4 Herausforderungen der Digitalisierung im Bereich Sicherheit
#1: Data Privacy (legal)
Diskretion, Vertraulichkeit und Datenschutz sind und bleiben Kernkompetenzen des Schweizer Finanzplatzes. In der Schweiz regelt die Eidgenössische Finanzmarktaufsicht FINMA und das Bundesgesetz über den Datenschutz (DSG) die Rahmenbedingungen, an denen sich alle Akteure auszurichten haben. Dabei schützt das DSG die Persönlichkeit und die Grundrechte von natürlichen und juristischen Personen, deren personenbezogenen Daten bearbeitet werden. Zusätzlich regelt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union den Umgang mit personenbezogenen Daten von Schweizer Unternehmen, die auf dem Gebiet der EU tätig sind. Diese gesetzlichen Bestimmungen nennen die Voraussetzungen für eine zulässige Datenbearbeitung und beugen damit möglichen Missbräuchen personenbezogener Daten vor. Eine strikte Klassifizierung aller personenbezogenen Daten und Informationen dient also sowohl dem Schutz von Kundendaten und Privatsphäre als auch der Unternehmenswerte.
#2: Data Protection (technisch)
Mobile Banking oder Bezahl-Apps sind heute nicht mehr aus dem Alltag der Kunden wegzudenken. Der mobile Zugriff auf Kontodaten und Kreditkarteninformationen hat sich bei den Nutzern etabliert. Dies generiert neue Sicherheitslücken, welche besonders im Auge behalten werden müssen. Data Security wird dabei immer mehr in die Applikationen verlagert, was insgesamt zu einem konzeptionellen Umdenken führt. Die Verschlüsselung von Daten und Informationen sowie das damit verbundene Schlüsselmanagement werden somit immer wichtiger. Denn fehlende Sicherheitsvorkehrungen schaden nicht nur den betroffenen Instituten, sondern der Reputation des gesamten Schweizer Finanzplatzes.
#3: Authentisierung/Authentifizierung/Autorisierung
Der Zugriffe auf Daten nur mit Usernamen und Passwort zu schützen reicht im Finanzumfeld schon lange nicht mehr. Multi-Factor Authentification (MFA) in Kombination mit physischen Merkmalen oder biometrische Daten gewinnt an Wichtigkeit, für alle externen Services aber auch im internen Netzwerk. Dabei wird die Kombination von zwei oder mehr Berechtigungsnachweisen für die Prüfung der Identität verwendet und damit das Anmeldeverfahren deutlich sicherer gemacht. Die regelmässigen Pressemitteilungen bezüglich gestohlenen Zugangsdaten und Offenlegung diverser Daten über umfangreiche Datenbanken zeigen dies eindrücklich. Die automatische und sofortige Überprüfung der physischen Eigenschaften einer Person ermöglicht die Identitätsprüfung und damit die Zugangsberechtigung zu einem System. Da die individuellen körperlichen Elemente oder biologischen Daten einer Person bewertet werden, gehört dieser biometrische Sicherheitsmechanismus heute zur stärksten physikalischen Sicherheitslösung.
#4: Von der IT Security zur Cyber Security
Die Finanzbranche ist ein beliebter Schauplatz für Hacker. Diese werden in ihrem Vorgehen immer raffinierter und ihre Angriffe auf IT-Systeme somit komplexer. Viele der Angriffe sind heute gezielt auf eine Person, ein Unternehmen oder ein Land gerichtet. Der Angreifer selbst ist heute meist wieder ein Mensch und keine Maschine – jemand mit sehr viel Geduld, Geld und sehr gutem technischen Know-How. Der Schaden, der bei solchen Angriffen entsteht, ist gross: Datenklau, Datenvernichtung, der Einsatz von Schadsoftware oder Onlinebetrug sind nur einige Beispiele dazu.
Zusatzprüfungen der FINMA deckten 2017 insbesondere bei der Identifikation von Bedrohungspotenzialen, beim Erkennen von Cyberattacken sowie bei den Schutzvorkehrungen Defizite auf. Der Trend geht daher von der statischen IT Security am Perimeter hin zu einem dynamischen Umfeld mit aktiver Überwachung, welche eine gezielte Reaktion ermöglicht. Dieser Paradigmenwechsel von «prevent breach» zu «assume breach» bedingt ein ausgereiftes Risikomanagement. Es geht also nicht mehr länger nur um die Abwehr, sondern auch um das Erkennen von Angriffen, die Identifizierung bevor Daten abfliessen, sowie das Einleiten der entsprechenden Massnahmen.
Banken müssen sich mit komplexen Sicherheitsfragen befassen
Digitalisierung und Big Data stehen auf den ersten Blick im Widerspruch zum Thema Sicherheit: Je stärker auf IT-Systeme gesetzt wird, desto höher die Gefahr, dass diese Opfer von gezielten Cyber-Attacken werden. Deshalb ist es für Banken und Finanzdienstleister ratsam, sich im Zeitalter der Digitalisierung mit den komplexen Sicherheitsfragen auseinanderzusetzen und Cyber-Sicherheit im ureigenen Interesse im Griff zu haben. Das bedeutet unter anderem, ein aktiv bewirtschaftetes Risikomanagement inkl. regelmässiger, gründlicher Security Audits zu unterhalten und Business Continuity kontinuierlich zu aktualisieren. In einem so dynamischen Umfeld müssen die Risiken durch eine aktive Überwachung und entsprechende Reaktionen gezielt beurteilt und begrenzt werden. Verwaltungsrat und Geschäftsleitung müssen sich der Verantwortung bewusst sein und vermehrt in die Pflicht genommen werden.
Security muss ganzheitlich behandelt werden
Unabhängig von Programmen und Lösungen gilt als Best Practice: Cyber Security als Ganzes geht alle Stufen an. Regelmässige Ausbildungen für Mitarbeitenden aller Positionen sind absolut notwendig, genauso wie die Schaffung einer „Security-Kultur“: Mitarbeitende verschiedener Departemente sollten gemeinsam an Security-Lösungen arbeiten. Statt als reines IT-Projekt muss Security ganzheitlich angeschaut und bearbeitet werden. Was eigentlich nicht mehr gesagt werden sollte, aber dennoch notwendig ist: Banken und Finanzdienstleister müssen absolut up-to-date sein, was Cyber Resilience anbelangt. Nicht nur IT-Verantwortliche müssen die neusten Bedrohungen und Techniken kennen – auch Endnutzer sollten über allfällige Gefahren aufgeklärt werden um Risiken, die direkt den Nutzer betreffen, schon im Keim zu ersticken.