Wie denken Sie, steht es um Ihr Institut?
Überprüfen Sie den Cyber Security Reifegrad Ihrer Organisation jetzt im Check-up (dauert nur wenige Minuten):
Ein Exemplar unseres Whitepapers zum Thema Cyber Security können Sie hier bereits vorab bestellen.
Erste Erkenntnisse im Cyber Security Check-Up zeigen, dass Maßnahmen zur Cyber Security durchaus getroffen, aber nicht gelebt werden. An der Spitze zeigt sich ein positiveres Bild als an der Basis.
Durch die zunehmende Digitalisierung und die Professionalisierung der Angreifer sehen sich Finanzinstitute einer immer weiter steigenden Bedrohungslage gegenüber. Dadurch rückt das Thema Cyber Security zunehmend in das Blickfeld der Aufsicht:
- Im November 2017 veröffentlichte die BaFin die BAIT und definiert damit umfassende Anforderung an das Informationssicherheitsmanagement.
- Im Mai 2018 stellte die EZB das TIBER-EU Framework zur Verfügung, darin darlegend, wie Angriffe auf eigene Systeme zu simulieren sind.
- Im Dezember 2018 gab die EZB die Cyber resilience oversight expectations (CROE) bekannt und spezifizierte darin die Anforderungen an die Widerstandsfähigkeit der Finanzmarktinfrastruktur.
Weitere aufsichtsrechtliche Initiativen sind zu erwarten.
zeb sieht vier übergreifende Erfolgsfaktoren, die für eine effektive Cyber Security notwendig sind.
-
- Die Abwehrfähigkeit vermindert die einsetzbaren Angriffsmöglichkeiten und erhöht die Entdeckungsrate von Angriffen. Realitätsnahe Tests geben Aufschluss über eigene Fähigkeiten, zeigen Optimierungspotential und trainieren die beteiligten Akteure.
- Im Falle eines Angriffs erlaubt eine verbesserte Reaktionsfähigkeit diesen schneller zu beenden und die Betriebsfähigkeit wiederherzustellen; Außerdem kann eine effektive Reaktionsfähigkeit die Ausbreitungsreichweite und die Anzahl betroffener Systeme minimieren und den potentiellen Schaden damit mindern.
- Das Schutzbedarfsmanagement steuert den Ressourceneinsatz und sorgt durch Priorisierung der Schutzziele und Auswahl geeigneter Maßnahmen für eine Maximierung der Effizienz der eingesetzten Mittel.
- Das Kennen und Verstehen der Bedrohungslage erlaubt es Angriffsszenarien zu antizipieren und so auch auf zukünftige Bedrohungen vorbereitet zu sein.
Wie gut ist Ihre Organisation vor Cyberangriffen geschützt? Machen Sie jetzt den Cyber Security Online Quick Check-up mit Sofortauswertung (dauert nur wenige Minuten):
Der hier bereitgestellte Check-up analysiert den Erfüllungsgrad der Erfolgsfaktoren.
Neben dem sofort bereitgestellten individuellen Ergebnis sehen Sie auch direkt den Reifegrad Ihres Unternehmens in der Erfüllung der Erfolgsfaktoren im Vergleich zu anderen Instituten.
Auszug aus der Sofortauswertung des Cyber-Security-Check-ups:
2 Antworten auf “Cyber Security Check-up: Überprüfen Sie Ihre Organisation!”
IT-Leiter einer Großbank
Dieser angeblich Cyber-Sicherheitscheck ist grober Unfug.
Wer Windows einsetzt, und das sind nahezu alle Banken, gibt Microsoft und der amerikanischen Regierung Vollzugriff auf alles, was Kontakt zu Windows oder anderer Microsoft Software hat. Gleichermaßen, auf alle Daten, die über amerikanische Hardware im Computernetzwerk laufen. Alle Transaktionen werden spätestens bei SWIFT von der amerikanischen Regierung abgefischt. Alle Kreditkarten- und Kontodaten gehen, systembedingt, auch in die USA, von den Monopolanbietern bei der PIN-Prüfung am ATM oder POS mit Schnittstelle wieder an die Regierung. Selbst wenn kein Windows vorliegt, solange Intel ME oder EFI vorhanden ist, die jede Sicherheitsmaßnahme durch Hardware-Zugriff, auch auf RAM und Netzwerkkarte, umgehen, besteht keinerlei Sicherheit.
Hat jemand im Ernst erwartet, die staatliche Totalüberwachung würde nur von Banken gegen Kunden ausgeführt und nicht auch gegen Banken?
Angesichts dessen überhaupt von Sicherheit zu sprechen und einen Test durchzuführen, der in falscher Sicherheit wiegt, ist schon dreist.
Gunter Brinkmann
Der Check ist nicht ausgerichtet auf die Überprüfung von Sicherheitsmaßnahmen!
Sondern er befasst sich mit den Prozessen und der Schaffung von Basisvoraussetzungen, um später überhaupt die richtigen Sicherheitsmaßnahmen ergreifen zu können. Dazu ist er weitgehend an regulatorischen Normen bzw. Standards ausgerichtet.
Wenn Sie also diesen Check als groben Unfug bezeichnen, so betiteln Sie auch alle regulatorischen Anforderungen als Unfug, was diese mitnichten sind. Mit diesem Check wird auch nicht eine falsche Sicherheit widergespiegelt, sondern mit dem Check soll sensibilisiert werden, dass Cyber Security nicht nur aus Ergreifung von Sicherheitsmaßnahmen besteht, sondern dass es vielmehr der Vorbereitung und der Nachbereitung hinsichtlich Vollständigkeit und Reaktionsfähigkeit bedarf.
Nur wenn man alle Prozesse, die unterstützenden Anwendungen und deren Schutzbedürftigkeit, sowie die Schwachstellen und Bedrohungen kennt und entsprechende Risikoanalysen durchgeführt hat, hat man eine Transparenz über den Status der Cyber-Sicherheit und ist erst dann überhaupt in der Lage entsprechende Schutz- und Sicherheitsmaßnahmen ergreifen zu können.
Dazu gehört dann auch, sich beispielsweise um die aufgezeigten Schwachstellen zu kümmern. Aber diese sind, und das sollten Sie auch wissen, nur ein Teil der quasi „unberechtigten Zugriffe“. Und selbst dagegen kann man einiges tun. Man sollte also nicht das vermeintlich ohnmächtige Opfer spielen, dass vor großen Software-Unternehmen und amerikanischen Sicherheitsorganisationen in die Knie geht – das ist in unseren Augen grober Unfug.
Da bei Ihnen und Ihrem Unternehmen große Sicherheitsbedenken aufgekommen sind und Sie das Thema Informationssicherheit / Cyber-Sicherheit nur mit dem „Ergreifen von Sicherheitsmaßnahmen“ verbinden, sind wir gerne bereit Ihnen und Ihrem Hause Unterstützung in der Schließung von etwaigen Sicherheitslücken zu geben und Sie bei der Bearbeitung des Themas zu beraten.