Dr. Niklas Hellemann, Managing Director, SoSafe GmbH
In den vergangenen Jahren hat sich im Finanzsektor einiges getan. Ob Online-Banking, Homeoffice-Modell oder neue und smartere Finanzierungsmodelle – der digitale Wandel hält die Branche in Bewegung. Doch die Digitalisierung birgt auch Tücken. Cyberangriffe werden immer häufiger und insbesondere in Verbindung mit hybriden Arbeitsmodellen auch immer erfolgreicher. Deshalb sollten Finanz- und Kreditleistungsinstitute sich nun darauf konzentrieren, ihre Informationssicherheit zu stärken und dabei ihre Beschäftigten aktiv mit einzubinden. Im kostenlosen Webinar „Das Finanzgewerbe im Visier von Hackern – BAIT-Novelle 2021“ gibt Awareness-Expertin Charline Kappes einen Einblick in die aktuelle Bedrohungslage im Finanzsektor und Tipps dazu, wie sich Institute mit umfassendem Awareness-Training vor Cyberangriffen schützen können.
Cyberbedrohungen im Finanzsektor: Die aktuelle Lage
Branchenübergreifend hat sich die Cyber-Bedrohungslage zuletzt merklich verschärft. Insbesondere während der Corona-Pandemie, der damit einhergehenden Verunsicherung und neuen Arbeitsmodellen in Organisationen haben Cyberkriminelle die Lage für Angriffe ausgenutzt. Wie beispielsweise der Human Risk Review 2021 zeigt, haben Organisationen mit dezentraler Arbeitsweise eine dreifach so hohe Klickrate auf Phishing-Mails wie Organisationen, an denen alles vor Ort stattfindet. Das hatte teils schwerwiegende Folgen: IT-Systeme wurden lahmgelegt, sensible Daten gegen Lösegeld erpresst oder im Netz öffentlich zugänglich gemacht.
Das ist im Finanzsektor besonders gefährlich. Gelangen sensible Kundendaten oder Kursinformationen in die falschen Hände, kommt das den Instituten teuer zu stehen. Eine Datenpanne im Finanzsektor kostet laut IBM durchschnittlich etwa 5,72 Mio. Dollar. Gründe für dieses hohe finanzielle Risiko sind u. a.:
- Die Daten lassen sich auf dem Schwarzmarkt zu horrenden Summen verkaufen.
- Bei Ransomware-Attacken, bei denen Angreifende die Opfer erpressen, gehen Lösegeldforderungen in Millionenhöhe ein.
- Auch mit datenschutzrechtlichen Folgen sowie Kosten für den Wiederaufbau der IT-Systeme und des Images müssen betroffene Institute rechnen.
Ein zusätzlicher Risikofaktor ist dabei auch die steigende Qualität der Cyberangriffe. Mit sogenannten Spear-Phishing-Angriffen fokussieren sie sich zunehmend auf einzelne Beschäftigte, um über sie Zugriff zu Organisationsnetzwerken zu bekommen. So setzen viele Kriminelle nun auf individualisierte Angriffskampagnen, bei denen sie organisationsinterne oder persönliche Informationen ihrer Opfer etwa in Phishing-Mails einbauen. Auf diese Weise erzeugen sie emotionalen Druck und erreichen so ihr Ziel. Für einen umfassenden Schutz sind Finanzinstitute deshalb genau jetzt dazu angehalten, den Faktor Mensch bei der Informationssicherheit noch aktiver als zuvor zu bedenken – und entsprechend einzubinden. Das untermauert auch die aktuelle Novelle der Bankaufsichtliche Anforderungen an die IT (kurz: BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin).
BAIT-Novelle 2021: Banken müssen umfassend für Informationssicherheit sensibilisieren
In der Novelle der BAIT vom 16.08.2021 fordert die BaFin Finanz- und Kreditleistungsinstitute dazu auf, ihre Beschäftigten zu Social Engineering und weiteren Cyber-Angriffstaktiken zu sensibilisieren. Darüber hinaus müssen sie den Erfolg dieser Maßnahme regelmäßig überprüfen. In den Anforderungen heißt es wörtlich: „Das Institut hat ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm für Informationssicherheit festzulegen. Der Erfolg der festgelegten Sensibilisierungs- und Schulungsmaßnahmen ist zu überprüfen.“ Bis spätestens 01.01.2022 müssen die Institute ihre Compliance nachweisen können. Anschließend wird die BaFin laufend und stichprobenartig die Umsetzung der entsprechenden Forderungen in den einzelnen Instituten kontrollieren.
Webinar: Mit Awareness-Training zur Human Firewall
Mit Blick auf die neuesten Regulierungen und die zunehmende Anzahl an Bedrohungen, die sich aktiv auf die Menschen hinter den Bildschirmen fokussieren, sind moderne Trainingsprogramme notwendig. Sie sollten für aktuelle Angriffstaktiken sensibilisieren und durch verhaltenspsychologische Elemente und Methoden – beispielsweise Gamification – den Lernerfolg der Beschäftigten langfristig sicherstellen. Nur so können sich Institute umfassend vor kostspieligen Vorfällen schützen. Im kostenlosen Webinar „Das Finanzgewerbe im Visier von Hackern – BAIT-Novelle 2021“ erfahren Sie alles zur aktuellen Bedrohungslage im Finanzsektor, welche Forderungen die aktuellen BAIT konkret stellen und wie Sie in wenigen Wochen ein Schulungsprogramm einführen, das diese Forderungen erfüllt und die Informationssicherheit in Ihrem Institut effektiv und nachhaltig stärkt. Melden Sie sich jetzt kostenfrei an.
PRAXISTIPPS
- Orientieren Sie sich als IT-Sicherheitsbeauftragter bei der Stärkung der Informationssicherheit an aktuellen Regulierungen wie der BAIT-Novelle 2021 und den übergreifenden MaRisk und evaluieren Sie Lösungen, die bereits im Einsatz sind, ggf. noch einmal hinsichtlich ihres Erfolgs.
- Binden Sie den Faktor Mensch aktiv in Ihre IT-Sicherheitsstrategie mit ein. Beschäftigte müssen umfassend für Informationssicherheit und Angriffstaktiken wie Social Engineering sensibilisiert werden, damit sie ihre Organisation vor Cyberangriffen schützen können.
- Entscheiden Sie sich für eine Schulungslösung, die moderne Erkenntnisse aus der Verhaltenspsychologie verwendet, damit der Lernerfolg langfristig gesichert und das Verhalten im Umgang mit Cyberrisiken nachhaltig geschult werden kann.
- Erfahren Sie in diesem BAIT-Ratgeber mehr zur aktuellen Bedrohungslage, den BAIT-Regulierungen und wie Sie diese einfach und innerhalb kürzester Zeit umsetzen.
Beitragsnummer: 18404