!css

Ob im Zusammenhang mit Personen oder mit materiellen oder immateriellen Vermögenswerten – das Wort „Schutz“ bezieht sich zugleich auf den Zustand des Geschütztseins und die Tätigkeit des Schützens. Diese Unterscheidung ist wichtig, da der Zustand des Geschütztseins eindeutig vorübergehender Natur ist – Schutz erfordert eine ständige Anpassung an bestehende Risiken. Nichts ist beständiger als der Wandel. Während der Subprime-Krise glaubten viele Banker und Anleger, dass das Ende der Welt bevorstünde. Wie sich herausstellte, war es lediglich das Ende der Welt, wie man sie kannte oder man sie sich damals vorstellen konnte.

Regulierung Als Schutzschild

Die Krise war ein Weckruf für die Regulierungsbehörden, die sich dazu veranlasst sahen, die Märkte transparenter zu gestalten, Finanzintermediäre verantwortungsvoller zu machen und die Anleger durch strengere Vorschriften besser zu schützen. Es besteht kein Zweifel, dass der Großteil dieser Vorschriften notwendig war, obwohl man darlegen könnte, dass einige unangemessen oder unwirksam waren. Eines ist jedoch klar: Sie werden nicht ausreichen. 

Regulierungsbehörden haben keine Chance, mit der Geschwindigkeit der technologischen Entwicklung Schritt zu halten, aber sie können eine Rolle im Hinblick auf die Verantwortlichkeit spielen.

Dara Khosrowshahi
DG de Uber, Davos 2017

Festlegung Und Bewertung Des Schutzniveaus

Aus diesem Grund sollten Anleger und Intermediäre ihre Entscheidungen in Frage stellen und das Niveau ihrer wissentlich in Kauf genommenen Risiken neu bewerten. Die Einschätzung der eigenen Risikobereitschaft und -position im Vergleich zu anderen ist nicht einfach: Risikoaffinität, Risikoaversion oder „goldene Mitte“1 (bzw. „mittlerer Weg“2)? Dies hat selbstverständlich Auswirkungen auf das jeweilige Schutzniveau. Außerdem müssen Sie Ihre Kunden und Dienstleister sowie das von ihnen gebotene Schutzniveau und das Vertrauen, das Sie ihnen entgegenbringen, beurteilen. Bei der Auswahl einer Bank als vertrauenswürdigen Partner ist es beispielsweise üblich, ihre Dienstleistungen, ihre relative Marktstellung, ihre Kapitalstruktur und ihre allgemeine Stabilität sorgfältig zu prüfen.

Grundlegende Veränderungen

Aber wie tiefgründig sollte eine solche Hinterfragung aussehen? Sollten einige Grundvoraussetzungen, die normalerweise als unveränderlich gelten, in Frage gestellt werden? Sollten wir beispielsweise so weit gehen, das System des Vertrauens in die Gesellschaft in Frage zu stellen, das auf dem Staat, seiner Verfassung und seinen Gesetzen beruht? Das Aufkommen neuer sozialer Trends bei der nächsten Generation von technisch versierten Weltbürgern wird durch die Blockchain-Technologie bestätigt. Letztere ermöglicht die Schaffung von Vertrauen innerhalb einer Gruppe und macht eine vertrauenswürdige dritte Partei damit überflüssig. Kann eine Technologie unsere Organisationen grundlegend verändern und unsere nationalen Systeme abschaffen? Und wenn diese Vision real wird, wann werden wir den Wendepunkt erreichen?

Inkrementelle Veränderungen

Oder könnte es umgekehrt auch passieren, dass einige Veränderungen, die sich ganz allmählich vollziehen, eine echte Wende herbeiführen? Die Digitalisierung schreitet voran und digitale Technik entwickelt sich ständig weiter. Das immer stärkere Outsourcing und der Einsatz externer Ressourcen wie Cloud-Computing oder Anything-As-A-Service3 schaffen eine starke Abhängigkeit von Drittanbietern, denen zentrale Prozesse und vertrauliche Daten anvertraut werden. Viele Anbieter sind wiederum von anderen Anbietern abhängig. Diese gegenseitige Abhängigkeit kann eine Stärke sein, könnte aber auch zu einer Schwäche werden, wenn sie nicht richtig gehandhabt wird.

Auswirkungen Auf Unternehmen

Jedes Versagen von Schutzvorkehrungen kann für ein Unternehmen direkte Kosten verursachen. Ein solches Versagen kann aufgrund der Medienpräsenz auch ein hohes öffentliches Reputationsrisiko bergen. Aus diesem Grund müssen neben der Geschäftsleitung, der Operations-, IT-, Risiko-, Rechts- und Compliance-Abteilung normalerweise auch Kommunikationsverantwortliche in das Krisenmanagement einbezogen werden.

Persönliche Verantwortung

Aus Sicht sämtlicher Regulierungsbehörden ist unternehmerische Verantwortung allein nicht ausreichend. Daher führen sie zunehmend eine persönliche Haftung für das Management und die Operations ein – teilweise bis hin zur strafrechtlichen Verantwortlichkeit. Die Botschaft ist einheitlich: Die Beauftragung eines Dritten ist nicht automatisch gleichbedeutend mit einer Übertragung der Verantwortung.

