Banken ignorieren Sicherheitsrisiko Mensch

Simone Schnell,

Die Chefetage buttert lieber Geld in die Technik als es für die Aufklärung der Mitarbeiter zu investieren. Diese aber sind grenzenlos naiv.

Weiss bemängelt außerdem, dass sich Finanzinstitute bisher leider immer noch viel zu stark auf rein technische Schutzmaßnahmen und Sicherheitsrisiken konzentrieren. “Die zunehmende Verbreitung neuer Risiken wie Identitätsdiebstahl, Phishing und Pharming erfordert zwar Identity-Management-Systeme, die nicht nur den Systemzugriff kontrollieren und Schwachstellen erkennen, sondern auch Patches verteilen und sicherheitskritische Ereignisse melden.” Aber: “Die Aufklärung muss hinzukommen.”

Dass das noch nicht allzu sehr durch die Etagen gedrungen ist, zeigen weitere Umfrageergebnisse. Für die Topmanager im Bereich Informationssicherheit haben Schulung und Aufklärung noch immer nicht die notwendige Priorität. Weniger als die Hälfte (46 Prozent) der Befragten planen in den kommenden zwölf Monaten Schulungs- oder Aufklärungsmaßnahmen. Wichtiger seien die Einhaltung gesetzlicher Vorschriften (für 74 Prozent), sowie für Reporting und Messung (61 Prozent). Und das, obwohl 48 Prozent der Befragten mangelndes Sicherheitsbewusstsein ihrer Mitarbeiter für besonders kritisch halten. Das scheint dennoch nicht auszureichen. Die Zahl der im vergangenen Jahr durchgeführten Schulungs- und Aufklärungsmaßnahmen sank trotz der Bedenken von 77 Prozent im Vorjahr auf 65 Prozent.

Die Chefetage buttert lieber Geld in die Technik als es für die Aufklärung der Mitarbeiter zu investieren. Die Investitionspläne der Finanzinstitute sehen vor allem Gelder für Sicherheits-Tools (64 Prozent) vor, aber kaum Mittel für Schulung und Aufklärung der Mitarbeiter (15 Prozent). Maßnahmen, die das Sicherheitsbewusstsein beim Kunden stärken sollen, wollen nur ganz wenige Banken umsetzen. Der Einsatz von Sicherheitstechniken ist lobenswert und richtig, nutzt aber nichts, wenn niemand den menschlichen Makel zu minimieren versucht. Aufrüsten auf der einen Seite bringt keine Hilfe für die andere.

Die inzwischen zum dritten Mal jährlich weltweit durchgeführte Sicherheitsstudie von Deloitte dient als Maßstab für den Sicherheitsstatus von IT-Systemen im Finanzsektor. Sie basiert auf Interviews mit Sicherheits-Managern der 100 größten Finanzinstitute der Welt.