Das Fachmagazin „CSO Online“ listet seit Jahresbeginn bereits mehr als 30 Cyber-Angriffe auf Unternehmen verschiedener Branchen auf. Die Dunkelziffer dürfte jedoch höher liegen. Die neue Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ von KPMG und Lünendonk & Hossenfelder liefert aktuelle Erkenntnisse zu den Risiken und dem Reifegrad von Banken, Versicherern und weiteren Branchen. So nehmen 84 Prozent der Befragten einen Anstieg der Bedrohung durch Cyber-Angriffe gegenüber dem Vorjahr wahr.
Als die Top-3-Einflussfaktoren für die erhöhte Bedrohungslage nannten 71 Prozent der Finanzdienstleister Distributed-Denial-of-Service-Angriffe (DDoS). Gleich darauf folgen mit jeweils 64 Prozent Attacken mittels Phishing/Ransomware und die Nutzung von unautorisierten Geräten wie USB-Sticks an Unternehmensnetzwerken.
Mehr als eine Pflichtübung
Neun von zehn aller befragten Teilnehmer schätzen ihre Fähigkeiten, Cyber-Angriffe frühzeitig zu erkennen und abzuwehren, als hoch ein. Das könnte damit zusammenhängen, dass viele Cyber-Angriffe gar nicht erkannt werden und sich die Befragten möglicherweise in falscher Sicherheit wiegen. Mit Blick auf die einzelnen Branchen fällt auf, dass Finanzdienstleister ein höheres Schutzniveau erreichen.
Das ist nicht überraschend. Denn die aktuelle Regulatorik wie BAIT/VAIT/KAIT, die neuen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die letzten europäischen Rechtsakte – etwa der Digital Operational Resilience Act (DORA) und die Cyber-Security-Richtlinie Network and Information Security 2 (NIS2) – enthalten klare Vorgaben für die Finanzbranche.
Cyber-Security muss Chefsache werden
Jedoch reicht es nicht, nur die gesetzlichen Anforderungen zu erfüllen. Cyber-Security muss Priorität genießen. Konkret heißt das, dass der Vorstand beziehungsweise die Geschäftsführung in die Entwicklung der Cyber-Security-Strategie einbezogen werden sollte. Das passiert aber nur in 14 Prozent der Fälle. Cyber-Security muss künftig im Top-Management die gleiche Aufmerksamkeit bekommen wie wirtschaftliche Kennzahlen – und darf nicht erst ins Blickfeld rücken, wenn ein Angriff passiert ist.
Immerhin sagen 30 Prozent der Finanzdienstleister, dass eine dedizierte Cyber-Security-Einheit bei der Erarbeitung der Strategie mitwirkt. Diese Strategie sollte in den Unternehmen auf Basis der Bedrohungslage operationalisiert und gelebt werden. Der erste Schritt für Finanzdienstleister ist die Ermittlung der individuellen Cyber-Vektoren im Rahmen einer 360-Grad-Analyse.
Daraus lassen sich im zweiten Schritt konkrete Maßnahmen ableiten. Deren Umsetzung erfolgt dann am besten als End-to-End-Ansatz (E2E-Ansatz). Dabei wird der „Risikoappetit“ definiert und die Frage beantwortet, wo die Security im Unternehmen konkret verankert sein soll. Außerdem sorgt der E2E-Ansatz dafür, dass Anwendungen und Prozesse miteinander verzahnt werden.
Einen solchen Ansatz verfolgen derzeit 42 Prozent der Finanzdienstleister. Zwar ist der Anteil damit höher als in anderen Branchen. Doch damit liegt zugleich der Schluss nahe, dass Cyber-Security infolge von bestehenden Silo-Strukturen nicht ihr volles Potenzial entfalten kann, weil der Gesamtblick und die ganzheitliche Steuerung fehlen.
Digitale Identitäten als Einfallstor
Identitäten und Daten sind die „Kronjuwelen“ der Unternehmen. Um es Hackern möglichst schwer zu machen, müssen die Unternehmen die digitalen Identitäten in den Fokus nehmen. Sie sind aktuell das häufigste Einfallstor für Kriminelle. Hier kann ein sogenanntes Privilegiertes Access Management (PAM) gute Dienste leisten, das von der BaFin über die BAIT/VAIT/KAIT vorgeschrieben ist.
Als Teilbereich des Identity & Access Managements (IAM) dient es dazu, hoch privilegierte Benutzerkonten wie beispielsweise Systemadministratoren und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. Doch derzeit nutzen erst 25 Prozent der Finanzdienstleister ein PAM. Weitere 33 Prozent sind derzeit dabei, eines einzuführen. Ein professionelles IAM wiederum ist unverzichtbar, um die Zugriffsrechte jedes Mitarbeitenden kontinuierlich zu überprüfen und auf ein notwendiges Minimum zu reduzieren.
