Banken, Börsen, Versicherungen und Finanzdienstleister sind ein wichtiger Grundpfeiler unserer modernen Welt. Deswegen gehört der Finanzsektor auch zu den kritischen Infrastrukturen (Kritis), den gesellschaftlich relevanten und besonders schützenswerten Branchen. Die digitale Transformation schafft jedoch auch hier immer komplexere Systeme und damit auch neue Angriffsvektoren für Cyberkriminelle. Reaktive IT-Security-Maßnahmen allein reichen daher nicht mehr aus: Unternehmen müssen präventiv vorgehen und widerstandsfähig werden, um auch im Falle eines erfolgreichen Hacker-Angriffs den Betrieb aufrechtzuerhalten.Finanz- und Versicherungsunternehmen arbeiten heute weitestgehend mit digitalen Dokumenten und automatisierten Workflows. Dadurch sind sie auch auf digitalem Wege angreifbar. Neben den klassischen Office-Systemen, Unternehmensnetzwerken und -datenbanken zählen auch buchführende Systeme samt ihren vorgelagerten Anwendungen zu den wichtigsten Zielen von Hackern. Diese Systeme verwalten Konten sowie Depots und führen Transaktionen durch – ein Cyberangriff wäre also besonders kritisch. Denn dringen Kriminelle hier ein, können sie Kontobewegungen und Depotstände ändern.Gefährdet sind auch Handelssysteme, die Orders an die Börse weiterleiten und oftmals von Algorithmen bei der Stückelung unterstützt werden. Cyberkriminelle können hier ausgespähte Daten für Insiderhandel missbrauchen oder die Order-Weiterleitung manipulieren, um sich einen Handelsvorteil zu verschaffen.Innerhalb von Finanzunternehmen gibt es noch viele weitere Angriffsvektoren: Steuerungs- und Controlling-Anwendungen, Systeme für Risikomanagement und -berichterstattung sowie Zahlungsverkehrssysteme. Gefahrenherde existieren allerdings auch außerhalb der Mauern des eigenen Unternehmens.Im Zuge der Verbreitung von Fintechs mit innovativen Geschäftsmodellen erwarten Kunden nun auch von ihren Banken und Versicherungen erweiterte Angebote, wie mobile Apps oder Webanbindungen. Diese zunehmende Vernetzung zwischen Kunde und Finanzdienstleister vergrößert die Angriffsfläche für Cyberkriminelle. Hinzu kommt, dass viele Finanzunternehmen IT-Dienstleistungen wie die Software-Entwicklung an externe Anbieter auslagern. Da es wenige auf den Finanzsektor spezialisierte Entwickler gibt, arbeiten diese oftmals für mehrere Kunden aus diesem Bereich. So können einzelne Programmierfehler schnell zu Sicherheitslücken im gesamten Bankenwesen werden.Ob Schwachstellen innerhalb oder außerhalb des eigenen Unternehmensnetzwerks – eins ist klar: Finanzunternehmen müssen handeln und dürfen nicht mehr nur auf klassische Security-Maßnahmen vertrauen, die IT-Systeme reaktiv gegen neue Bedrohungen schützen. Vielmehr müssen Unternehmen präventiv vorgehen, um widerstandsfähig gegen Angriffe zu werden. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verlangt genau dieses präventive Herangehen an digitale Risiken in seinen Anforderungen an die IT in der Versicherungswirtschaft (VAIT vom 20.3.2019). Das Konzept Sustainable Cyber Resilience verfolgt genau diesen Ansatz. Nachhaltige CyberresilienzSustainable Cyber Resilience beinhaltet eine Reihe von technischen und organisatorischen Maßnahmen, um IT-Infrastrukturen nachhaltig widerstandsfähig gegen Cyberangriffe zu machen. Ziel ist es, Angriffsflächen kontinuierlich zu verkleinern, so dass Unternehmen ihren Betrieb auch im Falle einer geglückten Attacke aufrechterhalten können. Unter anderem gilt es, Mitarbeiter zu sensibilisieren und Security-Prozesse zu etablieren. Ein Grundpfeiler ist jedoch ein effektives Schwachstellen-Management (Vulnerability Management).Eine entsprechende Lösung unterstützt Unternehmen dabei, Schwachstellen in der Infrastruktur aufzudecken und zu beseitigen. Sie scannt alle Geräte in einem Netzwerk und prüft sie auf mögliche Angriffspunkte. Anschließend bewertet sie das Risiko der gefundenen Sicherheitslücken und stößt Prozesse an, um diese zu schließen, wie Patches oder System-Updates. Außerdem lassen sich dadurch unsichere Einstellungen in Programmen erkennen. In einer durchgängigen IT-Sicherheitsarchitektur arbeitet Vulnerability Management mit anderen Sicherheitssystemen wie Firewalls und Intrusion Detection- (IDS) oder Prevention-Systemen (IPS) zusammen. Mit dem kontinuierlichen Kreislauf von Identifikation, Analyse und Verbesserung sind Unternehmen den Kriminellen so strategisch immer einen Schritt voraus.Schwachstellen gibt es in den komplexen IT-Systemen der Finanzbranche zuhauf – sowohl innerhalb als auch außerhalb des eigenen Unternehmensnetzwerks. Banken und Versicherungen müssen sich heute daher mehr als jemals zuvor für den Fall eines erfolgreichen Angriffs wappnen. Zusammen mit anderen Maßnahmen ist Schwachstellen-Management eine Grundvoraussetzung für Sustainable Cyber Resilience – einer nachhaltigen Widerstandsfähigkeit gegen Hackerangriffe. Prävention statt ReaktionWenn Unternehmen in der Lage sind, ihre Schwachstellen zeitnah aufzufinden, zu priorisieren und zu beseitigen, können sie ihre IT-Systeme kontinuierlich sicherer machen und die Angriffsfläche reduzieren. IT-Risiken, die in digitalisierten Geschäftsprozessen verborgen sind und diese unterbrechen können, müssen sichtbar gemacht werden. Um sich nachhaltig gegen die wachsenden Bedrohungen durch Cyberangriffe zu schützen, müssen Unternehmen daher umdenken: von Reaktion zu Prävention, von IT-Security hin zu Sustainable Cyber Resilience.—-Dirk Schrader, CISSP/CISM und CMO bei Greenbone Networks