Viele Dinge passieren online. So wie jede andere Branche hat auch der Finanzsektor mit Sicherheitsproblemen zu kämpfen. Es geht hierbei insbesondere darum, die Schwachstellen zu erkennen und diese richtig zu priorisieren. Aufgrund der immens hohen Menge an Daten braucht es Sicherheitsverantwortliche, die in der Lage sind, diese Schwachstellen in einem möglichst kurzen Zeitfenster zu finden und zu beheben.
Welches Ziel verfolgt das Webinar zur IT Sicherheit während Corona?
Durchs Webinar führte Alexander Krenn. Mit zwei Experten wurden relevante Thema in der IT-SECURITY CYBER Lounge behandelt. Aktuelle Infos und Tech Talks über digitale Finanzdienste sowie Cloud-Dienste wurden den Webinar-TeilnehmerInnen geboten. Zudem wurden die ZuhörerInnen über die zurzeit vorherrschenden IT-Security Trends im Kosmos der Finanzen auf dem Laufenden gehalten. Die eingeladenen Experten, Clemens Peyerl und Siegfried „Ziggy“ Schauer, stellten sich den brisanten Fragen des Moderators Alexander Krenn.
Die neu eröffnete bank99 AG
Clemens Peyerl, der Chief Information Security Officer (CISO) von der bank99, wurde mit der folgenden Frage konfrontiert: Wie sicher ist es denn in der Krisenzeit, eine neue Bank zu eröffnen? Die Tore der bank99 wurden nach langen Vorbereitungen am 1. April 2020 geöffnet. Die COVID-19 Krise hat in Österreich die ursprünglich geplante Marketingstrategie zunichte gemacht. Es gibt im Finanzfeld hohe Regulierungen bzw. behördliche Auflagen, die bei der Neueröffnung einer Bank erfüllt werden müssen.
Es herrscht ein extremer Digitalisierungshype. Auch beim Aufbau und bei der Aufsicht einer Bank sind Themen wie beispielsweise Cyber-Umfeld, Schwachstellenmanagement und Outsourcing omnipräsent. Das junge Finanzinstitut bank99 gehört zu 80 Prozent der Post und zu 20 Prozent der GRAWE Bankengruppe. Clemens Peyerl bemerkte, dass er so gesehen kein Greenfield betreten hat. Denn es wurden vonseiten der Post bereits viele Vorleistungen getroffen bzw. erbracht. Diese waren beim Aufbau der neuen Bank von großem Nutzen.
Vertragliche Regelungen und Richtlinien bestimmen das Agieren im digitalen Finanzbereich
Informationen und deren Verarbeitung sind für Firmen oftmals die Geschäftsgrundlage. Gehen Daten verloren, so drohen auch den Finanzinstituten herbe Einschnitte in puncto Reputation und Profitabilität. Darum haben laut dem Experten Clemens Peyerl das Daten-Monitoring sowie die Onlinesicherheit (Phishing) oberste Priorität. Gefahren im Onlinebereich gibt es in den Netzwerken selbst, bei der Kommunikation, beim Websurfen und auch beim Online-Banking.
Eine wesentliche Aufgabe des CISO bei einer Bank besteht auch darin, die Bankkunden auf digitalem Wege zu erreichen und sie adäquat zu informieren. Auch intern müssen die MitarbeiterInnen aufgeklärt werden, welche Tools sie verwenden und akzeptieren dürfen. Wie geht man mit Einladungen um? Bitte nicht einfach Link-Anfragen akzeptieren. Das Hinterfragen ist hierbei wichtig. Es macht keinen Sinn und zudem ist es für die Kunden gefährlich, einfach so Kontakte zu sammeln. Laut dem CISO Clemens Peyerl sollen die zwei empfohlenen Tools der bank99 verwendet werden. Ein starker Fokus liegt auch darin, die Leute über Teams zu erreichen. Alles was kundenbasiert ist und Internet-Facing anbelangt, wird klassisch abgewickelt.
Eine Bank ist mitsamt den Daten der Kunden vor Angriffen von außen (Hackern) niemals a priori geschützt. Es müssen deshalb gemäß der Auffassung von Clemens Peyerl immerzu neue Maßnahmen, Regelungen, Vorkehrungen und Voraussetzungen ins Auge gefasst werden, um die Onlinesicherheit im Finanzsektor stets aufs Neue gewährleisten zu können.
Kurzumfrageergebnis: Hat sich bezogen auf den Stellenwert der IT-Sicherheit im Unternehmen aufgrund der Corona-Krise etwas geändert?
