Accenture Banken Blog

Mit Statistik und gefühlter Wahrscheinlichkeit ist es so eine Sache: Manche Dinge erscheinen gefährlicher, als sie wirklich sind. Andere wirken kaum bedrohlich, obwohl sie große Risiken bergen. Beispiel Verkehr: Fast jeder dritte Mensch weltweit hat Flugangst – dabei liegt die Wahrscheinlichkeit für einen Absturz bei 0,0000004 Prozent. Im Vergleich dazu liegt die Wahrscheinlichkeit für einen US-Amerikaner, bei einem Autounfall ums Leben zu kommen 20.000 Mal höher. Und dennoch sitzt niemand mit einem flauen Gefühl am Steuer, während vielen im startenden Flieger die Schweißperlen auf die Stirn treten.

Zahlreiche Finanzinstitute haben sich bei der Risikoeinschätzung ihrer IT-Sicherheit lange wie Autofahrer mit Blick auf Unfälle verhalten: Zwar ist Vorsicht geboten, doch letztlich stand die IT-Sicherheit bei den Entscheidern der wenigsten deutschen Banken wirklich an vorderster Stelle. Die steigende Zahl der Cyberangriffe hat in Chefetagen die Risikowahrnehmung hinsichtlich der IT gerade in den letzten beiden Jahren verändert. Investitionen in die IT-Sicherheit besitzen immer höhere Priorität. Wer hier schlampt, gefährdet nicht nur Umsatz und Gewinn. Während sich Hacker aktuell sehr stark auf Ransomware-Attacken und Industriespionage fokussieren, sehen wir in der jüngeren Vergangenheit auch gezielte Sabotage von kritischer Infrastruktur. Gerade Banken sind hier ein kritisches Ziel. Denn bei einem orchestrierten Angriff auf die Banken-IT stünde nicht nur die Existenz des Instituts auf dem Spiel, sondern im Extremfall die Stabilität des nationalen Finanzsystems.

Finanzinstitute im Spannungsfeld zwischen Cyberrisiko und Kostendruck

Als Konsequenz des gesteigerten Risikos müssen Finanzinstitute ihre Cyberresilienz verbessern. Hierzu sind neben der Einsicht auch Investitionen in Technik, Fachleute sowie organisatorische Veränderungen notwendig. Diese Erkenntnis trifft in der Realität jedoch auf einen Bankensektor, der sich über 10 Jahre nach der Finanzkrise immer noch in einer schwierigen Lage befindet. Gerade die aktuellen geopolitischen und damit wirtschaftlichen Entwicklungen verstärken diesen Effekt. Anstatt üppiger Investitionsbudgets sehen sich die meisten Institute somit einem starken Wettbewerb und Kostendruck ausgesetzt. Zusätzlich ist Cybersicherheit nicht das einzige Investitionsthema, das Finanzinstitute aktuell umtreibt. Die  Erschließung neuer digitaler Geschäftsmodelle oder der Weg in die Cloud sind dabei nur zwei Beispiele. Viele Finanzinstitute finden sich daher in einem Spannungsfeld zwischen gestiegenem Cyberrisiko, konkurrienden Investitionsthemen sowie fehlenden Budgets wieder.

Zero-Based Budgeting ermöglicht Investitionen in die nachhaltige Stärkung der Cyberresilienz

Vor diesem Hintergrund ist es Zeit, einen Ansatz zu nutzen, der sich anderswo bereits bewährt hat – das Zero-Based Budgeting (ZBB), bislang eher bei der IT-Infrastruktur im Einsatz. Die dadurch möglichen Erfolge sprechen für sich. Laut einer Accenture Studie konnten Unternehmen mithilfe von ZBB zu 91 Prozent die anvisierten Kostensenkungen realisieren, dabei durchschnittliche Einsparungen von 15 Prozent erreichen und diese beträchtlichen Mittel in nachhaltige Investitionen zur eigenen Stärkung einsetzen. Die Hälfte der Befragten investierte sie in Wachstumsinitiativen, je ein Drittel in die Digitalisierung sowie weitere Fähigkeiten.

