Die von dem Wirtschaftsprüfer und -berater KPMG befragten Finanzdienstleiter beobachten im Vergleich zum Vorjahr einen Anstieg der Bedrohungslage. Die größten Bedrohungen sehen sie in Phishing/Ransomware und DDoS-Attacken (Distributed Denial of Service, ein Angriff, bei dem versucht wird, eine Site durch Überflutung mit schädlichem Traffic zu überlasten).

Bei 62 Prozent aller Finanzdienstleister gibt es eine Überwachungslücke

Sicherheitslücken ergäben sich zudem durch digitale Identitäten – doch erst ein Viertel der Finanzdienstleister habe geeignete Tools, um sie zu verwalten, bzw. zu entschärfen. Nur 38 Prozent der Finanzdienstleister haben laut KPMG ein zentrales Security-Monitoring. Fehle es, werde die Überwachung der gesamten IT-Landschaft deutlich erschwert. 

Cloud-Lösungen kämen zwar häufiger zum Einsatz, seien aber oft unzureichend in die Cyber-Security-Architektur eingebunden. 

Banken und Versicherer zählen seit Jahren zu den präferierten Zielen von Hackern. Eine neue Studie von KPMG und dem Marktforschungsberater Lünendonk & Hossenfelder gibt Einblicke in den Stand der Cyber-Resilienz von Finanzdienstleistern in Deutschland. 

Für Christian Nern, Partner bei KPMG im Bereich Financial Services, zeigen die Ergebnisse klar: ”Finanzdienstleister sind zwar im Vergleich zu anderen Branchen oft besser in der Cyber-Security aufgestellt, doch es bleibt für eine solide Cyber-Resilienz noch einiges zu tun.”

Phishing und USB-Sticks als Gefahrenquelle

Das Fachmagazin ”CSO Online“ listet seit Jahresbeginn bereits mehr als 30 Cyber-Angriffe auf Unternehmen verschiedener Branchen auf. Die Dunkelziffer dürfte höher liegen. Die neue Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ ergibt, dass 84 Prozent der Befragten einen Anstieg der Bedrohung durch Cyber-Angriffe gegenüber dem Vorjahr wahrnehme. 

Als die Top-3-Einflussfaktoren für die erhöhte Bedrohungslage nannten 71 Prozent der Finanzdienstleister Distributed-Denial-of-Service-Angriffe (DDoS). Gleich darauf folgen mit jeweils 64 Prozent Attacken mittels Phishing/Ransomware und die Nutzung von unautorisierten Geräten wie USB-Sticks an Unternehmensnetzwerken. 

Überschätzt? Neun von zehn Unternehmen halten sich für wehrhaft

Neun von zehn aller befragten Teilnehmer schätzen ihre Fähigkeiten, Cyber-Angriffe frühzeitig zu erkennen und abzuwehren, als hoch ein. Das könnte, so KPMG, damit zusammenhängen, dass viele Cyber-Angriffe gar nicht erkannt werden und sich die Befragten möglicherweise in falscher Sicherheit wiegen. 

Mit Blick auf die einzelnen Branchen fällt auf, dass Finanzdienstleister ein höheres Schutzniveau erreichen. Das ist nicht überraschend. Denn die aktuelle Regulatorik und die neuen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die letzten europäischen Rechtsakte – etwa der Digital Operational Resilience Act (DORA) und die Cyber-Security-Richtlinie Network and Information Security 2 (NIS2) – enthielten klare Vorgaben für die Finanzbranche.

Cyber-Security muss Chefsache werden

Der Vorstand beziehungsweise die Geschäftsführung müssten zwingend in die Entwicklung der Cyber-Security-Strategie einbezogen werden, so KPMG. Das passiere aber nur in 14 Prozent der Fälle. ”Cyber-Security muss künftig im Top-Management die gleiche Aufmerksamkeit bekommen wie wirtschaftliche Kennzahlen – und darf nicht erst ins Blickfeld rücken, wenn ein Angriff passiert ist”, fordert KPMG.

30 Prozent der Finanzdienstleister antworteten im Rahmen der Studie, dass eine dedizierte Cyber-Security-Einheit bei der Erarbeitung ihrer Strategie mitwirke. 

