IT-Sicherheit bei Banken und Versicherern: Gut, aber auch gut genug?
“Wie steht es um die IT-Sicherheit in Deutschland?” Dieser Frage geht die Studie „Cybersicherheit in Zahlen“ bereits zum zweiten Mal nach. Dabei hat G DATA CyberDefense in Zusammenarbeit mit Statista und ‘brand eins’ einen Blick auf den Status quo einzelner Branchen geworfen. Für Banken und Versicherungen gilt: Obwohl sich viele Mitarbeiter von ihrem Arbeitgeber gut geschützt fühlen, schätzen zahlreiche Angestellte das Risiko von Cyberattacken hoch ein. Hinzu kommt der Fachkräftemangel in der IT, der sich auch auf die IT-Sicherheit auswirkt.
von Tim Berghoff, Security-Evangelist G DATA
Datenschutzverletzungen, Erpressung mit verschlüsselten Daten oder der Ausfall von Informations- oder Produktionssystemen – Schäden durch Cyberangriffe fallen unterschiedlich aus. Trotzdem haben sie eine Gemeinsamkeit: Die Schadenssummen steigen in allen Bereichen, wie eine aktuelle Studie des Branchenverbands Bitkom zeigt. So ist der Schaden durch Datenschutzverletzungen von 2015 auf 2021 um 755 Prozent gestiegen, die Schadensumme durch Erpressung gar um mehr als 1.500 Prozent.IT‘ler dringend gesucht
Der IT-Fachkräftemangel ist auch bei Banken und Versicherungen spürbar und liegt deutlich über den Branchendurchschnitt.
Zwei Drittel der Interviewten aus der Bank- und Versicherungsbranche suchen dringend oder sehr dringend Mitarbeiterinnen und Mitarbeiter für die IT.”
Branchenübergreifend sind 53 Prozent händeringend auf der Suche nach Angestellten. Für den Bereich IT-Security benötigen 61 Prozent der Befragten dringend oder sehr dringend neues Personal. Über alle Branchen hinweg suchen 51 Prozent der Befragten Mitarbeiter für die IT-Sicherheit. Aber die reine Feststellung, dass Personal fehlt, hilft nur bedingt weiter – dass ein Mangel an Fachkräften herrscht, ist wohl kaum eine Überraschung.
Entscheidender ist die Frage, mit welchen Herausforderungen Unternehmen bei der Rekrutierung von Mitarbeitenden im IT-Bereich konfrontiert sind. So klagen 32 Prozent der Befragten über Bewerberinnen und Bewerber mit nicht ausreichenden Qualifikationen und 42 Prozent über Bewerberinnen und Bewerber mit (nach eigener Angabe) überzogenen Gehaltsforderungen.
Berichte über ausbleibende oder zu wenig Bewerber auf eine ausgeschriebene Stelle melden 41 Prozent der Befragten.”
Andere Themen wie Work-Life-Balance. Fehlende Karrieremöglichkeiten oder schlechte IT-Ausstattung spielen dagegen eine untergeordnete Rolle. Grundsätzlich zeigt sich, dass Personalmangel im Allgemeinen und in der IT-Sicherheit im Besonderen sich nicht kurzfristig lösen lässt. Sicherlich kommen Aus- und Weiterbildungen eine zentrale Rolle zu. Wo aber Mitarbeitende in der IT fehlen, können sich Digitalisierungsprojekte verzögern. Und wenn IT-Security-Personal fehlt, kann es sich nachteilig auf die IT-Sicherheit auswirken, wenn etwa Logdaten gar nicht oder verspätet ausgewertet oder deren Interpretation fehlerhaft ist. Mindestens genau so problematisch ist es, wenn Updates für Systeme oder Anwendungen nicht schnellstmöglich installiert werden. Welche Rolle IT-Sicherheit beim Recruiting spielen kann, verdeutlicht folgende Zahl: 57 Prozent der Befragten wollen nicht in einem Unternehmen arbeiten, dass mit IT-Sicherheit zu locker umgeht. Heißt: Fehlende oder nicht ausreichende Passwort-Vorgaben oder andere Sicherheitsmängel schrecken Bewerberinnen ab.
