In den vergangenen fünfzehn Jahren haben die Privatbanken keine Mühe gescheut, um sich allen möglichen Änderungen anzupassen, angefangen bei der Aufhebung des Bankgeheimnisses über die Regulationsflut bis hin zum automatischen Informationsaustausch. Man könnte meinen, sie dürften sich nun in aller Ruhe auf ihre Expansion und Digitalisierung konzentrieren. Doch schon kommt die nächste Herausforderung, die der Arbeit des Sisyphus’ in nichts nachsteht: der Kampf gegen die Cyberkriminalität.
Weder ist sie eine neue Gefahr, noch ist sie auf den Bankensektor begrenzt. Aber sie zieht immer weitere Kreise. Seit mehreren Jahren ist der Cyberschutz die grösste Sorge jedes Chief Operating Officers (COO, für das operative Geschäft verantwortlich) in Bankkreisen. Unter Fachleuten macht folgender Spruch die Runde: es gibt nur zwei Arten von Banken, jene, die gehackt wurden und jene, die es nur nicht wissen.
Obwohl die Cyberkriminalität eine Bedrohung für alle Arten von Unternehmen darstellt, ob es nun darum geht, Geld abzuzweigen oder der Reputation zu schaden, nehmen besonders die Banken die Gefahr ernst, denn ihr Geschäft beruht ausschliesslich auf Vertrauen. Als Tesco Bank 2016 gehackt wurde (40’000 Konten, von denen die Hälfte betrügerische Barbezüge erlitten), bestrafte die britische Aufsichtsbehörde FCA das Institut mit einer Busse von 16,4 Millionen Pfund, weil «die Bank nicht in der Lage war, ihre Kunden zu schützen». Seit dieser ersten breit angelegten Attacke hat sich die Liste der betroffenen Finanzinstitute in Europa stark verlängert: Santander, Royal Bank of Scotland, Barclays, UniCredit, Bank of Valletta, Metro Bank…
Gerechtfertigter Verfolgungswahn
Die Bankwelt leidet gewissermassen unter Verfolgungswahn und hat gute Gründe dafür. Tatsache ist, dass die Räuber des Internets über viel mehr Zeit und Ressourcen als ihre potenziellen Opfer verfügen, auch wenn diese fest entschlossen sind, ihre Informatiksysteme zu schützen. Im Dark Web, dem Internet im Untergrund, sind Cyberangriffe zu einem eigenständigen Berufsstand mit Dienstleistern, Auftraggebern und Gebührenregelungen geworden. Die Zunahme der Angriffe, sowohl zahlenmässig als auch im Hinblick auf ihre Komplexität, liefert den Beweis. Laut Forbes wurden im ersten Halbjahr 2019 3’800 Missbräuche öffentlich gemeldet, bei denen die Sicherheit von 4,1 Milliarden Daten gefährdet wurde. So sieht die Kehrseite der von uns angestrebten, immer stärker vernetzten Welt aus. Je enger die digitale Verknüpfung dank technologischer Innovation wird, desto zahlreicher werden die potenziellen Schwachstellen. Gerade im Bankensektor ist es nicht verwunderlich, dass der Kunde einen schnelleren, einfacheren und effizienteren Service wünscht, wie ihn die Digitalisierung ermöglicht. Paradoxerweise könnte derselbe Kunde, der über eine App auf sein E-Banking-Konto zugreift, zu einer Schwachstelle werden. Ein gut durchdachtes E-Banking bietet guten Schutz. Ist aber das Smartphone des Kunden nicht auf der Höhe, zum Beispiel, weil er es versäumt hat, die notwendigen Aktualisierungen zu machen, haben Hacker ein leichtes Spiel.
Die Investitionen, welche die Banken zum Schutz gegen diese vielschichtige Bedrohung tätigen müssen, wiegen zusehends schwerer in ihren Budgets. Und sie nähren eine rasch expandierende Branche, die sich der Widerstandsfähigkeit der Computersysteme widmet. Neben den üblichen Anbietern von Sicherheitssoftware tauchen zahlreiche neue Akteure auf, wie zum Beispiel die Cyber-Ratingagenturen. Diese bewerten das Cyber-Risiko einer Firma auf der Grundlage des öffentlichen Informationsflusses. Die tägliche Aktualisierung ihres Ratings zwingt die Unternehmen dazu, sich der kontinuierlichen Herausforderung zu stellen, um ihre Note zu bewahren. Noch sind die Ratings institutionellen Teilnehmer vorbehalten. Viel deutet aber darauf hin, dass sie auf längere Sicht alle betreffen und sich wie die Zahlungsfähigkeit des Instituts für die Privatkunden als neues Kriterium bei der Auswahl ihrer Bank durchsetzen werden. Genau wie die Banken heutzutage praktisch verpflichtet sind, ihr Engagement für verantwortungsbewusstes Investieren konkret zu beweisen, so werden sie künftig objektiv darlegen müssen, dass sie kontinuierlich bemüht sind, den Schutz ihrer Daten und der Daten ihrer Kunden zum Gebot der Stunde zu machen. Für die besten Schüler wird das Cyber-Rating zum Verkaufsargument werden.
Virtueller Tresor
Um dieses Argument positiv zu nutzen, müssen die Banken intern und extern eine verstärkte Sensibilisierung durchführen. Die besondere Beziehung zwischen Berater und Kunde ist dahingehend zu nutzen, dass letzterer ausreichend informiert wird und zwar schon bei der Aktivierung seines E-Banking-Kontos. Schliesslich erkundigte sich der Kunde früher auch über die Sicherheit im Tresorraum. Warum sollte man sich nicht die Zeit nehmen, auf die Aspekte der Cybersicherheit einzugehen? Dazu ist intern die Vertrauenswürdigkeit der Angestellten sicherzustellen, um den Risikofaktor Mensch auszuschliessen. Ihre Sensibilisierung hat sowohl über Informationssitzungen als auch über eine regelmässige Bewertung ihrer Reaktion auf Phishing-Aktionen (Erbeutung vertraulicher Daten über den Zugriff auf das E-Mail-Konto am Arbeitsplatz), Penetrationstests und simulierte Cyber-Angriffe erfolgen.
Im Wirbel der zahllosen technologischen Revolutionen gefangen, räumen die meisten COO ein, dass der Kampf gegen die Cyberkriminalität sie Bescheidenheit lehrt. So stark die aufgestellten Brandmauern und Schutzwälle auch sein mögen, ein Nullrisiko gibt es nicht. Deshalb ist ihnen auch klar, dass sie unter Dauerbeschuss sind und immer auf der Hut sein müssen.
Ian Cramb
Chief Operating Officer