Die Welt hat sich verรคndert, auch die Finanzwelt und ganz besonders die Welt der Informationstechnologie. Nach Snowden, NSA, Anonymous und aktuell Lizard Squad, einer Vielzahl von Einbrรผchen in Unternehmensnetzwerken und Datenskandalen stehen wir heute erst am Anfang des Wettlaufs zum Schutz unserer Daten, unserer Werte und unserer Privatsphรคre.
Die Bankenaufsicht platziert nun seit einiger Zeit das Thema IT-Sicherheit verstรคrkt in Publikationen, Veranstaltungen und Vortrรคgen. Das hat einen ganz einfachen Grund:
Die Informationstechnologie (IT) hat das Bankwesen vรถllig revolutioniert. Ohne IT sind Bankprozesse in der modernen Welt schlicht und einfach nicht mehr mรถglich. Bekanntlich hat jede Medaille aber zwei Seiten. Diese Abhรคngigkeit schafft neue Risiken deren Grรถรe, Auswirkung und Beherrschbarkeit aber heute keiner, insbesondere vor dem Hintergrund der stรผrmischen Entwicklung der IT, vollstรคndig erfassen und abschรคtzen kann.
Auch der Kriminelle geht mit der Zeit
Der โBankraubโ von heute erfolgt nicht mehr am Schalter. Der โBankrรคuberโ von heute sitzt zusammen mit seinen Kollegen irgendwo auf der Welt gemรผtlich vor seinem Computer und plant, koordiniert und fรผhrt seinen Beutezug dort in aller Ruhe durch. Fรผr den Bankraub muss noch nicht einmal ein Konto geplรผndert werden. Andere vertrauliche Daten, wie Kreditkarten, Kontoverbindungen, etc. reichen meist vรถllig aus. Fรผr diese Daten werden von anderen zwielichtigen Organisationen gerne eine entsprechende Entlohnung geboten, wenn die eigene Organisation nicht selbst fรผr die Geheimhaltung des Einbruchs bezahlt.
Die Gefahr eines digitalen Angriffs wรคchst jeden Tag
Wie praktisch, dass die Entlohnung auch gleich digital, vรถllig anonym und in Echtzeit in Kryptowรคhrungen, wie Bitcoins oder anderen erfolgen kann. Die erforderliche Kommunikation und Informationsaustausch erfolgt รผber TOR, dem ziemlich anonymen โDark Netโ-Bereich des Internets.
Das รkosystem fรผr den digitalen Angriff wรคchst – jeden Tag ein bisschen mehr, jeden Tag ein bisschen besser. Internationale Hacker-Gruppen lassen sich von kriminellen Organisationen anheuern. Werbung machen Hacker durch weltweite Aktionen, wie z.B. den kรผrzlich erfolgten SONY Play Station Network und Microsoft XBOX Angriff. Eine bessere globale Werbung ist wohl kaum zu bekommen. Die konsequente weitere Entwicklung ist nun der perfekte Angriff fรผr jedermann. Leicht online zu buchen. Das Ergebnis sind dann global verteilte Hacker in enger Zusammenarbeit mit international arbeitenden kriminellen Organisationen.
Der entstehende direkte Schaden solcher globaler Angriffe betrรคgt oft viele Millionen Euro oder US-Dollar, der indirekte oft eher Milliarden. Im Fall von SONY Pictures bleibt auch noch abzuwarten, ob das betroffene Unternehmen den Fall im Ganzen รผberlebt.
Und was machen Sie?
In Deutschland leben viele noch auf einer (fast) glรผcklichen Insel. Erfreulicherweise sind wir in Deutschland von den groรen Datenskandalen bisher verschont geblieben. Vielleicht kรถnnen die meisten Hacker kein Deutsch, vielleicht haben viele vom deutschen Datenschutz gehรถrt. Dennoch ist es eine trรผgerische Ruhe. Es ist die Ruhe vor dem Sturm!
Drauรen tobt der Sturm schon lรคngst und er wird nicht schwรคcher. Es ist nicht die Frage, ob es Ihre Organisation erwischt, es ist nur die Frage, wann und ob es dann kritisch, bzw. relevant ist.
