Cybersicherheit und betriebliche Widerstandsfähigkeit: Herausforderungen für den Finanzsektor
Finanzmarkt-Expertin Dr. Anastasia Kotovskaia verrät, wie Finanzunternehmen ihre IT-Sicherheit stärken können und welche regulatorischen Herausforderungen auf die Branche zukommen.
Lesezeit: 11 Min.
Dr. Anastasia Kotovskaia, LL.M. leitet den Fachbereich Finanzmärkte & Informationstechnologie am Centrum für Europäische Politik in Berlin. Als Rechtsexpertin im europapolitischen Think Tank liefert sie umfassendes Hintergrundwissen zu politischen Vorschlägen der EU, bewertet diese und entwirft umsetzbare politische Optionen für Europa. Sie ist Autorin mehrerer Veröffentlichungen in den Bereichen Recht, Finanzen und Informationstechnologie. Wir haben sie nach ihrer Meinung zur IT-Sicherheit im Finanzsektor gefragt
Die digitale Revolution hat zur Entwicklung von digitalen Technologien im Finanzsektor beigetragen. Banken bieten ihren Geschäftspartnern und Kunden mobile Anwendungen und Online-Banking-Systeme, über die alle grundlegenden Bankgeschäfte aus der Ferne zum gewünschten Zeitpunkt abgewickelt werden können. Beliebte Services wie Online-Banking und Banking-Apps erweitern die Angriffsfläche für Cyberkriminelle. Sicherheitsschwachstellen können gravierende Folgen für den gesamten Sektor hervorrufen. Allein im Jahr 2021 betrugen die jährlichen Verluste durch Cyberkriminalität 5,5 Billionen Euro weltweit. Die Betrugsmaschen werden dabei immer raffinierter. Cyberangriffe zielen in der Regel darauf ab, sich Zugang zu sensiblen Daten zu verschaffen, diese zu verändern oder betrügerisch zu verwenden, Geld von NutzerInnen zu stehlen oder Geschäftsabläufe zu stören. Die Umsetzung wirksamer Maßnahmen zum Schutz von Betriebssystemen, Programmen und Netzwerken vor Cyberangriffen ist für das Funktionieren eines Finanzunternehmens unerlässlich.Um Transaktionen abzuwickeln und Finanzdienstleistungen anbieten zu können, benötigen Finanzunternehmen den Zugang zu sensiblen Daten ihrer KundInnen. Sie werden auf dem internen Speicher des Finanzunternehmens gelagert. Solche Daten umfassen Zahlungskarteninformationen, Kreditauskünfte sowie persönliche Daten und sind ein attraktives Ziel für Cyberkriminelle. Sollte eine Sicherheitslücke entstehen, können Hacker direkten Zugriff auf die sensiblen Daten der KundInnen erhalten und diese zu ihrem Vorteil nutzen. Daher ist es von entscheidender Bedeutung, dass die Speicherlösungen der Finanzunternehmen fortdauernd sicher sind und jede auftretende Anfälligkeit umgehend entdeckt und behoben wird.
Finanzunternehmen stehen unter hohem Wettbewerbsdruck. Sie führen zunehmend neue digitale Produkte und Dienstleistungen ein, damit sie in der Lage sind, den Wünschen ihrer KundInnen gerecht zu werden. Der Einsatz modernster, aber weniger bewährter Technologien kann zu neuen Cyberrisiken im Finanzsektor führen. Banken und FinTech-Unternehmen verwenden häufig Software von Drittanbietern, was einen Engpass in Bezug auf die Sicherheit darstellen kann. Hacker können Systemschwächen ausnutzen, um auf sensible Informationen zuzugreifen und sie für Finanzbetrug und Datendiebstahl zu verwenden. Da immer mehr Softwaresysteme und Daten in der Cloud gespeichert werden, nehmen auch cloudbasierte Angriffe zu. Finanzunternehmen müssen sicherstellen, dass die technische Infrastruktur sicher konfiguriert ist, um sich vor schädlichen Angriffen zu schützen. Unternehmen stehen heute zunehmend unter dem Druck, gesetzliche Anforderungen zu erfüllen sowie ein hohes Maß an betrieblicher Widerstandsfähigkeit und Cybersicherheit aufrechtzuerhalten.
