Cyber-Resilienz als zentraler Bestandteil der Sicherheitsstrategie

Der Trojaner Emotet¹ richtet noch immer großen Schaden in weiten Teilen der Wirtschaft an. Infiziert das weltweit gefährliche Schadprogramm das IT-System eines Unternehmens, lädt es weitere schädliche Software. Daten fließen ab, und kriminelle Hacker können die vollständige Kontrolle über das gesamte System erlangen.

In einer Vielzahl von Unternehmen und öffentlichen Einrichtungen wie Krankenhäusern fiel die IT-Infrastruktur schon großflächig oder komplett aus. In der Industrie waren mehrtägige Produktionsausfälle die Folge. Das Berliner Kammergericht beispielsweise ist wegen solch eines Schadsoftware-Befalls seit September 2019 offline und kann immer noch nicht wieder voll digital arbeiten.²

Europäische Banken wiederum konnten größere Schäden bislang erfolgreich abwenden. Emotet hat nur sehr vereinzelte Institute ernsthaft getroffen – zumindest noch. Doch diese Schadsoftware zeigt uns anschaulich, dass wir in Banken und weiteren Finanzunternehmen nicht allein auf Prävention setzen dürfen.

Aufgrund der fortschreitenden Professionalisierung von Cyberangriffen können größere Sicherheitsvorfälle nie vollständig ausgeschlossen werden. Zwar kann und muss das Risiko durch technische Maßnahmen und erhöhtes Bewusstsein der Mitarbeiter stark reduziert werden, doch dadurch allein sind solche Vorfälle nicht vermeidbar.

Denn irgendwann wird eine Mail mit Schadsoftware nicht von Spam- und Virenscannern erkannt, und irgendwann klickt ein Mitarbeiter trotz Awareness-Training in der Mail auf den Link, der die Schadsoftware aktiviert. Bei solch einer akuten Cyberattacke muss eine vorausschauende Sicherheitsarchitektur den möglichen Schaden eindämmen: Die Infektion muss schnellstens detektiert, erkannt und die Verbreitung gestoppt werden, um dann mit der Wiederherstellung der Daten zu beginnen.

Entscheidend ist also, das Finanzunternehmen so auszurichten, dass es auch in einem Störfall gut gesteuert werden kann und, wenn überhaupt, nur minimal an Betriebsfähigkeit einbüßt.

Cyberrisiken müssen genauso gemanagt werden wie alle anderen wesentlichen Risikoarten

Cyber-Resilienz, also die Widerstandsfähigkeit eines Betriebs, ist ein zentraler Bestandteil der Sicherheitsstrategie von Banken. Verantwortlich dafür ist der Chief Information Security Officer, CISO. Seine Aufgabe ist es, in Zeiten von Cyberrisiken, Fake News und Corona-Pandemie die Balance zwischen Produktionsstabilität und den zusätzlichen Anforderungen an die Informationssicherheit herzustellen.

Das erfordert ein grundlegendes Umdenken im Management. Denn von vornherein muss immer auch die Möglichkeit eines schwerwiegenden Cybervorfalls oder einer Störung mitgedacht werden. Dafür reicht der punktuelle Blick auf technische Systeme nicht.

Im Fokus steht dabei, wie das Unternehmen überhaupt mit unvorhergesehenen Störungen umgeht. Es müssen Geschäftsprozesse, ganze Geschäftsbereiche, die Organisation sowie die Unternehmensführung und -kultur aus diesem Blickwinkel betrachtet und darauf ausgerichtet werden.

Hinzu kommt, dass auch die Bankenaufsicht der BaFin darauf großen Wert legt, was sich inzwischen in der Aufsichtspraxis niederschlägt. Aufseher und Regulierer erwarten, dass Finanzunternehmen Cyberrisiken genauso managen wie alle anderen wesentlichen Risikoarten.

Der Grund: Cyberrisiken sind Querschnittsrisiken und haben hochgradigen Einfluss auf die gesamte Risikolage der Bank. Demnach sollten Cyberrisiken mit ihrem operativen, technischen, finanziellen und reputationsrelevanten Bedrohungspotenzial mit allen anderen Risikoarten der Bank stringent und konsequent betrachtet und abgebildet werden.

Die Position des CISO, des obersten Sicherheitsbeauftragten, ist daher inhaltlich und organisatorisch idealerweise beim Risikovorstand des Konzerns angesiedelt. Denn im Zweifelsfall muss er bei einem Cyberangriff sehr schnell reagieren. Oft auch anders als ursprünglich geplant, denn Cyberangriffe sind dynamisch und detaillierte Maßnahmen schwer im Voraus zu planen.

Agilität ist daher elementar für die Cyber-Resilienz einer Organisation. Dafür benötigt der CISO ausreichende Informationen, um angemessen kontrollieren und steuern zu können. Zur Widerstandsfähigkeit gehört aber auch, dass Software-Tests und -Betriebsverfahren weitgehend automatisiert und integriert werden.

Die Cyber-Resilienz der Kunden spielt in die Risikobewertung hinein

Cyberrisiken sind schwer zu prognostizieren und deshalb schwer zu modellieren. Im Vergleich zu den etablierten Risikodaten gibt es nur wenige historische, statistisch valide Daten. Zudem ist die Eintrittswahrscheinlichkeit sehr gering, während der potenzielle Schaden sehr hoch ist.

