Cybersicherheit – hohe Relevanz und dennoch ohne Impact?
Joachim Astel ist Mitbegründer und Vorstand von Noris Network, in der er als CRO die Bereiche Governance, Risk und Compliance, Zertifizierungen, Audits sowie die Interne Revision verantwortet. Im Interview erklärt er, warum Unternehmen – und Finanzinstitute im Besonderen – weniger Zeit für operative Cybersicherheit haben, die dann häufig an Dienstleister ausgelagert werden muss.
Cybersicherheit – hohe Relevanz und dennoch ohne Impact? Das ist ein sehr irritierender Titel für den Talk auf dem diesjährigen CIBI Innovationstag, da man meinen möchte, dass Bemühungen um die IT-Sicherheit auch Auswirkungen haben. Wie würden Sie dies einordnen?
Joachim Astel: Mein Hintergrund ist, dass unsere Kernkompetenz im Unternehmen schon immer IT-Security ist, und das Thema Cybersicherheit von Anfang an (also über 30 Jahre) eine Rolle gespielt hat. Wir haben seinerzeit schon unsere Kunden ins – damals in Deutschland noch recht neue – INTERNET gebracht.
Mein Slogan war schon 1996 „Internet – mit Sicherheit!“ – was zwei Bedeutungen hatte: klar, wir schaffen das bei Noris Network, und wir kümmern uns um die Sicherheit. Wir hatten schon 1996 erste Banken als Kunden.
Cybersicherheit – blinde Flecken bei Banken
Finanzinstitute haben traditionell einen großen Fokus auf die Sicherheit. Wo sind hier die „blinden Flecken“?
Joachim Astel: Da gibt’s zum Glück sehr wenige, weil Banken traditionell, und natürlich aufgrund der hohen Anforderungen der Bankenaufsicht, schon immer Milliarden in Sicherheit investieren.
Probleme sind hier typischerweise der Fachkräftemangel und entsprechende Nachwuchssorgen, mit gleichzeitig steigenden organisatorischen Anforderungen durch zunehmende Regulatoren-Vorgaben (siehe neu: DORA).
Die IT-Abteilungen haben zunehmend weniger Zeit, sich um das operative „Doing“ zu kümmern, weil sie mit Regulatirk, Compliance usw. ihre eigene Organisation in Trab halten.
Dementsprechend bleibt weniger Zeit für operative Cybersicherheit, die dann häufig an Dienstleister ausgelagert werden muss, und hier hängt es von der Leistungsfähigkeit des Dienstleisters ab, den Security-Prozess im ausgelagerten Umfeld zu beherrschen. Wir als noris network sind so ein Dienstleister, der das sehr gut verwirklicht. Blinde Flecken entstehen genau dann, wenn der Bankenkunde diese Dienstleistung nicht adäquat vergibt, und dabei blinde Felcken entstehen. Z. B. gibt es von der Bankenaufsicht die Anforderung, Systeme zur Angriffserkennung zu betreiben (also dass Hacker frühzeitig erkannt werden, bevor sie etwas anrichten können).
Wurde der Dienstleister beauftragt, diese Leistung durchzuführen? Oder gibt gibt es hier einen blinden Fleck? Ein guter Dienstleister hat ein Produkt-/Leistungs-/Service-Portfolio, das auf die entsprechenden Regulatorik-Themen im Zusammenhang mit dem Dienstleister hinweist, und entsprechende Moduloptionen (wie Systeme zur Angriffserkennung) anbietet. Es könnte nämlich auch sein, dass die Bank selbige Systeme bereits selbst betreibt (oder anderweitig betreiben lässt) und nur auf Log-Dateien der Systeme des Dienstleisters zugreifen muss, um den Focus entsprechend zu erweitern. Weiter gibt es aber auch potenziell blinde Flecken durch Nutzung von Cloud-Services.
Hat sich die Balance von Security-Aktivitäten bei Finanzinstitute und Impact in den letzten Jahren verändert und wenn ja, wie?
Joachim Astel: Durch verstärkte Nutzung von Cloud-Leistungen entstehen neue Cybersicherheit -Risiken, denen hauptsächlich technologisch begegnet wird. Dabei halten neue Konzepte Einzug (wie Zero Trust Prinzipien).
Bei Multicloudansätzen ist oft die Regulatorik nicht so stark im Focus wie bei klassischen Leistungen im Rechenzentrum der Bank. Hier ist es wichtig, dass Security-Architekten die Gesamtarchitektur im Blick haben und Schutzbedarfe entsprechende Würdigung in den umgesetzten Maßnahmen finden. Ist die Architektur nicht transparent, schleichen sich bei Nutzung von Cloud-Serivces (wie oben bereits angeführt) blinde Flecke ein. Bestimmte Systeme, die nicht einem geregelten Patch Management Prozess unterliegen oder ähnliches. Dadurch sind vereinzelt Einbrüche in solche, oft periphäre, Systeme möglich geworden. Das muss nicht sein. Ich empfehle hier, gesamtheitliches Service-Management auch auf Cloud-Services abzubilden. Wir nutzen hierfür für unsere Kunden daher gerne Service Management Lösungen wie ServiceNow, wo wir mit dem SecOps Modul die Sichtbarkeit der einzelnen Assets und CIs aus Kritikalitätssicht und Security-Maßgaben sehr genau im Kontext der aktuell vorliegenden Bedrohungslage einschätzen können.
IT-Sicherheit hat nicht nur Bedeutung für Unternehmen, sondern auch für die Gesellschaft als solche. Wie lässt sich das Cybersicherheit -Bestreben von Unternehmen mit Gesellschaft besser verzahnen?
Joachim Astel: Hier greift der Staat schon vor: Hier wird das neue Cyber Resilience Act der EU langfristig für Besserung sorgen. Hersteller von Hardware- und Softwarelösungen werden zu gehalten sein, aus Sicherheitssicht gestaltete Lösungen herauszubringen und diese auch für mehrere Jahre lang auf dem Stand der Sicherheit zu halten. Der Endanwender hat dadurch Vorteile, auch ohne technisch tiefen Einblick mit sicherer Umgebung zu arbeiten.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat seit letztem Jahr das Motto der „Cybernation Deutschland“, d. h. Firmen und öffentliche Verwaltung sind dazu gehalten, Deutschland zu einer führenden Nation in den Bereichen Cybersicherheit und Digitalisierung zu entwickeln. Diese Vision betont die enge Zusammenarbeit zwischen Staat, Wirtschaft und Gesellschaft, um digitale Risiken zu minimieren und innovative Technologien sicher zu gestalten. Daneben leisten wir als Unternehmen diverse Einzelthemen, um dem gesellschaftlichen Anspruch Rechnung zu tragen: ich leite den Arbeitskreis Security der NIK e. V. (Nürnberger Initiative für Kommunikationswirtschaft). Wir sind im Beirat der it-sa (Nürnberger IT Sicherheits-Messe). Wir gestalten mit an Open Source Sicherheitslösungen, die auch im Privatumfeld genutzt werden können. Wir bieten kostenlose Fachvorträge zu Cybersicherheits-Themen, wie z. B. mein Vortrag zu NIS2 vor zwei Monaten. Und wir berichten viel in Zeitschriften über Best Practices zum Stand der Technik im Bereich der Security.
CIBI Innovationstag 2025: Beim jährlich stattfindenden CIBI Innovationstag (26.03.2025 in München) ist Cybersecurity eines der Fokusthemen. Leser des Marktplatz IT-Sicherheit erhalten exklusiv Tickets mit 15 % Preisnachlass. Ticketcode: 15-CIBI-2025
