Advertorial
Wie groร das Risiko bei unzureichendem Informationsschutz in der Kreditwirtschaft ist, zeigt eindrucksvoll ein virtueller Bankraub, der Anfang 2016 weltweit Aufsehen erregte: Kriminelle hatten seinerzeit via SWIFT gefรคlschte รberweisungsauftrรคge an die Federal Reserve Bank (Fed) in New York gesandt und vom dortigen Konto der Zentralbank Bangladeschs knapp eine Milliarde US-Dollar in diverse asiatische Lรคnder verschoben. Zwar gelang es im Nachhinein, die nicht autorisierten Buchungen fรผr einen Teil der Summe zu annullieren โย fรผr 81 Millionen Dollar indes kam jede Reaktion zu spรคt. Ihre Spur verlor sich auf den Philippinen, wo vermutlich Spielkasinos als Geldwรคschemaschinen dienten. Die eingesetzten Angriffswerkzeuge waren laut Sicherheitsforschern speziell fรผr diesen einen spektakulรคren Beutezug entwickelt worden โ ein maรgeschneiderter Angriff also, der in Fachkreisen Advanced Persistent Threat (APT) heiรt. Toolkits fรผr solche APTs werden im Dark Net lรคngst kommerziell gehandelt.
Firewalls, Virenscanner und regelmรครige Patches gewรคhrleisten im APT-Zeitalter allein keinen adรคquaten Informationsschutz mehr. Kreditinstitute und ihre IT-Dienstleister benรถtigen stattdessen einen holistischen IT-Sicherheitsansatz, der Informationsschutz als dauerhaften Prozess begreift und mit dem sich konkrete Abwehrstrategien flexibel an eine permanent verรคnderte Bedrohungslage anpassen lassen. Dies gilt umso mehr, weil viele Banken nach dem Inkrafttreten des IT-Sicherheitsgesetzes den Nachweis erbringen mรผssen, dass ihr Security Management tatsรคchlich wirksam ist.
Proaktiv und risikobezogen
Auf wirtschaftlich vernรผnftige Weise kรถnnen Banken ihre neuen gesetzlichen Verpflichtungen wie die Vorgaben der BaFin nur durch ein ganzheitliches Information Security Management System (ISMS) erfรผllen. Es empfiehlt sich daher, Informationssicherheit explizit als ein Unternehmensziel festzuschreiben โ was auch im Eigeninteresse jeder Bank am Werterhalt ihrer wichtigsten Produktionsressource sowie an prรคventiver Schadensvermeidung liegt.
Grundlage fรผr ein ISMS ist ein ausgearbeitetes IT-Risikomanagement: Als Informationseigentรผmer klassifizieren die Fachabteilungen gemeinsam mit der IT (oder einem eigens dafรผr geschaffenen Gremium) zunรคchst die Kritikalitรคt der von ihr bearbeiteten Informationen. Daraus lassen sich dann diverse Kategorien etwa in Bezug auf Vertraulichkeit und Integritรคt ableiten und schlieรlich der konkrete Schutzbedarf der betreffenden Information sowie entsprechende Maรnahmen festlegen. Durch eine risikobezogene Klassifikation vermeiden Banken effektiv unnรถtigen Security-Aufwand fรผr Maรnahmen, die in keinem รถkonomisch sinnvollen Verhรคltnis zur geschรคftlichen Relevanz der geschรผtzten Informationen stรผnde. Gleichfalls aus wirtschaftlichen Grรผnden sollte das ISMS stets eine ausgewogene Balance zwischen Prรคvention, Detektion und Reaktion wahren: Prรคvention, wo immer dies mรถglich ist. Detektion nur da, wo Prรคvention entweder zu teuer oder unmรถglich ist. Je nach Schutzklasse ist es manchmal am besten, sich auf eine angemessene Reaktion im Fall der Fรคlle zu beschrรคnken.
Orientierung bieten in diesem Kontext einschlรคgige Standards wie ISO 27001/2 und die Richtlinien zum IT-Grundschutz des Bundesamtes fรผr Sicherheit in der Informationstechnik (BSI). Weithin anerkannte Normen sind eine verlรคssliche Basis fรผr das richtige methodische Vorgehen. Weitere ISMS-Kernelemente betreffen das Security Incident Management โ inklusive Response-Plan fรผr den Krisenfall. Angemessene Reaktionen auf Cyberangriffe bedรผrfen der schnellen und umfassenden Information aller Verantwortlichen, weshalb dem Reporting im ISMS-Kontext eine besondere Bedeutung zukommt. Alles in allem wird damit klar: Ein proaktives Management der Informationssicherheit liegt im ureigenen Interesse einer jeden Bank โ und gehรถrt daher definitiv auf die Agenda der Vorstandsetage.
Dr. Gerald Spiegel ist Leiter Information Security Management bei Sopra Steria Consulting. Ein Schwerpunkt seiner Arbeit ist IT-Sicherheit.