KI für Sparkassen: Maßgeschneidert statt Massenware
Künstliche Intelligenz (KI) verändert das Bankwesen grundlegend.
Mehr IT-Sicherheit und Schutz vor Cyberangriffen
DORA-Verordnung erfolgreich umgesetzt
Für die Sparkassen-Finanzgruppe war der 17. Januar 2025 ein wichtiger Meilenstein, um die Vorgaben und Vorkehrungen für mehr IT-Sicherheit und den Schutz vor möglichen Cyberangriffen umzusetzen.
Die gute Nachricht vorweg: Die Finanz Informatik hat erfolgreich umfangreiche Maßnahmen umgesetzt, um die Institute bei der Erfüllung der DORA zu unterstützen. Vorausgegangen waren intensive Wochen und Monate der Vorbereitung, um die DORA-Readiness zu gewährleisten.
Taten statt warten
Der Digital Operational Resilience Act (DORA) zielt darauf ab, einheitliche Standards für die Cybersicherheit im Finanzsektor zu schaffen. Dies betrifft nicht nur die Banken und Sparkassen, sondern auch Versicherungen, Zahlungsdienstleister und IT-Drittanbieter, die Dienstleistungen für Finanzunternehmen erbringen. Die FI hat im übergeordneten DORA-Projekt des DSGV zusammen mit den Instituten 16 gemeinsame Handlungsfelder identifiziert und entsprechende Maßnahmen eingeleitet.
Schutz von kritischen und wichtigen Funktionen
Ein zentraler Begriff von DORA ist die Frage, was für das Institut unternehmenskritische oder -wichtige Funktionen sind. Daher wurden im übergeordneten DSGV-Projekt zunächst die kritischen oder wichtigen Funktionen bestimmt. Im nächsten Schritt wurden in Abstimmung mit dem DSGV und den Gremien der FI zu Beginn von DORA die 17 Anwendungen festgelegt, die kritische oder wichtige Funktionen in den Instituten unterstützen. Für diese Anwendungen sind dann erhöhte Anforderungen zu berücksichtigen, wie z. B. besondere Vertragsanforderungen, automatisierte Schwachstellenscans oder eine Zugangssicherung mit einer 2-Faktor-Authentisierung. DORA hat dabei für die FI und ihre Kunden in unterschiedlichen Themenfeldern für Veränderungen gesorgt.
Michael Röttgen, Mitglied des Vorstandes der Stadtsparkasse Düsseldorf
Anpassungen im FI-Produktkatalog
Die von DORA geforderten weitergehenden Anforderungen an die Vertragsinhalte zwischen Kunden und der Finanz Informatik wurden durch eine Anpassung des Produktkatalogs umgesetzt. Neben der Anpassung von bestehenden Kapiteln gibt es nun auch ein ganz neues Kapitel »Umsetzung der DORA«. Reinschauen lohnt sich.
Meldung von Vorfällen
Schwerwiegende Vorfälle wie Cyberangriffe oder Systemausfälle müssen den Aufsichtsbehörden – wie von DORA gefordert – gemeldet werden. Daher hat die FI für die Sparkassen einen Meldeprozess etabliert. Damit können Vorfälle von Drittdienstleistern der Informations- und Kommunikationstechnologie (IKT-Vorfälle) und Cyberbedrohungen klassifiziert, protokolliert und gemeldet werden.
Informationsregister
DORA verpflichtet Finanzunternehmen auch zur Führung eines Informationsregisters. Es soll eine Übersicht über sämtliche Verträge mit Dienstleistern der Informations- und Kommunikationstechnologie (IKT) geliefert werden, um mögliche Abhängigkeiten zu erkennen und die daraus resultierenden Risiken gezielt managen zu können. Die FI hat den Instituten daher die notwendigen Informationen für das Informationsregister zentral bereitgestellt.
Großflächige Absicherung mit 2-Faktor-Authentisierung
Das Verhindern von unbefugtem Zugriff auf kritische oder wichtige Funktionen in den Instituten nimmt innerhalb von DORA eine Schlüsselrolle ein. Technisch wird dies über die 2-Faktor-Authentisierung erreicht, mit der neben dem bisherigen User und Passwort, ein weiterer Faktor bei der Anmeldung verlangt wird (z. B. via RSA-Token, Smartcard oder Biometrie). Dafür wurden umfangreiche Möglichkeiten für das OSPlus als auch für eigene Anwendungen in den Instituten entwickelt und die Institute können die Aktivierung selbst vornehmen. Prämisse für die Technik war, so wenig wie möglich den Arbeitsalltag in den Instituten zu verändern. Aus diesem Grund hat die FI mit dem »Komfort-Login« eine Lösung geschaffen, mit der die 2-Faktor-Authentisierung den kompletten Arbeitsplatz absichert und die eigentliche Anmeldung am OSPlus automatisch erfolgt.
Rainer Liebenow, Vorstandsvorsitzender der Sparkasse Lörrach-Rheinfelden
Schwachstellen scannen, erkennen und beheben
Auch bezüglich der Netzwerksicherheit und Administration wurden die Vorkehrungen verstärkt. Automatische regelmäßige Schwachstellen-Scans unterstützen die Institute, um kritische Stellen frühzeitig zu erkennen, Fehler zu beheben und somit weniger Angriffspunkte zu bieten. Als Reaktion auf mögliche Cyberangriffe können Netze oder Netzkomponenten zusätzlich zeitweise isoliert werden. Dies soll helfen, im Ernstfall eine Ausbreitung einzudämmen.
Was ist noch zu tun?
In den einzelnen Themenfeldern werden in 2025 weitere Optimierungen durchgeführt, unter anderem bei der Schwachstellenanalyse sparkassenindividueller Systeme, bei der starken Authentisierung und bei der Vorauswertung von Schwachstellenscans als Dienstleistung der FI.
Daniela Friedrich – Leiterin Prozessmanagement Retail & OSPlus
Fazit: Chancen nutzen
Für die Institute ist DORA nicht bloß eine weitere europaweite Verordnung, die es zu erfüllen gilt, sondern vor allem eine Chance, um die digitale Infrastruktur vor Sicherheitsrisiken und Cyberangriffen zu schützen. DORA sorgt so auch für noch mehr Stabilität, Sicherheit und Vertrauen in das Online-Banking bei den Kundinnen und Kunden der Sparkassen.
Stichwort: 2-Faktor Authentisierung
Die 2-Faktor-Authentisierung (2FA) ist eine Sicherheitsmaßnahme zum Schutz von Benutzerkonten. Bei diesem Verfahren muss sich der Nutzer beim Login mit zwei unterschiedlichen und insbesondere voneinander unabhängigen Komponenten (»Faktoren«) anmelden, also zum Beispiel mit einem Benutzernamen und Kennwort und zusätzlich mit einem Einmal-Kennwort (OTP/One Time Passwort).