Nicht verwunderlich, dass die Finanzindustrie seit jeher einen Spitzenplatz der für Cyber-Risiken anfälligen Branchen einnimmt. Geld und Reputation sind gefährdete «Güter» – das gilt auch für die Schweiz. Zwar sind Risikomanagement-Frameworks, wie z.B. nach ISO 31000, ISO27031 oder ISO 22301, seit Jahren bewährte essentiale Grundlagen für das Management von ICT-Risiken in verschiedenen Branchen. Doch die Angriffstaktiken und -Akteure ändern sich immer schneller – und vor allem schneller, als sich mehr oder weniger statische Frameworks anpassen können. Die Angreifer gewinnen an Know-how und sind besonders clever darin, neue Technologien und Tools für ihre Zwecke zu entfremden. Der typische Angreifer ist heute ein Mensch und keine Maschine – er ist geduldig und hartnäckig im Auffinden von Schwachstellen.
Auch wenn die Finanzindustrie ganz besonders für Information-Security sensibilisiert ist – viele Unternehmen haben den Schritt in die Next Generation Cyber Security noch nicht ganz geschafft, sondern nutzen weiterhin traditionelle Kontrollen aus Risikoframeworks und Methoden, um die Belastbarkeit ihrer Umgebungen zu prüfen. Dabei sollte Cybersicherheit in der Finanzbranche höchste Priorität geniessen.
Verhindern lässt sich nur, was antizipiert werden kann
Doch nicht nur von Angreiferseite her ändert sich das Umfeld. Umso mehr sich die Finanzdienstleister digitalisieren, ihr Frontend um digitale Lösungen bereichern und im Backend Schnittstellen für Apps von Drittanbietern öffnen, desto angreifbarer werden sie. Ihre Strategie muss sich dahingehend ändern, dass sie Angriffe nicht nur verhindern, sondern frühzeitig mögliche oder vermeintliche Risiken erkennen und sich gegen sämtliche Eventualitäten wappnen. Das Motto heisst: von «prevent breach» to «assume breach». Diese Form des Risikomanagements muss aktiv angegangen und im Unternehmen ganzheitlich gelebt werden. Es gilt: agieren statt reagieren. Denn wenn die Risiken unkonventioneller und komplexer werden, muss auch der Schutz davor dynamischer und agiler werden. Zwar können auch unkonventionelle Risikokontrollen Teil eines Frameworks sein, aber insgesamt müssen sie um neue Prozesse und Technologien ergänzt und das Control Design stetig weiterentwickelt werden. Es geht darum, die Resilienz des Unternehmens im Hinblick auf seine Angreifbarkeit und Verletzlichkeit zu steigern. Dies beinhaltet, dass hochspezialisierte Cyber-Analysten rund um die Uhr das IT-Umfeld ganzheitlich überwachen, die Risiken ständig neu analysieren und auf Augenhöhe mit den Angreifern agieren müssen. Ein Finanzinstitut ist gut beraten, sich dabei nicht nur auf die eigenen Rsikmanager zu verlassen, sondern die Cyber-Risiko-Kontrolle durch unabhängige hochspezialisierte CRC (Cyber Resilience Center) – oder gängiger: SOC (Security Operation Center) – überwachen zu lassen. Damit kann sichergestellt werden, dass die Lücke zwischen den zumeist noch konventionellen Framework-basierten Risikokontrollen und dem unkonventionellen Echtzeit-Monitoring und -Abwehrkampf geschlossen wird. Wer diese Lücke nicht schliesst, begibt sich in Gefahr.
Mix aus offensiver Suche nach Schwachstellen und defensiver Neutralisierung der Bedrohungen nötig
Die Aufgabe eines Cyber-Analysten in einem CRC ist es, alles aufzuspüren, was von der Norm abweicht und/oder einen verdächtigen Eindruck macht. Dies wird primär durch tägliche «Incident Response & Analyse» und «Threat Intelligence» gewährleistet. Dem Cyber Resilience Team obliegt es, offensiv nach Schwachstellen zu suchen und zugleich defensiv deren Bedrohtheit zu neutralisieren. Und dies nicht einmalig, sondern permanent. Denn so rasch sich die Bedrohungslage ändert, muss auch das Sicherheitsdispositiv darauf angepasst werden. Bei der heutigen Durchlässigkeit zwischen IT und Business muss ersteres resilient sein, damit letzteres optimal geschützt werden kann.