Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

„Überzeugen können nur Institute, die Cybersicherheit als Prozess begreifen“

Einmal getan und gut ist? Was bei Handwerksarbeiten noch gelten mag, stimmt für Cybersecurity (leider) nicht. Jan Wilde von Myra Security erklärt im Interview mit Daniel Fernandez, wie Banken den ständig wechselnden aufsichtsrechtlichen Anforderungen an Systeme und Prozesse am besten begegnen.

Von Redaktion - 21. Dezember 2021
Cybersecurity als Prozess, ständige Aufgabe, IT-Sicherheit, Bälle einen Berg heraufrollen, Compliance Anforderungen gerecht werden, Cybersicherheit als wichtige Aufgabe für den Finanzsektor

Foto: istock.com/erhui1979

ADVERTORIAL

BANKINGNEWS: Die aufsichtsrechtlichen Anforderungen an Systeme und Prozesse der Banken sind  groß und wandeln sich ständig. Wie stellt man bei diesen sich verändernden Bedingungen einen durchgehenden und aktuellen Schutz vor Cyberkriminalität sicher?
Jan Wilde: Generell werden die Schutzsysteme einer Bank vor allem von zwei Gruppen auf den Prüfstand gestellt. Einerseits von Cyberkriminellen, die permanent auf der Suche nach Lücken in der Abwehr von Instituten sind. Andererseits von der Finanzaufsicht, die die Einhaltung der Compliance-Vorgaben überwacht. Ziel einer Bank muss es also sein, mit den implementierten Schutzsystemen in beiden Situationen zu überzeugen. Und überzeugen können nur Institute, die Cybersicherheit als Prozess begreifen. Hier muss fortwährend nachjustiert werden. Neuartige Angriffskampagnen und Schwachstellen müssen schnellstmöglich geschlossen  und neue regulatorische Vorgaben umgesetzt werden. Essenziell ist dabei, die individuellen Schwerpunkte beim Schutzbedarf genau zu definieren und die bestehenden Aufgaben zu adressieren. Jede Bank, jede Abteilung und jedes Projekt sind unterschiedlich weit digitalisiert. Cybersecurity-Lösungen sollten natürlich dennoch alle Compliance-Anforderungen komplett erfüllen – Pauschallösungen sind daher unangebracht.

Die privaten Geräte der Mitarbeiter sind oft ungeschützt. Wie hat sich das mobile Arbeiten auf die Sicherstellung dieses Schutzes ausgewirkt?
Die sichere Anbindung externer Arbeitskräfte und auch der eigenen Mitarbeiter, die aus den unterschiedlichsten Gründen remote auf die IT-Infrastruktur zugreifen, ist für viele Unternehmen ein heikles Thema. Das hat nicht zuletzt die Corona-Pandemie eindrücklich unter Beweis gestellt. Für die Finanzindustrie mit ihren straffen Compliance-Vorgaben gilt das besonders. Die Nutzung privater Geräte für geschäftliche Zwecke ist hier meist schon durch die interne Compliance der Institute untersagt. In sensiblen Sektoren ist das Standard. Andernfalls lässt sich kein verlässliches Schutzniveau garantieren. Um mit dem Firmenlaptop sicher remote oder im Homeoffice zu arbeiten, muss die Verbindung in das Netzwerk der Bank über ein VPN erfolgen. So können Banken potenzielle Schwachstellen im heimischen Netzwerk der Angestellten umgehen. Selbst wenn sich Angreifer einen Weg auf den privaten Router verschafft haben sollten, können sie dennoch nicht die verschlüsselte VPN-Verbindung im  Netzwerk der Bank einsehen oder manipulieren. Damit diese sichere Anbindung von Remoteworkern aber dauerhaft sichergestellt werden kann, müssen die dafür erforderlichen VPN-Server ebenfalls stabil und performant arbeiten. Auch dort können Cyberkriminelle ansetzen und gezielt DDoS-Angriffe auf die VPN-Infrastruktur starten, um das externe Personal vom Bankennetzwerk auszusperren.

Kosten und Komplexität sorgen dafür, dass Banken immer häufiger ihre IT-Sicherheit auslagern. Was muss bei diesem Prozess beachtet werden?
Ja, der Trend zu Outsourcing lässt sich in vielen Bereichen der Finanzindustrie beobachten. Die Auslagerung von Diensten ist für Banken eine effektive Methode, um die digitale Transformation zu beschleunigen und wertvolle Ressourcen für das Kerngeschäft freizumachen. Outsourcing wird zunehmend zum zentralen Bestandteil der Geschäftsstrategien von Finanz- und Kreditinstituten. Laut einer PwC-Studie haben schon heute bereits 92 Prozent aller befragten Institute verschiedene IT-Dienstleistungen vollständig oder zumindest teilweise ausgelagert. Besonders beim Cloudcomputing sind erfahrene Partner mit Branchenexpertise entscheidend, um fortwährende Qualität und Compliance sicherzustellen. Banken geht es beim Einsatz von Dienstleistern nicht nur primär darum, Geld und Ressourcen einzusparen. Vielmehr wollen die Institute Vertrauen und eine langfristige sowie erfolgreiche Geschäftsbeziehung aufbauen.