IT-Risiken beherrschen ist รผberlebenswichtig
Unter dem Begriff โIT-Risikoโ, den die MaRisk nicht definieren, versteht die Bankenaufsicht alle Risiken fรผr die Vermรถgens- und Ertragslage der Institute, die aufgrund von Mรคngeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfรผgbarkeit, Vertraulichkeit, Integritรคt und Authentizitรคt der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschรคftsordnung oder den Einsatz von Informationstechnologie betreffen.โ (Dr. Josef Kockert/Martin Held, Fachartikel, www.bafin.de)
Fรผr jede Organisation, Institut und Unternehmen ist zukรผnftig eine strukturierte, nachvollziehbare und damit jederzeit kontrollierbare leistungs- und lernfรคhige IT Sicherheit รผberlebenswichtig. Dies ist nicht nur Angelegenheit der IT-Abteilung oder des CIO. Es ist eine Angelegenheit der ganzen Organisation, angefangen vom Aufsichtsrat und Vorstand bis hin zum Pfรถrtner. Jeder ist betroffen, jeder muss mitmachen.
Ganzheitliche Konzepte sind wichtig
Die Bankenaufsicht definiert und fordert fรผr die IT-Sicherheit keine punktuellen Aktionen oder Maรnahmen. Was nรผtzt die beste Firewall, wenn Daten รผber CDs das Unternehmen verlassen, beim Datenaustausch oder in Online Paymentsystemen der Dienstleister Lรผcken hat?
Es ist ein ganzheitliches Risiko, das nur mit ganzheitlichen Konzepten beherrscht werden kann. Daher verlangt die Bankenaufsicht auch entsprechend holistische Strukturen, Konzepte, Maรnahmen und deren kontinuierliche รberwachung.
In deren Fachartikeln und Vortrรคgen werden daher auch u.a. die Bereiche IT-Governance, IT-Sicherheitsmanagement, Steuerung der operationellen Risiken der IT, Verlรคsslicher IT-Betrieb und professionelles IT-Servicemanagement, Softwareentwicklung & -beschaffung, Risiko der eingesetzten Software, Umsetzung in den Instituten und bei den IT-Dienstleistern und Anforderungen an Dienstleister โ Auslagerungsmanagement angesprochen.
Neun Ratschlรคge fรผr das Thema IT-Sicherheit
In den Gesprรคchen, u.a. auch direkt mit der Bafin, habe ich persรถnlich,ย neben einer Vielzahl von Informationen, Einschรคtzungen und Lรถsungsmรถglichkeiten, ein paar besondere Themen mitgenommen und empfehle diese auch jedem der sich mit dem Thema IT-Sicherheit in der Finanzindustrie beschรคftigt:
Befolgen Sie den Leitgedanken der Bafin, dass die von Zahlungsdienstleistern zu ergreifenden Maรnahmen den jeweiligen Sicherheitsrisiken angemessen sein mรผssen. Auch die IT-Sicherheit muss als ein integrierter Bestandteil der IT/ Geschรคftsstrategie verstanden werden. Dem Vorstand ist gut geraten, immer die Hoheit รผber Out- und Insourcing zu behalten. Nicht zu vergessen ist natรผrlich eine formalisierte (!) Dokumentation der Prozesse. Fรผr Prรผfungen ist dieser Schritt zwingend erforderlich. Schlieรlich fordert selbst die Bafin eine dokumentierte IT-Strategie. Apropos Outsourcing: Ohne eine passende IT-Strategie ist es auch keine Lรถsung. Outsourcing ist sogar unmรถglich, wenn das Institut kein Know-how hat, den Dienstleister selbst qualifiziert kontrollieren zu kรถnnen. Zudem wird die Risikoverantwortung nicht outgesourcet, sie bleibt immer im Institut und ist nicht delegierbar. Zu guter Letzt besitzt die Bafin die Macht, ein Institut zu schlieรen, wenn das Risiko zu hoch wird.
Bildnachweis: BranislavP รผber istockphoto.de
Jan Wendenburg ist seit 2016 CEO bei certgate. Vorher: Vorstand bei der XCOMpetence AGAuรerdem ist er seit 2004 Geschรคftsfรผhrer bei der W TRUST GmbH.