In der letzten Zeit wurde eine Reihe von wegweisenden Verordnungen auf EU-Ebene verabschiedet. Im Mittelpunkt stehen vor allem die Richtlinie über Netz- und Informationssicherheit 2 (NIS2), die einen horizontalen Rahmen für die Cybersicherheit festlegt, und der Digital Operational Resilience Act (DORA), der die Regeln für die Gewährleistung betrieblicher Widerstandsfähigkeit speziell für Finanzdienstleister etabliert. Beide Verordnungen wurden am 28. November 2022 verabschiedet.
Sowohl DORA als auch die NIS2-Richtlinie erfordern weitere technische Regulierungs- und Umsetzungsstandards, die von der EBA, der ESMA und der EIOPA voraussichtlich Ende 2023 oder Anfang 2024 angenommen werden, um die Einzelheiten der Anwendung der neuen regulatorischen Anforderungen zu konkretisieren.
Den europäischen Rechtsrahmen zur Stärkung des gesamten Cybersicherheitsniveaus rundet der Cyber Resilience Act (CRA) ab, der sich noch im Legislativverfahren befindet. Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (bekannt als Richtlinie zur Netz- und Informationssicherheit 2, NIS2) enthält die Cybersicherheitsanforderungen für Unternehmen, die für das Funktionieren der Gesellschaft essentiell sind. Darunter fallen unter anderem Banken, zentrale Gegenparteien und Betreiber von Handelsplätzen. Alle Einrichtungen, die in den Anwendungsbereich der NIS2 fallen, sind verpflichtet, die notwendigen technischen, betrieblichen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheitsrisiken von Netz- und Informationssystemen zu adressieren und die negativen Folgen eines Cybervorfalls zu vermeiden.
Die Richtlinie sieht umfassende Anforderungen an das Risikomanagement, das System für eine unverzügliche Meldung von Sicherheitsvorfällen an die Aufsichtsbehörden sowie an umfangreiche Notfallpläne, die im Falle einer Sicherheitsbedrohung oder eines Cyberangriffs anzuwenden sind, vor.
Die NIS2-Richtlinie bestimmt eindeutig, dass die Maßnahmen zum Risikomanagement im Zuständigkeitsbereich der Leitungsorgane des Unternehmens liegen. Dies bedeutet, dass die Leitungsorgane im Falle der Nichteinhaltung der Vorschriften der NIS2 haftbar werden. Die Maßnahmen zum Risikomanagement müssen insbesondere die folgenden Elemente umfassen: Im Finanzsektor gab es bereits vor der Verabschiedung von DORA verschiedene Anforderungen, die die zentralen Kategorien des Finanzrisikos wie Kredit-, Markt-, Gegenparteiausfall-, Liquiditäts- und Marktverhaltensrisiko umfassen. Diese Verordnungen sind den Umgang mit dem operationellen Risiko bei der Zuweisung von Kapital angegangen, allerdings wurden nicht alle Komponenten der betrieblichen Widerstandsfähigkeit umfassend abgedeckt. In der Tat können Sicherheitsvorfälle nebst dem Mangel an betrieblicher Widerstandsfähigkeit die Resilienz des gesamten Finanzsystems gefährden. Um die digitale Resilienz im Finanzwesen zu stärken, legt DORA einheitliche Anforderungen für die Sicherheit von Netz- und Informationssystemen fest, die die Geschäftsprozesse von Finanzunternehmen unterstützen.
In den Anwendungsbereich von DORA fallen nicht nur Banken. Die Verordnung gilt für ein breites Spektrum von Finanzinstituten, darunter Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Kryptoasset-Dienstleister, Zentralverwahrer, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften, Administratoren kritischer Benchmarks und Crowdfunding-Dienstleister.
