Die Ansprüche der Kunden an die Verfügbarkeit und Resilienz von digitalen Banking-Produkten haben in den vergangenen Jahren ebenso zugenommen wie die Vernetzung der Produkte untereinander, etwa im Sinne von Beyond Banking. Entsprechend hoch sind die Ansprüche an die Institute hinsichtlich Stabilität und Sicherheit ihrer Angebote. Eine weitere Herausforderung ist der Trend zum Homeoffice. Mitarbeiter erwarten von ihrem Arbeitgeber mehr Flexibilität und haben sich daran gewöhnt, von verschiedenen Orten zu arbeiten – im Wettbewerb um Nachwuchskräfte wird Remote Work schnell zum Ausschluss- oder Zuschlagskriterium. Die hierfür notwendige IT-Umgebung muss vor Angriffen geschützt werden.
Neben Kunden und Mitarbeitern hat auch die Aufsicht eigene Erwartungen bezüglich des Umgangs mit IKT-Risiken. Vorgaben zum IKT-Risikomanagement wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Digital Operational Resilience Act (DORA) sollen die IKT der Institute sicherer machen. IT-Compliance wird hier aber nicht nur als Selbstzweck gesehen, sondern auch als Instrument für eine bessere Nutzung der Digitalisierung insgesamt, ohne dabei die Risiken außer Acht zu lassen. Seitens der Aufsicht verfolgte Themen sind beispielsweise das Informationssicherheitsmanagement, die Ausgestaltung von Outsourcing-Maßnahmen oder die interne Sicherung der Systeme durch ein modernes Identitätsmanagement. Sonderprüfungen, etwa nach § 44 Kreditwesengesetz (KWG) testen den Reifegrad der IKT-Risikomanagementsysteme regelmäßig auf Herz und Nieren. PPI unterstützt Ihr Institut mit erfahrenen Beratern über die gesamte Bandbreite von IKT-Sicherheitsthemen hinweg. Dabei profitieren Sie von unseren interdisziplinären Teams, die sich sowohl durch fundierte fachliche Erfahrung als auch technologische Expertise auszeichnen.
Der Alltag eines Finanzinstituts wird sehr stark von weitreichenden strategischen Festlegungen bestimmt. Dabei ist es unerheblich, ob es sich um den Risikoappetit insgesamt, Zielvorgaben für Nachhaltigkeitsrisiken oder Ähnliches handelt. Die IT bildet da keine Ausnahme. Der Vorstand muss eine IT-Strategie beschließen, die sowohl die langfristigen Ziele bezüglich der Leistungsfähigkeit bestimmt als auch die für deren Erreichen notwendigen Maßnahmen sowie geeignete Kennzahlen zur Messung der Zielerreichung. Anhand der dabei gemachten Vorgaben definiert die IT-Governance die Strukturen zur Steuerung und Überwachung des Betriebes, der Weiterentwicklung der IT-Systeme und -Prozesse. Schließlich nützen die besten verfügbaren IT-Spezialisten im Team nichts, wenn die grundsätzliche Marschrichtung unklar ist. Natürlich müssen beide Vorgaben – Strategie und Governance – laufend auf Aktualität geprüft und, falls notwendig, angepasst werden. Mit diesen Instrumenten in einem hochdynamischen technischen Umfeld zu arbeiten, erfordert Erfahrung und Weitblick – beides Dinge, die unsere Experten aus unzähligen Projekten in der Finanzbranche mitbringen.
Die Prüfung auf Lücken im Vergleich zu den Vorgaben der BAIT ist eine wichtige Maßnahme zur Kontrolle der Einhaltung gesetzlicher und regulatorischer Anforderungen und verhindert böse Überraschungen bei externen Prüfungen. Dabei sollten sowohl die interne Aufbau- und Ablauforganisation als auch die implementierten technischen Maßnahmen unter die Lupe genommen werden. Wir decken mittels individueller, auf Ihre speziellen Anforderungen zugeschnittener Gap-Analysen Schwachstellen und Risiken auf und geben Ihnen Handlungsempfehlungen zur Verbesserung Ihrer IT-Compliance. Unsere GAP-Analysen eignen sich auch als vorbereitende Prüfung für eine externe Prüfung, zum Beispiel durch die Aufsicht.
Von Anfang an den regulatorischen Vorgaben entsprechende IT-Systeme sind ein wichtiger Faktor für jedes Unternehmen, ganz besonders im Banking-Bereich. Dies gilt ebenso für Sicherheitsaspekte: Auch diese müssen so früh wie möglich Eingang in die Konzeption von IT-Lösungen finden, um den Schutz von Systemen und Daten zu gewährleisten. Wir unterstützen Sie dabei schon in frühen Stadien der IT-Entwicklung. Zudem berücksichtigen wir alle rechtlichen Anforderungen bereits während der Planung von IT-Prozessen und -Systemen. Compliance- und Security-by-Design vermeiden teure Nachbesserungen und minimieren Risiken. Zugleich steigt das Vertrauen Ihrer Kunden. Wir beziehen dabei nicht nur aktuelle Vorschriften ein, sondern auch zukünftige Entwicklungen sowie Kosten-Nutzen-Aspekte und bieten Ihnen so langfristig Schutz und Sicherheit.
