KPMG: Zuviel Augenmerk auf Regulierung – Banken müssen IT-Sicherheit ganzheitlich denken
Bei IT-Security fokussieren Banken nach wie vor zu stark auf das Thema Regulierung. Stattdessen bräuchten sie eine gesamtheitliche Systemarchitektur, die auch die Nutzung einer hybriden Form der Cloud beinhaltet. Das Erfolgsrezept dafür lautet Security by Design.
von Gerrit Bojen und Christian Nern, Partner Financial Services KPMG
Auf dem Weg in die Cloud sind deutsche Banken sehr zögerlich. Das muss sich dringend ändern. So nutzen laut dem aktuellen „Cloud Monitor 2020“ von KPMG im Jahr 2020 nur 52 Prozent aller Unternehmen in der Finanzbranche Public-Cloud-Lösungen. Schlanke Strukturen, agile Prozesse: Das bleibt all denen verwehrt, die nicht mit Public Clouds arbeiten, zumal die Konkurrenz in den USA und Großbritannien längst vorgeprescht ist. Deutsche Banken werden also im Wettbewerb zurückfallen, wenn sie jetzt nicht umschwenken.Denn moderne Cloud-Infrastruktur ist einer der wesentlichen Bausteine für die Digitalisierung in Financial Services. Anstatt auf das Netzwerk fokussiert sich IT-Security in der Cloud auf APIs, Daten und Identitäten.”
So lassen sich über Unternehmensgrenzen hinweg Ökosysteme realisieren, bei denen Rollen, Identitäten und Zugriffe für jeden definiert sind. Dies wiederum eröffnet neue Formen der Zusammenarbeit mit Externen und Partnern.
Warum also sind die Institute so zurückhaltend?
Ehrfurcht vor den Aufsichtsbehörden
Das liegt vor allem an der Ehrfurcht vor den Aufsichtsbehörden:
Jahrelang stand die BaFin der Cloud-Nutzung von Tech-Giganten wie Microsoft, Amazon und Google kritisch gegenüber.”
Entsprechend fokussieren sich die Institute beim Thema IT-Security auch heute noch stark auf regulatorische Fragen. Die Vorgaben für die Nutzung von Public Clouds in der Finanzindustrie sind nunmehr durch die Aufseher definiert worden.
Wie also gelingt eine erfolgreiche Transformation in der Cloud?
Wichtig ist dabei unter anderem, dass die Plattformen, die Banken und Dritte nutzen, auf eine Multi-Cloud-Nutzung ausgelegt sind. Ebenso ist entscheidend zu bedenken, dass sich nicht alle Security-Probleme im Vorfeld definieren lassen – das System muss flexibel sein und von seiner Umgebung lernen.
Unabdingbar ist auch ein Zero-Trust-Ansatz. Dabei erfordert jeder einzelne Zugriff auf die Umgebung eine Authentifizierung.”
Auf dieser Basis kann dann ein funktionierendes End-to-End Cloud-Framework entstehen. Es kombiniert ein Governance-Framework mit pragmatischer und operativer Expertise rund um Cloud-Umgebungen. Diese setzt sich zusammen aus einem effizientem Bedrohungsmanagement, einer durchdachten technischen Sicherheitsarchitektur, Risk und Compliance, Delivery und Operations, Strategy und Governance, Identitäten, sowie einem effizienten Fall- und Krisenmanagement.
Ein Gesamtansatz fehlt
Autoren Gerrit Bojen und Christian Nern, Partner Financial Services KPMGChristian Nern ist Partner bei KPMG (Website) im Bereich Financial Services in München. Er berät zusammen mit seinem Team Bank- und Versicherungskunden zu technischen und regulatorischen Cyber Security Themen wie Security-Architektur und deren technische Umsetzung, Identity & Access Management (IAM), Security Operations Center (SOC) inkl. Incident Response, Cloud Security und IT Compliance.
Gerrit Bojen ist Partner bei KPMG Financial Services (Website). Er leitet die deutsche Cloud-Practice. Er besitzt mehr als 14 Jahre Berufserfahrung als Programm- und Transformationsmanager in Bank- und Systemintegrationsprojekten. Gemeinsam mit seinem interdisziplinären Team von technischen IT-Architekturexperten und Compliance-Beratern konzipiert und steuert er die Cloud-Journey für Financial Services.
Gerrit Bojen ist Partner bei KPMG Financial Services (Website). Er leitet die deutsche Cloud-Practice. Er besitzt mehr als 14 Jahre Berufserfahrung als Programm- und Transformationsmanager in Bank- und Systemintegrationsprojekten. Gemeinsam mit seinem interdisziplinären Team von technischen IT-Architekturexperten und Compliance-Beratern konzipiert und steuert er die Cloud-Journey für Financial Services.
Doch von einem solchen Framework sind viele Banken heute weit entfernt. Den meisten fehlt nach wie vor ein IT-Gesamtansatz. Deshalb nutzen sie heute eine Vielzahl von Tools und Methoden, um immer wieder Sicherheitslücken zu schließen oder Angriffe abzuwehren. Zwischen 50 und 100 einzelne Lösungen sind laut „Cloud Monitor 2020“ beim überwiegenden Teil der befragten Unternehmen im Einsatz. Dies ist für Mitarbeiter aus der IT nur schwer zu steuern. Zudem sind die Ansätze zumeist kurzfristig ausgerichtet, schaffen mit einem Patch oder einer aktualisierten Firewall akute Probleme aus der Welt. Eine langfristige Lösung mit professionellen Security-Operation- und Incident-Response-Zentren, die zugleich effiziente Prozesse und neue Formen der Zusammenarbeit ermöglicht, ist in den meisten Häusern noch nicht Realität.
Um das genannte Framework umzusetzen, müssten Banken IT-Security neu definieren und eine ganzheitliche Sicherheitsarchitektur installieren, die in der kompletten Organisation verankert ist. Auch neue Modelle der Zusammenarbeit mit z. B. Managed Security Services anstatt reiner IT-Betriebsleistungen für Soft- oder Hardware-Lösungen sind dabei essenziell.
Damit verändert sich dann auch die Rolle der IT: Mit Security-by-Design kann die Public Cloud mit all ihren Vorteilen von Banken umgesetzt werden. Dabei sind IT-Fachleute bei allen Effizienzoptimierungen und digitalen Projekten der Bank von Anfang an mit an Bord und sprechen als „Security Champions“ mit, wenn beispielsweise neue Produkte wie eine Banking-App designt werden.”
Auch innerhalb der verschiedenen Bereiche sind neue Formen der Zusammenarbeit vonnöten – vor allem ein partnerschaftliches Verhältnis von Chief Information Security Officer (CISO), Chief Information Officer (CIO) und Chief Executive Officer (CEO). Entsprechend müssten sich Institute wandeln und eine neue Firmenkultur etablieren, in der die IT nicht länger als Befehlsempfänger von oben Anweisungen ausführt, sondern federführend Security- und Business-Themen vorantreibt. Der Prozess dieser Veränderung wird zwar nicht von heute auf morgen abgeschlossen sein.
Doch nicht zuletzt die Corona-Krise hat gezeigt, dass Deutschlands Banken um die Umstellung nicht herumkommen werden, um die Digitalisierung nun stärker ausbauen – mit Security als Basis. Es ist höchste Zeit.”Gerrit Bojen und Christian Nern, KPMG
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/109461
Schreiben Sie einen Kommentar