Durch DORA werden nicht nur die digitale betriebliche Widerstandsfähigkeit und die Cybersicherheit gestärkt, sondern auch die Risiken der Informations- und Kommunikationstechnologie (IKT) EU-weit adressiert. Finanzunternehmen werden immer häufiger an IKT-Produkte und -Dienstleistungen, die von Dritten angeboten werden, angebunden. Der europäische Gesetzgeber hat damit erkannt, dass insbesondere bei Cloud-Anbietern zunehmend Risiken entstehen können. Laut Statistik finden ca. 45 % aller Datenschutzverletzungen weltweit in der Cloud statt.
DORA legt die folgenden Anforderungen an Finanzunternehmen fest: Am 15. September 2022 legte die Europäische Kommission den Entwurf für einen Cyber Resilience Act (CRA) vor. Dieser enthält die Rechtsvorschriften zur Cybersicherheit für Hard- und Softwareprodukte sowie für Datenfernverarbeitungslösungen. Es werden weitgehende Verpflichtungen für Hersteller, Händler und Importeure von Produkten mit digitalen Elementen gelten. Der Rechtsakt sieht keine Vorschriften für Finanzunternehmen vor, sofern sie keine Hard- und Softwareprodukte sowie Datenfernverarbeitungslösungen herstellen. Allerdings wird der CRA einen unmittelbaren, aber bedeutsamen Einfluss auf den Finanzmarkt haben. Die im CRA festgelegten Anforderungen werden die Sicherheitslücken in Produkten mit digitalen Elementen schließen, die Finanzunternehmen für die Bereitstellung ihrer Dienstleistungen verwenden. Die Stärkung betrieblicher Widerstandsfähigkeit und Cybersicherheit sind nicht nur Wunsch des Gesetzgebers. Der Einsatz zuverlässiger und reibungsloser Mechanismen für die Gewährleistung der Sicherheit und der betrieblichen Widerstandsfähigkeit liegen im Eigeninteresse der Finanzunternehmen. Dafür gibt es mehrere Gründe: Erstens bedeuten Sicherheitsschwachstellen ein Reputationsrisiko für Finanzunternehmen. Für Kunden ist es von entscheidender Bedeutung, dass das Finanzinstitut zuverlässig handelt und ihr Geld jederzeit geschützt ist. Zweitens führen die erfolgreichen Cyberangriffe nicht nur für Kunden zu großen finanziellen Verlusten, sondern auch für Finanzunternehmen. Branchenuntersuchungen beweisen, dass die jährlichen Kosten der betrieblichen Sicherheitsvorfälle im Finanzsektor zwischen 2 und 27 Milliarden Euro allein in der EU betragen. Drittens stellen die Sicherheitsvorfälle eine Gefährdung für die Finanzstabilität dar. Da auf dem modernen Finanzmarkt alle Unternehmen miteinander vernetzt sind, können sich Cybersicherheitsschwachstellen und Sicherheitsvorfälle innerhalb eines Unternehmens blitzschnell im ganzen Finanzsektor verbreiten und erheblichen wirtschaftlichen Schaden verursachen. Viertens hilft die Einführung effektiver und zuverlässiger Instrumente zur Bekämpfung der Sicherheitsrisiken dabei, die Kosten für die Finanzunternehmen langfristig zu senken. Im Finanzsektor steht viel auf dem Spiel, deswegen wäre es nachlässig, Sicherheitsrisiken nicht ernst zu nehmen. Für Finanzinstitute ist es ausschlaggebend, Cybersicherheit und die Betriebsstabilität ihrer digitalen Systeme kontinuierlich zu stärken. Und das gilt unabhängig davon, ob der Gesetzgeber es verlangt oder wie streng die rechtlichen Anforderungen sind. Schwachstellenbewertungen müssen regelmäßig durchgeführt werden, um Sicherheitslücken in den von den Finanzinstituten genutzten Systemen, Prozessen, Strategien, Richtlinien, IKT-Protokollen sowie IKT-Werkzeugen unverzüglich ermitteln und bewerten zu können.
