Dass ein Virus die Kundendaten von 40 Millionen Kreditkartenbesitzern ausspähen konnte, wurde erst durch das Fehlverhalten der eigenen Mitarbeiter möglich, räumte beispielsweise der US-Dienstleister Card Systems Solutions ein. Diese hatten, entgegen der Vorschriften, Transaktionsdaten im Firmennetzwerk gespeichert. Dieser Vorfall scheint typisch für die Sicherheitsprobleme der Finanzbranche zu sein. Das größte Sicherheitsrisiko sind weniger Viren und Trojaner, die von außerhalb in Firmen-Netzwerke eindringen, sondern Mitarbeiter, die durch ihr Verhalten solche Attacken erst möglich machen oder verschlimmern.
35 Prozent der von Deloitte befragten Finanzdienstleister gaben an, dass Angriffe auf ihre IT ausschließlich aus dem eigenen Netzwerk heraus erfolgten. In der Vorjahresbefragung hatten dies nur 14 Prozent angegeben. 35 Prozent berichteten, Sicherheitsverstöße seien durch interne und externe Hacker-Angriffe entstanden. Nur jedes vierte Unternehmen hatte ausschließlich mit Problemen zu kämpfen, die durch externe Zugriffe entstanden.
Hacker haben mittlerweile erkannt, dass es deutlich einfacher ist, menschliche Fehler oder mangelhaft umgesetzte Sicherheitsbestimmungen auszunutzen, als sich durch ausgefeilte, technische Schutzmaßnahmen zu kämpfen. Denn die Bemühungen der Finanzdienstleister, ihre Netzwerke durch Technik nach außen hin abzuschirmen, zeigen deutliche Erfolge: Der Anteil der Betriebe, die Sicherheitsverstöße festgestellt haben, ist im Vergleich zum Vorjahr von 83 Prozent auf rund ein Drittel gesunken. Praktisch jedes Institut setzt Anti-Viren-Lösungen ein, mehr als drei Viertel arbeiten mit Virtual Private Networks (VPNs), fast ebenso viele mit Systemen zur Inhalte-Filterung.
Zu wenig Schulungen und Aufklärungsarbeit
Die Studie zeigt auch, dass den Unternehmen die Risiken, die durch Fehlverhalten einzelner Mitarbeiter entstehen können, durchaus bewusst sind. Allerdings reagieren sie darauf vor allem mit weiteren Investitionen in die Technik: Mehr als zwei Drittel der Befragten gaben an, dass Ausgaben für Sicherheits-Tools derzeit höchste Priorität haben.
Die Bereitstellung von Mitteln zur Mitarbeiterschulung bezeichnen dagegen nur 15 Prozent als wichtigen Budget-Posten. Weniger als die Hälfte hat solche Maßnahmen für die nächsten zwölf Monate überhaupt geplant. Im Vorjahr hatten immerhin noch rund zwei Drittel entsprechende Schulungen veranstaltet.
"Die zunehmende Verbreitung neuer Risiken wie Identitätsdiebstahl, Phishing und Pharming erfordert zwar Identity-Management-Systeme, die nicht nur den Systemzugriff kontrollieren und Schwachstellen erkennen, sondern auch Patches verteilen und sicherheitskritische Ereignisse melden", sagt Deloitte-Analyst Stefan Weiss. "Um menschliches Versagen aber soweit wie möglich auszuschließen, müssen Sicherheits- und Aufklärungsmaßnahmen die Technik ergänzen."
Sicherheitsbeauftragte berichten an höchste Gremien
Mittlerweile genießt das Thema Sicherheit höchste Priorität bei den Instituten. Mehr als 80 Prozent haben die Position eines Chief Information Security Officers (CISO) besetzt, der zentral für die Sicherheit verantwortlich zeichnet. In der Regel berichten die CISOs an den Vorstand oder Bereichsleiter wie den CIO.
Allerdings beschäftigen sich die Führungskräfte mit IT-Sicherheit in der Regel unter dem Aspekt des Risiko-Managements. Sie haben noch nicht erkannt, dass das Thema essentiell für alle Unternehmensbereiche ist. Langfristig wird sich die Rolle des CISOs weiterentwickeln müssen – weg von der reinen IT, hin zum Akteur in allen wichtigen Geschäftsprozessen. Immer noch gab mehr als die Hälfte der Befragten an, dass Technik und Unternehmensstrategie nur "irgendwie" aufeinander abgestimmt sind. Mangelhafte Absprachen zwischen IT und anderen Geschäftseinheiten sind nach wie vor auch der häufigste Grund für gescheiterte Sicherheitsprojekte.
Wenig überraschend gaben mehr als 90 Prozent der Befragten an, dass sie sich mit gesetzlichen Bestimmungen wie Basel II oder dem Sarbanes Oxely Act beschäftigen. Die Umsetzung solcher Vorschriften steht auf der Prioritätenliste der Befragten ganz oben. Auch gehen die Institute das Thema Sicherheit zunehmend strategischer an: Vor allem Firmen aus Europa, dem Mittleren Osten und Afrika (EMEA) sind hier besonders weit: Beinahe alle von ihnen (89 Prozent) haben eine Sicherheits-Strategie formuliert. Sie arbeiten beim Thema Sicherheit auch am häufigsten mit Standards wie der ISO-Richtlinie 17799 oder ITIL.
Deloitte hat für die Studie Führungskräfte für Informationssicherheit aus dem Kreis der 100 weltweit größten Finanzdienstleister befragt. Teilnehmer wurden persönlich und per Online-Fragebogen interviewt. Das Gros der befragten Unternehmen sind Banken, 16 Prozent stammen aus der Versicherungsbranche. Von allen befragten Firmen setzt rund ein Drittel mehr als fünf Milliarden US-Dollar jährlich um.