Ohne IT-Sicherheit können Digital Operations nicht funktionieren

Banking ist ein Vertrauensgeschäft, bei dem die Sicherheit und Integrität der verwendeten Daten stets an erster Stelle stehen. Aber stark digitalisierte Branchen wie die Finanzindustrie stehen zunehmend unter Druck durch Cyberangriffe. Dabei schaffen nicht zuletzt die Veränderungen bei Kundenerwartungen und -verhalten Einfallstore, so etwa Open-Finance-Angebote oder Mobile-Banking-Apps. Aber auch die eigenen Mitarbeitenden können unbewusst zur Gefahr für die IT-Systeme werden, Stichwort Social Engineering. Die Aufsicht hat die Bedrohungslage erkannt und reagiert mit einer wachsenden Zahl regulatorischer Vorschriften, die ergänzend zu wirtschaftlichen Aspekten von den Instituten beachtet werden müssen. Die Experten von PPI stehen Finanzinstituten bei der Umsetzung mit jahrzehntelanger Erfahrung sowie tiefgehender fachlicher und technischer Expertise zur Seite.

Topthema IT-Risikomanagement

  • Es gibt grundlegende regulatorische Veränderungen bei starkem aufsichtlichem Prüfungsdruck.
  • Bei Datenlecks und Cyberangriffen drohen erhebliche Reputationsverluste.
  • Sicherheitsvorfälle können substanzielle materielle Auswirkungen haben, bis hin zu globalen Disruptionen.
  • Fokusthemen sind unter anderem Identity and Access Management, Software-Lifecycle und Threat-Response.
  • Cybersecurity muss fest in der IT-Strategie und -Governance verankert sein.

Das IT-Risikomanagement muss auf der Prioritätenliste ganz oben stehen

Schema der Bausteine des IT-Risikomanagements
Schema der Bausteine des IT-Risikomanagements
Die Themenbausteine im IT-Risikomanagement

Neben den Chancen sehen die nationalen und internationalen Bankaufsichtsbehörden auch die Risiken der digitalen Transformation von Wirtschaft und Gesellschaft für die Finanzbranche. Entsprechend hoch sollte die Aufmerksamkeit für das Thema IT-Risikomanagement ausfallen. Das spiegelt auch die Vielzahl der in den vergangenen Jahren erlassenen regulatorischen Vorgaben wider. Einige Beispiele:

  • Bankaufsichtliche Anforderungen an die IT (BAIT)
  • Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)
  • EBA Guidelines on ICT and security risk management
  • Digital Operational Resilience Act (DORA)

Auch in den Mindestanforderungen an das Risikomanagement (MaRisk) haben IT-Risiken inzwischen ein starkes Gewicht. Dementsprechend gibt es kaum einen Bereich, der nicht vom Thema IT-Sicherheit tangiert wird. Die Aufsicht hat bereits vor einiger Zeit angekündigt, bei ihren Prüfungen auf das Thema digitale Resilienz besonders achten zu wollen. Finanzinstitute sollten sich dementsprechend vorbereiten.

Cyberangriffe können breite Wirkung haben

Schwerwiegende IT-Sicherheitsvorfälle bedeuten nicht nur immense finanzielle Einbußen und Reputationsschäden für das betroffene Unternehmen. Sie können auch Folgen für das gesamte Finanzsystem haben, wenn Täter dadurch Schwachstellen in den systemimmanenten Übertragungskanälen ausnutzen.

Diese Gefahr ist einer der Hintergründe für DORA. Mit dieser Verordnung will die EU ein europaweit einheitliches Regelwerk für das IT-Risikomanagement und dessen aufsichtliche Überwachung schaffen. Unkoordinierte, nationale Initiativen, die bisher häufig zu Doppelanforderungen, Überschneidungen und hohen Verwaltungskosten führten oder im Extremfall das Erkennen von Bedrohungen sogar verhinderten, sollen damit endgültig der Vergangenheit angehören.

IT-Risikomanagement mit PPI

Beim Thema Cybersecurity sind die Finanzinstitute keineswegs auf sich allein gestellt. PPI ist seit mehr als vier Jahrzehnten in der Finanzbranche tätig, und unsere Spezialisten für IT-Sicherheit bringen die entsprechende Erfahrung aus zahllosen IT-Projekten bei Finanzdienstleistern mit. Wir entwickeln Lösungen für die verschiedensten Bedrohungsszenarien und bieten Risikomanagement aus einem Guss. Unsere Beratungsteams verfügen neben breitem bankfachlichem Know-how auch über fundierte technische Kenntnisse für die praktische Umsetzung.

