+

Zugriff auf Daten

Identity- und Access Management als geschäftskritische Faktoren im Bankensektor

Im Zuge der digitalen Transformation werden im Bankenwesen immer öfter sensible personenbezogene Daten verarbeitet.

Die Verfügbarkeit von Diensten und Daten stellt daher ein erfolgsentscheidendes Kriterium für den Erfolg einer Bank dar – und ist gleichzeitig ihre größte Gefahr. Denn Sicherheitslücken in Datenbanken und Programmen bieten unberechtigten Dritten zahlreiche Einfallstore und somit potentiellen Zugang auf geschäftskritische Daten und Informationen.

Für viele Experten spielt im Bereich der Datensicherheit das Zugangsmanagement eine enorm wichtige Rolle. Bei diesem geht es darum, die Sicherheit von persönlichen Daten sowie regulatorischen Anforderungen zu gewährleisten und gleichzeitig den reibungslosen Zugang zu Systemen, Informationen und Anwendungen zu ermöglichen. Nach Meinung von Thomas Malchar, CEO von MATESO, sind die IT-Architekturen vieler Banken veraltet und störanfällig und können daher kaum Schritt mit der digitalen Entwicklung halten. Sein Unternehmen hat mit Password Safe eine Art digitalen Tresor entwickelt, der den Zugriff auf sensible Daten wie Passwörter, privilegierte Zugänge und Konten durch ein umfangreiches Rechtesystem sichert, verwaltet und überwacht. Im Kurzinterview spricht er über die IT-Schwachstellen im Bankensektor.

Welche Risiken sieht Password Safe für den Banken- und Finanzsektor im Bereich der IT-Sicherheit?

Malchar: Der Bankräuber mit Sturmmaske und einem Sack voller Dollarzeichen hat sich ins Netz verlagert – als Hacker, der die Kundendaten im Visier hat. Die Anzahl und der dadurch entstehende Schaden durch Cyberangriffe haben mittlerweile neue Dimensionen erreicht. Das Risiko ist nicht nur wirtschaftlicher Natur: Banken drohen extreme Vertrauen- und Reputationsverluste.

Dabei zeigen DSGVO und Regularien wie die NIS-Richtlinie, dass die Gesetzgebung zunehmend schärfer wird. Die PSD2 verpflichtet Banken nun, Schnittstellen nach außen zu schaffen, um FinTechs oder andere Institute anbinden zu können. Software- und Hardwarestörungen sowie falsche Prozesse stellen dabei sogar ein größeres Risiko als Cyberangriffe dar. Dabei hält die oft noch veraltete und störanfällige IT-Architektur von Banken kaum Schritt mit der digitalen Entwicklung. Die Banken sollten die IT-Sicherheit deshalb besser Spezialisten überlassen und sich auf ihr Kerngeschäft konzentrieren. Wir treffen immer wieder auf selbstgestrickte Systeme, die keinem Penetrationstest standhalten würden.

Wo liegen Ihrer Meinung nach die größten Schwachstellen?

Malchar: Die größte Schwachstelle liegt meiner Meinung nach in den Managementebenen der Banken selbst: Laut der Bundesanstalt für Finanzleistungsaufsicht (BaFin) schützen sich Banken in puncto IT-Sicherheit immer noch nur „ausreichend“ – ein alarmierendes Zeichen, das eigentlich längst zum Handeln drängt. Stattdessen besteht hier für uns der Eindruck mangelnder Sensibilisierung – bis es dann tatsächlich zum Ernstfall kommt und alles ganz schnell gehen und die Gelder bereitstehen müssen.

Passwörter bilden den Schlüssel, um Zugang zu kritischen Daten und Zugängen in Applikationen zu erhalten. Der Umgang mit Passwörtern wird im Finanzsektor seit über 20 Jahren schon fast dilettantisch umgesetzt: Immer noch gibt es Banken, die handschriftliche Passwortbriefe verwenden – was in der heutigen Zeit und in dieser Branche schon gar nicht vorkommen sollte.

Dazu kommt, dass der Fin-Tech-Markt boomt. Um mit dieser wachsenden Konkurrenz Schritt zu halten, sind Banken in Bedrängnis, schnell nachzuziehen – leider auf Kosten durchdachter Konzepte und zukunftsfähiger Lösungen. Dabei sollte der Bankensektor eigentlich eine Vorreiterrolle hinsichtlich digitaler Innovationen bieten und klare Richtlinien verfolgen.

Sicher ist, dass das Bankenwesen sich grundlegend verändern muss. Es ist noch nicht zu spät, Pionier anstatt Nachzügler zu werden – in der richtigen Zusammenarbeit und mit dem nötigen Vertrauen in die digitale Zukunft.

Aus welchen Komponenten besteht Ihrer Meinung nach ein effektives Access und Identity Management?

Malchar: Eine leistungsfähige Identity und Access Management ist für Banken extrem wichtig, um schnell und gleichzeitig professionell handeln zu können. Noch sind zu viele verschiedene, mitunter selbst entworfene, unsichere Systeme im Umlauf, die eher schlecht an vorhandene Organisationsstrukturen angebunden sind. Dabei sollten Bankangestellte und Kunden durch ein zentrales Rechtemanagement im Ablauf entlastet werden, um etwaige Sicherheitslücken zu schließen und den Sicherheitsfaktor Mensch bestmöglich auszuschließen.

Die Kernkomponenten sind sicherlich die zentralisierte Verwaltung von Benutzerkonten auf Basis einer rollenbasierten Rechtestruktur inkl. detaillierter Zugriffsberechtigungen und Zugriffskontrolle wie auch die Benutzerauthentifizierung und –autorisierung inkl. Mehr-Faktor-Authentifizierung. Durch Single Sign-on wird der Zugriff auf Anwendungen mit der eigenen Identität ermöglicht - nicht nur On-Premise, sondern auch im Internet.

Dabei gibt es nicht die eine Sicherheitslösung für Banken. Eine umfangreiche Analyse und Konzeptionierung ist essentiell, um später individuell auf die Anforderungen und Gegebenheiten der einzelnen Kunden eingehen zu können.

Das könnte Sie auch interessieren

Kommentare

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken.

Die Redaktion