IT-Sicherheit für den Finanzsektor

DORA (Digital Operational Resilience Act) und NIS-2 (Network and Information Security 2) sind zwei bedeutende EU-Regularien, die die Cybersicherheit im Finanzsektor und anderen kritischen Infrastrukturen stärken sollen. DORA zielt darauf ab, die Betriebsstabilität digitaler Systeme im Finanzsektor zu gewährleisten. Es stellt sicher, dass Finanzinstitute auch bei Cyberangriffen funktionsfähig bleiben und Finanzdienstleistungen verfügbar bleiben. NIS-2 harmonisiert die Cybersecurity-Anforderungen für kritische Infrastrukturen und Grundversorgungsbereiche in der EU. Es legt besonderen Wert auf Risikomanagement und die Meldung von Sicherheitsvorfällen.

Sowohl DORA als auch NIS-2 legen großen Wert auf die Sicherheit in der digitalen Lieferkette. Unternehmen müssen sicherstellen, dass auch ihre Drittanbieter und Lieferanten den Cybersecurity-Standards entsprechen. Dies bedeutet, dass Finanzinstitute nicht nur ihre eigenen Systeme und Prozesse schützen müssen, sondern auch auf die Absicherung Ihrer Partner und Dienstleister achten müssen, um die gesamte Lieferkette im Auge zu behalten. Vor diesem Hintergrund ist die Auswahl eines verlässlichen Partners mit der erforderlichen Branchenexpertise und den entsprechenden Nachweisen in Form von einschlägigen Zertifizierungen und Testaten wie ISO 27001, BSI C5 oder PCI DSS von hoher Bedeutung.

Um sich gegen Cyberkriminalität zu schützen, müssen Finanzinstitute eine umfassende Sicherheitsstrategie entwickeln und implementieren, die sowohl technische als auch prozessuale Maßnahmen umfasst. Regelmäßige Audits, Prüfungen und Updates der Sicherheitsmaßnahmen sind ebenso wichtig wie Schulungen und Sensibilisierungsprogramme für Mitarbeitende und Kunden. Diese Programme erhöhen das Bewusstsein für Cybergefahren und tragen dazu bei, das Risiko von Angriffen zu minimieren.

Die Finanzindustrie ist besonders anfällig für verschiedene Arten von Cyberkriminalität. Zu den häufigsten Bedrohungen gehören Denial-of-Service (DoS)- und Distributed-Denial-of-Service (DDoS)-Attacken, die darauf abzielen, die Verfügbarkeit von Diensten zu stören. Ransomware- und Phishing-Angriffe sind ebenso eine Gefahr für Banken und Finanzdienstleister. Hier versuchen die Angreifer, möglichst hohe Lösegelder zu erpressen oder sensible Daten zu stehlen – im Darknet werden valide Daten zu Bankkonten oder Kreditkarten zu Höchstpreisen gehandelt. Social Engineering-Angriffe nutzen wiederum menschliche Schwachstellen aus, um an vertrauliche Informationen zu gelangen oder betrügerische Handlungen durchzuführen. Meist zeigt sich erst im konkreten Angriffsfall, ob die IT-Sicherheit Banken effektiv vor solchen Attacken schützen kann.