Cyberrisiken mit bankinternen ganzheitlichen Lösungen eindämmen

Bei Cybersicherheit gehen Banken oft Partnerschaften mit externen Dienstleistern ein. Die VerbundVolksbank OWL eG hat einen anderen Weg eingeschlagen und möchte demonstrieren, dass Banken sehr wohl kompetente Ansprechpartner beim Thema Cybercrime sind. Wie die eigene Lösung konkret aussieht, erläutert Felix Jancker im Interview mit Dennis Witzmann.


BANKINGNEWS: Banken setzen beim Thema Cybercrime oft auf externe Dienstleister. Wie kamen Sie darauf, eine eigene Cybersecurity-Lösung anzubieten?
Felix Jancker: Die Beratung in diesem Bereich war immer auf das Anbieten einer Cyber-Risk-Police über Versicherungspartner beschränkt. Doch wenn man den Kunden langfristig und ganzheitlich betreuen möchte, genügt es nicht, die finanziellen Schäden im Falle eines Hacker-Angriffs abzuwickeln. Man muss das Angebot ausweiten. Denn viele Firmenkunden sehen in der Digitalisierung nicht nur Chancen, sondern auch Risiken. Um genau diese Risiken im Bereich Cybercrime einzuschränken und eine ganzheitliche Kundenberatung garantieren zu können, bedarf es eigener Lösungen innerhalb der Bank.

Wie funktioniert Ihr Ansatz konkret und wie sind Sie bei der Erarbeitung vorgegangen?
Bei der Entwicklung des VR-CyberGuard habe ich mich stark an den Wünschen der Kunden orientiert. Dazu habe ich sie gefragt, welche Relevanz das Thema Cybersicherheit für sie hat und wo die Schmerzpunkte liegen. Mit diesem Wissen habe ich dann begonnen, Prototypen aufzusetzen sowie Kollaborationspartner gefunden, die Experten zur Umsetzung von Cybersecurity-Lösungen sind, unter anderem Leistungen von einem „White Hacker“. Dieser Ansatz wurde in dem Produkt VR-CyberGuard umgesetzt und bildet zwei Module ab. Das Modul Prävention adressiert die Geschäftsleitung eines Unternehmens, um die Mitarbeitersensibilität sichtbar zu machen, spielerisch zu testen und diese somit dauerhaft zu erhöhen. Das Modul Nachsorge besteht aus drei Bausteinen. Erstens die interne und externe Meldekettenpflicht anhand eines Notfallhandbuches, zweitens die technische Systemwiederherstellung durch IT-Forensiker und drittens die Regulierung von finanziellen Schäden durch eine Cyber-Risk-Police. Diese ist von der Umsatzgröße und Mitarbeiteranzahl abhängig. Der VR-CyberGuard ist als modularer Ansatz zu verstehen. Je nachdem, was der Mittelstand wünscht, kann man Prävention, Nachsorge oder beides wählen.

Ist die Bank denn ein adäquater Ansprechpartner für Cybersecurity-Maßnahmen?
Aber natürlich! Mitarbeitersensibilität ist Management-Aufgabe. Daher können Banken Cybersecurity-­Maßnahmen direkt mit dem Management besprechen, ohne Einbindung von technischem Know-how oder der IT-Abteilung. Die Vertrauensstellung der Bank und besonders die des Firmenkundenbetreuers zum Firmenkunden ist weiterhin ausgesprochen hoch. Das erlaubt eine gezielte Ansprache der strategischen Ausrichtung, spezifisch zu Sicherheits- und Sensibilisierungsmaßnahmen im Bereich Cybersecurity. Denn nicht nur der Berater, sondern auch die Bank hat ein ernsthaftes und authentisches Interesse am wirtschaftlichen Erfolg eines Unternehmens. Angesichts der Sicherheitslage gehört hierzu leider auch, Cybercrime-Risiken anzusprechen und Lösungen zur Reduzierung aufzuzeigen.

Standardlösungen können das System als Ganzes angreifbar machen. Besteht ein solches Risiko auch beim VR-CyberGuard?
Wir haben uns dazu entschieden, den Mittelstand mit einem standardisierten Angebot da abzuholen, wo er gerade steht. Die zahlreichen Rückmeldungen und konkreten Abschlüsse zeigen uns, dass wir mit diesem Ansatz nicht nur einen Bedarf getroffen haben, sondern auch Alleinstellungsmerkmale im Marktumfeld platzieren können. Die Verknüpfung von abgestimmten Präventionsleistungen, Systemwiederherstellung und finanzieller Absicherung macht das Standardangebot so interessant. Sollte ein Unternehmen dennoch individuelle Leistungen im Bereich Prävention wünschen, sind wir hier ebenso lieferfähig.

Können andere Genossenschaftsbanken oder Unternehmen ebenfalls als Vermittler für den VR-CyberGuard auftreten?
Der VR-CyberGuard ist eine offene Produktarchitektur und richtet sich an weitere Genossenschaftsbanken oder Vermittler, die ihren Kunden diese Leistung näherbringen können. Eine White-Label-Lösung kann ebenfalls angestrebt werden. Damit lassen sich direkte Vertriebserfolge und Vertriebsprovisionen im Bereich Cybersecurity erzielen und ein entsprechendes Angebot anbieten.

Sind hierbei weitere Maßnahmen oder Lösungen in Ihrem Haus geplant?
Es gibt sogar schon konkrete Pläne. Und zwar schließt sich der VR-CyberGuard Pro an den Abschluss des VR-CyberGuard an. Darin enthalten sind etwa Schulungs- und Weiterbildungsangebote für IT-Abteilungen von Unternehmen, Mitarbeitersensibilisierungsmaßnahmen und „White-Boxing“-Analysen der IT-Security anhand eines „BSI-Checks“. Daneben wird man sich hier auch auf E-Mail-ProPhishing, WiFi-Sniffing und ein Darknet-Screening konzentrieren. Außerdem decken wir neben den Risiken der Digitalisierung auch die Chancen auf, die damit einhergehen. Auch hier bieten wir unseren Kunden mit dem VR-DigitalCheck ein Reifegradmodell zur Digitalisierung des Unternehmens an.

 

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann lesen Sie hier unser Interview mit Burkhard Bald zu TIBER-DE oder schauen Sie sich hier unsere Infografik „Sicherheitsrisiko Kundendaten“ an.