Um sich auf dem Weg durch den Regulierungsdschungel nicht verwirren zu lassen, müssen die Finanzunternehmen Folgendes wissen: Cybersicherheit, operationelle Betriebsstabilität digitaler Systeme und Betrugsprävention sind eng miteinander verbunden. Deshalb ist es von entscheidender Bedeutung, dass Finanzinstitute ein Maßnahmenbündel erarbeiten, um die Anforderungen der verschiedenen Verordnungen zu erfüllen.
Bei der Entwicklung effektiver Mechanismen zur Prävention und Schadensbekämpfung von Cyberbedrohungen befindet sich der gesamte Sektor im Kampf gegen einen gemeinsamen Feind. Deshalb sollten Finanzunternehmen proaktiv handeln und mit Mitteln, die über die regulatorischen Vorschriften hinausgehen, für mehr Sicherheit in ihrem Sektor einstehen. Regelmäßiger Wissensaustausch der besten Praktiken und aus eigener Erfahrung gewonnenen Erkenntnissen sowie eine stärkere freiwillige Offenlegung von Betrugsbekämpfungsmaßnahmen und Vorfällen innerhalb der Industrie sind hier wünschenswert. Darüber hinaus sollen sich Finanzunternehmen um die gewissenhafte Ausbildung ihrer Mitarbeiter bemühen, damit ein verantwortungsbewusstes Verhalten des Personals zum Standard wird. Letztlich muss Aufklärungsarbeit im Zusammenhang mit einer effektiven Kundenkommunikation betrieben werden, damit der Kunde weiß, wie er sich am besten vor Cyberkriminalität schützen kann. N26 stimmt den oben genannten Punkten ausdrücklich zu und verwendet die modernsten Sicherheitsmechanismen wie biometrische Authentifizierung und 3D Secure für sichere Online-Transaktionen. Um den hohen Sicherheitsstandard ihrer Produkte und Services kontinuierlich weiterzuentwickeln, hat N26 spezielle Sicherheitsteams im Einsatz, die potenzielle Bedrohungen analysieren und technische Produktsicherheit testen. Der N26-Blog informiert Kunden regelmäßig über die neuen Arten des Überweisungs-, Karten-, Telefonbetrugs und Online-Scams und deren Vorbeugung.Der Finanzsektor erleidet jede Woche durchschnittlich 1.130 Cyberattacken. Diese Anzahl hat sich im Vergleich zum Vorjahr verdoppelt. Ohne Zweifel werden Finanzinstitute auch in der Zukunft von allen Arten von Cyberangriffen weiterhin betroffen sein. Gleichzeitig werden die Methoden der Cyberkriminellen von Jahr zu Jahr einfallsreicher. Finanzinstitute müssen deshalb den Finger am Puls der Zeit haben und regelmäßig neue Ansätze entwickeln, um die fortschrittlichen Bedrohungen wirksam zu bekämpfen.
Die digitale Revolution hat zur Entwicklung von digitalen Technologien im Finanzsektor beigetragen. Banken bieten ihren Geschäftspartnern und Kunden mobile Anwendungen und Online-Banking-Systeme, über die alle grundlegenden Bankgeschäfte aus der Ferne zum gewünschten Zeitpunkt abgewickelt werden können. Beliebte Services wie Online-Banking und Banking-Apps erweitern die Angriffsfläche für Cyberkriminelle. Sicherheitsschwachstellen können gravierende Folgen für den gesamten Sektor hervorrufen. Allein im Jahr 2021 betrugen die jährlichen Verluste durch Cyberkriminalität 5,5 Billionen Euro weltweit. Die Betrugsmaschen werden dabei immer raffinierter. Cyberangriffe zielen in der Regel darauf ab, sich Zugang zu sensiblen Daten zu verschaffen, diese zu verändern oder betrügerisch zu verwenden, Geld von NutzerInnen zu stehlen oder Geschäftsabläufe zu stören. Die Umsetzung wirksamer Maßnahmen zum Schutz von Betriebssystemen, Programmen und Netzwerken vor Cyberangriffen ist für das Funktionieren eines Finanzunternehmens unerlässlich.
Wo entstehen die Sicherheitslücken?
