Banken und Versicherer zählen seit Jahren zu den präferierten Zielen von Hackern. Die Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ gibt Einblicke in den Stand der Cyber-Resilienz von Unternehmen in Deutschland. Finanzdienstleister sind zwar oft besser in der Cyber-Security aufgestellt, doch es bleibt für eine solide Cyber-Resilienz noch einiges zu tun.
Das Fachmagazin „CSO Online“ listet seit Jahresbeginn bereits mehr als 30 Cyber-Angriffe auf Unternehmen verschiedener Branchen auf. Die Dunkelziffer dürfte jedoch höher liegen. Die neue Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ von KPMG und Lünendonk & Hossenfelder liefert aktuelle Erkenntnisse zu den Risiken und dem Reifegrad von Banken, Versicherern und weiteren Branchen.
Fast jeder nimmt erhöhte Bedrohungslage war
So nehmen 84 Prozent der Befragten einen Anstieg der Bedrohung durch Cyber-Angriffe gegenüber dem Vorjahr wahr. Als die Top-3-Einflussfaktoren für die erhöhte Bedrohungslage nannten 71 Prozent der Finanzdienstleister Distributed-Denial-of-Service-Angriffe (DDoS). Gleich darauf folgen mit jeweils 64 Prozent Attacken mittels Phishing/Ransomware und die Nutzung von unautorisierten Geräten wie USB-Sticks an Unternehmensnetzwerken.
Mehr als eine Pflichtübung
Neun von zehn befragten Teilnehmer schätzen ihre Fähigkeiten, Cyber-Angriffe frühzeitig zu erkennen und abzuwehren, als hoch ein. Das könnte damit zusammenhängen, dass viele Cyber-Angriffe gar nicht erkannt werden und sich die Befragten möglicherweise in falscher Sicherheit wiegen. Mit Blick auf die einzelnen Branchen fällt auf, dass Finanzdienstleister ein höheres Schutzniveau erreichen.
Das ist nicht überraschend. Denn die aktuelle Regulatorik wie BAIT/VAIT/KAIT, die neuen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die letzten europäischen Rechtsakte – etwa der Digital Operational Resilience Act (DORA) und die Cyber-Security-Richtlinie Network and Information Security 2 (NIS2) – enthalten klare Vorgaben für die Finanzbranche.
Cyber-Security muss Chefsache werden
Jedoch reicht es nicht, nur die gesetzlichen Anforderungen zu erfüllen. Cyber-Security muss Priorität genießen. Konkret heißt das, dass der Vorstand beziehungsweise die Geschäftsführung in die Entwicklung der Cyber-Security-Strategie einbezogen werden sollte. Das passiert aber nur in 14 Prozent der Fälle. Cyber-Security muss künftig im Top-Management die gleiche Aufmerksamkeit bekommen wie wirtschaftliche Kennzahlen – und darf nicht erst ins Blickfeld rücken, wenn ein Angriff passiert ist.
🔎 Für wie wahrscheinlich halten Sie es, dass Ihr Unternehmen in den kommenden zwei Jahren einem schwerwiegenden Angriff zum Opfer fällt – nach Branche? (Bild: KPMG).
Digitale Identitäten als Einfallstor
Identitäten und Daten sind die „Kronjuwelen“ der Unternehmen. Um es Hackern möglichst schwer zu machen, müssen die Unternehmen die digitalen Identitäten in den Fokus nehmen. Sie sind aktuell das häufigste Einfallstor für Kriminelle. Hier kann ein sogenanntes Privilegiertes Access Management (PAM) gute Dienste leisten, das von der BaFin über die BAIT/VAIT/KAIT vorgeschrieben ist. Als Teilbereich des Identity & Access Managements (IAM) dient es dazu, hoch privilegierte Benutzerkonten wie beispielsweise Systemadministratoren und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. Doch derzeit nutzen erst 25 Prozent der Finanzdienstleister ein PAM. Weitere 33 Prozent sind derzeit dabei, eines einzuführen. Für 80 Prozent aller befragten Unternehmen steht ein PAM in den nächsten zwei Jahren im Fokus, ein IAM haben sogar 89 Prozent auf der Agenda.
Cloud-Transformation treibt Cyber-Security voran
Zusätzliche Herausforderungen ergeben sich, wenn mehrere Cloud-Lösungen eingesetzt werden. Immerhin 69 Prozent der Unternehmen setzen auf hybride oder multiple Cloud-Umgebungen, d. h. sie kombinieren Clouds verschiedener Anbieter miteinander. Jede von ihnen ist in die gesamtheitliche Cyber-Security-Strategie einzubinden. Das sucht man noch weitgehend vergebens: Mehr als jeder zweite Studienteilnehmer (54 Prozent) äußerte, die Integration der hybriden Multi-Cloud- und Multi-Cloud-Provider-Umgebungen in die internen IT-Sicherheitsprozesse sei mittelmäßig. Nur ein Drittel (34 Prozent) beschrieb die Integration als hoch. Eine wichtige Säule ist der Aufbau eines Security Incident and Event Management (SIEM). Das SIEM ermöglicht es, die verschiedenen Provider zu steuern und die verschiedenen Cloud-Umgebungen in die unternehmenseigenen Security-Prozesse einzubinden.
Detection-and-Response-Fähigkeiten ausbaufähig
Sehr beunruhigend ist, dass das Security-Monitoring häufig noch dezentral organisiert ist. Die Überwachung der gesamten IT-Landschaft ist in solchen Fällen deutlich schwieriger. In der Finanzbranche haben erst 38 Prozent ein zentrales Security-Monitoring im Einsatz. Diese Aufgabe kann beispielsweise durch ein SIEM zentralisiert werden. Es erfasst, überwacht und analysiert Ereignisse aus einer Vielzahl von Quellen im gesamten Unternehmensnetzwerk in Echtzeit. Dadurch können Gefahren erkannt und beseitigt werden, bevor ein Schaden entsteht. Angesichts der steigenden Bedrohungslage ist es gut, dass 80 Prozent der Unternehmen in den nächsten zwei Jahren den Auf- und Ausbau eines SIEM zum Schwerpunkt machen wollen.
Fazit der Studie
Die Studienergebnisse belegen, dass sich die Finanzdienstleister der steigenden Bedrohung bewusst sind. Und obwohl sie im Vergleich mit anderen Branchen bereits ein hohes Schutzniveau haben, existieren noch gravierende Mängel in der Security-Reife. Positiv zu bewerten ist, dass dies ein Großteil der Teilnehmer erkannt hat und die eigenen Fähigkeiten zur Abwehr von Cyber-Angriffen ausbauen will. Doch höhere Investitionen allein reichen nicht. Banken und Versicherer sollten stärker als bisher auf automatisierte Security-Lösungen sowie durchdachte End-to-End-Konzepte setzen, die von allen gelebt werden.
Mehr bei KPMG.de
Über KPMG
Auch in Deutschland gehört KPMG zu den führenden Wirtschaftsprüfungs- und Beratungsunternehmen und ist mit rund 12.200 Mitarbeiterinnen und Mitarbeitern an 27 Standorten präsent. Unsere Leistungen sind in die Geschäftsbereiche Audit, Tax und Advisory gegliedert. Im Mittelpunkt von Audit steht die Prüfung von Konzern- und Jahresabschlüssen.Tax steht für die steuerberatende Tätigkeit von KPMG. Die Bereiche Consulting und Deal Advisory bündeln unser hohes fachliches Know-how zu betriebswirtschaftlichen, regulatorischen und transaktionsorientierten Themen.