Zwar steigen die Budgets für die IT-Sicherheit in der Finanzbranche, teilweise jedoch an den falschen Stellen. Das Beratungshaus Lünendonk zeigt, wo Versicherer und Banken nachbessern sollten. Während Banken und Versicherungen ihr IT-Sicherheitsniveau als hoch einschätzen, sehen Experten noch Lücken. Foto: enciktepstudio – shutterstock.com92 Prozent der Finanzdienstleister sehen ihr Unternehmen gut gegen Cyberangriffe geschützt. Zu diesem Ergebnis kommt die jüngste Lünendonk-Studie “Von Cyber Security zur Cyber Resilience – wie Finanzdienstleister auf die neue Bedrohungslage reagieren”, die in Zusammenarbeit mit dem Beratungsunternehmen KPMG entstanden ist. Doch stimmt diese Selbsteinschätzung mit der Realität überein?Christian Nern, Partner bei KPMG, sieht dies kritisch: “Aus regulatorischer Sicht wurde zwar prozessseitig in den vergangenen Jahren viel für eine bessere IT-Security geleistet. Aus der IT-Security-Sicht betrachtet, fehlt es den meisten Financial-Services-Instituten aber an einer unternehmensweiten Security-Architektur beziehungsweise geeigneten Security-Maßnahmen hinsichtlich einer veränderten digitalen Welt mit Cloud, Apps und Plattformen. Auch für eine bessere Mitarbeiter-Awareness gegenüber Phishing-Kampagnen oder Automatisierung und Integration einzelner IT-Security-Systeme muss mehr gemacht werden.”Mario Zillmann, Partner bei Lünendonk und Autor der Studie, ergänzt: “Durch den steigenden Digitalisierungsgrad, vor allem an den Kundenschnittstellen im Frontend, entstehen neue Einfallstore und eine größere Angriffsfläche für Hacker, die es schnell zu schließen gilt.” Die größten Cybergefahren für Finanzdienstleister68 Prozent der befragten Banken, Versicherungen und Vermögensverwaltungen sehen Ransomware und Phishing Mails als die größten Bedrohungen. Auf Platz zwei landet mit 66 Prozent die Nutzung unautorisierter Geräte. Weitere 55 Prozent sorgen sich, Opfer einer DDoS-Attacke zu werden.Als häufigste Folge von Cyberattacken sehen knapp drei Viertel der Finanzdienstleister den Abfluss von Kundendaten. Rund zwei von drei Befragten befürchten den Diebstahl kritischer Unternehmensdaten. Als Branche, die unter die KRITIS-Verordnung fällt, gilt für sie konkrete Vorgaben für das Identity and Access Management (IAM) zum Schutz vor Datenzugriff durch unbefugte Beschäftigte, aber auch für die Absicherung der Datenbanken gegenüber externen Angriffen. Der Studie zufolge stellen immer mehr Dienstleister den Zugriff zu ihren sensiblen Kundenportalen durch eine Zwei-Faktor-Authentifizierung sicher.Hohe Lösegeldforderungen (33 Prozent) und Umsatzeinbußen (31 Prozent) gehören ebenfalls zu den befürchteten Folgen von Hackerangriffen. Folgen der Digitalisierung für die IT-Sicherheit“Durch die hohen regulatorischen Anforderungen stehen Finanzdienstleiter aus IT-Sicherheitssicht historisch bedingt gut dar, allerdings stellt die digitale Transformation und die damit einhergehende hohe Veränderungsfrequenz die Finanzdienstleister vor große Herausforderung”, sagt Andreas Papadaniil, CEO von Suresecure, einem IT-Beratungsunternehmen.