Die Gefahr durch Cyberangriffe auf Finanzinstitute wächst

Im Interview: Heinrich Lottmann, Business Information Security Officer (CSO) & CISSP der TARGOBANK AG & Co. KGaA, Düsseldorf (DigiPraktiker 03/2018)

Heidi Bois, Finanz Colloquium Heidelberg: Finanzinstitute treiben ihre Digitalisierung stark voran und bedienen die Nachfrage ihrer Kunden durch simple Services – 24/7. Doch jeder neue digitale Service bringt auch neue Cyber-Bedrohungen durch Dritte, Insider und geopolitische Risiken mit sich. Woher stammen die Cyber-Risiken aus Ihrer Sicht? Sehen Sie auch die Gefahr, dass die Sicherheitslücke zwischen Investitionen in Technologie, Mitarbeitern und Prozessen zur Entschärfung neuer Internet-Schwachstellen immer größer wird?

Heinrich Lottmann: Unsere Erfahrungen zeigen, dass das größte Risiko immer noch vom menschlichen Verhalten ausgeht und in seltensten Fällen von der Technologie: Manche Kunden gehen mit ihren sensiblen Daten – z. B. mit ihren Zugangsdaten zum Online-Banking – schlicht nicht sorgfältig genug um. In diesen Fällen haben es Betrüger leicht, an die Daten und letztlich an das Geld des Kunden zu gelangen.

Heidi Bois: Wie sieht Ihre Cyber-Strategie aus? Ist das Thema Cyber-Sicherheit bereits integraler Bestandteil Ihrer Geschäftsabläufe?

Heinrich Lottmann: Cyber-Sicherheit ist definitiv ein Thema mit höchster Priorität und in erster Linie durch den Bereich IT -Security in unsere Geschäftsabläufe integriert. Es wurden spezielle Prozesse aufgesetzt, um diese Disziplin abzubilden, zu bewerten, zu bearbeiten und übergreifend zu managen. Cyber-Angriffe werden identifiziert und im Unternehmen schnell und detailliert kommuniziert. Das ist übrigens nicht neu: Unter dem Begriff „Informationssicherheit“ war die Cyber-Sicherheit schon immer integraler Bestandteil unserer Prozesse. Allerdings ist die Aufmerksamkeit, wie Finanzdienstleister mit dem Thema umgehen, über die Zeit größer geworden. Aktuell beschäftigt uns die neue EU-Datenschutzgrundverordnung, die im Mai in Kraft tritt – aber auch neue EU-Regelwerke, wie die zweite Zahlungsdiensterichtelinie PSD2 und die NIS-Directive für Netz- und Informationssicherheit, die höhere Anforderungen an Sicherheit definieren. Glücklicherweise ist das Datenschutzniveau in Deutschland schon immer sehr hoch gewesen und nah an den jetzt geforderten Bedingungen. Das sieht in anderen europäischen Ländern mitunter anders aus.

Heidi Bois: Wie wappnen Sie sich für Angriffe von innen? Auch Mitarbeiter könnten Opfer von Cyberkriminellen werden – oder selbst kriminelle Energien entwickeln. Stellt Ihre Sicherheitsstrategie sicher, dass nicht nur Angriffe von außen erkannt werden, sondern auch verdächtiges Verhalten innerhalb Ihres Instituts?

Heinrich Lottmann: Das stellen wir grundsätzlich über zwei Wege sicher: Mitarbeiter-Awareness und regelmäßige Trainings – beide sind integrale Bestandteile unserer Sicherheitsstrategie und gehen Hand in Hand. Über Pflichttrainings für alle Mitarbeiter der Targobank und über anlassbezogene interne Bekanntmachungen ist gewährleistet, dass unsere Mitarbeiter in der Lage sind, Betrugsversuche (z. B. CEO Fraud oder Social Engineering) zu erkennen und entsprechend zu reagieren. Die Trainings dienen dabei nicht nur der Wissensvermittlung und der Einübung wesentlicher Fähigkeiten. Wir können dadurch auch identifizieren, wie der aktuelle Kenntnisstand unserer Mitarbeiter ist und bei Bedarf nachsteuern. Zentrale Stellen wie unsere Telefonzentrale oder der Kundenservice werden besonders intensiv geschult und sensibilisiert. Darüber hinaus führen wir sogenannte „Classroom-Trainings“ mit besonders digital affinen Mitarbeitergruppen (z. B. Azubis) mit dem Ziel durch, dass diese als Multiplikatoren zum Thema Digitalisierung und Cyber-Sicherheit tätig sind.

