Compliance und Risiko
Banken mit Virtual Patching sicher in der Cloud
Trotz aller Bedenken sollten Finanzinstitute im Hinterkopf behalten, dass die Cloud nicht nur Risiken, sondern vor allem auch Chancen bietet.
Von Trend Micro
Überall verfügbar, möglichst günstig und am liebsten digital – diese Ansprüche stellt der Kunde heute an die Services seiner Bank. Die Corona-Pandemie hat diesen Trend noch weiter beschleunigt: Fast Zwei Drittel der Europäer haben im vergangenen Jahr darüber nachgedacht, vom „Banking mit Filiale“ zu einer digitalen Plattform zu wechseln, so eine Studie von Mastercard. Das bedeutet auch, dass Banken in Zukunft verstärkt auf digitale Services setzen müssen, um weiterhin wettbewerbsfähig zu bleiben. Auch haben Finanzinstitute das hohe Potenzial von Cloud-Services erkannt und die überwiegende Mehrheit der deutschen Institute nutzen sie bereits. Denn nur wer über eine flexible und leistungsfähige IT-Infrastruktur verfügt, kann schnell auf sich ändernde Kundenbedürfnisse reagieren und Kunden ganzheitlich beraten.
Sicherheit im Blick
Eine Hürde auf ihrem Weg in die Cloud sehen viele Banken das Thema Security, denn natürlich ist der Aspekt Sicherheit gerade für Finanzinstitute extrem relevant. Eine der zentralen Herausforderungen bei der Digitalisierung ist für diese Unternehmen nach wie vor, ihren entscheidenden Wettbewerbsvorteil, nämlich das Kundenvertrauen, gegenüber Bigtechs und Fintechs durch Auslagerungen und die Adaption neuer Services nicht zu gefährden. Und bei Schwachstellen in der Cloud Security stehen in dieser Branche hochsensible Zahlungs- und Kundendaten auf dem Spiel. Bei einem Datenschutzvorfall oder Service-Ausfall würden Banken nicht nur das Vertrauen ihrer Kunden verlieren und einen Reputationsschaden erleiden, sondern beim Verstoß gegen regulatorische Vorgaben außerdem hohe Bußgelder riskieren. Doch bei diesen wichtigen Bedenken sollten Finanzinstitute dennoch im Hinterkopf behalten, dass Cloud nicht nur Risiken, sondern vor allem auch Chancen bietet.
Regulatorische Vorgaben belasten
Compliance-Vorgaben werden als sehr belastend empfunden. Laut der Studie „Digital Outlook 2025: Financial Services“ von Lünendonk & Hossenfelder bewerten 77 Prozent der Befragten die Behinderung durch regulatorische Vorgaben für den Cloud-Einsatz in der Finanzbranche als stark oder sehr stark. Sie müssen unter anderem die Anforderungen gemäß MaRisk (Mindestanforderungen an das Risikomanagement) erfüllen, mit denen die BaFin vorgibt, was Banken und Finanzdienstleister beim Outsourcing von Prozessen zu beachten haben. Dieses Regelwerk, präzisiert durch die Bankaufsichtlichen Anforderungen an die IT (BAIT), fordert von Banken ein dauerhaftes und wirksames Informationssicherheitsmanagement.
Eine wichtige Compliance-Vorgabe hierbei ist das Patch-Management, über das offene Schwachstellen geschlossen werden. Besonders in komplexen, hybriden Infrastrukturen kann dies einer sehr aufwändigen Aufgabe werden. Die IT-Infrastruktur von Banken ist historisch gewachsen und kann On-Premise noch zahlreiche Legacy Systeme beinhalten, für die es mittlerweile gar keine Patches mehr gibt. Auch der Test von Patches vor dem Roll-Out kostet oftmals viele Ressourcen und gehörig Zeit, die man nach dem Erkennen neuer Schwachstellen nicht hat.
Virtual Patching: Eine Sorge weniger
Eine Security-Lösung, die Virtual Patching anbietet, kann also den Unterschied bedeuten zwischen einer Schwachstelle, die nur erkannt wurde, und einer Schwachstelle, die auch rechtzeitig geschlossen werden konnte. Denn Virtual Patching schließt Schwachstellen automatisiert auf Netzwerkebene und ist performanter und sicherer als Exploit-Filter aus herkömmlichen IDS/IPS-Lösungen (Intrusion Detection System/Intrusion Prevention System) und Firewalls. Anders als diese Lösungen muss Virtual Patching nicht für jeden neuen Exploit einen neuen Filter entwickeln. Virtual Patching betrachtet stattdessen die Schwachstelle an sich, vermeidet False Positives und ist dank des Einsatzes der Zero Day Initiative (ZDI) auch vor künftigen Exploits geschützt. Die ZDI sammelt Daten von Schwachstellenforschern und stellt diese für Anbieter bereit. Virtual Patching, das auf den Daten der ZDI basiert, kann so schon Schwachstellen schließen, die noch gar nicht veröffentlicht sind.
Fazit
Die Zahl der Kreditinstitute, die das Potenzial der Cloud für sich nutzen, steigt stetig. Diejenigen, die sich aufgrund von „Angstmarketing“, Compliance- und Sicherheitsbedenken noch nicht in die Cloud getraut haben, verspielen wichtige Chancen in der ganzheitlichen Kundenbetreuung, bei der Verbesserung ihres Risikomanagements und bei der Abwehr von Cyberangriffen.
Aber ebenso wichtig wie der Schritt selbst ist die Wahl des richtigen Cloud-Security-Partners. Denn bei der Abwehr von Cyberkriminellen zählt jede Minute, und nur ein einziger Datenschutzvorfall kann einen langen Schatten auf die Beziehung zum Kunden werfen.