2 Minuten Lesezeit 1 Dezember 2017
Hacker mit Laptop diskutieren Ideen beim Hackathon im Workshop.

Wie Finanzdienstleister Cyber-Risiken managen können

Von

Jeremy Pizzala

EY Global Financial Services Office Cyber Leader and Hong Kong FSO Advisory Leader

Cybersecurity leader in financial services. I’ve lived and worked in Hong Kong, London and Sydney, among other places. I enjoy sports, especially swimming.

2 Minuten Lesezeit 1 Dezember 2017

Die neuesten Cyber-Angriffe werfen ernste Fragen auf: Sind Unternehmen wirklich darauf vorbereitet? Um fünf Bereiche sollten sich Finanzunternehmen jetzt kümmern.

Cyber-Angriffe werden immer häufiger, sie betreffen mehr Unternehmen, und sie sind viel bedrohlicher als je zuvor. Eine neue Generation von Angreifern möchte nicht nur Geld stehlen oder aus dem Abgreifen von Unternehmensdaten Kapital schlagen. Sondern es könnte auch ihr Ziel sein, nicht nur einzelne Unternehmen anzugreifen, sondern komplette wirtschaftliche Ökosysteme zu infiltrieren und zu manipulieren.

Cyber-Risiken nehmen zu, weil Finanzunternehmen ihr Geschäft über neue digitale Kanäle abwickeln, es erfolgt automatisiert und mit neuen fortschrittlichen Technologien. Genau das verändert – gepaart mit Open-Banking-Lösungen – die Art, wie die Branche Daten gemeinsam nutzt und teilt. Finanzdienstleister wenden zwar bereits erhebliche Summen auf, um Sicherheitslücken zu schließen, sowohl die Lücken in ihren internen Systemen wie auch die in digitalen und Online-Systemen. Das müssen sie auch. Denn Hacker werden immer cleverer, dreister und zerstörerischer, wenn sie erst einmal Schwachstellen ausgenutzt haben.

Regulierungsbehörden konzentrieren sich nun darauf, wie sich systemische Cyber-Risiken eingrenzen lassen oder wie es sich verhindern lässt, dass Schadsoftware sich innerhalb von Unternehmen ausbreitet oder sogar dritte Beteiligte ansteckt. Die neuen Cyber-Bedrohungen werfen aber auch die ernste Frage auf, ob Unternehmen darauf vorbereitet sind – und wie schnell sie sich von einem Angriff wieder erholen würden. Zeitgemäße Cyber-Sicherheit geht weit darüber hinaus, einfach nur äußere Attacken auf sensible Informationen und Systeme abzuwehren. Es geht vielmehr darum, permanent Identitäten und Daten zu schützen und umfassendes Sicherheitsmanagement zu betreiben.

Nur wenn Finanzdienstleister die Cyber-Security ins Zentrum ihrer Geschäftsstrategie rücken, werden sie das Vertrauen von Kunden, Behörden und Medien gewinnen und sogar stärken. Wie aber erreichen sie das? Indem Entscheidungsträger nicht länger denken, Cyber-Security liege allein in der Verantwortung der Abteilungen für Informationssicherheit (IS) oder Informationstechnik (IT). Stattdessen muss Cyber-Sicherheit bei Finanzdienstleistern zum Kerngeschäft werden und zum Kern der Unternehmenskultur.

Nur so bringen sie sämtliche Mitarbeiter dazu zu verstehen, mit welchen Risiken das Unternehmen konfrontiert ist. Nur so werden alle Beschäftigten auch Innovationen unterstützen, um diese Gefahren abzuwehren. Und nur dann wird das Unternehmen auch die nötige Stärke haben, nach einem Cyber-Vorfall das Geschäft wieder möglichst reibungslos aufzunehmen. Unternehmen brauchen eine Vision zur Cyber-Sicherheit. Einen Ansatz, der sämtliche Funktionen und Abhängigkeiten zwischen Abteilungen berücksichtigt, der also unternehmensübergreifend funktioniert und ebenso externe Stakeholder und Zulieferer umfasst.

Das ist keine leichte Aufgabe, aber sie ist zu bewältigen, wenn Unternehmen diese fünf Dinge beachten:

1. Mitarbeiter machen den Unterschied.

Sorgen Sie für eine Kultur, in der sich alle für die Cyber-Security verantwortlich fühlen. Schaffen Sie eine Stelle für einen Chief Information Security Officer (CISO), die zu Ihren Firmenbedürfnissen passt.

2. Bei Innovationen einplanen

Machen Sie Cyber-Security zum Kern Ihrer Strategie. Und achten Sie darauf, dass digitale Innovationen immer auch das Thema Cyber-Sicherheit mit einbeziehen.

3. Die Risiken erkennen

Große Trends und neue Vorschriften haben oft einen Einfluss darauf, wie Ihr Umgang mit Cyber-Risiken ausfallen muss. Setzen Sie sich damit auseinander. Managen Sie Cyber-Risiken, indem Sie drei Verteidigungslinien einziehen (3LoD), und schaffen Sie klar definierte Rollen und Zuständigkeiten, um Cyber-Risiken zu managen.

4. Interne Intelligenz aufbauen

Bauen Sie Fachwissen im eigenen Unternehmen auf, um die größten Bedrohungen der Cyber-Sicherheit zu kennen und ihnen zu begegnen. Bedrohungen müssen zeitnah identifiziert werden, nur dann können Sie wichtige Werte des Unternehmens schützen.

5. Widerstandskräfte stärken

Im Ernstfall sollten Sie sich schnell von einer Cyber-Attacke erholen. Der Rest Ihres Netzwerks an Kunden und Zulieferern sollte deshalb dieselben Sicherheitsstandards befolgen wie Ihr Unternehmen.

Im Ernstfall sollten Sie sich schnell von einer Cyber-Attacke erholen. Der Rest Ihres Netzwerks an Kunden und Zulieferern sollte deshalb dieselben Sicherheitsstandards befolgen wie Ihr Unternehmen.

an integrated vision to manage cyber risk
an integrated vision to manage cyber risk
an integrated vision to manage cyber risk
an integrated vision to manage cyber risk

Fazit

Finanzunternehmen müssen ihre Strategie in Bezug auf Cyber-Risiken überdenken. Das ist nötig, weil sich die Risiken erhöht haben, neue Technologien aufkommen und sich neue Geschäftsmodelle ergeben. In fünf Bereichen müssen Finanzunternehmen dabei handeln, um eine Unternehmenskultur zu schaffen, die sich der Cyber-Risiken bewusst ist.

Über diesen Artikel

Von

Jeremy Pizzala

EY Global Financial Services Office Cyber Leader and Hong Kong FSO Advisory Leader

Cybersecurity leader in financial services. I’ve lived and worked in Hong Kong, London and Sydney, among other places. I enjoy sports, especially swimming.