Abstimmung

Nach System-Backups, Disaster Recovery und Business Continuity ist das Konzept der „Business Resilience“ entstanden. Das Ziel dieses Konzepts besteht darin, im Falle der Funktionsuntüchtigkeit einer Produktionsstätte und ihres Personals die Tagesaktivitäten abzuschließen und bis zum nächsten Tag mindestens 75% der Aktivitäten wieder aufzunehmen. Um ein solches Maß an Kontinuität zu erreichen, sind mindestens drei Produktionszentren mit Belastungsausgleich und zusätzlichen Arbeitskräften erforderlich, die über Nacht verfügbar und betriebsbereit gemacht werden können. Bei der Auslagerung wesentlicher oder essenzieller Aktivitäten müssen auch diese unter Einhaltung der gleichen Standards bei den verschiedenen Drittanbietern betriebsbereit sein, und es muss die Möglichkeit bestehen, den Betrieb zügig zwischen ihnen abzustimmen. Dabei ist eine angemessene Überwachung und Kontrolle der Drittanbieter natürlich unverzichtbar.

Im August 2015 verursachte ein Betriebssystem-Upgrade von Sungard Invest-One bei BNY Mellon eine Datenkorruption, wodurch es eine Woche lang zu Back-up-Fehlern bei den Bewertungen von 1.200 Fonds kam.

Von Finanzinstituten wie BNY Mellon wird erwartet, dass sie ihre Drittanbieter kontrollieren und über Notfallpläne verfügen, falls das System des Anbieters ausfällt [...] Noch viel wichtiger ist dies, wenn der Drittanbieter eine zentrale Geschäftsfunktion erfüllt, die sich auf unerfahrene Kleinanleger auswirkt.

William Galvin
Massachusetts Secretary of the Commonwealth

Erhaltung

Die üblichen Schlagwörter für die Sicherheit von Informationen sind Authentifizierung4, Integrität5, Vertraulichkeit6, Skalierbarkeit7, Rückverfolgbarkeit8, Verfügbarkeit9 und manchmal auch Vollständigkeit10. In jedem dieser Bereiche gibt es potenzielle Schwachstellen, und zwar immer, wenn Informationen gespeichert oder ausgetauscht werden. Durch den zunehmenden Datenaustausch über Netzwerke ist Cybersicherheit zum chronischen Sorgenkind geworden.

Das sicherste Nachrichtensystem im Bankensektor, SWIFT, wurde in den Jahren 2015 und 2016 missbraucht, um bei der Zentralbank von Bangladesch mehrere hundert Millionen Dollar zu erbeuten.11

In der Europäischen Union soll die Richtlinie zur Netz- und Informationssicherheit (NIS)12, die bis zum 9. Mai 2018 in nationales Recht umzusetzen ist, die allgemeine Sicherheit erhöhen. Gleichermaßen soll die Datenschutz-Grundverordnung (DSGVO)13 die Daten aller EU-Bürger schützen, die Rechte natürlicher Personen in Verbindung mit personenbezogenen Daten stärken und bei EU-Organisationen für ein Umdenken in Bezug auf den Datenschutz sorgen.

Vorbereitet Sein

Hacking ist unvermeidbar. Die primäre Motivation von Hackern ist Gier. Häufig entspringt die Motivation für derartige Angriffe aber auch einfach dem Nervenkitzel, dem Streben nach Ruhm oder der Verfolgung eines bestimmten „übergeordneten Ziels“. Deshalb ist es wichtig, Hacking-Szenarien nicht auszuschließen, Reaktionen auf diese Szenarien zu entwickeln und sie zu erproben, um vorbereitet zu sein.

Vorbeugen Durch Richtiges Handeln

Schätzungen zufolge stehen Hackerangriffe in knapp zwei von drei Vorfällen (63%)17 mit den eigenen Mitarbeitern oder Beratern in Verbindung.

Daraus folgt: Das beste Mittel gegen Cyberkriminalität ist eine gute Unternehmenskultur.

Durchschnittliche Hacker verlassen sich heute zu ca. 75% auf Social Engineering; die erfolgreichsten Hacker sogar zu 90% oder mehr.

John McAfee
Founder of McAfee Associates

(1) Theano (Pythagoras Frau). (2) (Gautama) Buddha. (3) XaaS, für Data, Software, Storage, Platform, Infrastructure, Desktop – as a Service. (4) Authentifizierung: Identitätsbetrug als häufigster Betrug. Phishing ist eine Art umgekehrter Identitätsbetrug, bei dem Hacker vorgeben, ein Unternehmen zu sein, um an sensible Informationen seiner Kunden zu gelangen. (5) Integrität: gefälschte oder korrumpierte Daten. Zum Beispiel die Änderung des begünstigten Inhabers von Vermögenswerten. (6) Vertraulichkeit: unbefugter Datenzugriff oder Datendiebstahl. Eine Sozialversicherungsnummer mit Geburtsdatum wird im Darknet für über 10 Euro verkauft. (7) Skalierbarkeit: Unfähigkeit zur Bewältigung des Volumens (manchmal in der Verfügbarkeit einbezogen). (8) Rückverfolgbarkeit: Fähigkeit, zu kontrollieren, wer Informationen bereitgestellt oder geändert hat, ähnlich eines Audit-Trails. (9) Verfügbarkeit: kein oder eingeschränkter Zugang zu Informationen. Ziel eines Denial-of-Service- bzw. DoS-Angriffs ist es beispielsweise, eine Serverüberlastung herbeizuführen und den Zugriff anderer Benutzer zu verhindern. Er dient oft als Ablenkung und verhindert die Entdeckung anderer, gleichzeitig durchgeführter Angriffe. (10) Vollständigkeit: Datensatz ohne fehlerhafte oder fehlende Werte. (11) en.wikipedia.org/wiki/2015%E2%80%932016_SWIFT_banking_hack.%20 (12) RICHTLINIE (EU) 2016/1148. (13) VERORDNUNG (EU) 2016/679. (14) Quelle: Deloitte Enjeux Cyber 2018.

Head of Strategic Marketing Societe Generale Securities Services
Gefällt Ihnen der Artikel?
+1
0