Banken-Security: Von der „Polizei“ zum Business-Enabler
Dieser Artikel ist älter als ein Jahr!
Die Bankenbranche ist zahlreichen Veränderungen unterworfen. Auf der einen Seite sind da zum Beispiel regulatorische Vorgaben wie die Zahlungsdiensterichtlinie PSD2, laut der die Finanzdienstleister ihre Schnittstellen gegenüber Drittanbietern öffnen müssen. Auf der anderen Seite verändert die Digitalisierung alle Aspekte des Geschäfts, allen voran den direkten Kontakt mit dem Endkunden: Unter anderem wurden viele Arbeitsabläufe automatisiert, und Mobile Banking ist heutzutage Alltag.
„Dadurch verändern sich auch die Ansprüche an die Security“, sagt Peter Gerdenitsch, Head of Group Information & Cybersecurity bei der Raiffeisen Bank International AG (RBI). Zunehmend werden Security-Experten in die Entscheidung fix verankert, wenn es zum Beispiel um die Einführung neuer digitaler Tools geht. Dabei sind die Security-Verantwortlichen nicht mehr die „Polizei“, die neue Lösungen blockiert: „Wir sind viel mehr ein Business Enabler, der in das Design neuer Lösungen involviert wird“, sagt Gerdenitsch: Wenn sich ein Feature wegen Sicherheitsbedenken nicht einrichten lässt, dann werden gemeinsam Alternativen evaluiert.
Mitarbeiter als Schwachstelle
Zugleich steigt die Komplexität auch dadurch, dass es nun deutlich mehr Einfallstore für Angreifer gibt – allein schon durch die vielen mobilen Geräte, die unterschiedlichen Standorte und die offenen Schnittstellen. Im innerbetrieblichen Umfeld wiederum gelten für Banken ähnliche Herausforderungen wie für andere Großbetriebe: Zum Beispiel ist ein ausgeklügeltes Patch-Management nötig, damit es auf allen Rechnern immer die aktuelle Software gibt. „Der Mensch ist aber nach wie vor die größte Schwachstelle“, sagt Gerdenitsch: Dementsprechend sind Schulungen wichtig, um die Awareness der Mitarbeiter für zum Beispiel Phishing-Attacken zu trainieren.
Bei der RBI müssen alle neuen Mitarbeiter Schulungen durchlaufen, bei denen sie physisch anwesend sind. Zusätzlich gibt es gezielte Schulungen für ausgewählte Personengruppen, die zum Beispiel relativ oft Ziele von Phishing-Attacken sind. Die Schulungen werden vom Inhouse-Securityteam durchgeführt: „So können wir auch Präsenz zeigen und kommunizieren, dass man uns kontaktieren kann“, sagt Gerdenitsch.
Vernetzung über das KSÖ
Zwecks Austausch mit anderen Experten vernetzt sich Gerdenitsch über das Kuratorium Sicheres Österreich (KSÖ). So nutzt er zum Beispiel die digitale Wirtschaftsinitiative des KSÖ, um Herausforderungen der Digitalisierung in entsprechenden Interessensgruppen zu besprechen. Hier tritt er auch gemeinsam mit anderen Experten des KSÖ auf, um Aufsichtsräte zu Fragestellungen der IT-Security zu schulen.
Im Jahr 2016 hat das KSÖ auch eine Risikoanalyse mit allen Banken Österreichs gemacht, sowie in einem Planspiel den Ausfall von kritischer Infrastruktur simuliert. „Die Frage ist nicht, ob so etwas eines Tages passiert, sondern wann es passiert“, sagt Gerdenitsch. Security sei jedenfalls ein verbindender Faktor zwischen Unternehmen aller Branchen, und hier arbeite man entsprechend stark zusammen.
Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezone und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.
Kommentare