Unterschätzte Gefahr: Wie Outsourcing die IT-Sicherheit gefährdet
Die zunehmende Verflechtung von IT-Dienstleistern und Unternehmen erhöht gleichzeitig die Cyberrisiken, warnt Nadine Schmitz von KPMG.
Von Cloud- bis zu SOC-Diensten: Ohne externe Dienstleister geht es in der Finanz- und Versicherungsbranche nicht. Denn nur mit ihrer Hilfe haben Unternehmen ausreichend Kapazitäten, um sich auf ihr Kerngeschäft zu konzentrieren und können die Kosten senken. Hinzu kommt, dass IT-Dienstleister aufgrund ihrer Spezialisierung viele Services effizienter und zum Teil auch sicherer anbieten können, als es den auslagernden Organisationen möglich wäre.
Die Folge: Im Banken- und Versicherungswesen steigt die Anzahl der Dienstleister entlang der gesamten Wertschöpfungskette kontinuierlich an – auch weil die beauftragten Dienstleister wiederum häufig mit Subunternehmen zusammenarbeiten. Dadurch entstehen hochkomplexe Strukturen, die Finanzinstitute sicher managen müssen. Zum einen, um Schaden von sich abzuwenden, und zum anderen, um die regulatorischen Anforderungen zu erfüllen – wie etwa den DORA (Digital Operational Resilience Act) im Hinblick auf „Third-Party Risk Management“.
Outsourcing erhöht Cyber-Risiken
Wie wichtig es ist, dass Unternehmen klare Sicherheitsanforderungen an externe Dienstleister stellen und diese regelmäßig überprüfen, unterstreicht die aktuelle Bedrohungslage: Nahezu jeder zweite Finanzdienstleister (48 Prozent) sieht laut Lünendonk-Studie ein hohes Risiko in Angriffen auf seine IT-Dienstleister. Diese haben meist das Ziel, die Systeme der jeweiligen Kunden zu infiltrieren und deren Daten zu erbeuten. Auch aus Sicht der BaFin erhöhen die zunehmende Verflechtung und vor allem Konzentrationen bei der Auslagerung von IT-Dienstleistungen das Risiko von Cyber-Angriffen. So liegt beispielsweise die Ursache bei gemeldeten Zahlungsvorfällen 2023 in rund 40 Prozent der Fälle nicht beim Finanzinstitut selbst, sondern bei einem seiner Dienstleister.
Selbst nur so sicher wie der Dienstleister
Was also tun? Grundsätzlich sollten Banken und Versicherer ihre IT-Dienstleister wie die eigene IT betrachten und im Hinblick auf Compliance – Auftraggeber haften in der Regel – und IT-Sicherheit genauso behandeln. Denn ein Institut ist nur so sicher vor Cyberangriffen wie jedes einzelne Glied seiner (Dienstleister-) Kette. Das erfordert eine sehr enge Zusammenarbeit zwischen Auftraggeber und -nehmer. Nur wenn eine Bank in Echtzeit weiß, was passiert, kann sie im nächsten Schritt auch schnell reagieren, sollte es zu einem Sicherheitsvorfall kommen.
Und genau darauf kommt es an: Ist ein Cyberangriff erfolgt, müssen Unternehmen schnell handeln, da dieser im Durchschnitt weniger als 30 Minuten dauert. Je effektiver die Reaktion – die Response – auf einen Security-Vorfall ist, desto höher ist die Chance, einen Datendiebstahl, das Verschlüsseln der Systeme oder den Ausfall produktiver Prozesse zu verhindern. Auf die Themen Monitoring und Incident-Handling sollten Unternehmen bei der Zusammenarbeit mit externen Dienstleistern daher verstärkt achten. Vertraglich lässt sich zu Anfang beispielsweise bereits regeln, welche Daten im Falle eines Sicherheitslecks vom Dienstleister bereitgestellt werden müssen. Auch Exit-Strategien gehören dazu: Was ist zu tun, wenn die Zusammenarbeit mit dem Dienstleister grundsätzlich nicht funktioniert oder es einen kritischen Sicherheitsvorfall gibt?
Compliance mit Target-Operating-Model im Blick
Bei der Steuerung von Auftragnehmern spielt auch Compliance eine wichtige Rolle. Von Zugriffsrechten bis hin zum Datenaustausch – all diese Themenfelder und die Prozesse dahinter sollten Compliance-konform geregelt werden, damit die Zusammenarbeit so reibungslos wie möglich erfolgt. Insbesondere bei Cloud-Diensten arbeiten Banken und Versicherer häufig mit mehreren Hyper Scalern zusammen, deren Services wiederum durch eine Vielzahl von Dienstleistern bereitgestellt werden. Angesichts dieser Komplexität wird es für Banken und Versicherer immer schwerer, Compliance und IT-Sicherheit gleichermaßen zu gewährleisten. Hier kann die Erstellung eines Target-Operating-Model für Finanzdienstleister sinnvoll sein. Es beinhaltet eine Strategie (wie die IT-Sicherheit mit Dienstleistern aufgebaut werden sollte), Leitfäden, die Beschreibung der Aufgaben und Verantwortlichkeiten, das Reporting intern und extern an die Aufsicht sowie laufende Steuerung und Überwachung der Dienstleister.
Ob im ganzheitlichen Modell oder nicht: Banken und Versicherungen sollten grundsätzlich Transparenz darüber haben, welcher Teil ihrer Wertschöpfungskette von welchem Dienstleister abgedeckt wird und wie kritisch dieser Part ist. Denn selbstverständlich gilt es auch, Dienstleister unterschiedlich zu handhaben, je nachdem, welchen Beitrag sie leisten. Um Risiken in der Zusammenarbeit jedoch zu minimieren, so gut es geht, bietet es sich an, die festgelegten Prozesse im Incident-Handling einmal zu erproben. Und das möglichst realitätsnah bei einem Dienstleister mit besonders großem Schadenspotenzial für das eigene Unternehmen. Die Erkenntnisse daraus helfen Banken, ihr Dienstleister-Handling zu optimieren und stellen sicher, dass Sicherheitsstandards trotz zunehmender Komplexität eingehalten werden. Denn letztendlich kann alles ausgelagert werden, aber die Verantwortung für die Cybersicherheit nicht.
ist Partnerin bei KPMG im Bereich Financial Services.