Heidi Bois: Was für Cyber-Attacken hatten Sie bislang und wie sind Sie damit umgegangen?

Heinrich Lottmann: Wir hatten in jüngster Vergangenheit einige Versuche von CEO-Fraud und Social Engineering. Diese wurden aber allesamt entdeckt und abgewehrt. In einem Fall haben wir sogar das Landeskriminalamt eingeschaltet, das die weiteren Ermittlungen dann übernommen hat.

Heidi Bois: Gibt es aus Ihrer Sicht eine hundertprozentige Cybersicherheit?

Heinrich Lottmann: Nein, eine 100%-ige Sicherheit kann es nicht geben. Aber wir bemühen uns, die Hürden für Cyberangriffe so hoch wie möglich zu halten.

Heidi Bois: Wie viele Mitarbeiter beschäftigen Sie für die Cyber-Sicherheit in Ihrem Institut? Arbeiten Sie hier auch mit externen Unternehmen zusammen?

Heinrich Lottmann: Wir haben eine Steuereinheit in der Unternehmensgruppe, die sich hauptamtlich mit den Themen Datenschutz, Informations- und Cyber-Sicherheit befasst. Die Kollegen stehen im ständigen Kontakt und Austausch mit festen Ansprechpartnern in allen IT- und Business-Einheiten der Bank. Durch die bereits erwähnten Schulungen aller Mitarbeiter ist aber letztendlich jeder in seinem Arbeitsbereich Verantwortlicher und trägt so dazu bei, dass am Thema Sicherheit bei uns im ganzen Unternehmen gearbeitet wird.

Heidi Bois: Die Abwehr von Cyberrisiken erfordert ein erhebliches Maß an Weitblick und Einfallsreichtum, da sich die Bedrohungen ständig ändern. Nutzen Sie auch schon „Big Data“, zur Aufdeckung ungewöhnlicher Muster, die auf einen Cyberangriff hindeuten? Was sind hier Ihre Erfahrungen?

Heinrich Lottmann: In Teilen nutzen wir „Big Data“. Unsere Erfahrung zeigt, man kann Ergebnisse daraus ziehen. Es ist aber ein überaus großer Aufwand, die Menge an ungefilterten Daten so zu sortieren, aufzubereiten und auszuwerten, dass am Ende auch wirklich aussagekräftige Ergebnisse dabei herauskommen. Die Herausforderung ist, aus der Datenfülle nutzbare Erkenntnisse zu generieren. Um die Datenabfragen zu konfigurieren, bedarf es großer zeitlicher und finanzieller Investitionen.

Heidi Bois: Führen Sie regelmäßig Penetrationstests durch?

Heinrich Lottmann: Ja, für alle Webseiten und Applikationen, die aus dem Internet von außen aufrufbar sind. Das beinhaltet auch unsere Apps.

Heidi Bois: Welche Tipps und Erfahrungen können Sie unseren Lesern mit auf den Weg geben in Sachen Cyber-Sicherheit?

Heinrich Lottmann: Bei aller Technik und Schulung: Der beste Weg, eine möglichst hohe Sicherheit zu gewährleisten, ist immer noch mit gesundem Menschenverstand an die Dinge heranzugehen und entsprechend zu reagieren, wenn einem etwas komisch vorkommt.

Heidi Bois: Herr Lottmann, vielen Dank für Ihre Zeit und die Beantwortung unserer Fragen. Wir wünschen Ihnen weiterhin viel Erfolg bei der Abwehr von Cyberrisiken!

 

Heidi Bois leitet den Vertrieb der FCH Gruppe AG und ist Redaktionsmitglied der Fachzeitschrift DigiPraktiker.

 

Beitragsnummer: 36557



0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.