IT-Risiken lauern vor allem im eigenen Haus
IT-Risiken lauern vor allem im eigenen Haus
IT- und Cyberrisiken zählen seit geraumer Zeit zu den größten aktuellen Herausforderungen bei Finanzdienstleistern. Z.B. forderte BaFin-Exekutivdirektor Röseler im Oktober 2021: „IT-Sicherheit muss bei jedem Institut Top-Priorität sein“ (BaFin - Fachartikel - IT-Aufsicht bei Banken).
Eine am 10. Juli 2024 von der BaFin veröffentlichte neue Studie zu meldepflichtigen Zahlungssi-cherheitsvorfällen bei Zahlungsdienstleistern in Deutschland liefert interessante Details hierzu (BaFin - Fachartikel - Überwiegend hausgemacht)1.
Insgesamt wurden 2023 rund 235 Zahlungssicherheitsvorfälle und damit um 17,5 Prozent mehr als im Vorjahr gemeldet, von welchen insgesamt 7,12 Mio. Zahlungsdienstnutzer betroffen waren. 95% davon waren Betriebs- und nur 5% Sicherheitsvorfälle, z.B. Distributed-Denial-of-Service (DDoS)-Attacken, Phishing- und Ransomware-Angriffe. Möglicherweise ist diese Zahl Ausdruck des immer besseren Schutzes der Institute. Sie darf aber keinesfalls Anlass sein, in den Cybersicherheitsbemü-hungen nachzulassen, denn die Anzahl der Cyberangriffe ist weiterhin hoch und steigend.
1 Die Studie basiert auf Meldungen von Zahlungsdienstleistern gemäß der Meldeanforderungen der Richtlinie (EU) 2015/2366 (Payment Services Directive2 – PSD2).
Besonders interessant sind die Quellen der gemeldeten Betriebsvorfälle. 57% der Betriebsvorfälle sind System- und weitere 21% Prozessfehler. Menschliches Versagen steht hinter knapp 9% der Vor-fälle und nur knapp 5% der gemeldeten Betriebsvorfälle wurden durch böswillige Handlungen verur-sacht. Dies bedeutet, dass mehr als 80% der Sicherheitsvorfälle auf Schwächen im IT-Betrieb und in Operations zurückzuführen sind. Dieser hohe Wert unterstreicht die Bedeutung von operationeller Resilienz sowohl im eigenen Haus als auch in der Lieferkette für die IT- und Informationssicherheit.
Der am 17. Januar 2025 in Kraft tretende Digital Operational Resilience Act (DORA) forciert genau das und erhöht die regulatorischen Anforderungen an Finanzinstitute weiter. Bei der Bewältigung dieser Herausforderungen unterstützen die erfahrenen Expertinnen und Experten von BDO sehr gerne. Seit vielen Jahren helfen wir unseren Kundinnen und Kunden, die stetig steigenden regulato-rischen Anforderungen zur IKT-Sicherheit, dem Auslagerungsmanagement und der operationellen Resilienz passgenau und effizient umzusetzen und dabei nicht nur regulatorische Compliance, son-dern auch operationelle Exzellenz zu gewährleisten.
Eine am 10. Juli 2024 von der BaFin veröffentlichte neue Studie zu meldepflichtigen Zahlungssi-cherheitsvorfällen bei Zahlungsdienstleistern in Deutschland liefert interessante Details hierzu (BaFin - Fachartikel - Überwiegend hausgemacht)1.
Insgesamt wurden 2023 rund 235 Zahlungssicherheitsvorfälle und damit um 17,5 Prozent mehr als im Vorjahr gemeldet, von welchen insgesamt 7,12 Mio. Zahlungsdienstnutzer betroffen waren. 95% davon waren Betriebs- und nur 5% Sicherheitsvorfälle, z.B. Distributed-Denial-of-Service (DDoS)-Attacken, Phishing- und Ransomware-Angriffe. Möglicherweise ist diese Zahl Ausdruck des immer besseren Schutzes der Institute. Sie darf aber keinesfalls Anlass sein, in den Cybersicherheitsbemü-hungen nachzulassen, denn die Anzahl der Cyberangriffe ist weiterhin hoch und steigend.
