Jetzt Mitglied werden
IT

Cybercrime: Ein wesentliches Risiko?

Banken sollten das Thema Informationssicherheit nicht nur der IT-Abteilung überlassen. Denn ohne Expertise aus den Fachbereichen lässt sich weder die Kritikalität der dort bearbeiteten Informationen bewerten noch ein risikobezogenes Anforderungsprofil für den wirksamen Schutz unterschiedlicher Informationstypen ableiten.

Von Gerald Spiegel - 31. Januar 2017

Datensicherheit ist nicht nur ein Thema der IT-Abteilung. Es bedarf an Schutz von Seiten aller Fachbereiche. Bildnachweis: iStock.com/peepo

Advertorial

Wie groß das Risiko bei unzureichendem Informationsschutz in der Kreditwirtschaft ist, zeigt eindrucksvoll ein virtueller Bankraub, der Anfang 2016 weltweit Aufsehen erregte: Kriminelle hatten seinerzeit via SWIFT gefälschte Überweisungsaufträge an die Federal Reserve Bank (Fed) in New York gesandt und vom dortigen Konto der Zentralbank Bangladeschs knapp eine Milliarde US-Dollar in diverse asiatische Länder verschoben. Zwar gelang es im Nachhinein, die nicht autorisierten Buchungen für einen Teil der Summe zu annullieren –  für 81 Millionen Dollar indes kam jede Reaktion zu spät. Ihre Spur verlor sich auf den Philippinen, wo vermutlich Spielkasinos als Geldwäschemaschinen dienten. Die eingesetzten Angriffswerkzeuge waren laut Sicherheitsforschern speziell für diesen einen spektakulären Beutezug entwickelt worden – ein maßgeschneiderter Angriff also, der in Fachkreisen Advanced Persistent Threat (APT) heißt. Toolkits für solche APTs werden im Dark Net längst kommerziell gehandelt.
Firewalls, Virenscanner und regelmäßige Patches gewährleisten im APT-Zeitalter allein keinen adäquaten Informationsschutz mehr. Kreditinstitute und ihre IT-Dienstleister benötigen stattdessen einen holistischen IT-Sicherheitsansatz, der Informationsschutz als dauerhaften Prozess begreift und mit dem sich konkrete Abwehrstrategien flexibel an eine permanent veränderte Bedrohungslage anpassen lassen. Dies gilt umso mehr, weil viele Banken nach dem Inkrafttreten des IT-Sicherheitsgesetzes den Nachweis erbringen müssen, dass ihr Security Management tatsächlich wirksam ist.

Proaktiv und risikobezogen

Auf wirtschaftlich vernünftige Weise können Banken ihre neuen gesetzlichen Verpflichtungen wie die Vorgaben der BaFin nur durch ein ganzheitliches Information Security Management System (ISMS) erfüllen. Es empfiehlt sich daher, Informationssicherheit explizit als ein Unternehmensziel festzuschreiben – was auch im Eigeninteresse jeder Bank am Werterhalt ihrer wichtigsten Produktionsressource sowie an präventiver Schadensvermeidung liegt.
Grundlage für ein ISMS ist ein ausgearbeitetes IT-Risikomanagement: Als Informationseigentümer klassifizieren die Fachabteilungen gemeinsam mit der IT (oder einem eigens dafür geschaffenen Gremium) zunächst die Kritikalität der von ihr bearbeiteten Informationen. Daraus lassen sich dann diverse Kategorien etwa in Bezug auf Vertraulichkeit und Integrität ableiten und schließlich der konkrete Schutzbedarf der betreffenden Information sowie entsprechende Maßnahmen festlegen. Durch eine risikobezogene Klassifikation vermeiden Banken effektiv unnötigen Security-Aufwand für Maßnahmen, die in keinem ökonomisch sinnvollen Verhältnis zur geschäftlichen Relevanz der geschützten Informationen stünde. Gleichfalls aus wirtschaftlichen Gründen sollte das ISMS stets eine ausgewogene Balance zwischen Prävention, Detektion und Reaktion wahren: Prävention, wo immer dies möglich ist. Detektion nur da, wo Prävention entweder zu teuer oder unmöglich ist. Je nach Schutzklasse ist es manchmal am besten, sich auf eine angemessene Reaktion im Fall der Fälle zu beschränken.
Orientierung bieten in diesem Kontext einschlägige Standards wie ISO 27001/2 und die Richtlinien zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Weithin anerkannte Normen sind eine verlässliche Basis für das richtige methodische Vorgehen. Weitere ISMS-Kernelemente betreffen das Security Incident Management – inklusive Response-Plan für den Krisenfall. Angemessene Reaktionen auf Cyberangriffe bedürfen der schnellen und umfassenden Information aller Verantwortlichen, weshalb dem Reporting im ISMS-Kontext eine besondere Bedeutung zukommt. Alles in allem wird damit klar: Ein proaktives Management der Informationssicherheit liegt im ureigenen Interesse einer jeden Bank – und gehört daher definitiv auf die Agenda der Vorstandsetage.