In beiden Feldern haben Unternehmen ganz klar Nachholbedarf. Ein positives Ergebnis der Studie ist, dass sie den Handlungsbedarf erkannt haben. So steht für 80 Prozent aller befragten Unternehmen ein PAM in den nächsten zwei Jahren im Fokus, ein IAM haben sogar 89 Prozent auf der Agenda.
Cloud-Transformation treibt Cyber-Security voran
Die Digitalisierung ist für die Unternehmen laut der Studie einer der Hauptgründe (38 Prozent) für die gestiegene Bedrohungslage. Cloud-Lösungen spielen als Plattform dabei eine wichtige Rolle. Eine belastbare Cyber-Security-Strategie darf somit nicht an den Grenzen des Unternehmensnetzwerks enden: Finanzdienstleister, die in die Cloud migrieren möchten, benötigen ein (Security) Target Operating Model für die (Hybrid) Cloud.
Darüber hinaus gibt es eine Reihe von Mindestanforderungen an die operative Sicherheit von Cloud-Services zu beachten. Deshalb ist es ratsam, ein integriertes Sicherheitsbetriebsmodell zu entwerfen und zu implementieren. Dabei sollten gewisse Designprinzipien eingehalten werden, um die Sicherheitsarchitektur bedrohungszentriert und dynamisch umzusetzen. Bei dieser Gelegenheit gilt es zu prüfen, welche Prozesse automatisiert werden können.
Zusätzliche Herausforderungen ergeben sich, wenn mehrere Cloud-Lösungen eingesetzt werden. Immerhin 69 Prozent der Unternehmen setzen auf hybride oder multiple Cloud-Umgebungen, heißt sie kombinieren Clouds verschiedener Anbieter miteinander. Jede von ihnen ist in die gesamtheitliche Cyber-Security-Strategie einzubinden.
Das sucht man noch weitgehend vergebens: Mehr als jeder zweite Studienteilnehmer (54 Prozent) äußerte, die Integration der hybriden Multi-Cloud- und Multi-Cloud-Provider-Umgebungen in die internen IT-Sicherheitsprozesse sei mittelmäßig. Nur ein Drittel (34 Prozent) beschrieb die Integration als hoch. Eine wichtige Säule ist der Aufbau eines Security Incident and Event Management (SIEM). Das SIEM ermöglicht es, die verschiedenen Provider zu steuern und die verschiedenen Cloud-Umgebungen in die unternehmenseigenen Security-Prozesse einzubinden.
Detection-and-Response-Fähigkeiten ausbaufähig
Sehr beunruhigend ist, dass das Security-Monitoring häufig noch dezentral organisiert ist. Die Überwachung der gesamten IT-Landschaft ist in solchen Fällen deutlich schwieriger. In der Finanzbranche haben erst 38 Prozent ein zentrales Security-Monitoring im Einsatz. Diese Aufgabe kann beispielsweise durch ein SIEM zentralisiert werden. Es erfasst, überwacht und analysiert Ereignisse aus einer Vielzahl von Quellen im gesamten Unternehmensnetzwerk in Echtzeit.
Dadurch können Gefahren erkannt und beseitigt werden, bevor ein Schaden entsteht. Angesichts der steigenden Bedrohungslage ist es gut, dass 80 Prozent der Unternehmen in den nächsten zwei Jahren den Auf- und Ausbau eines SIEM zum Schwerpunkt machen wollen. Da Cyber-Kriminelle immer professioneller und gezielter vorgehen, werden teil- bzw. vollautomatisierte Detection- und Response-Prozesse noch wichtiger. Sie können die mühsamen, bisher teilweise manuellen Überwachungs- und Berichtsaktivitäten vereinfachen und beschleunigen. Während sogenannte Detection-Fähigkeiten Angriffe und Unregelmäßigkeiten frühzeitig erkennen sollen, geht es bei Response-Kompetenzen darum, die erkannten Angriffe abzuwehren. Doch erst ein Viertel der Unternehmen verfügt über solche Prozesse.
Gravierende Mängel in der Security-Reife
Die Studienergebnisse belegen, dass sich die Finanzdienstleister der steigenden Bedrohung bewusst sind. Und obwohl sie im Vergleich mit anderen Branchen bereits ein hohes Schutzniveau haben, existieren noch gravierende Mängel in der Security-Reife.
Positiv zu bewerten ist, dass dies ein Großteil der Teilnehmer erkannt hat und die eigenen Fähigkeiten zur Abwehr von Cyber-Angriffen ausbauen will. Doch höhere Investitionen allein reichen nicht. Banken und Versicherer sollten stärker als bisher auf automatisierte Security-Lösungen sowie durchdachte End-to-End-Konzepte setzen, die von allen gelebt werden.
Christian Nern ist bei KPMG Partner im Bereich Financial Services
