“Lückenlose Datensicherheit ist eine Illusion” – Gunnar Woitack, CISO EOS Gruppe

In kaum einem anderen Umfeld ist Cyber Security so relevant wie im Finanzbereich. Dabei handelt es sich um ein weitaus größeres Feld als nur um Datenschutz. Gunnar Woitack, Chief Information Security Officer (CISO) der EOS Gruppe, über die Herausforderungen von Cyber Security im Finanzumfeld und Maßnahmen zur bestmöglichen Optimierung von Sicherheitsprozessen.

von Gunnar Woitack, Chief Information Security Officer EOS Gruppe

Der Schutz von personenbezogenen Daten hat natürlich oberste Priorität. Das gilt auch für Inkassodienstleister.

Die Auswirkungen, wenn zum Beispiel Rechnungsunterlagen oder Kontodaten in falsche Hände geraten, sind kaum auszumalen. Umso beunruhigender ist es, dass es eine hundertprozentige Datensicherheit leider nicht gibt. Das ist eine Illusion. Wer Kunden so etwas zusagt, macht schlicht falsche Versprechungen.”

Auch CIA und FBI werden gehackt. Als Unternehmen befinden wir uns in einem ständigen Wettrennen mit Angreifern, die fortlaufend versuchen, die Schutzmauern der IT-Sicherheit zu durchdringen. Es gilt also, sich bestmöglich zu wappnen und die Sicherheitsmaßnahmen stetig zu optimieren. Wer hier nicht mit der Entwicklung geht, erlebt schnell eine böse Überraschung.

Sicherheitsmaßnahmen und professionelles Datenmanagement

Gerade im Forderungsmanagement müssen Unternehmen dafür sorgen, dass Plattformen und Systeme immer auf dem neusten Stand sind. Dazu erfolgt das Patchen in einem klar definierten Prozess: Die Verantwortlichkeiten für die Durchführung, die Quellen für relevante Sicherheits-Updates sowie die Update-Tests für die tatsächliche Installation der Patches sind in der Produktivumgebung klar festgelegt. Hinzu kommen regelmäßige Penetrations-Tests, um etwaige Schwachstellen und Angriffspunkte frühzeitig zu erkennen und zu schließen. Die Simulation von Hacker-Angriffen schafft dabei möglichst reale Bedingungen und wird üblicherweise in folgende Szenarien eingestuft:

1. Blackbox-,
2. Graybox- und
3. Whitebox Test

Beim Blackbox-Test erhält der Test-Hacker keinerlei Informationen über die Anwendungen und hat somit einen vergleichbaren Wissenstand wie ein externer Angreifer. Beim Graybox-Test hat der Tester in etwa den Informationsstand, den ein System-Anwender hat. Die Aufgabe ist entsprechend, anhand eines Test-Accounts Schwachstellen im Allgemeinen aufzudecken, aber insbesondere Zugriff auf Daten außerhalb des vorgegebenen Test-Kontos zu erlangen. Das höchste Level ist der Whitebox-Test, wobei der Hacker detaillierte Kenntnisse über die innere Funktion des Systems erhält wie beispielsweise den Sourcecode zur Analyse.

Big Data zum Erkennen von unberechtigten Zugriffen

Auch Big Data spielt in der Informationssicherheit im Finanzwesen selbstverständlich eine zentrale Rolle, um Anomalien und unberechtigte Zugriffe jederzeit zu erkennen. Die Analyse und Beobachtung dieser ungeheuren Datenmengen ist für einen Menschen faktisch nicht möglich. Hier hilft der Einsatz Künstlicher Intelligenz (KI). Beispiele hierfür sind die Geo-Distanz bei aufeinanderfolgenden Log-Ins oder die Erkennung von erstmaligen Aufbauten von Netzwerkverbindungen aus ungewöhnlichen Regionen. Auch die Anomalie-Erkennung bei der Prüfung von E-Mails per KI ist als Ergänzung zu reinen Signatur-basierten Prüfungen weit verbreitet, damit auch „Zero-Day-Exploits“ aufgespürt werden können.

Sicherheitsrisiko Mensch und fehlendes Commitment

Ein Dauerbrenner bleibt das Thema Awareness: Es geht darum, Mitarbeiter fit zu machen, für Gefahren durch Schadsoftware zu sensibilisieren sowie klare Sicherheitsprozesse im Unternehmen zu etablieren.