Lesen Sie auch

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. Mai 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel

„Den Nachbearbeitungsaufwand so gering wie möglich gestalten“

Im Jahr 2015 kam es zu einer Sonderprüfung[…]

Christian Grosshardt

„Ohne Macher kommen Projekte nicht in Gang“

Der Erfolg von IT-Projekten ist zu einem Großteil[…]

Philipp Scherber

BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende[…]

Gerald Spiegel

Die elektronische Signatur

Für eine verbesserte und kontrollierbare Kundekommunikation

Redaktion

Papierlos zu mehr Effizienz – und nebenbei Bäume retten

Die Bank of Montreal (BMO) setzt auf technologische[…]

Jochen Razum

Robotic Process Automation ist das neue Outsourcing für Banken

Banken in Deutschland entdecken Robotic Process Automation (RPA),[…]

Robert Scholze

Vom digitalen Assistenten zum virtuellen Bankberater

Künstliche Intelligenz hat Einzug in die Bankenwelt gehalten[…]

Sven Guhr

Vier Kriterien zur erfolgreichen Digitalisierung des Kreditantragsprozesses

Die Digitalisierung schreitet nicht nur im Kreditgeschäft mit[…]

Achim Himmelreich

Die CeBIT will neue Wege gehen

„d!conomy – no limits“ – unter diesem Motto[…]

Christian Grosshardt

Business Intelligence: So profitieren Banken von professioneller Datenverwertung

Zunehmende Regulierung, immer komplexere Prozesse und Disruption im[…]

Heiko Böhm

„Kreditwirtschaft hat noch keine Lösung gefunden“

Obwohl mittlerweile vielerlei Payment-Lösungen existieren, sind Bargeld und[…]

Christian Grosshardt

„Man muss als Bank vorne mit dabei sein“

Kreditinstitute stehen vor der täglichen Herausforderung, ihre Services[…]

Christian Grosshardt

Blockchain birgt großes Potential für Finanzdienstleister

„Blockchain wird die Art, wie weltweit Geschäfte gemacht[…]

Daniel Fernandez

„Gewaltiger Engpass entstanden“

Seit einiger Zeit sehen sich insbesondere die IT-Fachbereiche[…]

Christian Grosshardt

Digitaler Erfolgsfaktor für Banken: einfacher und schneller Kreditantrag

In Zeiten des Internetgeschäfts macht der Wunsch nach[…]

Der Schlüssel zum Erfolg liegt in der IT

Wenn Finanzinstitute wachsen, steigt nicht nur die Bilanzsumme.[…]

Elisabeth Schoss-Leppert

Wo bleibt Smart-Banking?