Profitieren Sie von

  • erprobten Vorgehensmodellen zur Prüfungsbegleitung, Gap-Analysen sowie regulatorischen Reifegradanalysen;
  • standardisierten Quick Checks, die ihnen in kürzester Zeit einen Überblick über Problemfelder und priorisierte Handlungsempfehlungen geben;
  • erfahrenen, größtenteils ISO-zertifizierten Beratern.

Holen Sie sich Antworten auf die wichtigsten Fragen in der Trias Strategie, Prozesse und Technik:

  • Strategie: Welche generelle Vorgehensweise würden wir wählen? Wie identifizieren wir Schwachpunkte? Wie sorgen wir für dauerhafte Sicherheit?
  • Prozesse: Wie setzen wir unsere Empfehlungen um? Wo greifen wir in Ihre Prozesse ein? Welche weiteren Maßnahmen müssen/sollen ergriffen werden? Sind Schulungen notwendig?
  • Technik: Welche technischen Lösungen bieten wir an? Wie passen wir Ihre Systeme an? Welche physischen Sicherheitsmaßnahmen empfehlen wir?

Bei uns bekommen Sie digitale Resilienz aus einer Hand – sprechen Sie uns an!

Können wir Sie unterstützen?

Andreas Bruckner

Andreas Bruckner

Senior Manager

Kontakt
Jan-Paul Neder

Jan-Paul Neder

Head of Information Security Banking

Kontakt

Unsere Leistungen im Überblick

Das könnte Sie auch interessieren

Symbolbild

Modellierung Risikoparameter

Die Entwicklung eines Ratingsystems endet eigentlich erst mit seiner Abschaffung, denn die Modelle gilt es ständig neu zu validiert und weiterzuentwickeln. Neben der Berücksichtigung aller relevanten Änderungen des Geschäftsfelds müssen auch die aktuellen aufsichtlichen Anforderungen Beachtung finden.

Mehr erfahren

Symbolbild

Kreditportfoliomodelle

Das Verständnis der Abhängigkeiten innerhalb eines Kreditportfolios ist elementar für die Geschäftssteuerung. Welche Korrelationen liegen innerhalb des Portfolios vor, wie reagiert es auf gesamtwirtschaftliche Veränderungen und wie resistent ist es gegenüber extremen Ereignissen?

Mehr erfahren

Symbolbild

Künstliche Intelligenz in der Finanzindustrie

Egal, ob in der Fraud-Bekämpfung oder als Chatbot, ein gezielter KI-Einsatz kann entscheidende Wettbewerbsvorteile bringen. Voraussetzung dafür ist eine klare strategische Zielvorgabe und eine Planung, die neben der technischen Seite auch die menschliche Komponente berücksichtigt.

Mehr erfahren

Symbolbild

KI-Security

Viele KI-Anwendungen sind sogenannte Blackbox-Modelle, bei denen die Ergebnisse nicht ohne Weiteres nachvollziehbar sind. Das führt zu erheblichen Nutzungsrisiken. Abhilfe schaffen Methoden der Explainable Artificial Intelligence (xAI), die auf unterschiedliche Arten dabei helfen, Algorithmen zu verstehen.

Mehr erfahren

Symbolbild

IKT-Risiko und Risikodatenmanagement

Die Informations- und Kommunikationstechnik (IKT) sowie die Beherrschung der inhärenten Risiken sind mitentscheidend für den Geschäftserfolg einer Bank – und sie rücken immer stärker in den Fokus der Aufsicht. Für den fortgesetzten Geschäftsbetrieb sind IKT-Risikomanagement und Data Governance Voraussetzungen.

Mehr erfahren

Symbolbild

Non-Financial-Risk-Management

Geopolitische Krisen, Reputationsverlust, geschäftliche Disruption – viele Risiken in der Finanzwelt lassen sich nicht quantitativ modellieren. Vor diesem Hintergrund und mit Blick auf historische Verluste gewinnt das Non-Financial-Risk-Management aus ökonomischer und normativer Sicht in Zukunft signifikant an Bedeutung.

Mehr erfahren