Kapitalgesellschaften, Banken wie auch sonstige innerhalb der Finanzwirtschaft tätige Unternehmen (im Folgenden „Finanzdienstleister“/“Unternehmen“), tragen eine hohe Verantwortung. Heutzutage ist es wichtiger denn je (Tendenz steigend), Informationssicherheit innerhalb eines Unternehmens implementiert zu haben. Grund dafür liegt darin, unternehmensseitige IT-System- und Kommunikationslandschaften effektiv vor unberechtigten Zugriffen Dritter zu schützen – vor allem in Zeiten von Corona, Homeoffice und fortschreitender Digitalisierung. Naturgemäß haben vor allem Kunden von Finanzdienstleistern eine hohe Sicherheitserwartung, insbesondere hinsichtlich der Abwicklung ihrer Finanzgeschäfte, wie auch bzgl. der Aufbewahrung und Verwendung ihrer Daten. Bestehen an diesen Stellen Sicherheitslücken, kann dieser Umstand bereits für sich allein (und zwar unabhängig von dem Eintritt eines konkret bezifferbaren Schadens) zu einem kundenseitigen Vertrauensverlust sowie darüber hinaus zu einem Reputationsschaden des betreffenden Finanzdienstleisters führen.
Zahlen
Gemäß der BITKOM-Studie vom Februar 2020 stieg die Anzahl der von Datendiebstahl, Industriespionage oder Sabotage betroffenen deutschen Unternehmen von 51% im Jahr 2015 auf 75% im Jahr 2017 (Zunahme von 24% in lediglich 2 Jahren). Cyberangriffe haben bei 70% der befragten Unternehmen zu einem Schaden geführt; 2017 waren es demgegenüber noch 43% (Zunahme von 27% innerhalb von 2 Jahren). Die amerikanische Carnegie-Stiftung sammelt bspw. weltweit Cyber-Sicherheitsvorfälle, an denen Finanzinstitute beteiligt waren, wobei nur die öffentlich gewordenen Fälle enthalten sind – so wurden von 2007 bis 2020 insgesamt 207 Cybervorfälle zusammengetragen, 130 (62,8%) davon fallen auf den Zeitraum 2018 bis 2020.
Fallsituationen
Neben menschlichem Versagen, höherer Gewalt und Versagen von Technik oder Prozessen, sind Unternehmen einer großen Bandbreite an Cybergefahren ausgesetzt, denn durch Diebstahl vertraulicher Informationen, Manipulation oder Zerstörung geldwerter Daten, (digitale) Erpressung von Lösegeldern durch Verschlüsselung von Daten (Ransomware-Angriffe) oder Spionage lässt sich viel Geld verdienen. Ein Angriffsszenario ist z.B. das Eindringen in IT-Systeme von Unternehmen durch Ausspähen, bspw. indem im Internet nach Servern mit ungeschützten Fernwartungszugängen (Remote Desktop Protocol, RDP) gescannt wird und Passwörter mittels Brute-Force-Attacke ermittelt werden, um bei Erfolg Mal- und Ransomware zu installieren. Ein weiteres typisches Angriffsszenario ist das Eindringen in die IT-Infrastruktur eines Unternehmens über gefundene, ungepatchte Sicherheitslücken in bereits genutzten IT-Systemen. Zunehmend sind auch komplexe Cyberangriffe (APT – Advanced Persistent Threat) zu beobachten, bei denen die Angreifer Zugang zu einem Netzwerk erlangen, um dort schädigende Aktivitäten (wie Spionage, Datendiebstahl, Manipulationen oder Zerstörungen) auszuführen. Vielen Angriffen gehen zudem gezielte Social-Engineering-Aktivitäten voraus – eine beliebte wie einfache Methode sind Phishing-Mails, die inzwischen meist täuschend echt wirken und dazu dienen, sensible Daten zu erhalten, in ein System zu gelangen oder den Adressaten zu manipulieren und dazu auffordern, einem Link zu folgen oder ein Dokument zu öffnen, sodass Schadcode auf den lokalen Rechner nachgeladen werden kann. Eintrittstor ist nicht immer das Unternehmen selbst, oftmals nutzen Angreifer die Lieferkette des Unternehmens oder die IT-Systeme eines Partners oder eines Kunden aus (sogenanntes Island Hopping), um später das eigentliche Ziel zu kompromittieren. Es ist davon auszugehen, dass kleine und große Unternehmen, öffentliche Einrichtungen sowie kritische Infrastrukturen gleichermaßen im Fokus stehen.