Die Digitale Agenda der Bundesregierung beschreibt die Grundsätze[…]

Florian Dreifus

Neue (digitale) Wege einer Traditionsbank

Digitalisierung bedeutet für viele eine Umstellung im prozessualen[…]

Michael C. Neubert

Digitale Vermögensverwaltung – Kunden-erfolg und MiFID II unter einem Dach

Digitalisierte Mehrwertdienstleistungen machen die Vermögensbetreuung auch im Retailbereich[…]

Mario Alves

„Es bedarf eines zentralen Kommunikationskonzepts“

Im 21. Jahrhundert leben und arbeiten wir in[…]

Christian Grosshardt

Die Gunst der Stunde

Als noch das Kerbholz oder der Ishango-Knochen zum[…]

Horst Liebscher

„Dialog statt Push-Kommunikation“

Social Business-Technologien können interne Unternehmensprozesse und externe Kommunikation[…]

Philipp Scherber

„Heutzutage muss man vielen Qualitätsaspekten genügen”

SDL ist weltweiter Marktführer für Übersetzungslösungen. Das Unternehmen[…]

Anna Stötzer

Kosten runter, Datensicherheit rauf und zufriedenere Mitarbeiter

Die Volksbank Freiburg hat ihre Druckerflotte konsolidiert. Kostendruck[…]

Julian Achleitner

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„If you can make it in Ansbach, you’ll make it anywhere.”

Cloud Computing, Safe Harbor, Privacy Shield und Blockchain[…]

Philipp Scherber

„Gemeinsam mit unseren Kunden deren Herausforderungen lösen.“

Security-Lösungen sind für jede Bank ein absolutes Muss.[…]

Julian Achleitner

Transaktionsklassifikation für die Kundenanalyse

Es gibt eine unglaubliche Menge an Kundendaten, welche[…]

Ronny Fuchs

EZB mit neuer Website

Die Europäische Zentralbank hat ihr Kommunikationsangebot einer Frischzellenkur[…]

Christian Grosshardt

„Bank geht heute nur, wenn man seine Daten auch entsprechend im Griff hat!“

Digitale Zeiten erfordern schnelles Handeln und eine noch[…]

Christian Grosshardt

„Positiver Wandel in der Projektmanagementkultur mit Softwareeinsatz“

Die Berlin Hyp AG ist auf großvolumige Immobilienfinanzierungen[…]

Julian Achleitner

„Aktionismus ohne ganzheitliche Strategie muss endlich aufhören!“

Gerne lassen Banken über ihre Marketingabteilung verlautbaren, dass[…]

Christian Grosshardt

Advertorial: Was Kunden wollen – Deutschlands Banken-IT im digitalen Umstyling

Banken-IT: Zwischen Software und Beratungsgespräch Vielfältig und modern:[…]

Christian Grosshardt

Datenschutz gilt nicht nur für Firewalls

In Zeiten von Cyber-Attacken und den dafür notwendigen[…]

Christian Grosshardt

Sind Banken bereits abgehängt?

Während Banken über die bestmögliche Umsetzung von Mobile-Payment-Lösungen[…]

Christian Grosshardt

Digitalisierung, aber wie?

Berlin, London und im Silicon Valley, hier entstehen[…]

Thorsten Hahn

„Es ist höchste Eisenbahn!“

Die Komplexität in der gesamten Banksteuerung hat sich[…]

Christian Grosshardt

Wem gehört die Zukunft?

Autor: Jaron Lanier Euro: 24,99 480 Seiten, gebunden[…]

Christian Grosshardt

Digitalisierung konsequent umsetzen, gerade bei alltäglichen Prozessen.

Die Digitalisierung hat uns alle und unser alltägliches[…]

Christian Grosshardt

„The Amazon moment for banking!“

Andauernd reden wir von der fortschreitenen Digitalisierung. Fakt[…]

Christian Grosshardt

Titelverteidigung – „MBVO.de“ gewinnt erneut

Und täglich grüßt das Murmeltier! Nachdem das Verbraucherportal[…]

Christian Grosshardt