Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Risikoanalyse und die Politik der Schadensbehebung

Zur Risikominimierung greifen Kreditinstitute auf eine Vielzahl an Tools zurück. Dadurch erhöhen sich jedoch die Zahl der Schwachstellen im System und der Arbeitsaufwand der IT-Sicherheit. Wie eine optimale Sicherheitslösung auszusehen hat, weiß Olf Jännsch von Tanium.

Von Olf Jännsch - 06. Oktober 2022
Cyberrsisiken in einer Bank minimieren, Cybersicherheit, Cybersecurity, verbesserte Risikoanalyse in Banken

Foto: iStock.com/Olemedia

ADVERTORAL

CISOs von großen und kleinen Unternehmen betonen immer wieder, dass eine pragmatische und kohärente Risikoanalyse mit einer wirksamen Politik der Schadensbehebung verbunden werden muss. Dabei sollten gerade in Finanzunternehmen alle Dimensionen des Risikos berücksichtigt werden – schließlich gilt es nicht nur die Endgeräte im Unternehmen vor Cyberrisiken zu schützen, sondern auch die Kapazitäten der Mitarbeiter optimal zu nutzen.

Schwachstellen überschaubar machen

Bevor man aber über Werkzeuge spricht, muss man seine Teams gut führen, ihnen möglichst klare Anweisungen geben und sie dabei nicht überfordern. Konkret bedeutet dies: Der Aktionsradius muss begrenzt werden, indem Problembereiche identifiziert und isoliert werden. Mithilfe von Stichproben können Unternehmen etwa die Anzahl kritischer Schwachstellen auf ein überschaubares Maß reduzieren.

Das ist weitaus sinnvoller und konsequenter als die gleiche Aktion für alle Schwachstellen und für den gesamten Bestand an Endgeräten durchzuführen. Denn das Verhältnis von Nutzen, Zeit und Auswirkungen auf die Risikominimierung ist der Maßstab, den Entscheider immer im Auge behalten sollten. Eine solche bemessene Vorgehensweise schont sowohl die Mitarbeiter als auch materielle Ressourcen. In dieser Hinsicht ist es ideal, wenn die Risikoanalyse immer von einem geeigneten Plan zur Behebung des Problems begleitet wird. Es sollte also einen Handlungsrahmen geben, der die verantwortlichen Teams befähigt, die IT-Sicherheit der Organisation zielgenau zu verbessern und mögliche Cyberrisiken zu minimieren. Diese Elemente müssen greifbar und umsetzbar sein.

Damit soll vermieden werden, dass die Behebung einzelner Konflikte in gigantische Projekte ausufert, die Mensch und Maschine zu verschleißen drohen. Vor dem Hintergrund des Fachkräftemangels in der IT-Branche ist die Berücksichtigung des menschlichen Faktors wichtiger denn je. Die Mitarbeiter effizient einzusetzen, ist daher die vorrangige Aufgabe des Managements. Ein weiterer Stolperstein für CISOs ist die Vielzahl an Tools, welche die Zuverlässigkeit der Risikoanalyse beeinträchtigt. Oft wird innerhalb eines Informationssystems ein buntes Bouquet eindimensionaler Tools eingesetzt: Eins zum Scannen von Schwachstellen, ein anderes zum Aufspüren von Unmanaged Assets, wieder ein anderes zum Aufspüren von Compliance-Problemen.

Abseits möglicher Konflikte zwischen den Anwendungen besteht ein weiteres Problem: Viele dieser Tools sprechen nicht die gleiche Sprache und stützen sich nicht auf die gleichen Daten. Das erhöht den Arbeitsaufwand und erschwert es den Operations-Teams, geeignete Problemlösungen zu finden. Zumal es in der Praxis nicht selten vorkommt, dass die für das Reporting zuständigen Abteilungen keine personellen Schnittmengen mit den Technikern haben. Je mehr Datenpools vorhanden sind, desto schwieriger ist es, die Daten so zu übersetzen, dass sie aufeinander abgestimmt sind. Damit wird effizientes Arbeiten für Teams zur Herausforderung.

Individuelle Cyberrisiken richtig verstehen

Im Sinne der Rationalisierung ist es sinnvoller, möglichst wenige Tools zu verwenden. Im Idealfall reicht eine einzige Anwendung, die in der Lage ist, alle Aspekte der Berichterstattung und der Problemlösung zu kombinieren. Dies ist ein weiterer Ansatzpunkt zur Verbesserung der Sicherheitsstrategie des Unternehmens, insbesondere wenn man sich die stetige Zunahme von Schwachstellen in den letzten Jahren vor Augen führt.

Schließlich muss die Risikoanalyse je nach Zielgruppe kontextualisiert werden. Von zentraler Bedeutung ist, dass der Vorstand individuelle Cyberrisiken des Unternehmens richtig versteht und einschätzen kann, ohne dass Besonderheiten einzelner Geschäftsbereiche vernachlässigt werden. Er muss in der Lage sein, Risiken samt Auswirkungen auf die Geschäftstätigkeit des Unternehmens verständlich zu kommunizieren. Denn die Operations-Teams haben einen anderen Ansatz und dementsprechend einen anderen Analysefokus als der Vorstand, die Sicherheitsabteilung oder weitere Fachbereiche.

