In einem meiner letzten Blogposts habe ich mich dem Thema Purpose-driven Banking und der Rolle des Vertrauensverhältnisses zwischen Kunden und Finanzinstituten als eine Art „License to operate“ gewidmet. Hier möchte ich mit einem weiteren interessanten Aspekt anknüpfen: der Bedeutung von Sicherheit für das Bankgeschäft. Wir alle kennen die Schlagzeilen zu Cyberattacken, Phishing-Offensiven oder anderen aufsehenerregenden Aktivitäten digitaler Angreifer. Vielleicht sind einige von uns selbst schon einmal Opfer eines solchen Angriffs geworden und kennen das mulmige Gefühl, das damit einhergeht, nur zu gut. Und doch ist die Zahl erfolgreicher Attacken in Anbetracht der Attraktivität des Finanzsektors als Ziel für Cyberkriminelle noch immer vergleichsweise gering.

Das liegt vor allem daran, dass Banken dem Sicherheitsaspekt und auch der Widerstandsfähigkeit gegen Cyberattacken traditionell großes Augenmerkt gewidmet haben, wie die hohen Sicherheitsausgaben im Vergleich zu anderen Industrien belegen. Damit erklärt sich in gewisser Weise auch der digitale Vertrauensvorsprung, den Banken gegenüber den neuen Wettbewerbern im Finanzmarkt aus der Technologiesphäre haben. Die Hälfte der Verbraucher geht davon aus, dass ihre Daten bei ihrer Bank sicher sind.  Das trauen aber nur 34 Prozent auch neuen Payments-Anbietern zu. Und nur 9 Prozent der Menschen glauben zum Beispiel, dass sich Anbieter sozialer Netzwerke gut um ihre Finanzen kümmern könnten. Die Daten zeigen aber auch, dass traditionelle Geldhäuser einiges zu tun haben, um das Zutrauen der anderen Hälfte der Kunden in die Datensicherheit bei ihrer Hausbank zu gewinnen.

Banken dürfen in Sachen Cyper-Resilienz nicht den Anschluss verlieren

Handlungsbedarf für die Bankenbranche legen aber auch die Daten aus unserer aktuellen Studie zur Cyber-Resilienz im Finanzdienstleistungssektor nahe:

  • Neun von zehn industrieübergreifend führenden Unternehmen benötigen weniger als einen Tag, um eine Sicherheitsverletzung zu identifizieren. Das kann aber bislang nur jede dritte Bank leisten.
  • 96 Prozent der Top-Unternehmen schaffen es in puncto IT-Sicherheit, nach einer Cyberattacke binnen 15 Tagen Abhilfe zu schaffen und die Angriffsfolgen zu beseitigen. Im Gesamtlager der Banken sind es jedoch im gleichen Zeitraum nur 44 Prozent.

Banken sollten daher IT-Sicherheit noch mehr in den Mittelpunkt rücken, um ihr Vertrauenskapital zu schützen und noch weiter auszubauen. Schließlich wiegen erfolgreiche Angriffe auf Finanzinstitute in der Regel schwer. Ob verlorene Kreditkartendaten oder die Sperrung des Zugangs zu Konten und Depots – die Folgen für die Reputation der Bank und letztlich das Vertrauen, das Verbraucher in sie setzen, sind erheblich. Nicht umsonst rufen die jüngeren Attacken inzwischen auch den Regulator auf den Plan. Maßnahmen zur Verbesserung der Cyber-Resilienz gehören inzwischen zum festen Instrumentarium der Aufsicht.

Natürlich geht es für Banken um weit mehr als regulatorische Compliance. Die akuten Bedrohungen wachsen stetig weiter, es geht nun schlichtweg darum, Schritt zu halten. Quantität steht dabei jedoch nicht im Mittelpunkt, sondern vier zentrale Stellschrauben:

1. Geschwindigkeit: Widerstandsfähigkeit fußt im Wesentlichen auf schnellem und präzisem Erkennen von Sicherheitsverletzungen und rascher Normalisierung des Betriebs. Vorreiter setzen hier auf moderne Instrumente wie Künstliche Intelligenz und Technologien für Security Orchestration Automation and Response (SOAR).

2. Skalierbarkeit: Die Reichweite von Sicherheitsmaßnahmen und die Effektivität der Angriffsabwehr hängt davon ab, wie gut Banken ihre Sicherheitslösungen in der gesamten Organisation ausrollen.

3. Fortbildung: Mit wachsender Schulungsintensität werden Bankmitarbeiter bis zu zweimal effektiver bei der Abwehr von Attacken und dem Aufspüren und Beseitigen von Zwischenfällen.

4. Kooperation: Erfolgreiche Cyberabwehr ist Teamsport. Banken sollten alle internen und externen Sicherheitsexperten – von Lösungsanbietern bis zur internen Task Force – zusammenbringen, um Angriffe optimal zu bewältigen.

Bessere Verhinderung von Angriffen, schnellere Identifikation von Sicherheitslücken und Einfallstoren, Minimierung von Schäden und raschere Behebung von Auswirkungen aufs Geschäft: Banken können und sollten von den Top-Performern bei der IT-Sicherheit lernen. Schließlich wächst die Risikoexposition beinahe täglich, Cyberangriffe sind ein globales, hochprofessionelles Geschäft. Dabei ist der Schaden für das Image der Banken das geringere Problem: Das Vertrauensverhältnis zwischen Instituten und Kunden steht auf dem Spiel – und damit auch eine der Grundlagen unserer Wirtschaft.