Risikofaktor Informationssicherheit in den Unternehmen
Grundsätzlich ist der jeweilige Finanzdienstleister Herr seiner Systeme, er trägt die Verantwortung und ist entsprechend verpflichtet, seine IuK-Systeme zu sichern (IT-Sicherungspflicht). Derartige IT-Sicherungspflichten für Unternehmen folgen auf europäischer Ebene z.B. aus der Richtlinie über die Sicherheit von Netz- und Informationssystemen. In Deutschland werden IT-Sicherungspflichten z.B. durch das IT-Sicherheitsgesetz (IT-SiG) oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich verankert. In Luxemburg gilt hierzu u.a. das Act of 18 July 2014 concerning the approval of the Convention on Cybercrime of the Council of Europe.
IT-Sicherungspflichten dienen dem Eigenschutz (Schutz des Unternehmens selbst) als auch dem Fremdschutz (Schutz der Vertragspartner, Kunden, sonstigen Personen/Gesellschaften, mit denen ein elektronischer/technischer Austausch besteht). Gelangen unberechtigte Dritte mangels systemseitiger Schutzbarrieren in das System eines Finanzdienstleisters, wird ihnen hierdurch eine Plattform für weitere betrügerische und schädigende Aktivitäten zur Verfügung gestellt. Sämtliche Nutzer eines solchen infiltrierten System-Kreislaufes (System-Nutzer) sind dadurch einem erhöhten Risiko ausgesetzt. Je höher die jeweiligen Schutzmaßnahmen der System-Nutzer, desto geringer sind die Schadenswahrscheinlichkeiten aller übrigen am System-Kreislauf teilnehmenden System-Nutzer. Kommt ein System-Nutzer seinen ihm obliegenden IT-Sicherungspflichten nicht nach, haftet er für etwaig daraus entstehende Schäden (jeweils unter Berücksichtigung etwaiger Mitverschuldensanteile der übrigen System-Nutzer). Es gilt das Prinzip der Verschuldensvermutung, d.h. allein aufgrund der Tatsache eines „erfolgreichen“ Angriffs wird vermutet, dass die Systeme nicht ausreichend geschützt waren, der System-Nutzer seinen IT-Sicherungspflichten nicht nachgekommen ist, er diesbezüglich die im Verkehr erforderliche Sorgfalt außer Acht gelassen und fahrlässig gehandelt hat. Zwar hat jeder System-Nutzer im Hinblick auf eine Verschuldensvermutung die Möglichkeit der Exkulpation, d.h. die Erbringung eines Gegenbeweises, in der Praxis allerdings dürfte sich die Erbringung eines Gegenbeweises als eher schwierig erweisen. Es gilt daher, die Systemlandschaft durch geeignete Maßnahmen zu sichern und diese auf aktuellem Stand zu halten.
Technische Mindestmaßnahmen umfassen bspw. die Installation von Antivirenprogrammen mit stets aktuellem Virenscanner, die Sicherung der Unternehmensinfrastruktur durch Firewalls (und bedarfsorientierte Zusatzdienste), Passwortschutz auf allen Geräten, das Erzwingen komplexer Passwörter, das Verschlüsseln von Netzwerkverbindungen, zügiges Einspielen von Updates und Sicherheitspatches, sparsame Nutzung von IT-Administratorenzugängen, begrenzte individuelle Zugriffsrechte für Mitarbeiter auf Verzeichnisse und (Web-)Anwendungen, regelmäßige Datensicherungen (je öfter, desto besser), die Sicherung mobiler Endgeräte, das Verhindern der Manipulation von Sicherungskopien (z.B. durch eine vom Server physisch getrennte Aufbewahrung), elektronische Zugangskontrollen zu Gebäuden und Assets sowie die Entwicklung und Tests von Notfall- und Wiederherstellungskonzepten (BCM – Business Continuity Management).
Risikofaktor Mensch
Nicht nur die IuK-Systeme an sich stellen einen Risikofaktor dar; der Risikofaktor Mensch spielt hierbei eine entscheidende Rolle. Mitarbeiter von Finanzdienstleistern tragen eine Mitverantwortung in Bezug auf die Effektivität unternehmensseitiger Sicherheitsmaßnahmen, denn Angreifer versuchen oft, über den Mitarbeiter einen Weg in das Unternehmen zu finden, bspw. indem sie sich (mittels Phishing-Mails) als technischer Support-Mitarbeiter oder Chef ausgeben und ihre Opfer manipulieren, um vertrauliche Informationen wie Zugangsdaten zu erhalten oder sie zu überzeugen, Geld zu überweisen. Es ist der Risikofaktor Mensch, der eine Betrugs- bzw. Täuschungshandlung häufig nicht erkennt. An dieser (meist unterschätzen) Stelle sollten Finanzdienstleiter zusätzlich in die Sicherheit ihres Unternehmens investieren, denn jeder kann Ziel eines Angriffs werden. Die meisten Finanzinstitute haben entsprechende digitale Betrugspräventionsschulungen implementiert. Allerdings muss man sich die Frage stellen, ob diese der heutigen Bedrohungslage gerecht werden und ob es ausreicht, die gesetzlichen und regulatorischen Mindestanforderungen umzusetzen oder ob es nicht an der Zeit ist, proaktiv über etwaige Mindestanforderungen hinaus zu agieren – etwa durch spezielle Schulungen durch Polizeibehörden oder IT-Unternehmen. Aus Haftungs- und Risikogesichtspunkten genügt es nicht, lediglich in technische Maßnahmen zur Informationssicherheit zu investieren und den Risikofaktor Mensch an dieser Stelle unberücksichtigt zu lassen.