Zuständige Teams im Mittelpunkt

Zusammenfassend bleibt die Empfehlung, dass CISOs sich auf geeignete Rahmenbedingungen für diejenigen Teams fokussieren, die für die Schadensbehebung zuständig sind. Sie stehen im Mittelpunkt des Geschehens und brauchen klare Richtlinien, effektive Tools und eine Strategie, die auf ihren Aktionsradius zugeschnitten ist. Die Tools müssen ein Delegationsmodell bereitstellen, das es ermöglicht, Aufgaben und Prozesse lokal und engmaschig aufzuteilen.

Zentral dafür ist die Verfügbarkeit einer einzigen zentralen Konsole, die alle Funktionalitäten – Problemerkennung, Problembehebung sowie Reporting – in sich vereint und auf einer konsistenten Datenbasis aufbaut. Nur mit einer solchen Lösung kann eine funktionierende IT-Sicherheitsstrategie umgesetzt werden, die der Komplexität und der menschlichen Dimension von Organisationen Rechnung trägt.

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann können Sie sich hier die Studie „Sicherheitsrisiko Kundendaten“ herunterladen oder lesen Sie hier, wie Banken sich effektiv vor Log4Shell und Co. schützen.

Olf Jännsch

Tanium

Olf Jännsch ist Area Vice President EMEA Central bei Tanium.

Lesen Sie auch

Cybersicherheit, Maßnahmen zur Erhöhung der Cybersicherheit in Banken, Schutz gegen Cybercrime

Cybersicherheit: Auch kleine Schutzmaßnahmen leisten einen großen Beitrag

„Sie wurden gehackt!“ Cybersicherheit gehört besonders in Finanzunternehmen[…]

Dennis Witzmann
IT

„DSGVO-Konformität ist die Basis für rechtssichere Auslagerung von IT-Sicherheit“

Outsourcing ist in vielen Instituten Teil der Geschäftsstrategie[…]

Dennis Witzmann

Für eine einfache und sichere vernetzte Welt

5 Wege für eine sichere Cloud-Migration Cloud-Sicherheit für[…]

Redaktion

Cyberrisiken mit bankinternen ganzheitlichen Lösungen eindämmen

Bei Cybersicherheit gehen Banken oft Partnerschaften mit externen[…]

Dennis Witzmann
tiber

„Eine absolute Sicherheit gibt es im Bereich der Cyberkriminalität nicht“

Auf einen Cyberangriff ist man nie wirklich vorbereitet.[…]

Fiona Gleim
Wie hoch ist die Sicherheit der Kundendaten in deutschen Banken?

Sicherheitsrisiko Kundendaten

Kundendaten sind der Schatz einer jeden Bank, den[…]

Redaktion
Log4Shell, Exploits

Every day is a zero day – wie Banken sich effektiv vor Log4Shell und Co. schützen

Cyberkriminelle und Betrüger machen sich Exploits in der[…]

Jan Wilde
Cybercrime

„Die Arten der Betrugsfälle haben sich geändert“

Wie in der Wirtschaft geht auch in der[…]

Dennis Witzmann
DDoS Angriffe Myra

Banken im Visier von DDoS-Erpressern

Cyberkriminalität ist das Problem unserer Zeit. Im Finanzsektor[…]

Jan Wilde
Datenschutz VPN

Ist ein VPN ein Muss?

Das Fürchten um das eigene Hab und Gut:[…]

Redaktion
Zusammenarbeit, gemeinsam gegen Betrug, Betrüger, Kriminelle, Geschäftliche Partnerschaft

Betrug: Auto- und Hausbanken können sich gemeinsam schützen

Betrüger haben es auf Banken abgesehen, das gilt[…]

Redaktion
Identitätsbetrug Erik Manke

Identitätsbetrug: Wie kann man sich schützen?

Identitätsbetrug soll während der Pandemie zugenommen haben. War[…]

Redaktion
Senioren

Wie Banken Senioren vor Betrug schützen können

Bei FRAUDMANAGEMENTforBANKS zeigte uns Kriminaldirektor Ralf Kluxen, welche[…]

Redaktion
Betrug im Online Banking, Risikofaktoren, Mensch als Risiko, Fraudmanagement, Banken

Risikofaktoren im Online-Banking: „Ohne Mensch kein Betrug“

Der Mensch ist einer der größten Risikofaktoren beim[…]

Dennis Witzmann
Cybersecurity

„Wir haben das Thema Digital- und Cybersecurity etwas schleifen lassen“

Die Bedrohung durch Cyberkriminelle ist omnipräsent. COVID-19 hat[…]

Dennis Witzmann
Beitragsbild_Daily_NRW versteigert Bitcoin aus Darknet

NRW versteigert Bitcoin aus Darknet

Bitcoin fasziniert. Wann auch immer die „Kryptomutter“ zur[…]

Fiona Gleim
Cybercrime Day 2021- IT-Sicherheit- Kongress

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021[…]

Fiona Gleim
Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders[…]

Kevin Schwarz
schlechte arbeit bei it und Cybercrime Vahrenhorst

Warum machen Unternehmen bei der Cyberabwehr schlechte Arbeit?

Unternehmen machen beim Thema Cybercrime schlechte Arbeit. Unter[…]

Peter Vahrenhorst
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti[…]

Mathias Fuchs
Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke