Cyber Security: Den Überblick behalten in Zeiten wachsender Bedrohungen

VonDr. Carsten Woltmann,Dr. Oliver Laitenberger,Dr. Christoph Hartl
Cyber Security, Blogartikel

Diesen Beitrag teilen

Teilen auf LinkedInTeilen per WhatsAppTeilen via E-Mail

#Cyber Security #IT-Sicherheit #BAIT #VAIT

Cyber Security und der sichere IT-Betrieb von Finanzinstituten sind nicht zuletzt aufgrund der wachsenden Bedrohungslage ein Dauerthema. Die Meldungen von BaFin und BSI über tägliche Angriffe auf Banken und Versicherungen reißen nicht ab. Hinzu kommt die nach wie vor hohe Bedrohung durch Angriffe von innen sowie die Herausforderungen durch die zunehmende Cloud-Nutzung.

Parallel zur wachsenden Bedrohungslage sehen sich Finanzinstitute mit einer enormen und weiter zunehmenden Regulierungsflut konfrontiert: IT-Sicherheit, aufsichtsrechtliche Anforderungen an Banken und die Eigenschaft als Betreiber „kritischer Infrastrukturen“ verstärken sich gegenseitig. Die zunehmende Nutzung mobiler Endgeräte hat die Bedrohungslage weiter verschärft. Entweder im Rahmen eines Self-Assessments oder nach erfolgtem Audit stehen daher häufig umfangreiche Anpassungsbedarfe ins Haus.

Kein Wunder also, dass Banken und Versicherungen derzeit hohe Summen in die Verbesserung ihrer Cyber-Sicherheit und Cyber-Resilienz investieren. Doch zum einen fehlt in vielen Instituten die Balance zwischen Bedrohungslage, notwendigen Maßnahmen und Investitionen. Zum anderen führt das Handeln unter Zeitdruck, etwa zur Adressierung von Revisionspunkten oder nach Cyber-Angriffen, zu punktuellem und teurem Aktionismus.

In der Summe leidet darunter der Cyber-Return-on-Invest. Dabei ist guter Rat hier oft nicht teuer. Eine klar strukturierte und gemanagte Sicherheitsprogrammatik hilft sparen, ohne die Sicherheit zu gefährden.

Ermittlung des Sicherheitsbedarfs

Es ist wichtig, zunächst den Sicherheitsbedarf für das Institut sauber und transparent zu ermitteln. Der Weg dorthin führt sicherlich über Audits, sollte aber auch das intern bereits vorhandene Wissen berücksichtigen. Wir stellen immer wieder fest, dass die Institute intuitiv gut einschätzen können, wo der Schuh drückt. Interne Audits, Ergebnisse von Penetrationstests oder auch ganz aktuelle Sicherheitsvorfälle tragen zu einem umfassenden Lagebild bei. Die Sammlung, Strukturierung und methodische Aufbereitung helfen dann, einen weiteren Schritt in Richtung Standortbestimmung zu gehen.

Risikoappetit und Maßnahmenbewertung

Hinzu kommt – vielleicht noch wichtiger – die Aufgabe, sich über den Risikoappetit klar zu werden, die passende Balance zwischen Risiko und Kosten zu finden. In einer konsolidierten Bewertung durch Stakeholder aus IT, Revision und Management ist iterativ die Frage zu beantworten, welchen Maßnahmen man sich widmet – und mit welcher Intensität. Von besonderer Bedeutung ist auch die Entscheidung, worauf man verzichtet, weil man das damit verbundene Risiko in Kauf nimmt.

Einschränkungen durch BaFin-Feststellungen

War die BaFin bereits im Haus und hatte Feststellungen, so verringert sich der Handlungsspielraum dramatisch: Der Scope ist jetzt fix, die Timeline ebenso. Bleibt die Herausforderung, das hierfür notwendige Budget im Rahmen zu halten. Im Rahmen der Umsetzung kommt dann alles zusammen, was den besonderen Reiz von Großprogrammen ausmacht, nämlich die frist- und budgetgerechte Lieferung des definierten Scopes.

Ganzheitlicher Ansatz zum Schutz vor Cyber-Bedrohungen

Der Schutz vor Cyber-Bedrohungen erfordert einen ganzheitlichen Ansatz, der sowohl die fachlichen als auch die IT-technischen Bereiche des Instituts umfasst. Die technischen Bereiche umfassen die Netzwerkinfrastruktur, Anwendungen, Daten und Geräte. Dazu gehört der Einsatz fortschrittlicher Technologien wie künstliche Intelligenz und maschinelles Lernen, um Bedrohungen zu erkennen und zu bekämpfen, sowie die Schulung des Personals, um sicherzustellen, dass alle Beteiligten über die neuesten Bedrohungen und Schutzmaßnahmen informiert sind.

Technische Details durchdringen wir mit unserem strategischen Partner EUVIC. Dadurch gelingen Diskussion und Lösungsfindung wo notwendig im Gegenstromverfahren vom Management in den „Maschinenraum“ und zurück. So entsteht ein notwendiger exklusiver neutraler Gegenpol zu bekannteren IT-Dienstleistern.

Abbildung: Cyber-Strategie, -Planung & -Steuerung
Abbildung: Cyber-Strategie, -Planung & -Steuerung

Aber auch im fachlichen Bereich müssen verschiedene Faktoren berücksichtigt werden.

Es ist daher wichtig, dass jeder Aspekt der Cyber-Sicherheit regelmäßig überwacht und überprüft wird, um sicherzustellen, dass alle Bedrohungen erkannt und bekämpft werden können. Ein wirksames Ende-zu-Ende-Sicherheitsprogramm umfasst eine Reihe von Maßnahmen, darunter…

  • Festlegung von Sicherheitsverfahren, -richtlinien und -strategie
  • Definition erforderlicher Strukturen, Aufhängung und kapazitative Besetzung (Skills)
  • Definition von erforderlichen Sicherheitsprozessen
  • Implementierung von Technologien zur Sicherheitsverbesserung
  • Schulung des Personals in sicheren Arbeitspraktiken und -verfahren
  • Überwachung auf Anzeichen von Bedrohungen
  • Durchführung regelmäßiger Audits und Tests zur Überprüfung der Wirksamkeit

Bei Horn & Company beraten wir Sie gerne umfassend zu allen Aspekten der Cyber-Sicherheit. Gemeinsam mit Ihnen entwickeln wir maßgeschneiderte Strategien und Lösungen, um Ihr Unternehmen optimal vor aktuellen und zukünftigen Bedrohungen zu schützen. Sprechen Sie uns jetzt an!

//Über die Autor:Innen

//Das könnte Sie auch interessieren

27. Januar 2025
Cyber & Regulatorik 2025: Was Unternehmen jetzt wissen müssen
Lesen
20. Januar 2025
Vulnerability Management – Der Lifecycle für nachhaltige IT-Sicherheit
Lesen
02. Januar 2025
Individual Data Processing – Sicherheits- & Compliance-Perspektive
Lesen