Hamburg (ots) - Für Banken in Deutschland wird es schwerer, diegewohnten Standards an IT-Sicherheit zu gewährleisten. Sechs von zehnInstituten sprechen von komplexeren Angriffsszenarien und neuenAnforderungen an den Umgang mit IT-Risiken. Bei den Retailbanken sindes fast drei Viertel der Institute, bei denen Digitalisierung, neueBedrohungsszenarien sowie Regulierungsvorschriften die Arbeit derSicherheitsmanager erschweren. Das sind die Ergebnisse desBranchenkompass Banking 2017 von Sopra Steria Consulting und demF.A.Z.-Institut.Die Herausforderungen der Banken steigen unter anderem durch diezunehmende Zahl an Lieferanten digitaler Technologien. Acht von zehnFinanzdienstleistern sind beispielsweise über digitale Plattformenoder Softwarelösungen mit Dienstleistern vernetzt, ergibt diePotenzialanalyse Digital Security von Sopra Steria Consulting, fürdie 51 IT-Entscheider von Banken und Versicherern befragt wurden.Viele Kreditinstitute sind beispielsweise mit externen Datenbankenfür eine schnelle Bonitätsprüfung bei Onlinekreditanträgen verbunden.Zudem gibt es Plattformen, auf denen Finanzierungsvorhaben vonUnternehmen mit Finanzierungsangeboten von Banken zusammengeführtwerden. Durch die EU-Zahlungsdiensterichtlinie PSD2 sind Banken sogarverpflichtet, sich gegenüber Drittanbietern zu öffnen. Dazu kommt,dass Banken mit ihrem eigenen Online-Bezahldienst Paydirect künftigstärker mit Online-Händlern und dem Einzelhandel zusammenarbeitenwerden.All diese neuen digitalen Lösungen und Anbieter vergrößern dieAngriffsfläche, und es wird anspruchsvoller, das nötigeIT-Sicherheitslevel zu halten. "Die Institute müssen sicherstellen,dass auch diese Partner und ihre Lösungen die hohen Standards derBanken erfüllen. Das zu kontrollieren, wird bei einer wachsenden Zahlan Partnern immer aufwändiger", sagt Dr. Gerald Spiegel, LeiterInformation Security Solutions bei Sopra Steria Consulting. DieInstitute reagieren, in dem sie vermehrt Dienstleister-Auditsdurchführen und Mindeststandards vertraglich vereinbaren. Mehr alsjeder zweite Finanzdienstleister führt einen derartigenLieferanten-Check durch, andere Institute fordern von ihren Partnerneine Sicherheitszertifizierung.WannaCry und seine Nachfolger erfordern mehr TempoFür eine wirksame Bekämpfung von Cybercrime-Attacken wie WannaCryund Petya muss das IT-Sicherheitsmanagement der Banken künftigdeutlich schneller reagieren. Ein Grund: Ransomware wie WannaCryunterscheidet sich von bisheriger Malware. Sie sind in der Lage, wieein Wurm andere Rechner im gleichen Netz zu infizieren. DieReaktionszeit des Opfers ist dadurch gravierend kürzer, will man eineAusbreitung verhindern. Zudem werden die Angriffe immerundurchschaubarer. Jüngste Attacken haben gezeigt, dass ein Angriffdeutlich länger dauert und die Angreifer schlagen in verschiedenenPhasen an mehreren Stellen zu.Diese Risiken wirksam einzudämmen, erfordert einSicherheitsmanagement mit oft unterschätztem Ressourcenbedarf undKompetenzerfordernissen. Diese sind intern schwer zu finden undaufzubauen. Jeder dritte Finanzdienstleiser sucht auf demArbeitsmarkt nach passenden Cybersecurity-Spezialisten, um sich denneuen Bedrohungsszenarien zu stellen. Parallel suchen die Bankendeshalb nach alternativen Lösungen.Ein Weg, den Banken gehen können ist, das IT-Sicherheitsmanagementstärker zu automatisieren - beispielsweise über regelbasierteProzeduren. "Die Institute sollten darüber hinaus das ThemaIT-Sicherheit und Cybersecurity als Führungsinformation in ihreAblauforganisation integrieren - als eine Art Lagebild für dasManagement - um Ressourcen besser zu steuern", sagt Dr. GeraldSpiegel.Banken sind vorsichtiger beim OutsourcingEine weitere Herausforderung der Banken ist, die strengerenAnforderungen der Bankenaufsicht an IT- und Informationssicherheitmit den Zielen einer effizienteren IT-Landschaft in Einklang zubringen. Jedes fünfte Institut nutzt beispielsweise öffentlicheCloud-Computing-Lösungen, um Kosten zu sparen. Viele Banken verlagernzudem Arbeitsprozesse an Spezialisten. Risiken von Programmierfehlernund Sicherheitslücken sind damit schwerer zu kontrollieren. DieBundesanstalt für Finanzdienstleistungsaufsicht (Bafin) reagiert aufwachsende IT-Risiken zum Beispiel mit den bankaufsichtlichenAnforderungen an die IT (BAIT). Diese lösen bei den Bankenerheblichen Weiterentwicklungsbedarf ihrer IT-Sicherheitsprozesseaus. Als Folge wird Dienstleistern wie ihren Auftraggebern eineCompliance allerhöchster Güte abverlangt. Zudem sind Banken insgesamtvorsichtiger bei ihren Outsourcing-Vorhaben, so der BranchenkompassBanking 2017.Über die Studien:Die Ergebnisse der Studie Branchenkompass Banking 2017 wurden inzwei Schritten erhoben. Sopra Steria Consulting und dasF.A.Z.-Institut haben erstmals Banken-Führungskräfte in einemThink-Tank zusam-mengebracht und mit ihnen über die Themendiskutiert, die die Branche bewegen. Regulatorik, OperationsManagement und Digitalisierung standen im Fokus. Im Mai 2017 wurdendarüber hinaus 103 Führungskräfte aus Banken und Kreditinstituten zuden Branchentrends, Herausforderungen und Strategien befragt. DieOnline-Befragung wurde unter Entscheidern von Banken mit Bilanzsummenüber 500 Millionen Euro durchgeführt.Für die Potenzialanalyse Digital Security wurden im Auftrag vonSopra Steria Consulting im April 2017 mehr als 200 (n=205)IT-Entscheider aus Unternehmen ab 500 Mitarbeitern aus den BranchenBanken, Versicherungen, sonstige Finanzdienstleister,Energieversorger, Automotive, sonstiges Verarbeitendes Gewerbe,Telekommunikation und Medien, Öffentliche Verwaltung befragt.Explizit ausgeschlossen wurden Beratungsunternehmen und Anbieter vonIT-Lösungen.Links:Branchenkompass Banking 2017: https://goo.gl/DrFxSpPotenzialanalyse "Digital Security: https://goo.gl/i5uSjcÜber Sopra Steria Consulting (www.soprasteria.de)Sopra Steria Consulting zählt heute zu den Top BusinessTransformation Partnern in Deutschland. 