Österreichische Banken vernachlässigen IT-Compliance

Die Datenschutz- und Datensicherheitsmaßnahmen bei österreichischen Finanzinstituten sind stark verbesserungswürdig. So lautet das Ergebnis der Umfrage, die Brainloop und die Wirtschaftsprüfungsgesellschaft BDO zusammen mit dem Beratungsunternehmen emotion banking durchgeführt haben. [...]

Ziel der Studie war es, die Verankerung von Sicherheit und Datenschutz in Banken zu untersuchen sowie Schwerpunkte, Fortschritte und Risikofaktoren zu beleuchten. „Dass im Finanzsektor Missstände vorliegen, wiegt umso schwerer, da Banken versuchen, sich mit den Schlagworten Sicherheit und Vertrauen gegen aufstrebende Fintechs zu positionieren. Und obwohl sich Banken gerne mit diesen Eigenschaften schmücken, glauben die Mitarbeiter oft selbst nicht daran, und es hapert bei der Umsetzung“, erklärt Markus Trettnak, Partner und Leiter Forensic, Risk & Compliance BDO Austria.
Mangelnde Umsetzung der IT-Compliance
Wie die Studie zeigt, haben die Unternehmen gravierende Probleme beim Umsetzen der IT-Compliance. Oft ist die Verantwortung auf verschiedene Abteilungen aufgeteilt, und ausgerechnet die Geschäftsführung entzieht sich bei 56 Prozent der Befragten ihrer Aufgabe. Dies mindert die Effektivität und wird von fast einem Viertel der Befragten als sehr großer Risikofaktor für die Datensicherheit angesehen – bei größeren Banken ist diese Zahl noch höher. Es bestätigt sich folglich, dass es um das Thema IT-Compliance schlechter bestellt ist als um Corporate Compliance.
Und damit nicht genug: Prinzipiell trifft die Umsetzung der IT-Compliance-Anforderungen zwar bei den Befragten auf große Zustimmung. Bei näherer Betrachtung einzelner Aspekte zeigt sich jedoch, dass es Nachholbedarf gibt. So werden beispielsweise die Schutzziele der Datensicherheit – Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit, Authentizität und Manipulationssicherheit – nur unzureichend erfüllt. Gerade einmal die Hälfte der Befragten verschlüsselt ihre Daten. Damit scheitern die Institute schon an den Grundzügen der IT-Compliance. Die Befragten zeigen sich dennoch einsichtig: Mehr als jeder Zweite gibt an, in den kommenden Jahren in die Bereiche IT- und Datensicherheit zu investieren zu wollen. Auch das gilt in besonderem Maße für größere Institute.
Digitalisierung und Mitarbeiter als Sicherheitsrisiko
Die befragten Führungskräfte sind sich einig, dass sowohl die Digitalisierung als auch das mangelnde Sicherheitsbewusstsein der Mitarbeiter die größten Risiken für den Datenschutz einer Organisation sind. Trotz aller Vorteile, die die Digitalisierung von Kommunikation und Bankendienstleistungen mit sich bringt: Angriffe auf Hardware und Rechenzentrumsinfrastruktur werde nach Einschätzungen der Befragten zunehmen. Hinzu kommt, dass jeder Dritte das Ausbleiben von Investitionen in die IT kritisiert und bemängelt, dass veraltete Technologie nicht erneuert wird. Gleichzeitig gilt: Je größer die Organisation, desto höher wird die Wahrscheinlichkeit eingeschätzt, Opfer von Cyberangriffen und Datenspionage zu werden. Mangelnde Sicherheitsstandards wiegen daher umso schwerer.
Um Informationsabflüsse zu verhindern, setzen Banken laut der Studie am häufigsten auf Geheimhaltungsvereinbarungen. Zu greifen scheint diese Methode jedoch nicht: Ganze 79 Prozent der Mitarbeiter versenden immer wieder leichtfertig vertrauliche Informationen per E-Mail. Und das, obwohl sich fast 70 Prozent der Befragten durchaus der Gefahr bewusst sind, dass E-Mails abgefangen und von unbefugten Dritten gelesen werden können. Dass Mitarbeiter im Fall der Fälle sogar mit rechtlichen Schritten rechnen müssen, ist ihnen vermutlich nicht klar.
Mitarbeiter erwarten nutzerfreundliche IT-Lösungen
Neben der Sicherheit legen die Befragten großen Wert auf die Nutzerfreundlichkeit. Anderenfalls sträuben sich die Nutzer, die Lösung zu verwenden. Meist sind die Anforderungen an die Software sehr hoch, vor allem bei großen Instituten: Sie muss weltweit auf mobilen Endgeräten und im Webbrowser verfügbar sein und auch größere Datenmengen sicher übertragen können. Im besten Fall ist die Lösung nahtlos in die Unternehmensinfrastruktur integriert. Bei kleinen Instituten sind diese Charakteristika eher zweitrangig. In einer Sache sind sich die Befragten einig: Sie machen keine Abstriche beim Thema Sicherheit der Software. Weder bei automatischen Backups, der revisionssicheren Protokollierung oder der Abschirmung gegen den Administrator akzeptieren sie Kompromisse.
„Die Studie zeigt ganz deutlich, dass Finanzinstitute in Österreich dem Sicherheitsbedürfnis ihrer sensiblen Daten noch nicht völlig gerecht werden und ihre Bemühungen intensivieren müssen. Wir erleben jedoch immer wieder, dass unsere Kunden im Bankenbereich sehr hohe Anforderungen an uns und unsere Lösung stellen. Das bedeutet, dass vor allem das Bewusstsein und die organisatorische Umsetzung vorangetrieben werden müssen. Denn eine sichere Kommunikation und der Schutz vertraulicher Informationen ist technisch durchaus umsetzbar,“ fasst Helmut Pöllinger, Geschäftsführer Brainloop Austria zusammen.

Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*