Egal wie gut die IT-Systeme geschützt sind, der Mensch ist und bleibt die Schwachstelle in der Verteidigungskette. Das außer Acht zu lassen, ist fahrlässig und kann zu hohen wirtschaftlichen Schäden führen.”

Hier besteht in vielen Unternehmen noch massiver Investitionsbedarf. Gerade Finanzdienstleister können in die Sensibilisierung und Schulung der Mitarbeiter gar nicht genug investieren. Wichtig sind vor allem ein sicherer Umgang mit Passwörtern, regelmäßige Informationen zu Angriffstrends wie Emotet oder Phishing-Kampagnen sowie Aufklärung über Betrugsmuster wie die „Fake President“-Masche. Unternehmen, die auf Nummer sicher gehen möchten, bieten zusätzlich eine verpflichtende Schulung für alle Mitarbeiter an. Das ist heute problemlos per E-Learning möglich, Alltagsbeispiele, anschauliche Videos und interaktive Trainingsinhalte helfen beim Lernerfolg. Durch anschließende Testfragen gewinnt das Unternehmen relevante Einblicke, welche Teil-Aspekte in der Mitarbeitersensibilisierung noch stärker thematisiert werden müssen.

Mitarbeiter-Schulungen und der Einsatz Künstlicher Intelligenz allein sind aber natürlich nicht ausreichend. Damit Informationssicherheit und die Umsetzung von Vorgaben im Finanzumfeld nachhaltig verankert werden, braucht es einen kulturellen Wandel im Unternehmen. Dieser beginnt mit Führungskräften und Applikationsverantwortlichen, die den neuen Mindset vorleben müssen.

Dass sich laut EOS Studie „Europäische Zahlungsgewohnheiten“ 2019 erst 31 Prozent der deutschen Finanz-Entscheider überhaupt mit Cyber Security beschäftigt, ist besorgniserregend.”

Viele glauben offenbar immer noch, dass Datensicherheit ausschließlich ein IT-Thema ist. Das ist grundlegend falsch. Die IT kann sich niemals allein um dieses Thema kümmern. Jede Business-Abteilung ist für die Sicherung der relevanten Daten selbst mitverantwortlich. Eine klare Rollen- und Aufgabenteilung ist hier ganz wichtig – Informationssicherheit ist ein Gemeinschaftsprozess! Dazu gehört schon „Privacy by Design“ in frühen Entwicklungsphasen, sowie Penetration Tests vor Produktivnahme von Anwendungen beziehungsweise Releases.

Um die angemessene Aufmerksamkeit für Informationssicherheit im Unternehmen sicherzustellen, ist der Information Security Officer (ISO) verpflichtend in alle relevanten Projekte und Prozessänderungen einzubinden.”

Für eine standortübergreifende Absicherung und die Weitergabe von Know-how wäre bei Unternehmensgruppen ein ISO-Netzwerk essentiell.

Herausforderungen und Trends

Cyber Security ist und bleibt eine der größten Herausforderungen, aber auch wichtigsten Aufgaben im Finanzbereich. Gerade durch die Digitalisierung wird der Datenzugriff maßgeblich erleichtert und die Sicherheitsanforderungen sind angesichts von Self-Service-Portallösungen massiv gestiegen. Auch bei Inkassodienstleistern. Ähnlich wie im Online-Banking können Kunden nach dem Log-In den aktuellen Stand ihrer Forderungen ansehen und Schuldner ihre offenen Forderungen bezahlen. Das ist zwar für die Usability eine gute Nachricht, stellt die Unternehmen hinter der Plattform aber mit Blick auf die Datensicherheit vor Herausforderungen.

Der Trend, Geschäftsprozesse und Services immer weiter zu digitalisieren, ist nicht mehr aufzuhalten – und damit auch die Potenzierung von Bedrohungen. So gesehen gilt Cyber Security als ‘ugly sister of digitization’.”

Unternehmen befinden sich schlicht in einem Teufelskreis aus Weiterentwicklung und Gefahrenzunahme, welchen sie mit den genannten Sicherheitsmaßnahmen zu bekämpfen versuchen. Das ständige Wettrennen mit den Angreifern wird Finanzentscheider also immer mehr in Anspruch nehmen. Wer hier nicht ausreichend trainiert ist und die falsche Ausrüstung mitführt, wird dieses Rennen mit hundertprozentiger Sicherheit verlieren.Gunnar Woitack, CISO EOS Gruppe