Investitionen in sichere Tools/Verfahren
Darüber hinaus können Risiken verringert werden, indem auf sichere Tools/Verfahren umgestellt wird. Zahlungsaufträge sollten über SWIFT (Society for Worldwide Interbank Financial Telecommunication) bzw. ähnlich abgesicherte Tools und nicht per E-Mail übermittelt werden. Eine zusätzliche Absicherung z.B. im Hinblick auf die Erteilung und Abwicklung von Zahlungsinstruktionen (insbesondere bei hohen Beträgen aus Capital Calls) ist die Implementierung eines Call-Back-Verfahrens. Zudem ist es sinnvoll, generell auf digitale Signaturen nach eIDAS (Verordnung (EU) Nr. 910/2014 über elektr. Identifizierung und Vertrauensdienste für elektr. Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG) umzustellen.
Absicherung durch Abschluss von Versicherungen (Selbsterhalt)
Auch wenn eine gut gesicherte IT-Infrastruktur und gut geschulte Mitarbeiter vorhanden sind, können nicht alle bestehenden Risiken vermieden werden – die Kriminalität schläft nicht und wird weiterhin erfinderisch sein. Entsprechende Versicherungen können eine Ergänzung sein, ersetzen jedoch nicht die Umsetzung angemessener und zeitgemäßer Maßnahmen zum Schutz des Unternehmens. Es ist zudem genau zu prüfen, welche Kosten entstehen, wann tatsächlich ein Haftungsfall eintritt und ob Ausschlusskriterien eindeutig formuliert sind, da sich die Versicherungen hier erheblich unterscheiden.
Exemplarische technische und organisatorische Schutzmaßnahmen
Ergänzend zu den o.g. Mindestmaßnahmen kann aktuellen Bedrohungen u.a. mit folgenden Maßnahmen begegnet werden: Verschlüsselung von Datenträgern und E-Mails, Multi-Faktor-Authentifizierung auf sensiblen Systemen, Durchführung von Penetrationstests, Einschränkung von Hardware-Freigaben (z.B. nur autorisierte USB-Sticks), Protokollierung von Zugriffen, Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) zur Identifikation und Abwehr von Angriffen, automatische Sperrung von Nutzer-Konten nach einer bestimmten Anzahl von Fehleingaben, Einrichtung eines anonymen Hinweis-Systems, Bestellung eines Sicherheitsverantwortlichen, Bewusstseinsförderung durch regelmäßige, individuelle Schulungen mit variierenden Inhalten und Praxistests (z.B. Test-Phishing-Mails), Einsatz von zentralisierten Werkzeugen zum ganzheitlichen Sicherheitsmonitoring (Security Information and Event Management) sowie laufende Weiterqualifikation zum Stand der IT-Sicherheit.
Informationssicherheit planen, umsetzen, prüfen und ausführen
Für einen strukturierten Aufbau von Informationssicherheit eignet sich eine Betrachtung entsprechend der Dimensionen Verfügbarkeit, Integrität und Vertraulichkeit von Informationen. Die größte Herausforderung ist es, die tatsächlichen Sicherheitsanforderungen herauszuarbeiten, denn Informationssicherheit muss auf die Anforderungen des Business abgestimmt sein, um einen optimalen Kosten-Nutzen-Faktor zu erhalten und Prioritäten nachvollziehbar setzen zu können. Hierzu ist eine Schutzbedarfsanalyse zu erstellen, inklusive Identifikation von Gefährdungen von Informationswerten, Schadensklassifikation, realistischer Risikofolgenabschätzung, möglichen Behandlungsoptionen (Akzeptieren, Verlagern, Reduzieren, Beseitigen) und Ableitung von (rechtlichen, organisatorischen, personellen, infrastrukturellen und informationstechnischen) Sicherheitsmaßnahmen. Auf Basis der geplanten Optionen und Maßnahmen lassen sich Kostenschätzungen vornehmen. Basierend auf diesen Ergebnissen sind ein Informationssicherheits- und Datenschutzkonzept zu erstellen sowie die vereinbarten Sicherheitsmaßnahmen umzusetzen.
