Branchenspezifische Herausforderungen in der Finanzbranche

Die Bank, damals und heute

Die Banken- und Finanzbranche ist ein hoch regulierter Bereich. Institutionen wie beispielsweise die BaFin regulieren die Branche und sorgen mit Regulatorik für einen recht- und risikokonformen Markt.

Innerhalb der Finanzbranche gibt es jedoch Veränderungen, beispielsweise beim Thema Cyber-Risiken. Vor 5 Jahren war das Thema nicht mal in den Top Ten von Bank-Risikomanagern. Heute ist es, gemäß einer durchgeführten Studie* mit befragten Risikomanagern, das wichtigste Thema im Risiko-Sektor.

Risikomanager einer Bank werden vor diverse Hürden gestellt. Nicht nur die hohe Komplexität des eigenen Unternehmens ist ein Thema. Sondern auch die gewachsene Struktur der Bank. Vor vielen Unternehmensjahren gegründet, nennt die Bank meist alle gängigen IT-Produkt-Marken ihr Eigen. Systeme von vor 10 Jahren sind neben den aktuellen Systemen weiter in Betrieb. Der Branchenwandel hin zum Online-Banking hat zu neuen Systemen geführt, aber nicht zwangsläufig auch zur Abschaffung von älteren Systemen.

Das Ergebnis ist ein Zoo an Informationssystemen unterschiedlichster Ausprägung, in der bereits die Interoperabilität ein großes Thema darstellt. Diese gewachsene Infrastruktur auf ihr Cyber-Risiko zu untersuchen und dieses in das globale Risikomanagement zu integrieren ist eine Herkules-Aufgabe.

Angepasste, regulatorische Anforderungen

Das Thema Cyber-Risiko ist jedoch nicht nur innerhalb des Banken-Risikomanagements ein aktuelles Thema. Auch von Seiten der Regulatorik rückt das Cyber-Risiko in den Fokus. Der Ansatz von TIBER-EU und der deutschen Umsetzung TIBER-DE widmen sich in einem umfassenden Framework der Fragestellung, wie ein funktionierendes Cyber-Risiko-Management in der Praxis aussieht.

Wichtige Faktoren für die Betrachtung ist der Perspektivenwechsel weg vom Banken-Betrieb und hin zur Angriffs-Perspektive. Welche Wege würde ein Angreifer gehen? Welche Maßnahmen würde er versuchen, um die Sicherheitsinfrastruktur zu überwinden und ist die aktuelle Sicherheitsinfrastruktur auf solche Angriffe vorbereitet?

Teil des IT-Betriebs wird mehr und mehr auch die Betrachtung der System-Resilienz. Also der Fragestellung, wie widerstandsfähig die IT-Infrastruktur gegenüber Angriffen ist. Dabei wird die Widerstandsfähigkeit in mehreren Phasen untersucht.

  • Red- und Blue-Teaming: Das rote Team, häufig ein externes Unternehmen, welches versucht in die jeweilige Infrastruktur einzudringen. Das blaue Team spürt Angriffe auf und leitet entsprechende Gegenmaßnahmen ein. Gelingt dem blauen Team das nicht, deckt das rote Team Schwachstellen in aktuellen Systemen auf.
  • Aktuelle IT-Systeme werden über Penetrationstests ebenfalls auf Schwachstellen untersucht, um zu identifizieren, ob der Härtungsgrad des Systems ausreichend für die aktuelle Anforderung ist.
  • Die Angriffssimulation untersucht die technischen Zusammenhänge der IT-Infrastruktur in einem digitalen Zwilling nicht nur auf Schwachstellen, sondern gibt über einen Messwert auch an, wie widerstandsfähig das jeweilige System ist. Außerdem wird betrachtet, wie widerstandsfähig die komplette Infrastruktur gegenüber Cyber-Angriffen ist. Die wiederkehrende Bestimmung des Resilienz-Wertes zeigt nicht nur den aktuellen Zustand, sondern auch eine ggfs. eintretende Verschlechterung und damit automatisch auch den Handlungsbedarf.

*„Global Bank Risk Management-Studie“ der Wirtschaftsprüfungs- und Beratungsgesellschaft EY in Zusammenarbeit mit dem Institute of International Finance (IIF)

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

Menü