Regulatorische Prüfungen können für Unternehmen eine große Herausforderung darstellen. Die Vorbereitung darauf beansprucht Zeit und Ressourcen – eine genaue Kenntnis der relevanten Anforderungen und Regeln ist unerlässlich. Wir unterstützen Sie bei der Vorbereitung auf regulatorische Prüfungen mit unserer jahrzehntelangen Erfahrung in der Finanzindustrie und der tatsächlichen Prüfungspraxis. Dazu verfügen wir über die notwendige fachliche und technische Expertise in der IT-Sicherheit und IT-Compliance. Unsere Spezialisten begleiten Ihr Institut in allen Prüfungsphasen, von der Vorbereitung bis zur Nachbereitung. Mit unseren maßgeschneiderten Lösungen ist eine reibungslose Prüfung gewährleistet.
Keine Bank kommt im digitalen Zeitalter ohne den kompletten Baukasten aller IT-Anwendungen aus. Dennoch ist sie kein IT-Unternehmen, sondern ein Finanzdienstleister. Eine Auslagerung einzelner Anwendungen oder sogar ganzer Prozesse an spezialisierte, rechtlich selbstständige Dienstleister liegt daher nahe und wird auch branchenweit praktiziert. Dennoch sind solche IT-Outsourcing-Projekte nicht ohne Fallstricke. Denn die Institute geben einen Teil ihrer Autonomie ab, sind aber weiterhin gegenüber Kunden und Aufsicht für die Sicherheit und die Zuverlässigkeit ihrer Prozesse verantwortlich. Die Implementierung nachhaltiger Lösungen für die Umsetzung und Kontrolle von Sicherheitsmaßnahmen bei ausgelagerten Services ist inzwischen ein Muss. Zudem beziehen die Aufsichtsbehörden die Vertragsgestaltungen und die Dienstleister absehbar stärker als bisher in den Überwachungsprozess ein, wie beispielsweise durch eine adäquate End-to-End-Betrachtung über die eigenen Unternehmensgrenzen hinweg. Unsere Spezialisten stehen Ihnen bei der Planung und Durchführung von IT-Outsourcing-Vorhaben gerne zur Seite.
Die Nutzung der Cloud bietet enormes Potenzial hinsichtlich Skaleneffekten und Aufwandsreduktion bei deutlich steigender Flexibilität für viele Prozesse. Auch intern ermöglichen Cloudanwendungen vielfältige positive Veränderungen: etwa durch die Möglichkeit, unkompliziert Remotearbeit anzubieten. Dieser Trend wird sich weiter verstetigen, und es gilt, die Herausforderungen effizient und kostenbewusst zu steuern. Die notwendige Cloud-Compliance ist im Prinzip eine Sonderform des Outsourcings. Problematisch ist unter anderem die Konzentration auf wenige Big-Tech-Anbieter. Zur Abwehr der bei Cloudlösungen denkbaren neuen Angriffsvektoren müssen alle Sicherheitsanforderungen an Bankprodukte auch in dieser Umgebung erfüllt sein –es macht sogar Sinn, noch darüber hinauszugehen. Bei der Vertragsgestaltung sollten Banken sich immer vergegenwärtigen, dass die Big-Tech-Anbieter im Grundsatz eine andere Verhandlungsposition haben als kleinere Provider. Wir begleiten Sie bei der Lösungsauswahl– egal ob Private oder Public Cloud –, der Implementierung von Sicherheitsstandards sowie beim Anbietermanagement.
Das Notfallmanagement ist ein bedeutender Bestandteil eines ganzheitlichen Sicherheitskonzepts. Nur so können Kreditinstitute im Ernstfall schnell und zielgerichtet agieren und Schäden minimieren. Wir beraten Sie beim Aufbau effektiver Strukturen und helfen bei der Definition und Umsetzung aller notwendigen Schritte und Maßnahmen. Damit sind Sie im Ernstfall bestmöglich vorbereitet.
In der Rangfolge der Bedrohungen von IT-Systemen nehmen Angriffe von außen den prominentesten Platz ein. In der Tat steigt die Zahl der Attacken, ebenso die Schäden für betroffene Unternehmen. Dies ist zunächst unabhängig davon, ob die Angreifer ideologisch motiviert sind oder monetäre Interessen verfolgen – lediglich der gewählte Angriffsvektor unterscheidet sich abhängig von der Zielrichtung. Die Institute müssen sich daher auf alle Szenarien vorbereiten, seien es etwa Ransomware-Erpressungen oder DDoS-Attacken, die Systeme lahmlegen sollen. Die PPI-Spezialisten helfen bei der Erkennung von Bedrohungsszenarien, entwickeln Verteidigungsstrategien und setzen konkrete Maßnahmen gemeinsam mit Ihrer IT-Abteilung um. Darüber hinaus unterstützen wir auch bei der Bewertung der Cyberrisikolage Ihrer Kunden oder Geschäftspartner, etwa als Teil der Prüfung des Bonitätsrisikos im Kreditgeschäft.
