Cyber-Angriffe werden immer häufiger, sie betreffen mehr Unternehmen, und sie sind viel bedrohlicher als je zuvor. Eine neue Generation von Angreifern möchte nicht nur Geld stehlen oder aus dem Abgreifen von Unternehmensdaten Kapital schlagen. Sondern es könnte auch ihr Ziel sein, nicht nur einzelne Unternehmen anzugreifen, sondern komplette wirtschaftliche Ökosysteme zu infiltrieren und zu manipulieren.
Cyber-Risiken nehmen zu, weil Finanzunternehmen ihr Geschäft über neue digitale Kanäle abwickeln, es erfolgt automatisiert und mit neuen fortschrittlichen Technologien. Genau das verändert – gepaart mit Open-Banking-Lösungen – die Art, wie die Branche Daten gemeinsam nutzt und teilt. Finanzdienstleister wenden zwar bereits erhebliche Summen auf, um Sicherheitslücken zu schließen, sowohl die Lücken in ihren internen Systemen wie auch die in digitalen und Online-Systemen. Das müssen sie auch. Denn Hacker werden immer cleverer, dreister und zerstörerischer, wenn sie erst einmal Schwachstellen ausgenutzt haben.
Regulierungsbehörden konzentrieren sich nun darauf, wie sich systemische Cyber-Risiken eingrenzen lassen oder wie es sich verhindern lässt, dass Schadsoftware sich innerhalb von Unternehmen ausbreitet oder sogar dritte Beteiligte ansteckt. Die neuen Cyber-Bedrohungen werfen aber auch die ernste Frage auf, ob Unternehmen darauf vorbereitet sind – und wie schnell sie sich von einem Angriff wieder erholen würden. Zeitgemäße Cyber-Sicherheit geht weit darüber hinaus, einfach nur äußere Attacken auf sensible Informationen und Systeme abzuwehren. Es geht vielmehr darum, permanent Identitäten und Daten zu schützen und umfassendes Sicherheitsmanagement zu betreiben.
Nur wenn Finanzdienstleister die Cyber-Security ins Zentrum ihrer Geschäftsstrategie rücken, werden sie das Vertrauen von Kunden, Behörden und Medien gewinnen und sogar stärken. Wie aber erreichen sie das? Indem Entscheidungsträger nicht länger denken, Cyber-Security liege allein in der Verantwortung der Abteilungen für Informationssicherheit (IS) oder Informationstechnik (IT). Stattdessen muss Cyber-Sicherheit bei Finanzdienstleistern zum Kerngeschäft werden und zum Kern der Unternehmenskultur.
Nur so bringen sie sämtliche Mitarbeiter dazu zu verstehen, mit welchen Risiken das Unternehmen konfrontiert ist. Nur so werden alle Beschäftigten auch Innovationen unterstützen, um diese Gefahren abzuwehren. Und nur dann wird das Unternehmen auch die nötige Stärke haben, nach einem Cyber-Vorfall das Geschäft wieder möglichst reibungslos aufzunehmen. Unternehmen brauchen eine Vision zur Cyber-Sicherheit. Einen Ansatz, der sämtliche Funktionen und Abhängigkeiten zwischen Abteilungen berücksichtigt, der also unternehmensübergreifend funktioniert und ebenso externe Stakeholder und Zulieferer umfasst.
Das ist keine leichte Aufgabe, aber sie ist zu bewältigen, wenn Unternehmen diese fünf Dinge beachten:
1. Mitarbeiter machen den Unterschied.
Sorgen Sie für eine Kultur, in der sich alle für die Cyber-Security verantwortlich fühlen. Schaffen Sie eine Stelle für einen Chief Information Security Officer (CISO), die zu Ihren Firmenbedürfnissen passt.
2. Bei Innovationen einplanen
Machen Sie Cyber-Security zum Kern Ihrer Strategie. Und achten Sie darauf, dass digitale Innovationen immer auch das Thema Cyber-Sicherheit mit einbeziehen.
3. Die Risiken erkennen
Große Trends und neue Vorschriften haben oft einen Einfluss darauf, wie Ihr Umgang mit Cyber-Risiken ausfallen muss. Setzen Sie sich damit auseinander. Managen Sie Cyber-Risiken, indem Sie drei Verteidigungslinien einziehen (3LoD), und schaffen Sie klar definierte Rollen und Zuständigkeiten, um Cyber-Risiken zu managen.
4. Interne Intelligenz aufbauen
Bauen Sie Fachwissen im eigenen Unternehmen auf, um die größten Bedrohungen der Cyber-Sicherheit zu kennen und ihnen zu begegnen. Bedrohungen müssen zeitnah identifiziert werden, nur dann können Sie wichtige Werte des Unternehmens schützen.
5. Widerstandskräfte stärken
Im Ernstfall sollten Sie sich schnell von einer Cyber-Attacke erholen. Der Rest Ihres Netzwerks an Kunden und Zulieferern sollte deshalb dieselben Sicherheitsstandards befolgen wie Ihr Unternehmen.
Im Ernstfall sollten Sie sich schnell von einer Cyber-Attacke erholen. Der Rest Ihres Netzwerks an Kunden und Zulieferern sollte deshalb dieselben Sicherheitsstandards befolgen wie Ihr Unternehmen.