Der Finanzsektor überschätzt seine IT-Sicherheit
Zwar steigen die Budgets für die IT-Sicherheit in der Finanzbranche, teilweise jedoch an den falschen Stellen. Das Beratungshaus Lünendonk zeigt, wo Versicherer und Banken nachbessern sollten.
Unter den Finanzdienstleistern sehen 92 Prozent ihr Unternehmen gut gegen Cyberangriffe geschützt. Zu diesem Ergebnis kommt die Lünendonk-Studie „Von Cyber Security zur Cyber Resilience – wie Finanzdienstleister auf die neue Bedrohungslage reagieren“, die in Zusammenarbeit mit KPMG entstanden ist. Doch stimmt diese Selbsteinschätzung mit der Realität überein?
Christian Nern, Partner bei KPMG, sieht dies kritisch: „Aus regulatorischer Sicht wurde zwar prozessseitig in den vergangenen Jahren viel für eine bessere IT-Security geleistet. Aus der IT-Security-Sicht betrachtet, fehlt es den meisten Financial-Services-Instituten aber an einer unternehmensweiten Security-Architektur beziehungsweise geeigneten Security-Maßnahmen hinsichtlich einer veränderten digitalen Welt mit Cloud, Apps und Plattformen. Auch für eine bessere Mitarbeiter-Awareness gegenüber Phishing-Kampagnen oder Automatisierung und Integration einzelner IT-SecuritySysteme muss mehr gemacht werden.“Mario Zillmann, Partner bei Lünendonk und Autor der Studie, ergänzt: „Durch den steigenden Digitalisierungsgrad, vor allem an den Kundenschnittstellen im Frontend, entstehen neue Einfallstore und eine größere Angriffsfläche für Hacker, die es schnell zu schließen gilt.“
68 Prozent der befragten Banken, Versicherungen und Vermögensverwaltungen sehen Ransomware und Phishing Mails als die größten Bedrohungen. Auf Platz zwei landet mit 66 Prozent die Nutzung unautorisierter Geräte. Weitere 55 Prozent sorgen sich, Opfer einer DDoS-Attacke zu werden. Als häufigste Folge von Cyberattacken sehen knapp drei Viertel der Finanzdienstleister den Abfluss von Kundendaten. Rund zwei von drei Befragten befürchten den Diebstahl kritischer Unternehmensdaten. Als Branche, die unter die KRITISVerordnung fällt, gelten für sie konkrete Vorgaben für das Identity and Access Management (IAM) zum Schutz vor Datenzugriff durch unbefugte Beschäftigte, aber auch für die Absicherung gegenüber externen Angriffen.
Die Digitalisierung kann die Angriffsfläche vergrößern. Deshalb erwarten Lünendonk zufolge 23 Prozent der befragten Finanzdienstleister, dass sich ihr Sicherheitsniveau mit zunehmender Cloud-Nutzung verschlechtert. Mehr als die Hälfte geht indes davon aus, dass sich ihr Sicherheitsniveau durch die Digitalisierung verbessert. Und das ist den Studienautoren zufolge gut so. Denn viele Unternehmen im Finanzwesen hätten IT-Legacy-Systeme im Einsatz, die mit veraltetem Code und Mängeln in der Konfiguration ihrer Software arbeiten.
Budgets für IT-Sicherheit steigen
Nichtsdestotrotz sind sich die Befragten einig, dass die Cloud höhere IT-Investitionen erfordert. 56 Prozent sehen die Notwendigkeit, mehr in die IT-Sicherheit zu investieren. Und 49 Prozent haben den Aufbau einer ganzheitlichen Security-Architektur auf ihrer Agenda. Um die IT-Sicherheit weiter zu erhöhen, wollen die Befragten in den kommenden Jahren auf Technologien setzen, um Schwachstellen zu identifizieren und Cyberangriffe abzuwehren. Dafür sollen die Budgets in den kommenden Jahren um bis zu zehn Prozent steigen. Doch technische Mittel allein reichen nicht aus, um sich zu schützen. „Dabei kommt es vor allem auf die Sensibilisierung der Mitarbeitenden gegenüber Angriffsversuchen an, beispielsweise via Phishing-Kampagnen“, ergänzt LünendonkAnalyst Zillmann.