“Früher wurde es von den Kunden akzeptiert, wenn ihre Bank gewisse Funktionen in der Online-Banking-App nicht angeboten hat, weil die dafür notwendigen IT-Schnittstellen zu große Sicherheitsrisiken mitbringen würden. Heute aber wechselt der Kunde die Hausbank, wenn ihm die Funktionen in der Online-Banking-App nicht ausreichen.”Diese zunehmende Digitalisierung kann die Angriffsfläche vergrößern. Deshalb erwarten Lünendonk zufolge 23 Prozent der befragten Finanzdienstleister (davon 22 Prozent Banken, 23 Prozent Versicherungen, 30 Prozent Asset Management), dass sich ihr Sicherheitsniveau mit zunehmender Cloud-Nutzung verschlechtert. Mehr als die Hälfte (55 Prozent, davon 53 Prozent Banken, 60 Prozent Versicherungen, 50 Prozent Asset Management) geht indes davon aus, dass sich ihr Sicherheitsniveau durch die Digitalisierung verbessert. Und das ist den Studienautoren zufolge gut so. Denn viele Unternehmen im Finanzwesen hätten IT-Legacy-Systeme im Einsatz, die mit veraltetem Code und Mängeln in der Konfiguration ihrer Software arbeiten.Budgets für IT-Sicherheit steigenNichtsdestotrotz sind sich die Befragten einig, dass die Cloud höhere IT-Investitionen erfordert. 56 Prozent sehen die Notwendigkeit, mehr in die IT-Sicherheit zu investieren. Und 49 Prozent haben den Aufbau einer ganzheitlichen Security-Architektur auf ihrer Agenda.Um die IT-Sicherheit weiter zu erhöhen, wollen die Befragten in den kommenden Jahren auf Technologien setzen, um Schwachstellen zu identifizieren und Cyberangriffe abzuwehren. Dafür sollen die Budgets in den kommenden Jahren um bis zu zehn Prozent steigen. Papadaniil geht sogar noch einen Schritt weiter und hält die kontinuierliche Überwachung der Systeme für essenziell: “Immer mehr Schnittstellen werden geöffnet und nicht alle können mit einer Präventionsstrategie geschützt werden. Daher halte ich eine Investition in ein Security Operation Center, sei es inhouse oder as a Service, für zwingend notwendig.”Doch gerade bei Cybergefahren wie Phishing und dem richtigen Umgang mit Endgeräten reichen technische allein Mittel nicht aus, um sich zu schützen. “Dabei kommt es vor allem auf die Sensibilisierung der Mitarbeitenden gegenüber Angriffsversuchen an, beispielsweise via Phishing-Kampagnen“, ergänzt Zillmann.Die Studienautoren fassen zusammen: “Besonders große Schwächen haben Finanzdienstleister laut dem BSI in der regelmäßigen Überprüfung der IT-Systeme und der technischen Informationssicherheit, aber auch hinsichtlich des organisatorischen und personellen Reifegrades. Tatsächlich überprüfen drei von zehn der untersuchten Finanzdienstleister ihre IT-Systeme nicht hinsichtlich ihres Cyber-Security-Status. Einen Ansatz mit regelmäßigen Penetrationstests der IT-Systeme verfolgen sogar nur sechs von zehn Unternehmen. Daraus folgt die Erkenntnis, dass sich ein Teil der untersuchten Finanzdienstleister bisher in trügerischer Sicherheit wähnt.” Die gute Nachricht ist jedoch, dass der Studie zufolge ein Großteil der Unternehmen mit bisher unzureichenden Sicherheitsmaßnahmen plant, künftig nachzubessern und regelmäßige Security-Tests durchzuführen.Die Ergebnisse der neuen Lünendonk-StudieDiese Gruppen befragte Lünendonk Foto: LünendonkFinanzdienstleister fühlen sich sicher Foto: LünendonkInsgesamt schätzen 92 Prozent der Finanzdienstleister ihre Cybersicherheit als sehr hoch (46%) und eher hoch (46%) ein.Die Cybergefahren für Finanzdienstleister Foto: LünendonkVon Phishing E-Mails, nicht autorisierten Geräten und DDoS-Attacken befürchten die Befragten die größten Gefahren.Die Folgen der Cloud-Nutzung für die IT-Sicherheit Foto: LünendonkIT-Investitionen für 2022 und 2023 Foto: LünendonkIn den kommenden Jahren will die Branche vor allem in die Modernisierung der IT und die IT-Sicherheit investieren.Aufteilung des Budgets für IT-Sicherheit Foto: LünendonkDas meiste Geld soll dafür verwendet werden, Schwachstellen in den Systemen zu identifizieren und zu beheben. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren