prozent der Finanzdienstleister Distributed-Denial-of-Service-Angriffe (DDoS). Gleich darauf folgen mit jeweils 64 Prozent Attacken mittels Phishing oder Ransomware und die Nutzung von unautorisierten Geräten wie USB-Sticks an Unternehmensnetzwerken.

Cyber-Resilience: Mehr als eine Pflichtübung

Neun von zehn der befragten Teilnehmer schätzen ihre Fähigkeiten, Cyber-Angriffe frühzeitig zu erkennen und abzuwehren, als hoch ein. Das könnte damit zusammenhängen, dass viele Cyberangriffe gar nicht erkannt werden und sich die Befragten möglicherweise in falscher Sicherheit wiegen. Mit Blick auf die einzelnen Branchen fällt auf, dass Finanzdienstleister ein höheres Schutzniveau erreichen. Das ist nicht überraschend. Denn die aktuelle Regulatorik wie BAIT/VAIT/KAIT, die neuen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die letzten europäischen Rechtsakte – etwa der Digital Operational Resilience Act (DORA) und die Cybersecurity-Richtlinie Network and Information Security 2 (NIS2) – enthalten klare Vorgaben für die Finanzbranche.

Cybersecurity muss Chefsache werden

Jedoch reicht es nicht, nur die gesetzlichen Anforderungen zu erfüllen. Cyber-Resilience und Cyber-Security müssen Priorität genießen. Konkret heißt das, dass der Vorstand beziehungsweise die Geschäftsführung in die Entwicklung der Cybersecurity-Strategie einbezogen werden sollte. Das passiert aber nur in 14 Prozent der Fälle. Cybersecurity muss künftig im Top-Management die gleiche Aufmerksamkeit bekommen wie wirtschaftliche Kennzahlen – und darf nicht erst ins Blickfeld rücken, wenn ein Angriff passiert ist.

Immerhin sagen 30 Prozent der Finanzdienstleister, dass eine dedizierte Cybersecurity-Einheit bei der Erarbeitung der Strategie mitwirkt. Diese Strategie sollte in den Unternehmen auf Basis der Bedrohungslage operationalisiert und gelebt werden. Der erste Schritt für Finanzdienstleister ist die Ermittlung der individuellen Cyber-Vektoren im Rahmen einer 360-Grad-Analyse. Daraus lassen sich im zweiten Schritt konkrete Maßnahmen ableiten. Deren Umsetzung erfolgt dann am besten als End-to-End-Ansatz (E2E-Ansatz). Dabei wird der „Risikoappetit“ definiert und die Frage beantwortet, wo die Security im Unternehmen konkret verankert sein soll. Außerdem sorgt der E2E-Ansatz dafür, dass Anwendungen und Prozesse miteinander verzahnt werden. Einen solchen Ansatz verfolgen derzeit 42 Prozent der Finanzdienstleister. Zwar ist der Anteil damit höher als in anderen Branchen. Doch damit liegt zugleich der Schluss nahe, dass Cybersecurity infolge von bestehenden Silo-Strukturen nicht ihr volles Potenzial entfalten kann, weil der Gesamtblick und die ganzheitliche Steuerung fehlen.

Digitale Identitäten als Einfallstor

Identitäten und Daten sind die „Kronjuwelen“ der Unternehmen. Um es Hackern möglichst schwer zu machen, müssen die Unternehmen die digitalen Identitäten in den Fokus nehmen. Sie sind aktuell das häufigste Einfallstor für Kriminelle. Hier kann ein sogenanntes Privilegiertes Access Management (PAM) gute Dienste leisten, das von der BaFin über die BAIT/VAIT/KAIT vorgeschrieben ist. Als Teilbereich des Identity & Access Managements (IAM) dient es dazu, hoch privilegierte Benutzerkonten wie beispielsweise Systemadministratoren und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten.

Doch derzeit nutzen erst 25 Prozent der Finanzdienstleister ein PAM. Weitere 33 Prozent sind derzeit dabei, eines einzuführen. Ein professionelles IAM wiederum ist unverzichtbar, um die Zugriffsrechte jedes Mitarbeitenden kontinuierlich zu überprüfen und auf ein notwendiges Minimum zu reduzieren. In beiden Feldern haben Unternehmen ganz klar Nachholbedarf. Ein positives Ergebnis der Studie ist, dass sie den Handlungsbedarf erkannt haben. So steht für 80 Prozent aller befragten Unternehmen ein PAM in den nächsten zwei Jahren im Fokus, ein IAM haben sogar 89 Prozent auf der Agenda. 