Ohne Geld gibt es keine Sicherheit
In Anbetracht der latent hohen Bedrohungssituation müssen Banken und Versicherungen auch weiterhin Geld in IT-Sicherheitsmaßnahmen stecken. Mehr als die Hälfte der Interviewten berichtet von einer steigenden Investitionsbereitschaft – im Branchendurchschnitt sind es jedoch nur 45 Prozent. Allerdings stellt sich bei genauem Hinsehen die berechtigte Frage, an welcher Stelle Unternehmen investieren sollen oder müssen – angesichts der zentralen Bedeutung der IT.
Grundsätzlich vertreten die Befragten aus der Finanz- und Versicherungsindustrie die Meinung, dass die Investitionen in sicherheitskritische Bereiche ausreichend sind.”
Bei drei Themen wird nach Einschätzung der Befragten zu wenig investiert: Bei personellen Verstärkungen der IT-Abteilung (38 Prozent), die Aus- und Weiterbildung von IT-Mitarbeiterinnen und Mitarbeiter (17 Prozent) und bei der Sensibilisierung aller Mitarbeitenden für IT-Sicherheit (15 Prozent).
Ein gutes (Sicherheits-)Gefühl
Grundsätzlich sind Angestellte von Banken und Versicherungen im beruflichen Umfeld gut geschützt – 84 Prozent der Befragten fühlen sich durch die angewendeten Sicherheits- und Schutzmaßnahmen gut oder sehr gut geschützt.
Im Vergleich aller Branchen sind Banken und Versicherungen der Sektor mit dem höchsten Sicherheitsgefühl – der Branchendurchschnitt liegt bei 71 Prozent.”
Für das private Umfeld teilen nur 65 Prozent diese Meinung. Gleichzeitig bewerten 40 Prozent der Befragten das Risiko einer Cyberattacke für ihren Arbeitgeber als hoch oder sehr hoch ein, was ebenfalls den höchsten Wert innerhalb der Branche darstellt. Im Branchendurchschnitt gibt nur jeder Dritte die Gefahr eines Cyberangriffs auf seinen Arbeitgeber als hoch oder sehr hoch an. Die Erklärung liegt auf der Hand. Banken waren und sind schon immer ein attraktives Ziel für Angreifer – nicht erst seit der Digitalisierung. In diesem Zusammenhang schätzen auch 64 Prozent der Befragten das eigene Unternehmen beim Thema IT-Sicherheit nicht als leichtsinnig ein – ein Wert, der deutlich über dem Durchschnitt (51 Prozent) liegt.
Apropos Kommunikation: 67 Prozent der Befragten aus Banken und Versicherungen stimmen der Aussage zu, dass IT-Sicherheitslücken von globalen Ausmaßen, wie etwa Log4Shell, zu wenig beziehungsweise viel zu wenig in der Öffentlichkeit kommuniziert werden.”
Hier besteht ein bemerkenswertes Informationsdefizit. Denn sieben von zehn Befragten bei Banken und Versicherungen haben großes Interesse an IT-Schwachstellen und deren Auswirkungen. Stellt sich die Frage, wer derartige Informationen liefern kann und soll. Die Antwort fällt uneindeutig aus:
Als Informationsquelle dienen der beauftragte IT-Sicherheitsdienstleister (30 Prozent), das BSI (27 Prozent) sowie der beauftragte IT-Dienstleister (28 Prozent). Fachmedien als Informationsquelle nennen nur 22 Prozent der Befragten. Fachmedien wird also weniger Bedeutung beigemessen, weil es eben Medien sind, die gerne mal übertrieben oder Informationen falsch interpretieren. Behörde oder versierte Dienstleister werden als vertrauenswürdiger wahrgenommen.