Hinzu kommt der enorme Modernisierungs- und Wettbewerbsdruck, dem Banken aktuell ausgesetzt sind. Institute müssen sehr schnell auf Marktveränderungen reagieren und Produkte einführen, die noch nicht vollständig ausgereift sind. Time-to-market³ ist nun einmal das Gebot in der digitalen Welt. Um diesem Lieferdruck gerecht zu werden, ist man heute eher bereit, ein gewisses Fehlerrisiko zu akzeptieren. Aus Sicherheitsaspekten stellt das natürlich eine Herausforderung dar. Denn diese Fehler können Angriffe ermöglichen, die mit anderen Prozessen mitigiert werden müssen.

Die Cybersicherheitsstrategie einer Bank bezieht auch sämtliche Prozesse beim Kunden ein. Lieferketten von Geschäftspartnern sollten hinsichtlich ihrer Sicherheit und Resilienz transparent und prüfbar sein.

Unsere Kunden können von dieser Kompetenz profitieren. Indem wir als Commerzbank ihr Bewusstsein für diese Themen schärfen, tragen wir zu ihrer und unserer Sicherheit bei. Auch die Cyber-Resilienz der Kunden spielt bis in die Risikobewertung der Bank hinein.

Ein Beispiel hierfür ist die CEO-Fraud. Dabei handelt es sich um eine Betrugsmasche, bei der sich ein Krimineller gegenüber einem Mitarbeiter per E-Mail oder Telefon als Unternehmenschef ausgibt und ihn zu einer betrügerischen Zahlung verleitet: Eine vertrauensvolle und wertschätzende Unternehmenskultur führt eher dazu, dass ein leicht verunsicherter Mitarbeiter sich von Mensch zu Mensch beim vermeintlichen Auftraggeber über die Authentizität des Auftrags vergewissert.

Es darf keinen Wildwuchs in der Cyberregulierung geben

Die Online-Durchdringung der Wirtschaft und Gesellschaft hat inzwischen eine Dimension erreicht, die eine staatliche Regulierung unumgänglich macht.

Regulierung ist wichtig und richtig. Doch die Zahl von Cybersicherheitsregeln wächst unaufhörlich. Für Unternehmen wird es zunehmend aufwändiger, die Flut von im Kern zumeist ähnlichen Regeln einzuhalten: Widersprüche zwischen Datenschutz- und IT-Sicherheitsrecht, Ungereimtheiten zwischen sektoralen und branchenübergreifenden Regeln, Inkompatibilitäten zwischen nationalen Regelungen, Doppelregulierungen und vielfache Meldeprozesse an verschiedene Behörden für einen einzigen Vorfall, weil jedes Formular ein wenig anders ist.

Da Cyberattacken nicht nur innerhalb der heimischen Landesgrenzen ausgelöst werden, brauchen wir international einheitliche Regeln (Level Playing Field).

Mit dem Cyber-Security-Rahmenwerk Tiber-EU⁴ der Europäischen Zentralbank (EZB) wird über innereuropäische Grenzen hinweg höhere Cyber-Resilienz für Finanzinstitute angestrebt. Die EZB definiert in diesem Rahmenwerk ein Vorgehen, um die Verteidigungsfähigkeit eines Instituts durch einen kontrollierten Cyberangriff herauszufordern.

So klopfen die beauftragten Red Teams nicht nur die technischen Schwachstellen ab, sondern testen auch menschliche Faktoren mithilfe von Social-Engineering-Angriffen. Diese Tests sind sehr aufwändig und laufen über viele Monate. Auch außereuropäische Jurisdiktionen setzen auf Red-Teaming in ihren kritischen Infrastrukturen. Hier ist eine gegenseitige Anerkennung als genormter Test nötig.

Allerdings darf es keinen Wildwuchs in der Cyberregulierung geben. Die Eckpunkte liegen auf der Hand: transparentes Risikomanagement, Sicherheitsmaßnahmen nach dem Stand der Technik, Meldung von Vorfällen, Zusammenarbeit von Staat und Wirtschaft. Gesetzgeber, Wissenschaftler und Unternehmen sind gefordert, ein transatlantisches Rahmenwerk zu erarbeiten, das als Fundament für Cybersicherheit in Europa und den USA dienen kann – und als Vorbild für die Welt.

Neue Technologien bedrohen die Cybersicherheit

Der Durchbruch von neuen Technologien wie Biometrie, künstliche Intelligenz und Quantencomputer ist teils geschehen oder steht kurz bevor. Mit den neuen technologischen Möglichkeiten entstehen aber auch neue Formen der Bedrohung für die Cybersicherheit.

Denn Quantum Computing⁵ hat beispielsweise hat das Potenzial, weitverbreitete Sicherheitsverfahren außer Kraft zu setzen. Deshalb treffen wir bereits heute Entscheidungen, um sicherzustellen, dass man dieser Gefahr in der Zukunft adäquat begegnen kann.

Mit diesem vorrausschauenden Ansatz stößt man intern nicht immer auf Gegenliebe und Verständnis. Warum sollte sich ein Unternehmen mit Lösungen präparieren, für die es noch keine Probleme gibt? Weil die Zukunft meistens schon da ist, bevor wir damit rechnen.

Fußnoten: