Cybersicherheit im Finanzsektor
„Viele sehen Cybersicherheit immer noch als reines IT-Thema“
Vor welchen Cybersecurity-Bedrohungen stehen derzeit Finanzinstitute? Wie können diese die Vorgaben von DORA bestmöglich erfüllen? Und welche Rolle spielen modellbasierte SIEM Use Cases bei der Verbesserung der Anomalieerkennung? Diese und weitere Fragen beantwortet KPMG im Interview.
KPMG – Cybersecurity und Finanzsektor
connect professional: Bitte geben Sie uns einen Überblick, wo KPMG im Bereich der Cybersicherheit im Finanzsektor steht?
Christian Nern: KPMG hat sich in den letzten Jahren von einem traditionellen Prüfer zu einem führenden Berater im Bereich IT-Compliance und Cybersecurity entwickelt. Früher waren wir hauptsächlich für unsere Prüfungsdienste bekannt, doch heute sind wir besonders stark im Bereich IT-Compliance und Cybersecurity und Marktführer in diesem Segment. Unsere Expertise reicht von der strategischen Beratung über die Erstellung von Fachkonzepten bis hin zur technischen Umsetzung.
Ein besonderer Schwerpunkt liegt auf der Cybersecurity, insbesondere im Finanzsektor, welcher in Deutschland bei der KPMG das Zugpferd ist. Vor etwa sechs Jahren haben wir begonnen, massiv in dieses Thema zu investieren. Die Finanzinstitute waren anfangs hauptsächlich an regulatorischen Anforderungen interessiert, wie der BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT), und diese wurden vor allem durch Papierdokumente und Governance-Richtlinien geregelt. In den letzten Jahren haben wir jedoch festgestellt, dass sich die Anforderungen weiterentwickeln, und daher bieten wir umfassende Lösungen an, um den aktuellen Herausforderungen gerecht zu werden.
connect professional: Welche Lösungen bietet KPMG konkret an und mit welchen Partnern arbeiten Sie zusammen?
Nern: Wir konzentrieren uns auf mehrere Kernbereiche im Bereich Security. Ein zentraler Punkt ist Detection and Response. Hier arbeiten wir mit führenden Partnern in der Branche. Das umfasst die Entwicklung und Implementierung von Security Operations Center (SOC), die Durchführung von Prozessanalysen, die Erstellung von Fachkonzepten sowie deren technische Umsetzung. Wir stellen sicher, dass alle regulatorischen Anforderungen eingehalten werden, einschließlich der spezifischen Anforderungen, die von verschiedenen Dienstleistern gefordert werden. Außerdem legen wir großen Wert auf AI Security, um die neuesten Sicherheitsbedrohungen, die durch Künstliche Intelligenz entstehen, angemessen zu adressieren.
Im Bereich Identity and Access Management (IAM), einschließlich Zero Trust und Privileged Access Management (PAM), kooperieren wir unter anderem mit verschiedenen Anbietern von IAM-Lösungen. Unsere Stärke liegt nicht nur in der Implementierung dieser Tools, sondern auch in der Sicherstellung, dass diese in die Prozesse und Governance-Strukturen richtig eingebettet sind.
Im Bereich Cyber Risk fokussieren wir uns auf die neue Dimension der Risikoquantifizierung. Die DORA-Verordnung fordert eine umfassende Betrachtung der Bedrohungslage und des Geschäftsmodells eines Unternehmens. Anstelle von Papierkram und standardisierten Assessments arbeiten wir daran, die spezifischen Bedrohungen eines Unternehmens zu verstehen und passende Sicherheitsmaßnahmen zu implementieren. Dies umfasst nicht nur das Reporting, sondern auch die Reaktion auf Vorfälle. Hierbei denken wir den klassischen BCM-Prozess neu, um ihn nahtlos in die Security-Maßnahmen zu integrieren. Analog zu modernen Autos, die bei einem Unfall automatisch Rettungsdienste alarmieren, streben wir an, dass Sicherheitsvorfälle automatisch und effizient gemanagt werden.
Finanzsektor – Bedrohungslage, Herausforderungen, DORA
| Nern: „Die Bedrohungslage bei deutschen Financial Services-Kunden hat sich seit Anfang 2022 weiter verschärft. Geopolitische Faktoren wie Cyberkrieg, Hacker, Phishing und die Digitalisierung erhöhen die Risiken deutlich.“ |
|---|
connect professional: Das klingt nach einem umfassenden Ansatz. Wo sehen Sie die Hauptbedrohungen, die Banken und Finanzdienstleister derzeit erleben?
Nern: Die Finanzbranche steht in der Tat unter enormem Druck. An unserer jüngsten Studie, die 150 Interviews mit CIOs und CTOs umfasst1, nahmen über 30 Prozent der Befragten aus dem Finanzsektor teil. Diese Zahlen verdeutlichen, dass die Bedrohungslage in diesem Bereich besonders alarmierend ist. Seit Beginn des Jahres 2022 bis 2023 hat sich die Cyber-Risikolage erheblich verschärft. Geopolitische Faktoren wie Cyberkriege und die zunehmende Fähigkeit von Hackern, KI-Technologien zu nutzen, tragen zur Verschärfung bei. Zudem sehen wir eine signifikante Zunahme von IT-Risiken wie Phishing und den Herausforderungen, die durch die Digitalisierung und Cloud-Security entstehen.
connect professional: Wie sieht es konkret mit den Herausforderungen durch die DORA aus? Was sind die größten Hürden, vor denen betroffene Organisationen bei der Umsetzung dieser Verordnung stehen?
Nern: Die DORA-Verordnung, die sich auf die Digitalisierung der Finanzaufsicht konzentriert, stellt die Unternehmen vor erhebliche Herausforderungen. Eine der größten Hürden ist die Implementierung der geforderten IT-Compliance-Maßnahmen. Die Verordnung verlangt unter anderem von den Finanzinstituten, dass sie ihre digitalen Systeme und Prozesse regelmäßig auf Sicherheit und Compliance überprüfen. Dies erfordert nicht nur technische Anpassungen, sondern auch eine umfassende Schulung des Personals und eine kontinuierliche Anpassung der internen Prozesse.
Darüber hinaus müssen die Unternehmen sicherstellen, dass ihre Systeme den neuen Anforderungen genügen, was oft umfangreiche Änderungen in der IT-Infrastruktur und den Sicherheitsprotokollen nach sich zieht. Die Herausforderung besteht darin, diese Anpassungen effizient und kostengünstig umzusetzen, ohne den laufenden Betrieb zu beeinträchtigen.
Ein wichtiger Aspekt ist zudem, dass DORA großen Wert auf „Third-Party-Risk“ legt, also die Einbindung von Drittdienstleistern. Banken müssen nachweisen, dass auch deren Dienstleister in die Sicherheitsprozesse integriert sind. Das bedeutet, dass nicht nur die IT innerhalb des Finanzunternehmens, sondern auch externe Dienstleister die gleichen Sicherheitsstandards einhalten müssen. Die Verantwortung für Sicherheitsvorfälle verbleibt jedoch beim Finanzunternehmen.
SIEM Use Cases, KI Security und AI Act
connect professional: Viele Unternehmen, insbesondere kleinere, könnten sich von dieser Komplexität überwältigt fühlen. Welche Lösungen gibt es für solche Unternehmen?
Nern: Das stimmt, gerade kleinere und mittelständische Banken haben oft nicht die Ressourcen, um alles intern abzudecken. Ein Lösungsansatz könnte sein, bestimmte Sicherheitsdienstleistungen an Managed Security Service Provider auszulagern. Diese können vorgefertigte Lösungen anbieten, sodass die Unternehmen sich auf die wirklich kritischen Themen fokussieren können, anstatt alles selbst entwickeln und betreiben zu müssen.
Julian Krautwald: In der Tat ist DORA sehr breit angelegt – und während manche Themen für Unternehmen leichter umsetzbar sind, gibt es Bereiche wie Detection and Response, Data Leakage Prevention oder Netzsegmentierung, wo viele noch Nachholbedarf haben. Insbesondere bei SIEM (Security Information and Event Management) Use Cases, die notwendig sind, um Angriffe zu erkennen, wird es oft komplex.
connect professional: Was genau macht es bei den SIEM Use Cases so schwierig?
Krautwald: Ein Punkt ist, dass DORA vorschreibt, Anomalien und bösartige Aktivitäten zu erkennen. Das bedeutet, dass Unternehmen erst einmal definieren müssen, was überhaupt als „normales“ Verhalten gilt. Das geht über standardmäßige Angriffe wie Brute-Force-Attacken hinaus. Man muss also unter anderem spezielle Use Cases für geschäftskritische Systeme & Anwendungen entwickeln, um abnormales Verhalten zu identifizieren. Das kann ohne KI sehr aufwendig sein, da man manuell für jeden Nutzer das „normale Verhalten“ beschreiben müsste.
connect professional: Welche Rolle spielt Künstliche Intelligenz (KI) in dem Kontext?
Krautwald: KI kann dabei helfen, indem sie automatisch lernt, was das normale Nutzerverhalten ist. Nehmen wir das Beispiel einer Authentifizierung: Eine KI könnte herausfinden, wann und wie ein bestimmter Nutzer sich normalerweise einloggt, und dann Anomalien wie Logins zu ungewöhnlichen Zeiten oder von ungewöhnlichen Orten erkennen. Ohne KI wäre dies deutlich komplizierter und würde manuelle Anpassungen erfordern.
| Krautwald: „In Bereichen wie Detection and Response, Data Leakage Prevention oder Netzsegmentierung haben viele Unternehmen noch Nachholbedarf.“ |
|---|
connect professional: Wie sehen Sie die zukünftige Entwicklung der Cybersicherheit im Finanzsektor, auch im Hinblick auf die zunehmende Anzahl an Regularien der EU?
Nern: Die Herausforderung ist, dass Cybersicherheit in vielen Unternehmen immer noch als reines IT-Thema gesehen wird. Dabei muss sie als geschäftskritisches Risiko betrachtet werden. Regularien wie DORA helfen dabei, den Druck auf die Unternehmen zu erhöhen, Cybersicherheit ernst zu nehmen. Positiv ist, dass viele Banken bereits anfangen, verstärkt in Cloud-Sicherheit und umfassendere Sicherheitskonzepte zu investieren. Es ist wichtig, dass Unternehmen Cybersicherheit als strategische Chance sehen, um ihre Wettbewerbsfähigkeit zu steigern.
Hinzukommt, dass sich viele Unternehmen bereits intensiv mit den Regularien auseinandergesetzt haben, da das Inkrafttreten der DORA am 17. Januar 2025 schnell näher rückt. Die Vorbereitungen laufen also bereits auf Hochtouren. Es bleibt jedoch wenig Zeit, und daher ist es entscheidend, sich jetzt final vorzubereiten. Allerdings möchte ich betonen, dass eine proaktive Herangehensweise entscheidend ist. Unternehmen sollten frühzeitig damit beginnen, sich auf die Anforderungen der DORA-Verordnung vorzubereiten, indem sie ihre IT-Systeme regelmäßig überprüfen und auf den neuesten Stand bringen. Eine enge Zusammenarbeit mit Experten kann helfen, die Umsetzung effizienter zu gestalten und mögliche Risiken frühzeitig zu identifizieren.
connect professional: Wie sieht es mit dem AI Act aus, der bereits im August dieses Jahres in Kraft getreten ist: Unterstützen Sie Unternehmen auch bei der Umsetzung dieser Verordnung?
Nern: Ja, unser Team ist umfassend in die technische Umsetzung des AI Acts involviert. Der Act behandelt vor allem Aspekte der Daten- und Ethikschutzes, aber wir konzentrieren uns auf die technischen Herausforderungen, insbesondere im Bereich der Cybersecurity. Neuartige Risiken wie AI Prompt Injection stellen besondere Anforderungen an die Sicherheit unserer Systeme.
Krautwald: Richtig, wir helfen unseren Kunden, sich gegen solche Risiken abzusichern. Beispielsweise prüfen wir, ob zusätzliche Sicherheitsmaßnahmen wie eine neue Art von Web-Application-Firewall für AI-Security erforderlich sind, um die Sicherheit von AI Use Cases zu gewährleisten. Besonders große Finanzunternehmen investieren bereits erheblich in solche Sicherheitslösungen. Kleinere Unternehmen werden wahrscheinlich etwas später auf diese Notwendigkeit stoßen, aber auch sie müssen ihre AI-Systeme entsprechend absichern und die entsprechenden Regularien in ihre Governance-Strukturen integrieren.
connect professional: Vielen Dank für diese umfassenden Einblicke.
1 https://hub.kpmg.de/de/studie-von-cyber-security-zur-cyber-resilience
| AI Prompt Injection |
|---|
| ...ist eine Sicherheitsanfälligkeit im Zusammenhang mit Künstlicher Intelligenz, insbesondere bei Systemen, die auf Sprachmodellen basieren. Diese Schwachstelle tritt auf, wenn ein Angreifer den Eingabeprompt so manipuliert, dass das Modell auf ungewollte oder schädliche Weise reagiert. Das heißt konkret, dass ein böswilliger Akteur einen Prompt-Injection-Angriff verwenden könnte, um das Tool dazu zu bringen, Malware zu generieren oder andere potenziell gefährliche Informationen bereitzustellen, die eigentlich gesperrt sein sollten. |
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Verdacht auf Geldwäsche
USA sanktionieren Kryptobörsen
Ziel: Finanzielle Gewinne und Spionage
Nordkoreanische Hacker nehmen europäische Unternehmen ins Visier
Interview mit Fachanwältin für IT-Recht
„Nicht nur Pflicht, sondern echter Mehrwert für die Unternehmen“
Webinar-Thementag DORA
Ein Act zur richtigen Zeit!?
EU-Verordnung für Finanzsektor
Spotlight: DORA