1 Die Studie basiert auf Meldungen von Zahlungsdienstleistern gemäß der Meldeanforderungen der Richtlinie (EU) 2015/2366 (Payment Services Directive2 – PSD2).
IT-Risiken - eine vielschichtige Bedrohung
Die präsentierten Zahlen zeigen stellvertretend für Kreditinstitute und Finanzdienstleister, dass die Risiken sowohl im eigenen Institut schlummern als auch bei seinen externen Dienstleistern. 40% der gemeldeten Vorfälle wurden von letzteren verursacht. Dieser Trend verstärkt sich durch die stetig steigende Zahl von IT-Auslagerungen und Clouddiensten. Konzentrationen bei den IT-Dienstleistern erhöhen die Auswirkungen von Vorfällen in der gesamten Branche, wie man besonders prominent und deutlich bei den weltweiten Betriebsausfällen am 19. Juli sehen konnte.Besonders interessant sind die Quellen der gemeldeten Betriebsvorfälle. 57% der Betriebsvorfälle sind System- und weitere 21% Prozessfehler. Menschliches Versagen steht hinter knapp 9% der Vor-fälle und nur knapp 5% der gemeldeten Betriebsvorfälle wurden durch böswillige Handlungen verur-sacht. Dies bedeutet, dass mehr als 80% der Sicherheitsvorfälle auf Schwächen im IT-Betrieb und in Operations zurückzuführen sind. Dieser hohe Wert unterstreicht die Bedeutung von operationeller Resilienz sowohl im eigenen Haus als auch in der Lieferkette für die IT- und Informationssicherheit.
Externer und interner Schutz essenziell
Die Studie zeigt, dass ein funktionierendes Change- und Testmanagement, Schwachstellen- und Patchmanagement, Incident Management, Lifecycle Management, prozessimmanente Kontrollen, laufendes Training und Schulungen und eine sorgfältige Auslagerungs- und Dienstleistungssteuerung nicht nur für die Betriebsstabilität, sondern vor allem auch für die Betriebs- und Informationssi-cherheit von entscheidender Bedeutung sind. Nur beispielhaft seien aufgezählt:- Offene Schwachstellen werden innerhalb von Minuten nach ihrer Veröffentlichung für pro-fessionell durchgeführte Angriffe ausgenutzt.
- Unzureichend gehärtete, ungenügend konfigurierte oder instabile Soft- und Hardware bie-tet leicht ausnutzbare Angriffsflächen und gefährdet die Stabilität von Geschäftsprozessen.
- Unnötig komplizierte Prozesse und unzureichend qualifizierte Mitarbeiterinnen und Mitar-beiter fördern Fehler und beeinträchtigen die Betriebsstabilität.
- Eine intrasparente Lieferkette sowie eine unzureichende Koordination und Kommunikation innerhalb dieser erhöhen das Risiko von Ausfällen und Angriffen.
Der am 17. Januar 2025 in Kraft tretende Digital Operational Resilience Act (DORA) forciert genau das und erhöht die regulatorischen Anforderungen an Finanzinstitute weiter. Bei der Bewältigung dieser Herausforderungen unterstützen die erfahrenen Expertinnen und Experten von BDO sehr gerne. Seit vielen Jahren helfen wir unseren Kundinnen und Kunden, die stetig steigenden regulato-rischen Anforderungen zur IKT-Sicherheit, dem Auslagerungsmanagement und der operationellen Resilienz passgenau und effizient umzusetzen und dabei nicht nur regulatorische Compliance, son-dern auch operationelle Exzellenz zu gewährleisten.