Banken müssen bei der Cloud-Sicherheit umdenken
Die meisten Unternehmen wurden vom Ausbruch der Corona-Pandemie und ihren Folgen überrascht. Am schnellsten konnten sich damals diejenigen Unternehmen an die neue Situation anpassen, die bereits in Cloud-zentrierte Transformationsprojekte investiert hatten. Zeitgemässe Anwendungen und Infrastrukturen bieten ihnen die Möglichkeit, agiler zu werden, flexibles Arbeiten zu ermöglichen und ihren Kunden eine bessere und schnellere Customer Experience zu liefern. Doch auch in der Cloud gibt es Cyber-Risiken.
Wie wir in einer Befragung von IT-Entscheidern aus verschiedenen Branchen herausfanden, gibt es eine erhebliche Diskrepanz zwischen dem offiziell geäusserten Vertrauen der Unternehmen in ihre Sicherheitsstrategie und der täglichen Realität.
Dabei gehört der Finanzsektor zu den Branchen, die ihre Digitalisierung am stärksten vorantreiben. Viele Finanzdienstleister stehen unter enormem Druck von FinTechs, die mit Cloud-nativen Technologien den Markt aufwühlen und den etablierten Playern ihre Kunden streitig machen. Gleichzeitig ist kaum in einem anderen Sektor die Sicherheit von so entscheidender Bedeutung. Wo täglich mit enormen Geldbeträgen gearbeitet wird, ist die Versuchung für Angreifer gross. Gleichzeitig sind Finanzdienstleister als kritische Infrastrukturen unerlässlich für ein funktionierendes Wirtschaftsleben. Umso erschreckender ist es, dass es in jüngster Zeit immer wieder Hinweise auf mangelnde IT-Sicherheit im Schweizer Bankenwesen gab.
Doch das muss nicht so sein: Die gute Nachricht ist, dass es heute Lösungen gibt, die Cloud-Sicherheit integrierter, einfacher und effektiver machen, als viele IT-Verantwortliche im Finanzsektor glauben.
Digitales Wachstum vorantreiben
Finanzdienstleistungsunternehmen weltweit waren während der Pandemie begeisterte Anwender digitaler Technologien. In unserer Studie vom Januar 2021 gab eine grosse Mehrheit der Verantwortlichen in diesem Sektor an, dass die Krise ihre Cloud-Migrationspläne erheblich (46 %) oder etwas (42 %) beschleunigt hat. Die meisten (86 %) fühlten sich schon vollständig oder grösstenteils dort, wo sie mit ihren Adoptionsprojekten sein müssten.
Dieselben Unternehmen sind sogar der Meinung, dass der Weg in die Cloud zu einem verstärkten Augenmerk auf die Cybersicherheit geführt hat (51 %). Eine Mehrheit (58 %) gab ausserdem an, dass sie Richtlinien für Mitarbeiterschulungen implementiert haben, um das Risiko von Anwenderfehlern zu minimieren. Dieses Vertrauen erstreckt sich auch auf die Sicherheitslage: Die meisten gaben an, dass sie die Sicherheit der Remote-Arbeitsumgebung vollständig (36 %) oder grösstenteils (55 %) unter Kontrolle haben, und eine ähnliche Anzahl (87 %) ist zuversichtlich, was die Sicherheit der zukünftigen Belegschaft angeht, die erwartungsgemäss in einem hybriden Modell arbeiten wird. Mehr als zwei Drittel sind sich sicher, dass sie in der Lage sind, Einblick in die Datenströme zu erhalten, wenn geschäftskritische Informationen aus den Unternehmenssystemen an Mitarbeitende im Home Office gesendet werden.
Die schlechte Nachricht
All das scheint zunächst ziemlich beruhigend zu sein. Doch bei näherer Betrachtung fielen uns einige Unstimmigkeiten auf, die auf tieferliegende Probleme hindeuten: Trotz des Vertrauens in ihre Sicherheitsstrategie gab fast die Hälfte (48 %) der Befragten an, dass Datenschutz- und Sicherheitsprobleme für sie ein "sehr grosses" oder "grosses" Hindernis für die Cloud-Einführung darstellen. Nur 10 Prozent waren der Meinung, dass es in ihrem Unternehmen kein solches Hindernis für die digitale Transformation gibt. Als die drei grössten operativen Sicherheitsprobleme in diesem Bereich wurden die Festlegung einheitlicher Richtlinien, die fehlende Integration mit On-Premises-Sicherheitslösungen sowie das Patching und Schwachstellenmanagement genannt.
Ein weiteres Problem ist das Bewusstsein für das Modell der geteilten Verantwortung (Shared Responsibility Model), das definiert, wie weit die Schutzfunktionen der Cloud-Anbieter (Cloud Service Provider / CSPs) reichen und wofür die Kunden selbst verantwortlich sind. Fast alle (99 %) der von uns Befragten aus dem Finanzwesen gaben an, dass ihr CSP "mehr als genug" oder "ausreichend" Schutz für ihre Daten bietet. Die meisten (90 %) waren auch sehr oder eher zuversichtlich, das Modell verstanden zu haben. Leider sieht die Realität etwas anders aus: Die Verantwortung für die Datensicherheit liegt in den üblichen IaaS- und PaaS-Umgebungen (Infrastructure-as-a-Service bzw. Platform-as-a-Service) zu 100 % beim Kunden.
So funktioniert Cloud-Sicherheit
Besorgniserregend ist auch, dass eine grössere Zahl von IT-Führungskräften im Finanzsektor glaubt, dass die Einführung von Cloud-Sicherheit das Leben für sie komplizierter und teurer macht. Mehr als ein Viertel (27 %) ist der Meinung, dass dadurch auch mehr Silos entstehen, obwohl die richtigen Tools beispielsweise IT-Sicherheits- und Entwicklerteams näher zusammenbringen können.
Glücklicherweise hat sich die Cloud-Sicherheit in den letzten Jahren erheblich weiterentwickelt und es gibt heute mehrschichtige Plattformen, die eine nahtlose Anbindung an die Systeme der grossen CSPs versprechen. Diese ermöglichen einen hohen Grad an Automatisierung, wodurch Sicherheit und Compliance einfacher erreicht und gleichzeitig die Mitarbeiter entlastet werden. Diejenigen Finanzdienstleister, die am schnellsten in dieser neuen Realität ankommen, sind in der Pole-Position für digital gestützte Innovationen und Wachstum, wenn das Ende der Pandemie erreicht ist.