Accenture Banking Blog

In kaum einer Branche sind Sicherheit und Vertrauen so wichtig wie im Banking. Das gilt bereits seit vielen hundert Jahren. Doch in unserer volatilen und digitalen Gegenwart geraten diese beiden Eckpfeiler zunehmend ins Wanken. Cyberattacken sind an der Tagesordnung, bis zum Jahr 2030 werden Attacken nach Schätzungen weltweit und industrieübergreifend Schäden von bis zu 90 Billionen US-Dollar verursachen. Aufgrund der spezifischen Merkmale des Bankgeschäfts sind Finanzinstitute für die Angreifer besonders attraktiv.

Dennoch stehen Banken nicht vor einer Apokalypse, es gilt sich den neuen Herausforderungen zu stellen.

Sind Banken vorbereitet auf Cyberattacken?

Sicher, die meisten Banken haben sich schon früh mit den Effekten der Digitalisierung auseinandergesetzt und Strategien zur Cyber-Abwehr entwickelt sowie umgesetzt. Entsprechend zuversichtlich sind Verantwortliche der Institute, was den Status quo ihrer Abwehrfähigkeit anbetrifft, wie der aktuelle High Performance Security Report für Banken – von Accenture belegt. Für Impulse sorgt auch der zunehmende Fokus des Gesetzgebers und der Regulatoren mit Maßnahmen wie dem IT-Sicherheitsgesetz oder den zuletzt angekündigten Cyber-Stresstests. Doch sind Banken damit tatsächlich besser auf den Cybersturm und immer weitere Angriffe auf ihre Sicherungssysteme vorbereitet? Unsere Untersuchung lässt daran zweifeln:

  • Zwar investieren Finanzinstitute im internationalen Schnitt 8,2 Prozent ihres IT-Budgets in die Cybersicherheit. Dennoch ist heute jeder dritte zielgerichtete Angriff auf ein Finanzinstitut erfolgreich.
  • Bei vielen Banken vergehen darüber hinaus mehrere Monate, bevor eine Sicherheitsverletzung überhaupt registriert wird – bisweilen sind Angreifer sogar mehr als ein Jahr völlig unbehelligt in den Banksystemen unterwegs, bevor sie erkannt werden oder überhaupt ein Schaden eintritt.

Abkehr von der absoluten Sicherheit, Akzeptanz einer relativen Sicherheit

Für die digitale Bank kann es keine absolute Sicherheit mehr geben. In einer Welt der offenen Systeme und Banking-Ecosysteme ist das schlicht unmöglich. Finanzinstitute sollten sich besser darauf konzentrieren, die relative Sicherheit zu optimieren. Das heißt: Ich werde als Bank nicht zu 100 Prozent Angreifer abwehren können, die in meine Systeme eindringen. Ich kann aber meine Sicherheitsarchitektur so gestalten, dass die wichtigsten Kernprozesse und Assets nicht gefährdet werden

Um das zu gewährleisten müssen moderne Sicherheitsplattformen einen End-to-End-Prozess abbilden können. Es geht nicht nur um den Entwurf einer passenden Lösung für die Bank, sondern auch um die Umsetzung und den Betrieb der Plattform in Form von Managed Security Services. Insbesondere drei Schritte haben sich für Finanzinstitute dabei bewährt:

1.)      Unterziehen Sie die Cyber-Abwehr Ihrer Bank regelmäßig einem Stresstest, bei dem „Ethical“ Hacker in Ihrem Auftrag, die Sicherheitsarchitektur überwinden sollen und damit Schwachstellen aufzeigen.

2.)      Integrieren Sie alle zur Verfügung stehenden Informationsquellen in eine zentrale Security bzw. Big Data-Plattform, wo sie ausgewertet werden können. Mithilfe von Artificial Intelligence und Machine Learning können so Anomalien identifiziert und adaptive Abwehrstrategien entwickelt werden.

3.)      Sorgen Sie für den Fall vor, dass eine Cyberattacke auf Ihr Institut erfolgreich ist. Wie sieht der Incident-Response-Plan unter Einbeziehung von Forensikern aus? Wie verlaufen Krisenkommunikation, Rechtsberatung, Verhandlung mit Erpressern etc.? Diese Fragen sollten sich Banken dringend beantworten können.

Finanzinstitute die diesen Dreiklang konsequent leben, werden ihre Reise in die digitale Bankenzukunft erfolgreich bewältigen, ohne an den Unwägbarkeiten der Cyber-Risiken zu scheitern. Welche konkreten Schritte im Einzelnen auf Banken zukommen, erfahren Sie in meinem nächsten Blogpost.

Thomas Schumacher

Managing Director, Leiter des Bereichs Security für Financial Services

Nächster Artikel


Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.