Banken müssen Cybersicherheitsvorfälle der EZB melden
3. Juli 2017„Angriffe auf die Informationstechnologie sind rasch aufgestiegen in der Bedeutung für die Aufsichtsbehörden und Chefetagen der Banken“, berichtet Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. „Dabei hat dennoch nur weniger als die Hälfte der Banken die Cybersicherheit als Top-3-Thema eingestuft, wie EY und das Institute of International Finance in ihrem Bericht vom Januar dargestellt haben.“ Cyberangriffe und Computerbetrug zählen nach wie vor zu den wichtigsten Problemen der Banken. Da das Geld digital vorgehalten wird und die Transaktionen digital abgewickelt werden, nutzen die modernen Bankräuber das Cyberumfeld, um ihre Arbeit zu erledigen. Die Cybervariante ist ganz klar die attraktivere Option für sie, da es unwahrscheinlicher ist, erwischt zu werden.
Die neueste Ankündigung des EZB-Gremiums deutet darauf hin, dass die EU-Regulierungsbehörden das Problem der Cyberbedrohungen für Banken nun energischer angehen wollen. Ähnlich wie bei der kommenden Meldepflicht von Datenschutzverletzungen im Rahmen der Datenschutz-Grundverordnung (EU-DSGVO) zeigt sich: Mehr Transparenz bei Cyberangriffen, die Finanzinstitutionen betreffen, ist vielleicht der wichtigste Schritt für bessere Cybersicherheit, wo es im Kern um Risikomanagement geht. Wenn wir uns auf die Prävention konzentrieren und die Branche dazu bringen, umzudenken, können wir es schaffen, dieses Risiko auf ein akzeptables Niveau zu bringen.
Die Banken haben bereits mit Finanzindustrieforen wie dem FS-ISAC (Financial Services Information Sharing and Analysis Center) zusammengearbeitet, um die Auswirkungen der Cyberkriminalität auf ihre Branche zu diskutieren. Ähnlich wie die Cyber Threat Alliance etwas bewegt hat, wie und warum die Sicherheitsbranche zusammenarbeiten sollte, bieten auch die jüngsten EZB-Anforderungen entsprechendes Potenzial. Dieses besteht in der Möglichkeit, aus den gewonnenen Erkenntnissen zu lernen und die gängigen Komponenten zu identifizieren, die einen Teil des „Drehbuchs“ der Angreifer während der Vorfälle bilden, um zukünftige Bedrohungen zu verhindern.
Datensicherheit ist der Grundstein für die Erfüllung der Ziele der EZB. Ein zu großer Teil der Cybersicherheit basiert heute noch auf herkömmlicher, veralteter „Legacy“-Technologie. Diese Legacy-Systeme sind aber einfach nicht dazu geeignet, die EZB-Ziele zu erfüllen. „Legacy“ betrifft aber nicht nur die Technologie, sondern beginnt mit der Mentalität. Die IT-Welt entwickelt sich in einem rasanten Tempo, was ein Umdenken hinsichtlich der grundlegenden Ziele erfordert. Was die Cybersicherheit betrifft, sind Unternehmen aber allzu oft beschränkt auf die Reaktion auf bereits stattfindende Angriffe.
Die EU-DSGVO und die EZB-Ankündigung bieten die Gelegenheit, einen Schritt zurückzugehen und erneut zu prüfen, ob die Prozesse, Verfahren und Technologien für die aktuellen und zukünftigen Anforderungen geeignet sind. Was benötigt wird, ist ein System, das sensible Finanzdaten auf sichere Weise verarbeitet und in der Lage ist, zu handeln, bevor ein Sicherheitsvorfall aufgetreten ist. Daher müssen Banken und Finanzinstitute, die von der EZB reguliert werden, sich mehr zu modernen Technologien und Praktiken hin orientieren, wenn es darum geht, wie sie die mit den sensiblen Daten verbundenen Risiken verringern können. (rhh)