Cyber Security für die Finanzbranche

Laut BaFin sind die unzureichenden Investitionen in die Fähigkeit, Cyber-Bedrohungen frühzeitig zu identifizieren sowie auf Angriffe adäquat zu reagieren, ein großer Schwachpunkt im Unternehmensalltag. Ein Lösungsansatz, um sogenannte Detection- und Response-Fähigkeiten aufzubauen, ist das Etablieren eines eigenen Security Operations Centers (SOC).

Da Cyber-Angreifer ihre Tools und Vorgehensweisen kontinuierlich weiterentwickeln, haben Finanzunternehmen Schwierigkeiten, mit den laufenden Veränderungen Schritt zu halten. Sie sind auf aktuelle und umfassende Lageinformationen angewiesen, um Bedrohungen richtig einschätzen zu können. Insbesondere das Sammeln und Auswerten aktueller Daten erzeugt einen erheblichen Aufwand.

Ein SOC fungiert als Schaltzentrale der IT-Abteilung und ist verantwortlich für das Überwachen, Erkennen und Isolieren von Sicherheitsvorfällen. Dies trägt zur Cyber-Resilienz bei, einem Konzept, das weit über Cyber Security hinausgeht und sowohl den Schutz der IT-Infrastruktur als auch die Wiederaufnahme des Betriebs nach einem Angriff beinhaltet.

Zusätzlichen Mehrwert für den SOC-Betrieb bieten Schwachstellenmanagement und Security Orchestration, Automation and Response (SOAR). Das Schwachstellenmanagement versetzt das SOC in die Lage, proaktiv mögliche Defekte in der Absicherung von (Cloud-)Systemen zu erkennen und gegen diese vorzugehen. SOAR ermöglicht es, auf erkannte Cyber-Vorfälle mit automatisierten Workflows zu reagieren. Zusammen stärken sie die Cyber-Resilienz und erhöhen die Effizienz des SOC.

Im Kontext von BAIT, VAIT, MaRisk, MaGo, den Vorgaben der DSGVO und den neuen Anforderungen durch DORA untermauern Schwachstellenmanagement und SOAR die Notwendigkeit eines strukturierten, rund um die Uhr überwachten und regulatorisch konformen SOC-Betriebs.

Der Einsatz von Künstlicher Intelligenz (KI) in modernen Finanzunternehmen verspricht Effizienz, Innovation und Wettbewerbsvorteile. Gleichzeitig kann die KI auch dabei helfen bestehende Kernfunktionen eines SOC zu optimieren. KI-unterstützte SIEM-Systeme versprechen hier zum Beispiel eklatant höhere Erkennungsraten als Herkömmliche. Allerdings birgt der Einsatz von KI auch neue, bisher nicht gekannte Risiken für die IT-Sicherheit. Die Bedrohung durch fehlinterpretierte Ausgaben, selbstlernende Algorithmen mit nicht nachvollziehbaren Entscheidungsprozessen, die Manipulation von KI-Systemen durch externe Einflüsse und die unsichere Anbindung von KI-Systemen an andere Anwendungen und Systeme, sind hier nur einige Beispiele solcher Risiken. Durch eine adäquate Bewertung der Risiken, dedizierte Richtlinien, zugehörige Governance sowie die notwendige Überwachung werden moderne SOC jedoch auch dieser neuartigen Herausforderungen Herr.

Digitale Identitäten, die sogenannten Digital Identities, und das Digitale Identity Management (DIM) spielen im Rahmen der digitalen Transformation eine zentrale Rolle. Im Wesentlichen handelt es sich dabei um das Identity & Access Management (IAM) oder auch Identity Governance & Access (IGA), das als eines der Fokusthemen der digitalen Transformation im Allgemeinen insbesondere der Cloud- und SAP-Transformation gilt. Eng damit verbunden ist das Privileged Access Management (PAM), das sich auf die Überwachung besonders privilegierter Identitäten konzentriert.

Erweitert werden IAM und PAM um das Consumer Identity & Access Management (CIAM). 

Regulierungsbehörden wie die EBA oder die BaFin stellen das Management von digitalen Identitäten im Rahmen von Aufsichtsprüfungen immer wieder in das Zentrum ihrer Beobachtung. Umfassende, nicht überwachte Zugriffsberechtigungen sowie kompromittierte Login-Daten können bei Banken, Versicherungen und Asset-Managern als Einfallstore für Cyber-Angriffe von außen wie auch innen genutzt werden. Um das eigene Unternehmen und die sensiblen Strategie- und Geschäftsdaten vor Angriffen durch Ransomware, Phishing-Mails, Malware oder sonstigen externen sowie internen Angriffsarten zu schützen, bedarf es eines robusten, ganzheitlichen Digital Identity Managements bestehend aus IAM, PAM und CIAM.