Das Outsourcing an Dienstleister unterliegt ebenfalls vielen Regularien. Wie können Banken hier effektiv die Gratwanderung zwischen Sicherheit und Compliance managen?
Servicepartner mit Expertise in der Finanzindustrie bedienen sowohl den Bereich Cybersecurity als auch Compliance vollumfänglich. Gratwanderung wäre hier also der falsche Begriff. Compliance-Schwierigkeiten können allenfalls bei Branchenneulingen oder Anbietern aus dem Ausland auftreten. Letztere lassen sich je nach Art und Bedeutung des Outsourcings nur bedingt Compliance-konform einsetzen. Seit dem Aus von Privacy Shield durch das Schremms-II-Urteil besteht hier keine Rechtssicherheit mehr, daran ändern auch die neu überarbeiteten Standardvertragsklauseln wenig. Um etwa den Schutz von personenbezogenen Daten bei Datentransfers in die USA sicherzustellen, sind zusätzliche Maßnahmen wie der Einsatz effektiver Verschlüsselungstechnologien oder Informationspflichten bei behördlichen Anfragen einzurichten. Für Banken kann die Dienstleisterwahl damit einen erheblichen Mehraufwand mit sich bringen. Solche Compliance-Hürden müssen Banken aber gar nicht erst eingehen. Denn lokale Anbieter vereinen Cloud-Know-how und DSGVO-Konformität.

Wie gelingt der Aufbau eines starken Cybersicherheits-Ökosystems?
Zunächst ist, wie gesagt, wichtig, dass der Fokus auf kritische Geschäftsprozesse gelegt wird und diese Compliance-konform und bedarfsgerecht abzusichern. Diese Schutzsysteme müssen dann regelmäßig erprobt, sowohl intern als auch extern, und mit den dabei resultierenden Informationen nachgebessert werden. Inhouse können nur die wenigsten Unternehmen der Branche sämtliche Sicherheitsfragen adressieren. Darum ist die Partnerwahl entscheidend. Mit lokalen Spezialisten als Servicepartner lassen sich Cybersicherheit und Cyber-Resilienz in kurzer Zeit enorm ausbauen. Und dank der Cloud geht das, ohne Mittel für zusätzliche Software oder Hardware aufbringen zu müssen. Mit Outsourcing per Managed Security Service umgehen Banken außerdem die Problematik des Fachkräftemangels. Speziell in der IT sind tausende Stellen bundesweit unbesetzt. Das erschwert den Aufbau und den Betrieb eines eigenen IT-Sicherheits-Teams zusätzlich. Wer auf Dienstleister setzt, muss sich um Implementierung, Betrieb und Wartung der IT-Sicherheit nicht mehr kümmern.

Interview: Daniel Fernandez

Tipp: Sie sind an Cybersicherheit und IT-Themen interessiert? Dann sollten Sie den Cybercrime Day 2022 nicht verpassen. Jetzt anmelden.

Jan Wilde

Myra Security GmbH

Jan Wilde ist Business Development Executive bei Myra Security.

Lesen Sie auch

Datenschutz VPN

Ist ein VPN ein Muss?

Das Fürchten um das eigene Hab und Gut:[…]

Redaktion
Zusammenarbeit, gemeinsam gegen Betrug, Betrüger, Kriminelle, Geschäftliche Partnerschaft

Betrug: Auto- und Hausbanken können sich gemeinsam schützen

Betrüger haben es auf Banken abgesehen, das gilt[…]

Redaktion
Identitätsbetrug Erik Manke

Identitätsbetrug: Wie kann man sich schützen?

Identitätsbetrug soll während der Pandemie zugenommen haben. War[…]

Redaktion
Senioren

Wie Banken Senioren vor Betrug schützen können

Bei FRAUDMANAGEMENTforBANKS zeigte uns Kriminaldirektor Ralf Kluxen, welche[…]

Redaktion
Betrug im Online Banking, Risikofaktoren, Mensch als Risiko, Fraudmanagement, Banken

Risikofaktoren im Online-Banking: „Ohne Mensch kein Betrug“

Der Mensch ist einer der größten Risikofaktoren beim[…]

Dennis Witzmann
Cybersecurity

„Wir haben das Thema Digital- und Cybersecurity etwas schleifen lassen“

Die Bedrohung durch Cyberkriminelle ist omnipräsent. COVID-19 hat[…]

Dennis Witzmann
Beitragsbild_Daily_NRW versteigert Bitcoin aus Darknet

NRW versteigert Bitcoin aus Darknet

Bitcoin fasziniert. Wann auch immer die „Kryptomutter“ zur[…]

Fiona Gleim
Cybercrime Day 2021- IT-Sicherheit- Kongress

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021[…]

Fiona Gleim
Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders[…]

Kevin Schwarz
schlechte arbeit bei it und Cybercrime Vahrenhorst

Warum machen Unternehmen bei der Cyberabwehr schlechte Arbeit?

Unternehmen machen beim Thema Cybercrime schlechte Arbeit. Unter[…]

Peter Vahrenhorst
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti[…]

Mathias Fuchs
Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke