Finanzinstitute kämpfen weltweit gegen rasanten Anstieg von Attacken auf IT-Systeme


News

Die Mehrheit der weltweit tätigen Finanzinstitute musste sich im letzten Jahr gegen externe Angriffe auf ihre Informationstechnologie zur Wehr setzen. Viele dieser Angriffe führten direkt zu finanziellen Verlusten, so die Ergebnisse der aktuell veröffentlichten Deloitte Sicherheitsstudie 2004. Die Studie dient als globaler Benchmark für den Stand der IT Sicherheit in der Finanzbranche und basiert auf Managementbefragungen der weltweit 100 größten Finanzdienstleistungsunternehmen. Trotz der immer komplexer werdenden Angriffe und Bedrohungen will sich ein Drittel der befragten Finanzinstitute kein Budgetwachstum leisten. Jedoch investierten vor allem europäische Finanzinstitute im letzten Jahr überproportional mehr in ihre IT Sicherheit als ihre Mitstreiter in den USA, Asien oder Lateinamerika.

 

Laut Studie gab die Mehrheit der Befragten (83 %) zu, dass externe Angreifer die Systeme im letzten Jahr gefährdeten. Im Vergleich zum Vorjahr ist der Anstieg enorm. 2003 verzeichneten   "nur" 39 %   externe Angriffe auf ihre Systeme. 40 % der befragten Institute mussten diesmal sogar finanzielle Einbußen durch die Angriffe hinnehmen.

 

"Die Finanzinstitute und deren Sicherheitsverantwortliche stehen täglich vor immer größer werdenden Problemen", sagt Stefan Weiss, Senior Manager in der deutschen Security Services Gruppe von Deloitte. "Mit technischen Sicherheitslösungen alleine sind diese Probleme schon lange nicht mehr zu bewältigen. Meistens entstehen die Probleme in der organisatorischen Struktur von Geschäftsprozessen und einer nicht vorhandenen Kontrolle der bestehenden Sicherheitsstrategie. Hier investieren die Europäer im Moment zu recht am intensivsten", so Weiss.

 

Auf den ersten Blick überraschend sind die Aussagen über das "Antivirenmanagement". Mehr als 70 % der Befragten gaben an, dass für sie Viren und Würmer mittlerweile die größte Bedrohung darstellen. Der Anteil derjenigen, die für einen vollständigen Schutz durch Antivirensysteme sorgten, sank jedoch von 96 % im Vorjahr auf jetzt nur noch 87 %. "Betrachten wir die momentanen Probleme in der Praxis unserer Kunden näher", gibt Stefan Weiss zu Bedenken. "Aufgrund des rasanten Anstiegs der Virenattacken und der gleichzeitig vor allem in der Finanzbranche stattfindenden Konsolidierungswelle und den damit einhergehenden IT Systemmigrationen kommen die Unternehmen dem Bedarf eines vollständigen Schutzes zurzeit kaum mehr nach."

 

Der Auslagerung (Outsourcing) von Sicherheitsaufgaben kommt in diesem Zusammenhang eine größere Bedeutung zu. Vor allem europäische Finanzinstitute wollen im Zuge allgemeiner IT Outsourcing Pläne vor allem nicht-strategische Sicherheitsfunktionen in die Hände von externen Dienstleistern geben. Zu diesen Funktionen zählen beispielsweise das Antivirenmanagement, ein unternehmensweites Patch Management, Emergency Response Funktionen und - nach Einführung der aktuellen EU Datenschutzrichtlinie - Funktionen des Datenschutzes. "Ein Rund-um-Schutz kann durch die Komplexität der Bedrohungen und der Fülle von Gesetzen und Corporate Governance Regeln heutzutage nicht mehr nur mit eigenen Ressourcen gewährleistet werden", so Stefan Weiss.

 

Äußerst positiv erscheint die Entwicklung, dass die Finanzinstitute gesetzliche Sicherheitsbestimmungen weitgehend erfüllen. Zwei Drittel (67 %) der Befragten gaben beispielsweise an, sie hätten ein unternehmensweites Programm zur Einhaltung der jeweiligen Datenschutzvorschriften eingeführt. Das entspricht einer Steigerung um elf Prozentpunkte im Vergleich zum Vorjahr. 69 % bestätigten, dass der Vorstand oder die Geschäftsführung die durchgeführten Sicherheitsprojekte inzwischen als notwendige Voraussetzung zur Erfüllung gesetzlicher Bestimmungen betrachten.

 

Die befragten Institute gaben zu, dass die Sicherheitsbudgets nicht mehr hauptsächlich in neueste Technologien fließen. Die Einführung einer unternehmensweiten Sicherheitsstrategie, die Einbindung in ein umfassendes Risikomanagement und der Aufbau einer gelebten Notfall- und Vorfallplanung haben inzwischen eine viel größere Bedeutung. "Das ist sicher ein Resultat sich verändernder Berichtslinien", schlussfolgert Stefan Weiss. "Unsere Ansprechpartner für IT Sicherheitsaufgaben in den großen Banken und Versicherungen in Europa haben sich innerhalb weniger Jahre geändert. Heute sprechen wir über Sicherheitsfragen nicht mehr alleine mit dem IT Leiter oder dem CIO sondern inzwischen auch mit dem Revisionsleiter oder dem CFO", so Weiss.

 

Weitere Studienergebnisse zusammengefasst:

 

  • Ein Drittel (32 %) der Befragten gaben an, dass die in ihrem Unternehmen eingesetzten Sicherheitstechnologien nicht effektiv arbeiten.
  • Während die Mehrheit der Befragten (59 %) die IT Sicherheit als festen Bestandteil der im Unternehmen eingesetzten IT Lösungen sieht, gaben nur 10 % der Befragten an, die Unternehmensführung betrachte Sicherheit als wichtigen Wettbewerbsfaktor.
  • Obwohl 91 % der Befragten einen umfangreichen IT Disaster Recovery Plan besitzen, ist nur bei der Hälfte (51 %) das Personal Teil des Notfallplans.
  • Nur ein Viertel (26 %) der Studienteilnehmer stufen die Übereinstimmung der Geschäftsstrategie des Finanzunternehmens mit der eingesetzten Sicherheitstechnologie für gut ein.
  • Technische Lösungen zu den Themen "Identity Management" und "Vulnerability Management" sind für die befragten Finanzinstitute die beiden am wahrscheinlichsten einzusetzenden Technologien der kommenden 18 Monate.

 

 

Kontakt: Stefan Weiss

Deloitte & Touche, Germany

Business Development Manager

Tel. +49 (40) 32080 4674

 

Die Deloitte Sicherheitsstudie können Sie hier herunterladen:

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.