Mit der Zwiebelstrategie zu effektiver Cybersicherheit im Finanzsektor

Die Gründe für die Zunahme an Cyberangriffen sind vielfältig.. Teils liegen sie im verstärkten Einsatz von generativer Künstlicher Intelligenz durch Angreifer. Andererseits führen beispielsweise Migrationen auf SAP HANA oder neue Cloud-Anwendungen zu immer komplexeren IT-Architekturen. Es zeigt sich daher, dass neue Schutzmechanismen und mehrschichtige Security-Ansätze im Finanzsektor nötig sind, um sich erfolgreich gegen Cyberattacken wehren zu können.

Auch deshalb hat die EU mit dem Digital Operational Resilience Act (DORA) eine finanzsektorweite Regulierung für Cybersicherheit, Informations- und Kommunikationstechnologie-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung gilt ab Januar 2025 und soll dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken zu stärken.

Bedrohungsorientierter handeln

Doch was genau können und müssen Finanzinstitute jetzt tun, um sich besser als bisher zu schützen? Sie sollten bedrohungsorientierter agieren. Mehrere Studien bestätigen, dass insbesondere die peripheren Systeme neben dem Kernbankensystem für mehr als vier von zehn erfolgreichen Cyberangriffen genutzt werden – die Dunkelziffer könnte noch höher liegen. Das heißt: Banken sollten auch den weit vom Kernbankensystem entfernten Assets mehr Aufmerksamkeit schenken und sie besser sichern, auch wenn die Auswirkungen im Falle eines erfolgreichen Angriffs auf den ersten Blick geringer erscheinen.

Vielschichtiger Schutz des Kerns

Vorbilder, wie ein wichtiger Kern vor Schadeinflüssen bewahrt wird, finden sich in der Pflanzenwelt. Finanzinstitute können sich zum Beispiel von der Zwiebel etwas abschauen: Sie schützt ihr Inneres durch zahlreiche Blätterlagen vor Schädlingen.

Ähnlich wie eine Zwiebel sollten Finanzinstitute ihr Sicherheitssystem mit mehreren Schichten vor Cyberangriffen schützen. Denn wenn ein Angreifer zu leicht in die peripheren Systeme eindringen konnte, hat er zwar das zentrale Ziel, den Kern, noch nicht erreicht. Doch er befindet sich bereits innerhalb der Sicherheitsstruktur. Ohne angemessene „Sicherheitsschicht“ des äußeren Perimeters bleibt dieser Eindringling möglicherweise unbemerkt, sammelt Informationen und bewegt sich ungestört weiter in Richtung des Kernsystems. Auf seinem Weg kann er weitere Systeme kompromittieren oder auch Schadsoftware installieren.

Ganzheitliches Schwachstellenmanagement

Deshalb ist ein ganzheitlicher Ansatz für das IT-Schwachstellenmanagement unerlässlich. Dazu gehört unter anderem ein kontinuierliches Testing, das die gesamte IT-Infrastruktur – sowohl von innen als auch von außen – unter anderem mit Hilfe von Threat Intelligence auf bekannte und neue Schwachstellen hin überprüft. Durch eine proaktive Überwachung, die über das bloße Monitoring bekannter Schwachstellen hinausgeht, können Finanzunternehmen aufkommende Bedrohungstrends identifizieren und rechtzeitig gegensteuern. Konkret helfen etwa Breach-and-Attack-Simulation-Tools, um Angriffspfade in der Infrastruktur zu ermitteln und diese mit der Risikobewertung abzugleichen. Für den Blick von außen können Attack-Surface-Management-Tools zum Einsatz kommen.

Kontinuierliches Testing ist essenziell für die ständige Verbesserung der Resilienz einer IT-Infrastruktur. Durch generative KI können Angreifer realistische Texte, Bilder und sogar Codes erzeugen, und sie dafür nutzen ausgeklügelte Phishing-Kampagnen, gefälschte Inhalte oder Malware zu erstellen. Solche Angriffe können schwer zu erkennen sein, denn sie wirken oft hochpersonalisiert und überzeugend.

Mit KI Angriffsmuster erkennen

Zum anderen ist die Technologie aber auch ein leistungsstarkes Werkzeug zur Verbesserung von Sicherheitsmaßnahmen etwa im Security Information Event Management (SIEM). Mit ihr lassen sich durch die gezielte Integration fortschrittlicher KI-Algorithmen in das IT-Schwachstellenmanagement bestehende Sicherheitsrisiken effizient identifizieren. Finanzunternehmen können so auch präventiv gegenüber neuartigen Bedrohungen handeln, indem die KI kontinuierlich Daten analysiert, Muster erkennt und Prognosen über potenzielle Schwachstellen erstellt. Selbstverständlich erfordert der Einsatz von KI in Sicherheitssystemen ebenfalls eine ständige Überwachung und Anpassung, da KI-Modelle selbst auch Angriffsziele sein können.

In diesem dynamischen Umfeld ist es wichtig, die Sicherheit langfristig zu erhöhen und mit der rasanten Entwicklung in der Bedrohungslandschaft Schritt zu halten. Hier hilft eine Angriffssimulation (Threat-Led Penetration Testing, TLPT). TLPTs sollten ebenfalls als ein integrales Überwachungswerkzeug im IT-Schwachstellenmanagement eingesetzt werden – nicht nur einmalig, sondern regelmäßig.

Zwiebelstrategie macht den Unterschied

Eine ganzheitliche Herangehensweise umfasst ein kontinuierliches Testing der gesamten IT-Infrastruktur, eine proaktive Bedrohungsüberwachung und die Integration von Threat Intelligence. All das ist unerlässlich, um IT-Sicherheitslücken in Financial-Services-Unternehmen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können. Oder anders ausgedrückt: Eine umfassende Cybersicherheitsinfrastruktur erfordert eine Zwiebelstrategie, bei der mehrere Lagen das Innerste schützen. Mit diesem Ansatz können sich Banken auch auf lange Sicht erfolgreich gegen Angreifer wehren.

Christian Nern

ist Partner und Head of Security bei KPMG im Bereich Financial Services in München.