DIM ist ein wesentlicher Bestandteil einer zentralen Sicherheitsstrategie. Die Implementierung erfolgt durch die Ausgestaltung und den Rollout von vollständigen und konformen Richtlinien, Definitionen, Prozessen und Kontrollen, welche sich um die Verwaltung und Überwachung von Benutzern und deren Zugriffsrechten auf Funktionen und Daten drehen und ein wichtiger Teil der IT-Governance sind. Wesentliche Ziele stellen dabei das Sicherstellen des Minimalprinzips (Need-to-know-Principle), der Funktionstrennung (Segregation of Duties) sowie die Überwachung von sogenannten hochprivilegierten Benutzern (HPU) unter Verwendung einer modernen und robusten PAM-Lösung dar. Das Umsetzen der Vorgaben erfolgt dabei durch moderne Tools, deren Auswahl in Abhängigkeit zu den definierten Zielen und der bestehenden IT-Landschaft erfolgen sollte.

Ein modernes und sicheres DIM verwaltet sowohl alle Identitäten und Berechtigungen von natürlichen Nutzern (Mitarbeitende, externe Dienstleister, Kunden etc.) als auch technische und / oder funktionale Berechtigungen innerhalb der Systemarchitektur des Unternehmens. Daher ist es wichtig, dass ein DIM ganzheitlich und zentral in das Unternehmen eingegliedert sowie mit den entsprechenden Kompetenzen ausgestattet wird.

Finanzdienstleister forcieren ihre digitale Transformation, entwickeln neue und digitale Geschäftsmodelle und setzen dabei immer stärker auf das Nutzen von Cloud-Diensten als Inkubator modernster Technologien – insbesondere KI. Das führt zu einer höheren Wahrscheinlichkeit von Sicherheitsvorfällen auf den Cloud-Infrastrukturen von Banken, Versicherungen und Asset-Managern. Dabei profitieren die Cloud-Infrastrukturen von den immensen Investitionen der Cloud-Dienstleister in ihre Sicherheitsarchitekturen in Form der sogenannten Shared Responsibility. Die zunehmende Komplexität auch anhand steigender Governance- und Sicherheitsanforderungen (z. B. NIS 2 und DORA) stellen Dienstleister wie Anwender vor die Aufgabe, sich proaktiv auf wandelnde Gegebenheiten anzupassen. Der heutige Anspruch an die Cloud-Landschaft lautet: sicher, widerstandsfähig und regulatorisch compliant. Entlang von State-of-the-Art-Blueprints und Templates überprüfen wir den Reifegrad der bereits integrierten Strategien, Architekturen, Prozesse zur Widerstandsfähigkeit sowie die Automatisierung von Cloud-Landschaften und ermitteln anhand dessen den Status quo der Cloud-Sicherheit. 

Die Erwartungshaltung an eine nachhaltige Cloud-Sicherheitsstrategie ist, die Komplexität aus den intra-organisatorischen Prozessen zu entfernen und zeitgleich die Transformation mit Fokus auf das Beantworten von Risiko-Anforderungen zu steuern.

Das gelingt durch die Elastizität und Skalierbarkeit der Cloud und durch präventive Maßnahmen, unter anderem DLP, RTO, Business Continuity, Disaster Recovery, Identitäts- und Zugriffsverwaltung, Verschlüsselung sowie Anbindung an das SIEM/SOC und Segmentierung der Netzwerke, Tenants und Konzeptionierung von Containerlandschaften. 

Die Widerstandsfähigkeit einer Cloud-Landschaft bemisst sich an ihrer Fähigkeit, unter einen andauernden Bedrohungslage einen störungsfreien Betrieb zu gewährleisten. 

Die Fähigkeit, Teilausfälle zu kompensieren und die Funktionalität der Cloud-Dienste aufrecht zu erhalten, bedingt eine Ausfall- und Redundanzen-Steuerung – wie durch Hosten von Applikationen über multiple Regionen oder Verfügbarkeitszonen des Cloud-Dienstanbieters (Warm Standby) oder das Verfolgen von Multicloud-Strategien.

Security-as-a-Code. Drei Kerneigenschaften erhöhen die Resilienz der Cloud: Geschwindigkeit, Risikoreduktion und „Business Enablement“.

Eine toolgestützte und gesicherte Automatisierung ist nach heutigem Cloud-Sicherheits-Standard alternativlos. Die Automatisierung erfolgt durch Implementierung von Tools (CNAPP, CSPM) oder Bereitstellung von cloud-nativen Überwachungsfunktionen je nach Hyperscaler (z. B. Microsoft Defender, Amazon GuardDuty, Google Security Command Center).