Accenture Banking Blog

Die Flut der Cyberattacken auf Banken steigt mehr als nur dynamisch. Mit ihr verändert sich die Art und Weise, wie Angreifer vorgehen radikal. Und dies in einem Umfeld, in dem die Abhängigkeit von diesen neuen Strukturen signifikant wächst da die Finanzinstitute ihre digitale Transformation intensiv vorantreiben. Das klassische Profil des Chief Security Officers (CSO) passt hier längst nicht mehr dazu.

Altbekanntes nützt nichts

Denn hilft es heute noch, sich auf einem Spielfeld dort zu positionieren, wo der Ball das letzte Mal entlangkam, obwohl die Bälle heutzutage zu jeder Zeit, aus jeder beliebigen Richtung und mit unterschiedlichsten Geschwindigkeiten kommen? Genau das tun wir in der Security-Industrie nämlich oft. Wir bewerten entsprechende Spielszenarien noch immer auf Grundlage bekannter Taktiken. Hier bedarf es eines kulturellen Wandels – auch in den Bankhäusern. Cyber Resilience kann nämlich nicht bedeuten, Risiken für die Bank gänzlich auszuschließen. Das ist ganz und gar unmöglich! Sie bedeutet vielmehr, Bedrohungsszenarien zu verstehen, einzuschätzen und zu akzeptieren, dass Angriffe grundsätzlich stattfinden und partiell auch erfolgreich sein werden. Die Kernkompetenz liegt dann darin, Möglichkeiten zu finden, mit der Kompromittierung umzugehen und die Auswirkungen möglichst klein zu halten. Die IT-Architektur und Internetsicherheit muss hier einerseits Business Continuity gewährleisten, also dafür sorgen, dass das Geschäft trotz punktueller Ausfälle von Komponenten weiterlaufen kann. Andererseits muss gewährleistet werden, dass Systeme nicht vollständig ausfallen oder der Angreifer nicht in der Breite Zugriff erhält, obwohl einzelne Komponenten angegriffen und beschädigt werden. Sollten Komponenten ausfallen, dann sollen sie dies in einer sicheren Art und Weise tun (fail safe, fail secure).

Sicherheitspartnerschaft gefragt

Und noch etwas muss sich verändern. Die meisten Risk- und Security Officer werden stark aus den Compliance-Anforderungen getrieben. Sicherheit – und zwar weit über das Themenfeld Internetsicherheit hinaus – und Risikomanagement sollte sich aus unserer Sicht zum Partner des Geschäfts entwickeln. Wenn das wirklich geschieht, dann kommt die Compliance von ganz allein. Dafür muss jedoch zunächst das notwendige Vertrauen der Mitarbeiter erarbeitet werden. Dieser Paradigmenwechsel beginnt im Kopf: wenn die Geschäftsbereiche neue, digitale kundenorientierte Anwendungen aufbauen, dann darf die Antwort des Security Officers nicht „nein“ sein. Sicherheit muss hier als interner Dienstleister auftreten, der aktiv an der Lösung mitarbeitet, statt in Problemkategorien zu denken. Es geht darum, mit konkreten Maßnahmen zur Risikoreduktion zur Seite zu stehen, den notwendigen Pragmatismus zu entwickeln. Dogmatische Verbote führen nur dazu, dass die Geschäftsbereiche den Bereich Sicherheit nicht länger einbeziehen.

Mitarbeiter sind keine Security-Gegner

Grundsätzlich wollen die Mitarbeiter der Banken sichere Lösungen bauen. Der CSO muss ihnen dabei helfen. Ich sage nicht, dass dieser Schritt leicht sein wird. Schließlich erfordert er viel Mut und Vertrauen in einer Umgebung die wir nicht kennen. Umso wichtiger ist jedoch die Schaffung einer Umgebung, auch technologisch, in der Banken die digitale Disruption bewältigen und Risiken dennoch tragbar bleiben.

Lesen Sie unsere aktuellste Studie zu Cyber Resilience
Lesen Sie unsere aktuellste Studie zu Cyber Resilience

One response:

  1. Sehr gut auf den Punkt gebracht im Hinblick auf den Paradigmenwechsel der im Kopf beginnt und die Notwendigkeit pragmatisch vorzugehen und Vertrauen zu schaffen. Das Verständnis, dass es keine absolute Sicherheit gibt, aber sehr viel was möglich ist, um ein hohes Sicherheitsniveau zu schaffen.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.