Cloud-Transformation treibt Cyber-Resilience voran

Die Digitalisierung ist für die Unternehmen laut der Studie einer der Hauptgründe (38 Prozent) für die gestiegene Bedrohungslage. Cloud-Lösungen spielen als Plattform dabei eine wichtige Rolle. Eine belastbare Cyber-Resilience-Strategie darf somit nicht an den Grenzen des Unternehmensnetzwerks enden: Finanzdienstleister, die in die Cloud migrieren möchten, benötigen ein (Security) Target Operating Model für die (Hybrid) Cloud. Darüber hinaus gibt es eine Reihe von Mindestanforderungen an die operative Sicherheit von Cloud-Services zu beachten. Deshalb ist es ratsam, ein integriertes Sicherheitsbetriebsmodell zu entwerfen und zu implementieren. Dabei sollten gewisse Designprinzipien eingehalten werden, um die Sicherheitsarchitektur bedrohungszentriert und dynamisch umzusetzen. Bei dieser Gelegenheit gilt es zu prüfen, welche Prozesse sich automatisieren lassen.

Herausforderungen durch hybride Cloud-Umgebungen

Zusätzliche Herausforderungen ergeben sich, wenn mehrere Cloud-Lösungen eingesetzt werden. Immerhin 69 Prozent der Unternehmen setzen auf hybride oder multiple Cloud-Umgebungen, d. h. sie kombinieren Clouds verschiedener Anbieter miteinander. Jede von ihnen ist in die gesamtheitliche Cyber-Security-Strategie einzubinden. Das sucht man noch weitgehend vergebens: Mehr als jeder zweite Studienteilnehmer (54 Prozent) äußerte, die Integration der hybriden Multi-Cloud- und Multi-Cloud-Provider-Umgebungen in die internen IT-Sicherheitsprozesse sei mittelmäßig. Nur ein Drittel (34 Prozent) beschrieb die Integration als hoch. Eine wichtige Säule ist der Aufbau eines Security Incident and Event Management (SIEM). Das SIEM ermöglicht es, die verschiedenen Provider zu steuern und die verschiedenen Cloud-Umgebungen in die unternehmenseigenen Security-Prozesse einzubinden.

Ausbau der Detection-and-Response-Fähigkeiten

Sehr beunruhigend ist, dass das Security-Monitoring häufig noch dezentral organisiert ist. Die Überwachung der gesamten IT-Landschaft ist in solchen Fällen deutlich schwieriger. In der Finanzbranche haben erst 38 Prozent ein zentrales Security-Monitoring im Einsatz. Diese Aufgabe kann beispielsweise durch ein SIEM zentralisiert werden. Es erfasst, überwacht und analysiert Ereignisse aus einer Vielzahl von Quellen im gesamten Unternehmensnetzwerk in Echtzeit. Dadurch können Gefahren erkannt und beseitigt werden, bevor ein Schaden entsteht. Angesichts der steigenden Bedrohungslage ist es gut, dass 80 Prozent der Unternehmen in den nächsten zwei Jahren den Auf- und Ausbau eines SIEM zum Schwerpunkt machen wollen.

Da Cyber-Kriminelle immer professioneller und gezielter vorgehen, werden teil- bzw. vollautomatisierte Detection- und Response-Prozesse noch wichtiger. Sie können die mühsamen, bisher teilweise manuellen Überwachungs- und Berichtsaktivitäten vereinfachen und beschleunigen. Während sogenannte Detection-Fähigkeiten Angriffe und Unregelmäßigkeiten frühzeitig erkennen sollen, geht es bei Response-Kompetenzen darum, die erkannten Angriffe abzuwehren. Doch erst ein Viertel der Unternehmen verfügt über solche Prozesse.

Mängel bei der Cyber-Resilience-Reife beheben

Die Studienergebnisse belegen, dass sich die Finanzdienstleister der steigenden Bedrohung ihrer IT-Umgebungen bewusst sind. Und obwohl sie im Vergleich mit anderen Branchen bereits ein hohes Schutzniveau haben, existieren noch gravierende Mängel bei der Reife ihrer Cyber-Resilience. Positiv zu bewerten ist, dass dies ein Großteil der Teilnehmer erkannt hat und die eigenen Fähigkeiten zur Abwehr von Cyberangriffen ausbauen will. Doch höhere Investitionen allein reichen nicht. Banken und Versicherer sollten stärker als bisher auf automatisierte Security-Lösungen sowie durchdachte End-to-End-Konzepte setzen, die von allen gelebt werden.

Über den Autor: Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet. (sg)

Lesen Sie auch: Digitalisierungsgrad von Marketing und Vertrieb wirkt sich auf Krisenresilienz aus