Eine Möglichkeit ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) entlang der Normenreihe ISO/IEC 27001, 27002 und 27701, auch wenn keine Zertifizierung angestrebt wird. Der Hauptteil der ISO 27001 umfasst die Formulierung von Sicherheitszielen und Leitlinien, die Bestimmung der Informationswerte (wie Daten, IT-Systeme, Anwendungen, IT-Services), die Risikobeurteilung, die Risikobehandlung und die kontinuierliche Verbesserung. Der Anhang der ISO 27001 umfasst umfangreiche Sicherheitsmaßnahmen (Controls), welche zumindest für die einzelnen Top Level Assets (Informationswerte) hinsichtlich ihrer Relevanz und auf Vorhandensein geprüft werden sollten, um auf diese Weise Umsetzungs- und Prüfübersichten zu erhalten. In der ISO 27002 werden die Controls wiederum konkretisiert. Sollten die Controls nicht alle Sicherheitsziele eines Unternehmens abdecken, können diese ergänzt werden. Die ISO 27701 ist keine eigenständige Norm, sondern eine Erweiterung der ISO 27001 und der ISO 27002 um Datenschutzaspekte.
Eine weitere Möglichkeit zum Aufbau eines individuellen ISMS ist die Nutzung der frei zugänglichen BSI-Standards 200-1, 200-2 und des IT-Grundschutz-Kompendiums. Die BSI-Standards sind wiederum kompatibel zu den Normen ISO 27001 und 27002. Für beide Vorgehensweisen (BSI-Standard, ISO 27xxx) gilt, dass diese als Anregung zu verstehen sind, um die Informationssicherheit im Unternehmen entsprechend der aktuellen Ausgangssituation individuell und zugleich strukturiert zu implementieren und schrittweise je nach aktuellen Erfordernissen auszubauen.
Informationssicherheit ist ein kontinuierlicher Prozess, denn „Sicherheit per se“ lässt sich nicht herstellen, vielmehr ist die Umsetzung weiterer Sicherheitsmaßnahmen und der entstehenden Kosten regelmäßig im Verhältnis zu wechselnden Risikosituationen zu prüfen und zu optimieren. Informationssicherheit ist vor allem nicht alleinige Aufgabe der IT-Abteilung, sondern eine Aufgabe des gesamten Unternehmens, vor allem des Top-Managements. Unterstützung durch externe Dienstleister mit entsprechender Expertise kann zudem sinnvoll sein.
15. März 2021
Schreibe einen Kommentar
Christiane Pankewitsch
Christiane Pankewitsch ist als Volljuristin innerhalb der Rechtsabteilung von Hauck & Aufhäuser Privatbankiers AG, Niederlassung Luxemburg tätig. Ihr Schwerpunkt liegt im Banken- /Kapitalanlage- /Investmentrecht. Bereits seit mehreren Jahren betreut und begleitet sie die jeweiligen Gesellschaften des Hauck & Aufhäuser Konzerns hinsichtlich bankenrechtlicher als auch investmentrechtlicher Fragestellungen.
Weitere Beiträge von
Christiane Pankewitsch
Dr. Kerstin Pankewitsch
Dr. Kerstin Pankewitsch ist bei der Conomic GmbH als Senior Consultant tätig und verfügt über langjährige Erfahrungen im Bereich Geschäftsprozess- und Unternehmensarchitekturmanagement sowie IT- und Prozessberatung. Als Wirtschaftsinformatikerin verantwortete sie in verschiedenen beruflichen Stationen u.a. die unternehmensweite Einführung von Geschäftsprozessmanagement sowie im Rahmen einer Leitungsfunktion im IT-Management die Erstellung, Bewertung und Weiterentwicklung von IT-Unternehmensarchitekturen, IT-Governance und IT-Sicherheitskonzepten und deren Umsetzung.
Dr. Christian Sprengel
Als Wirtschaftsinformatiker ist Dr. Christian Sprengel als Senior Consultant bei der Conomic GmbH mit langjähriger Erfahrung in der IT-Unternehmensberatung in verschiedenen Branchen tätig. Zu seinen fachlichen Schwerpunkten zählen Geschäftsprozessmanagement, Anforderungsmanagement, Softwarearchitekturen, Datenbanksysteme, Anwendungsintegration und elektronischer Datenaustausch.
