Banken müssen modernisieren und ihre Cybersecurity der neuen Realität anpassen
Das Nutzererlebnis spielt eine immer größere Rolle bei der Frage, welcher Bank Verbraucher ihr Geld anvertrauen. In vielen Fällen geht es dabei ums Frontend. Doch das auch gerade im Backend die Musik spielt, wird klar, wenn man sich die Banking-Schlagzeilen der letzten Wochen ansieht. Cybersecurity muss jetzt höchste Priorität bekommen und umfassend gewährleistet werden. Das Plädoyer für einen Zero-Trust-Ansatz!
von Thomas Vetsch, Director Sales DACH Industry bei Citrix (Website)
Eeine benutzerfreundliche Online-Banking-App ist für drei Viertel der Befragten (74 Prozent) laut Studie des Bitkom (Website) wichtig. Die persönliche Beratung am Schalter ist dagegen für nicht einmal jeden Zweiten (48 Prozent) von Bedeutung.Das Problem für traditionelle Banken: Ihre Systeme sind nicht auf ein bequemes und nahtloses digitales Erlebnis ausgerichtet. Die Kernsysteme bestehen oft aus Technologien wie Großrechnern, die vor Jahrzehnten entwickelt, gebaut und in Betrieb genommen wurden. Gleichzeitig werden die vielfältigen Produkte – vom Girokonto über Hypothek bis zu den Spareinlagen – von verschiedenen Kundendatenbanken und -systemen unterstützt, die nicht miteinander verbunden sind. Das führt zu Datensilos und ermöglicht keine einheitliche, umfassende Sicht auf den Kunden.
Neobanken wie N26, Revolut, Tomorrow oder Bunq leiden zum einen nicht unter solchen Altlasten und sind zum anderen ganz auf das digitale Bankgeschäft ausgerichtet. Dies ermöglicht ihnen, die digitale Customer Experience zu priorisieren und ihr Geschäftsmodell flexibler an neue Bedingungen oder Erwartungen anzupassen.
Damit wächst der Druck auf Traditionsbanken, ihre digitale Transformation voranzutreiben. Schon heute können sich laut der Bitkom-Befragung zwei Drittel der Verbraucher (67 Prozent) vorstellen, mit ihrem Hauptkonto zu einer reinen Online-Bank zu wechseln, oder haben dies bereits getan.”
Das Risiko durch veraltete Systeme steigt
Ein wichtiger Baustein ist dabei die Migration in eine Cloud-Umgebung, um eine möglichst offene und schlanke Architektur zu erreichen. Denn nur in einer solchen können neue Produkte und Dienstleistungen, die Kunden sich wünschen oder sogar erwarten, schnell entwickelt und veröffentlicht werden. Gleichzeitig zwingen auch sich ändernde oder neue regulatorische Vorgaben wie PSD2 und die daraus resultierenden Open-Banking-Anforderungen Banken dazu, ihre Technologiearchitektur anzupassen. Sie müssen zum Beispiel gewährleisten, dass sie sich sicher mit Partnern verbinden können, um zusätzliche Angebote für Kunden zu schaffen.
Doch wenn Systeme nach außen geöffnet werden, steigt in der Regel auch das Risiko für alle, was bislang sicher im Inneren dieser Systeme geschützt war. Dementsprechend brauchen Banken einen neuen Sicherheitsansatz, der in einem offenen System ein Höchstmaß an Sicherheit ermöglicht. Denn, wie der X-Force Threat Intelligence Index 2023 von IBM zeigt, betreffen gut ein Fünftel der Cyberattacken (19 Prozent) Finanzdienstleister – der zweithöchste Wert aller untersuchten Industrien.
Banken können es sich daher schlicht nicht leisten, ihre Sicherheit zu vernachlässigen – grundsätzlich nicht und insbesondere nicht, wenn sie ihre Daten, Anwendungen und Systeme in die Cloud verlagern. Denn ein erfolgreicher Angriff kann schwerwiegende Schäden verursachen, nicht nur beispielsweise durch den Diebstahl von Daten oder dem Erpressen von Lösegeld für verschlüsselte, sondern auch durch den massiven Reputations- und Vertrauensverlust, der Kunden womöglich in Scharen zur Konkurrenz treiben würde. Dies gilt es, um jeden Fall zu vermeiden.
Sicherheit – von innen und außen
Das Zero-Trust-Modell beruht auf zwei wesentlichen Grundsätzen, die dazu beitragen, genau diesen Ernstfall von vornerein zu verhindern: Zum einen „Never trust, always verify“, zum anderen „Least privilege access“. Mit Ersterem ist gemeint, dass Unternehmen nicht mehr blind dem technologischen Kontext vertrauen, von dem Nutzer auf interne Ressourcen vertrauen. Stattdessen wird jeder Zugriffsversuch überprüft anhand von Faktoren wie Nutzeridentität, IP-Adresse oder geografischer Standort, Gerätestatus (Firmen- oder Privateigentum), Zustand des Betriebssystems (sicher oder jailbroken), Patch-Status oder den digitalen Zertifikaten für das Identitäts- und Zugangsmanagement. Dieser Kontext wird im Hintergrund überprüft und der Zugriff anschließend erlaubt oder verweigert.
„Least privilege access“ wiederum bedeutet, dass Nutzer nur auf die Daten, Anwendungen oder Systeme zugreifen können, die sie tatsächlich für ihre Arbeit benötigen.”
Dadurch wird der potenzielle Schaden minimiert, wenn sich zum Beispiel Kriminelle Zugang zu Anmeldeinformationen von Mitarbeitern verschafft haben oder im Falle einer Insider-Bedrohung, wenn die Gefahr vom eigenen Mitarbeiter ausgeht.
Um das Zero-Trust-Konzept umzusetzen, brauchen Banken entsprechenden Lösungen – Zero Trust ist kein Produkt an sich, sondern das Zusammenspiel verschiedener Funktionalitäten, um alle Aspekte der Interaktion zwischen Nutzern und Ressourcen abzudecken. Dazu gehört auch ein konstantes Monitoring des Verhaltens der Nutzer sowie die Integration von künstlicher Intelligenz, um Muster bzw. Abweichungen dieser zu entdecken, die ein Hinweis auf eine Gefährdung der Sicherheit sein können.
Fazit: Vertrauen ist gut, Kontrolle ist besser
Traditionsbanken befinden sich derzeit in einer herausfordernden Situation: Sie müssen dringend ihre IT-Systeme modernisieren, um ihre Kundschaft – insbesondere in jüngeren Generationen – nicht an die neue Konkurrenz in Form von Neobanken zu verlieren.
Doch wenn sie bei ihrer digitalen Transformation die Sicherheit aus den Augen verlieren, können sie schnell Opfer eines schwerwiegenden Cyberangriffs werden – und als Folge ebenfalls ihre Kundschaft verlieren. Deshalb sollte bei der Migration in die Cloud direkt die Sicherheit mitgedacht und entsprechende Maßnahmen implementiert werden.”
In einer modernen Umgebung bietet sich vor allem der Zero-Trust-Ansatz an, da er potenzielle Gefahren sowohl von innen als auch von außen minimiert. Diejenigen Banken, die sich auf diese Veränderungen einlassen, werden eine neue Ära agiler, nahtloser und vor allem sicherer Services einläuten und langfristig davon profitieren können.Thomas Vetsch, Citrix
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/154399
Schreiben Sie einen Kommentar