Regulatorik stört
Der Einfluss von und die Klagen über regulatorische Vorgaben auf Banken und Versicherungen wurden auf dieser Seite ja des Öfteren berichtet.
Gerade weil Unternehmen nicht nur allgemein geltende Vorgaben, sondern auch branchenspezifische Auflagen wie PCI/DSS, BAIT oder VAIT umsetzen mussten. Es ist also keine Frage, dass sie die Branchen beeinflussen. Aber wie genau?
Jeder Vierte stimmt der Aussage zu, dass regulatorische Vorgaben wie etwa DSGVO oder IT-Sicherheitsgesetz Handlungsbedarfe im Unternehmen offengelegt hat.”
20 Prozent der Befragten geben an, dass die Vorgaben geholfen haben, Investitionen in IT-Sicherheit zu rechtfertigen und umzusetzen. Es überrascht sicherlich nicht, dass beide Aussagen eine höhere Zustimmung erhalten als im Branchendurchschnitt. 13 Prozent der Befragten sagen, dass sich regulatorische Vorgaben störend auf das Geschäft auswirken, weil individuelle Voraussetzungen der Branche nicht berücksichtigt werden.
Ausgeprägtes Sicherheitsbewusstsein
Die Studie zeigt, dass Angestellte in Banken und Versicherungen eine klare Haltung zum Thema IT-Sicherheit haben, die in den meisten Fällen überdurchschnittlich ist. So stimmen 68 Prozent der Aussage zu, dass gesetzliche Regeln im Bereich IT-Sicherheit sinnvoll sind und sich die Befragten daranhalten, auch wenn die Umsetzung sehr komplex ist. Der Wert liegt zehn Prozentpunkte über dem Durchschnitt. Jeder Zweite befürwortet unangekündigte Wissensüberprüfungen zum Thema IT-Sicherheit. Das zeigt, wie wichtig der Faktor Mensch als IT-Schutzmaßnahme ist. 43 Prozent sprechen sich für höhere Bußgelder bei Verstößen zu Sicherheitsvorfällen aus.
Allerdings zeigt sich, dass immer noch ein Restrisiko besteht, weil Mitarbeitende falsch reagieren oder einen Fehler unter den Teppich kehren.
So geben fünf Prozent der Befragten an, dass sie einen IT-Sicherheitsvorfall gegenüber dem Chef oder der IT-Abteilung verschweigen würden, acht Prozent würden einen IT-Sicherheitsvorfall gegenüber Kunden verheimlichen.”
Jeder Zehnte würde sogar einen IT-Sicherheitshinweis ignorieren. Ein Beispiel dafür ist das Ausführen von Makros in einem Office-Dokument. Makros sind ein bei Cyberkriminellen weitverbreiteter Weg, um Schadsoftware in Unternehmensnetzwerke einzuschleusen.
Fazit: Gut, aber nicht gut genug
Die Studie „Cybersicherheit in Zahlen“ zeigt, dass Banken und Versicherungen beim Thema IT-Sicherheit schon einen Schritt weiter als andere Branchen sind.”
Die Studie „Cybersicherheit in Zahlen“ zeigt, dass Banken und Versicherungen beim Thema IT-Sicherheit schon einen Schritt weiter als andere Branchen sind.”
Ein Grund dafür sind aufsichtsrechtliche Vorgaben, welche die Institute schon frühzeitig zum Handeln gezwungen haben. Allerdings darf kein Unternehmen in den Bemühungen nachlassen, wenn es um IT-Sicherheit geht. Einer der ausschlaggebenden Hebel für mehr IT-Sicherheit: Das Sicherheitsbewusstsein der Mitarbeitenden schärfen. Ihr Wissen und ihre Reaktionsfähigkeit sind von entscheidender Bedeutung, um Cyberattacken frühzeitig zu unterbinden.Tim Berghoff, G DATA
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/148432
Schreiben Sie einen Kommentar