Diese Strategie, so KPMG, sollte in den Unternehmen auf Basis der Bedrohungslage operationalisiert und gelebt werden. Der erste Schritt für Finanzdienstleister sei die Ermittlung der individuellen Cyber-Vektoren im Rahmen einer 360-Grad-Analyse. 

”Risikoappetit” als entscheidender Faktor

Daraus ließen sich im zweiten Schritt konkrete Maßnahmen ableiten. Deren Umsetzung erfolge dann am besten als End-to-End-Ansatz (E2E-Ansatz). Dabei wird der „Risikoappetit“ definiert und die Frage beantwortet, wo die Security im Unternehmen konkret verankert sein soll. 

Außerdem sorgt der E2E-Ansatz dafür, dass Anwendungen und Prozesse miteinander verzahnt werden. Einen solchen Ansatz verfolgten derzeit 42 Prozent der Finanzdienstleister. Zwar sei der Anteil damit höher als in anderen Branchen. Doch infolge bestehender Silo-Strukturen könnten Maßnahmenpakete gegen Cyber- Hacking ”nicht ihr volles Potenzial entfalten, weil der Gesamtblick und die ganzheitliche Steuerung fehlen”.

Digitale Identitäten als Einfallstor

Identitäten und Daten sind die „Kronjuwelen“ der Unternehmen. Um es Hackern möglichst schwer zu machen, müssen die Unternehmen die digitalen Identitäten in den Fokus nehmen. Sie sind aktuell das häufigste Einfallstor für Kriminelle. 

Hier könne ein Privilegiertes Access Management (PAM) gute Dienste leisten, das von der BaFin über die BAIT/VAIT/KAIT vorgeschrieben ist. Als Teilbereich des Identity & Access Managements (IAM) diene es dazu, hoch privilegierte Benutzerkonten wie beispielsweise Systemadministratoren und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. 

Derzeit nutzten allerdings erst 25 Prozent der Finanzdienstleister ein PAM. Weitere 33 Prozent sind derzeit dabei, eines einzuführen. Ein professionelles IAM wiederum ist laut KPMG unverzichtbar, um die Zugriffsrechte jedes Mitarbeitenden kontinuierlich zu überprüfen und auf ein notwendiges Minimum zu reduzieren. 

KPMG-Empfehlung: Integriertes Sicherheitsmodell entwerfen

In 80 Prozent aller befragten Unternehmen steht ein PAM in den nächsten zwei Jahren im Fokus, ein IAM haben sogar 89 Prozent auf der Agenda.

Eine belastbare Cyber-Security-Strategie dürfe nicht an den Grenzen des Unternehmensnetzwerks enden: Finanzdienstleister, die in die Cloud migrieren möchten, benötigten ein (Security) Target Operating Model für die (Hybrid) Cloud. Darüber hinaus gebe es eine Reihe von Mindestanforderungen an die operative Sicherheit von Cloud-Services zu beachten.

Deshalb sei es für Unternehmen ratsam, so KPMG, ein integriertes Sicherheitsbetriebsmodell zu entwerfen und zu implementieren. Dabei sollten Designprinzipien eingehalten werden, um die Sicherheitsarchitektur bedrohungszentriert und dynamisch umzusetzen. 

Einbindung von Externen lahmt

69 Prozent der von KPMG befragten Unternehmen setzen auf hybride oder multiple Cloud-Umgebungen, d. h. sie kombinieren Clouds verschiedener Anbieter miteinander. Jede von ihnen ist in die gesamtheitliche Cyber-Security-Strategie einzubinden.

Das suche man laut KPMG aber noch weitgehend vergebens: Mehr als jeder zweite Studienteilnehmer (54 Prozent) äußerte, die Integration der hybriden Multi-Cloud- und Multi-Cloud-Provider-Umgebungen in die internen IT-Sicherheitsprozesse sei mittelmäßig. Nur ein Drittel (34 Prozent) beschrieb die Integration als hoch. Eine wichtige Säule ist der Aufbau eines Security Incident and Event Management (SIEM). Das SIEM ermöglicht es, die verschiedenen Provider zu steuern und die verschiedenen Cloud-Umgebungen in die unternehmenseigenen Security-Prozesse einzubinden.