Banken verfügen über Finanzinformationen, Kontonummern und Identitätsdaten. Ein großer Wert für Cyberkriminelle. Diese Daten müssen um jeden Preis geschützt werden.
Von Führungskräften, die sich der Herausforderung digitaler Bedrohungen stellen und entschlossene Maßnahmen ergreifen, können wertvolle Erkenntnisse gewonnen werden. Einer von ihnen ist Nenad Milanovic, Leiter des Cyber Defense Centers und Chief Information Security Officer der Erste Digital.
Auf die Frage, wie er mit dieser enormen Verantwortung noch ruhig schlafen kann, antwortet er mit einem Lächeln: „Ja, natürlich ist es eine große Verantwortung, da die Sicherheit digitaler Daten für uns alle von großer Bedeutung ist.“ Damit die Sicherheit garantiert werden kann, sind nicht nur au-tomatische Abwehrsysteme und Security Analysten vorhanden, sondern auch Mittel zur Sensibilisie-rung von mehreren tausend Mitarbeiter:innen.
„IT-Sicherheit funktioniert nur dann gut, wenn sie in das gesamte Unternehmen eingebettet ist und nicht als getrennter Teil eines Unternehmens betrachtet wird“, erklärt Milanovic. Die Sicherheit der Kund:innen sollte mehr oder weniger Teil der DNA einer Bank sein.
Schwachpunkte
Laut Milanovic ist die Schwachstelle im Bereich der Cybersicherheit häufiger der Mensch und weni-ger die Technologie. Gelangen sensible Daten in die falschen Hände, kann der Ruf einer Bank schwer beschädigt werden. Seiner Meinung nach sind Schulung und Sensibilisierung der Mitarbei-ter:innen ein sehr wichtiger Teil der Verteidigung.
Das Cyber Defence Center in der Bank ist dabei die wichtigste Anlaufstelle. Diese Abteilung nimmt pro Tag etwa 30-40 Anfragen von Mitarbeiter:innen entgegen, die wissen möchten, ob es sicher ist, einen E-Mail-Anhang zu öffnen, oder wie man feststellen kann, ob eine Website sicher ist.
Manchmal reicht es schon aus, einen E-Mail-Anhang zu öffnen oder auf den Link einer scheinbar harmlosen Website zu klicken, um einen Computer zu infizieren. Oft bemerkt man gar nicht, wenn die Schadsoftware aktiv wird und einen finanziellen Schaden anrichtet.
Teil des Designs
In erster Linie geht es darum, den Angriff an sich zu verhindern. Und das beginnt mit dem Design der Software. Je früher man Sicherheitsmaßnahmen in die Produktentwicklung integriert, desto „günstiger“ kann man sich vor Angriffen schützen.
„Fließt die für Innovationen aufgewendete Energie in gleichem Maß auch in die Berücksichtigung potenzieller Folgen und ihren Schutz, dann wird Cyberabwehr sehr effektiv“, ist sich Milanovic si-cher.
Identitätsdiebstahl
Vor einigen Jahren griffen Cyberkriminelle Banken noch direkt an. In den letzten Jahren haben Ha-cker:innen jedoch erkannt, dass die Sicherheit der Erste Group umfassend verstärkt wurde. Nun lohnt es sich nicht mehr, die Infrastruktur der Bank anzugreifen. Stattdessen konzentrieren sie sich auf ein viel attraktiveres Ziel: die Kund:innen der Bank.
Die Mobiltelefone und PCs von Privatpersonen sind oft nicht angemessen geschützt. Online-Dienste verwenden E-Mails zur Kontobestätigung und geben Benutzer:innen die Möglichkeit, ihr Passwort zurückzusetzen.
„Wenn sich Cyberkriminelle unbefugten Zugriff auf Ihre E-Mails verschaffen, können sie großen Schaden anrichten“, warnt Milanovic. Das erklärt auch die ungeheure Anzahl von Phishing-E-Mails, die das Ziel haben, die Identität von Benutzer:innen zu übernehmen.
Ein Katz-und-Maus-Spiel
Jedes Unternehmen kann angegriffen werden. Aus diesem Grund müssen die Hürden für Ha-cker:innen so komplex und kostenintensiv wie möglich sein. Nur diese Strategie kann wirklich funk-tionieren. Deshalb ist die Computersicherheit ein ewiges Katz-und-Maus-Spiel zwischen Angreifer:in und Verteidiger:in.
Siege sind nur schwer zu erringen. „Aber es lohnt sich“, ist Milanovic überzeugt. Hacker:innen möchten es sich so einfach wie möglich machen. Ist ein Angriff auf die IT-Infrastruktur der Erste Group zu aufwendig, werden sie nach anderen Zielen suchen.
Sicherheit auf dem Prüfstand
Bei der Produktion der ersten Autos war Sicherheit noch kein Thema für die Hersteller. Erst als die Automobilbranche beschloss, ihre Fahrzeuge mit Sicherheitssystemen auszustatten, gingen die To-desfälle zurück. Autounfälle passieren heute noch immer, jedoch nicht aufgrund unsicherer Fahrzeu-ge, sondern vor allem wegen der Fahrweise ihrer Besitzer:innen.
Mit der Zeit wird auch die IT- und Softwarebranche die gleiche Entwicklung nehmen, schließlich ist diese Branche gerade einmal 30 Jahre alt und noch sehr jung. Immer mehr Unternehmen werden Sicherheitsfunktionen in ihre Produkte integrieren und eine Umgebung schaffen, in der Software wirklich sicher ist. „Eine hundertprozentige Sicherheit wird es nie geben, aber wir können ihr sehr nahe kommen“, erklärt Milanovic. „Aus diesem Grund kann ich nachts auch gut schlafen.“
Sicherheitsexpert:in werden
Da sich immer mehr Teile unseres Lebens in die digitale Wirtschaft verlagern, muss die Cybersi-cherheit in alle Prozesse integriert werden. Die Bedrohungen nehmen von Jahr zu Jahr zu oder wer-den immer ausgeklügelter. Bei der Erste Digital, IT Tochterfirma der Erste Group, besteht deshalb ein großer Bedarf an Sicherheitsexpert:innen.
Der wichtigste Aspekt dieses Jobs ist laut dem Sicherheits-Chef das ständige Bestreben nach per-sönlicher Weiterbildung. Im Bereich der Cybersicherheit sind Kenntnisse bereits nach nur einem Jahr wieder veraltet. Man muss also immer am Ball bleiben. Fast ebenso wichtig ist Know-how von Verschlüsselungsverfahren und Netzwerksicherheit. Auch wenn sich die Verfahren ständig ändern – die Konzepte bleiben gleich.
Sicherheitsexpert:innen überwachen beispielsweise den Netzwerkverkehr oder analysieren Transak-tionen. Dabei sind Vorsicht und Genauigkeit wichtige Faktoren. Unentdeckte Unregelmäßigkeiten können ein Angriffsziel für Hacker:innen sein. Und genau das muss verhindert werden. Um jeden Preis.
Bereit für eine neue Herausforderung?
Unsere IT Jobprofile sind so vielseitig wie unsere Kolleg:innen. Jetzt bewerben & die Zukunft des Bankings mitgestalten: Stellenangebote bei Erste Digital