Im Unternehmen hat sich wegen der Krise nichts geändert. |
42 Prozent |
Es wurde vermehrt in die IT-Sicherheit investiert. |
21 Prozent |
Endlich haben alle eingesehen, wie wichtig in einem Unternehmen die IT-Sicherheit ist. |
16 Prozent |
Ich möchte mich dazu nicht äußern. |
12 Prozent |
Die zuständigen Budgets wurden leider krisenbedingt drastisch gekürzt. |
9 Prozent |
Siegfried "Ziggy" Schauer von T-Systems Austria berichtet über die Cyber-Kriminalität in Zeiten der COVID-19-Krise
Die Firma ist für das prägnante Marketing bekannt. Der Security Evangelist "Ziggy" Schauer ist als Dienstleister in der Dachregion für viele Kunden unterwegs. Im Vergleich zu den Unternehmen in den USA ist in Österreich der Cloud-First-Gedanke erst noch im Kommen. Für viele Unternehmen kann eine effektive Cloud-Strategie, bezogen auf die Entwicklung und das Management, der richtige Ansatz sein.
Werden zum Beispiel MitarbeiterInnen ins Home-Office geschickt, dann sind Firmen mit diversen Challenges konfrontiert. Die Herausforderungen bestehen vor allem darin, zu eruieren, ob die von zuhause aus arbeitenden MitarbeiterInnen dafür auch einen geeigneten Laptop haben. Ob die ArbeitnehmerInnen vom Home-Office aus imstande sind, Passwörter angemessen ändern zu können. Für die Kunden ist der Cloud-Dienst meistens nur eine administrative Angelegenheit.
Hackerangriffe in Zeiten von Corona
Der Moderator fragte den Security-Dienstleister Siegfried Schauer, ob sich die Cyber-Kriminalität in Zeiten der Corona-Krisen geändert hat. Manche haben die Krise für Phishing-Attacken genutzt. In Summe ist aber nicht mehr los, als vor der Krise. Denn viele Gruppen von Cyber-Kriminellen haben davon abgesehen, bei Institutionen (zum Beispiel Krankenhäusern) Cyberangriffe zu starten. Diese Leute wollen nur erpressen, jedoch nicht das Leben von Menschen riskieren.
Gab es denn in letzter Zeit einen Angriff weil oder wegen COVID-19? Diese Frage beantwortete der Security-Experte wie folgt: Es gab einen Kunden, ein Institut im Gesundheitssektor. Dort war der Auslöser eine Phishing-Mail, wo es um COVID-19 ging. Es gab und gibt zwar zielgerichtete Angriffe, diese betreffen jedoch einzelne Gruppierungen mehr als andere. Im Angriffsfokus stehen hauptsächlich jene Institute, die bei solchen Krise helfen. Ansonsten gab es bei den Kunden in der Corona-Krise normale Angriffe. Auf Bankeninstitute beispielsweise, so der Experte Schauer, sind zielgerichtete Angriffe mit einer COVID-19 Krise schwer zu fahren. Phishing-Attacken haben allerdings in den letzten Monaten auffällig stark zugenommen.
Was sind die Lehren, die man aus dem Shutdown im IT-Security-Bereich zog?
Es wurde in letzter Zeit bereits vermehrt davon gesprochen, dass COVID-19 viele Chancen eröffnet hat. Die Digitalisierung und das Home-Office wurden in der Krise stark vorangetrieben. Diverse Geschäftsprozesse hinken aber in Bezug auf die Digitalität noch hinterher. So haben einige Firmen zu Beginn der Corona-Krise ihren MitarbeiterInnen verboten, Ausdrucke zu machen. Zahlreiche Geschäftsprozesse brauchten bis dato noch physische Unterschriften, die man dann auf digital umgestellt hat. Viele Unternehmen haben diesbezüglich ihre Prozesse verändert und oftmals verbessert.
Ergeben sich für T-Systems auch durch die Corona-Krise neue Chancen?
Der Moderator Alexander Krenn stellte dem Security-Dienstleister die Frage, was T-Systems aus der Corona-Krise mitgenommen bzw. gelernt hat und was in Zukunft vielleicht anders gemacht werden wird. Einer der Hauptpunkte, so Schauer, war der, zu schauen, wie man die Corporate-Polishe mit dem Passwort-Wechsel einhalten kann. Eine Verbesserung war auch in Bezug auf die physischen Devices vonnöten. Denn das Unternehmen konnte nicht jedem Mitarbeiter einen Monitor mit nach Hause geben. Die Kommunikation wurde jedoch sehr gut aufrechterhalten. In regelmäßigen Calles wurde gesagt, wie der Status ist, wie viele Infizierte es im Unternehmen gibt und wo sie sind. Der Kontakt mit dem Kunden ergab sich zunehmend mithilfe der digitalen Variante. Auch die Kommunikation mit den MitarbeiterInnen wurde vermehrt eingeplant und praktiziert.
Fazit aus dem Gespräch mit Clemens Peyerl und Siegfried "Ziggy" Schauer
Corona hat auch den Finanzsektor infiziert. Doch der Experten-Talk in unserer IT-Security CYBER Lounge hat klar verdeutlicht, dass die Bedrohung auch Chancen birgt und neue Möglichkeiten eröffnet. So werden Digitalisierungsprozesse beschleunigt. Das Geschäft lässt sich aus dem Home-Office besser steuern, als angenommen wurde. Und die IT-Sicherheit rückt endlich verstärkt in den Fokus.