Die neue Wahrnehmung

Ob Log4j oder die Citrix-Lücke, potenzielle Gefahrenquellen in der IT-Sicherheit finden sich immer öfter auf den Titelseiten der Fach- und Wirtschaftspresse. Die Relevanz, die Hacks und Software-Schwachstellen in der medialen Berichterstattung erhalten, verdeutlicht, wie verwundbar die moderne Gesellschaft gegenüber Cyberattacken ist. Dies gilt umso mehr für eine so stark durchdigitalisierte Branche wie die Finanzindustrie. Durch die Transformation der vergangenen Jahre sind Banken nun entlang ihrer gesamten Prozesskette stark gefährdet. Schließlich geben sie grundsätzlich ein attraktives Ziel für Cyberkriminelle ab, die wiederum die zahlreichen Schnittstellen der Institute zu Kunden und Dienstleistern für sich ausnutzen können.

Neue Prioritäten in der Risikosteuerung

Den Finanzdienstleistern ist diese Problematik sehr wohl bewusst. Sichtbarer Ausdruck ist eine klare Verschiebung der Risikowahrnehmung deutscher Banken, wie die aktuelle Studie „Paradigmenwechsel in der Risikostrategie“ des Hamburger Beratungs- und Softwarehauses PPI zeigt (siehe Kasten). Demzufolge ist zwar das Zinsrisiko nach wie vor die prioritäre Gefahr der kommenden zwei Jahre, aber bereits unmittelbar dahinter folgen Risiken aus der Informations- und Kommunikationstechnologie. Nachhaltigkeitsaspekte – die sogenannten ESG-Risiken – und alle weiteren Risikoarten folgen deutlich dahinter.

Die Frage ist nicht ob, sondern wann

Dazu passt auch, dass 56 Prozent der Finanzinstitute in den kommenden zwei Jahren mit vermehrten Cyberangriffen auf ihr Unternehmen rechnen. Und diese Attacken müssen keinesfalls immer von außen kommen. Schon 2020 ergab eine Studie des Softwarehauses SolarWinds, dass eigene Mitarbeiter 80 Prozent der Cybersicherheitsvorfälle bei deutschen Unternehmen verursachen. Und eine aktuelle Untersuchung des Branchenverbands Bitkom zeigt, dass 59 Prozent der Firmen seit Beginn der Pandemie einen oder mehrere Vorfälle registriert haben, die unmittelbar mit der zunehmenden Arbeit im Homeoffice zusammenhängen. Die Masse davon ist nicht einmal auf absichtliches Handeln zurückzuführen, sondern auf Unachtsamkeiten wie einen nachlässigen Umgang mit Passwörtern, verlorene Token oder Ähnliches. Umso wichtiger ist ein funktionierendes Identity- und Accessmanagement (IAM).

Deutsche Banken sind gut aufgestellt

Die Studie von PPI kann beim Thema Zugriffsrechte und -regulierungen mit positiven Zahlen aufwarten, denn die Finanzdienstleister halten ihre entsprechenden Systeme unisono für State of the Art. Allerdings gibt es dabei einen kleinen Wermutstropfen, denn knapp die Hälfte der Studienteilnehmer klagen über zu hohe Kosten für die Instandhaltung. Angesichts des zunehmenden Kostendrucks lauert hier zumindest latent die Gefahr, den aktuell hohen Standard nicht dauerhaft halten zu können. Zumal eine Reihe von Instituten für die Provisionierung von Nutzerrechten eigenentwickelte Software nutzt, die in vielen Fällen gerade ihr Lebensende erreicht und dadurch im Hinblick auf die darunterliegenden IT-Schichten höhere Wartungsaufwände verursacht. Erschwerend wirkt sich auch eine ständig steigende Anzahl von IT-Objekten aus, die nicht alle über standardisierte Application Programming Interfaces (APIs) anzubinden sind. Die Folge sind immer komplexere Anforderungen an IAM-Systeme.

Weitreichende Funktionalitäten

Im Ergebnis entscheiden sich Finanzdienstleister vermehrt für eine Ablösung der alten Systeme, möglichst durch auf dem Markt verfügbare Off-the-Shelf-Lösungen. Der Anforderungskatalog dafür ist vielschichtig, grob gesprochen müssen aber zumindest die Verwaltung von persönlichen und technischen Accounts, das Management von Funktionskonflikten sowie die reibungslose Rezertifizierung als Funktionalitäten enthalten sein. Ebenso wichtig ist eine automatisierte Rechteprovisionierung über eine Standard-API. Auch sollten bei der Implementierung neuer Systeme bereits jetzt Weichenstellungen für künftige Entwicklungen im IAM-Umfeld getroffen werden. Denn schon heute ist klar, dass selbst bei stabil laufenden Anwendungen in absehbarer Zeit Anpassungen notwendig werden. Die Gründe dafür liegen in technischen Weiterentwicklungen und sich verändernden aufsichtsrechtlichen Anforderungen.

Neue Technologien nutzen

Zusammenfassend bleibt festzustellen, dass selbst bei derzeit scheinbar ausreichenden Systemen und Prozessen eine frühzeitige Planung zur Erneuerung angezeigt ist. Zumal bei einschlägigen Projekten inzwischen deutlich wird, dass der Blick der Aufsicht strenger wird und bisher genutzte Anwendungen nicht immer alle Anforderungen erfüllen. Dies gilt insbesondere bei der Verwaltung privilegierter Accounts und bei möglichen Rollenkonflikten einzelner User. Geschäftsleitung und IT-Abteilungen von Finanzinstituten sollten in diesem Zusammenhang auch die diversen Einsatzmöglichkeiten für neue Technologien im IAM-Bereich prüfen, etwa für Blockchain und Künstliche Intelligenz (KI).

Letztere käme etwa für die automatische Rezertifizierung von Benutzerrechten infrage. Sie könnte Aufgabenwechsel und damit einhergehende Änderungen von Rechten und Rollen reibungslos abbilden. Und Blockchain könnte zum Beispiel eine passwortlose Authentifizierung ermöglichen. Das Resultat wäre mehr Sicherheit, aber auch eine größere Akzeptanz für IAM-Maßnahmen bei den Mitarbeitern. Bislang nutzen gerade einmal sechs Prozent der für die Studie Befragten Blockchain für ihr IAM. Hier ist noch Luft nach oben.

Lesen Sie im nächsten Teil unserer dreiteiligen Serie, wie gut deutsche Finanzdienstleister auf Betrugsversuche vorbereitet sind.

Studie: Detaillierte Informationen zur Risikowahrnehmung deutscher Banken im IKT-Bereich sowie zu weiteren Einzelaspekten dieses weiten Themenfeldes können Interessierte in der Studie „Paradigmenwechsel in der Risikostrategie“ nachlesen. Diese steht auf der Website von PPI kostenlos zum Download zur Verfügung.