Europäische Regulierung sorgt für einen hohen Sicherheitsstandard im Finanzsektor
NIS2
- Risikoanalyse,
- Sicherheitskonzepte für Informationssysteme,
- Mechanismen zur Bewältigung und Vorbeugung von Cybervorfällen,
- Back-up- und Krisenmanagement,
- Maßnahmen zur Gewährleistung der Sicherheit von Lieferketten,
- Schulungen des Personals zur Cybersicherheit,
- Einsatz von Multi-Faktor-Authentifizierung und Verschlüsselungstechniken.
DORA
- zum Management von IKT-Risiken: DORA erfordert von den Finanzinstituten ein umfassendes IKT-Risikomanagement. Dies bedeutet, dass Finanzinstitute über verschiedene IKT-Strategien, -Verfahren und -Werkzeuge verfügen müssen, die es ihnen ermöglichen, Risiken frühzeitig zu erkennen, IKT-Systeme zu schützen und das Risiko von Cybersicherheitsvorfällen zu mindern. Darüber hinaus müssen sie Back-up- und andere Wiederherstellungsmethoden ausarbeiten und in der Lage sein, sich von Cybersicherheitsvorfällen so schnell wie möglich zu erholen. Außerdem müssen die Unternehmen die Risiken im Zusammenhang mit Dienstleistungen Dritter bewerten und über Strategien verfügen, die sicherstellen, dass nur geeignete Dienstleistungen Dritter in Anspruch genommen werden.
- zum Testen ihrer betrieblichen Widerstandsfähigkeit: Die Verordnung verlangt von den Finanzinstituten, dass sie ihre operationelle Widerstandsfähigkeit regelmäßig testen. Die Tests sollten einen risikobasierten Ansatz verfolgen und über eine Einheitslösung hinausgehen. Damit soll sichergestellt werden, dass die Cyber-Risikokontrollen der Unternehmen auf ihr jeweiliges Geschäft zugeschnitten sind.
- zur Meldung schwerwiegender IKT-bezogener Vorfälle an Finanzaufsichtsbehörden: Tritt ein Cyberangriff oder ein Sicherheitsvorfall ein, müssen die Unternehmen das Ereignis aufzeichnen und der zuständigen Aufsichtsbehörde melden. Das Verfahren wird ähnlich wie die Meldung der Datenverstöße an die zuständige Datenschutzbehörde nach der Datenschutz-Grundverordnung sein. Die Fristen für die Meldung von Vorfällen werden in den kommenden technischen Regulierungsstandards festgelegt.
CRA
Warum müssen Banken ihre Sicherheit stärken?
Proaktives Handeln kommt allen Seiten zugute
Ausblick auf die Zukunft
Beiträge, die dem folgenden Thema entsprechen
VON DR. ANASTASIA KOTOVSKAIA, LL.MFachbereichsleiterin der Abteilung für Finanzmärkte und Informationstechnologie am Centrum für Europäische Politik ‒ Stiftung Ordnungspolitik, Berlin
Ähnliche Artikel
Entdecke ähnliche Artikel aus unserem Blog, die dich vielleicht interessieren könntenTechnologie und Sicherheit
Quishing: Wie Betrüger QR-Codes nutzen, um Daten zu stehlen
Gedankenlos jeden QR-Code scannen? Lieber nicht. Worauf du achten solltest, um nicht auf einen Quishing-Betrug hereinzufallen.
Lesezeit: 4 Min.
Technologie und Sicherheit
Hier erfährst du, wie du sicher online einkaufst und dein Geld schützt
Schütze dich mit diesem einfachen Leitfaden vor Betrug und kaufe sicher online ein.
Lesezeit: 9 Min.
Technologie und Sicherheit
Die Rolle der KI im Zahlungsverkehr und Banking
Künstliche Intelligenz verändert das Banking durch verbesserte Betrugserkennung, Risikobewertung und Kundenbetreuung. Xavier Lavayssière beleuchtet das Potenzial und die Herausforderungen von KI.
Lesezeit: 8 Min.