Zero-Based Cyber Spend ersetzt alte Planungs- und Investitionsschablonen

Der Zero-Based-Mindset-Ansatz (ZBx) geht noch einen Schritt weiter und verfolgt einen ganzheitlichen Ansatz, der neben der Kostenminimierung noch Faktoren wie Wachstum, Profitabilität, Nachhaltigkeit und Vertrauen berücksichtigt. Die ZBx-Variante „Zero-Based Cyber Spend“ hilft Banken trotz Kostendruck das Sicherheitsniveau zu erhöhen sowie das Budget einzuhalten. Voraussetzung dafür ist allerdings ein mutiges Umdenken im IT-Bereich, weg von den alten Investitionsschablonen. Das bedeutet: Ein Budget wird nicht einfach fortgeschrieben, moderat erhöht oder wegen pauschaler Sparziele gar gekürzt. Stattdessen geht es darum, laufende Ausgaben regelmäßig zu hinterfragen und anstehende Investitionen auf ihre Sinnhaftigkeit zu untersuchen. Nur dann lässt sich Geld zielgerichtet einsetzen, sodass Ausgaben effektiv wirken. Das wiederum erfordert ein deutlich höheres Maß an Transparenz, als es sich heute in vielen Instituten findet – auch bei IT-Sicherheit.

Transparenzanalyse und methodische Priorisierung erleichtern Optimierung

Diese Transparenz schaffen gemäß ZBx-Philosophie die zuständigen Personen. Dazu gehört der Chief Information Security Officer (CISO), der die Vorgaben für die IT-Sicherheit formuliert. Zusätzlich sollte die IT-Organisation als Betreiber der Systeme, das Management sowie die Verantwortlichen im Business involviert sein. Gemeinsam werden dann die konkreten Ziele definiert. Hierzu müssen zunächst alle finanziellen Daten und das Budget analysiert werden. Dies wird ergänzt durch eine Analyse der betrieblichen Daten, um besser zu durchschauen, welche genauen Aufgaben hinter den Zahlen stecken.

Wie hoch ist das Volumen der Security-Tickets? Was ist die Arbeitsleistung des Security-Personals? Was gehört zum Portfolio der genutzten Security-Technologie? Der Transparenzanalyse folgt die methodische Priorisierung jener Bereiche mit dem größten Optimierungspotenzial. Ziel ist, konkrete Ansatzpunkte für Einsparungen zu identifizieren. Dazu kann etwa die Automatisierung bestehender Prozesse und Tools gehören. Eine andere Möglichkeit ist die Optimierung der Security-Ausgaben beispielsweise durch Konsolidierung bestehender Tools oder den Einsatz neuer Technologien, wie etwa der Cloud.

ZBx bei IT-Sicherheit setzt Teile des Budgets für neue Security-Fähigkeiten frei

Es reicht allerdings nicht, per Transparenzanalyse und methodischer Priorisierung zu ermitteln, wo etwas wie verbessert werden könnte. Letztendlich entscheidend ist, aus den Erkenntnissen Empfehlungen für konkrete Veränderungen zu ermitteln, um daraus einen klaren Transformationsplan inklusive entsprechender Roadmap zur Umsetzung zu formulieren. Dieser holistische Plan sollte sowohl Governance, Technik als auch Prozesse umfassen.

Im Kern geht es darum, durch ZBx einen Mechanismus zu etablieren, der kontinuierlich evaluiert, wofür die Organisation heute Budget ausgibt und diese Ausgaben zu optimieren. Im Idealfall kann so ein Teil des Budgets freigesetzt werden, damit es für Investitionen in neue Security-Fähigkeiten bereitsteht. Denn die Cyber-Bedrohungslage dürfte sich angesichts wachsender politischer Unsicherheit und absehbaren technologischen Fortschritten zu Gunsten der Angreifer verschärfen. Durch ZBx verschaffen sich Finanzinstitute mehr Spielraum, um auch ohne steigende Budgets ihre IT-Sicherheit zu stärken und das Sicherheitsniveau permanent zu erhöhen.