Share

EZB Cyber Resilience Stress Test 2024: Wie resilient ist das europäische Bankensystem?

Podcast mit Elvira Niedermeier, Senior Managerin im Bereich Financial Services bei KPMG, Peter Hertlein, Director im Bereich Financial Services bei KPMG und Experte für IT-Compliance und Cyber-Security, Lucas Daus, Cyber Security, KPMG Wirtschaftsprüfungsgesellschaft

Thema: Ein Cyber-Angriff legt die Kernbankensysteme wesentlicher Finanzinstitute in der Eurozone lahm! Wie realistisch ist dieses Szenario? Wie operativ widerstandsfähig sind Finanzinstitute gegenüber digitalen Angriffen und welche Auswirkungen auf den Finanzmarkt wären zu erwarten? Das will die Europäische Zentralbank (EZB) mit ihrem ersten Single Supervisory Mechanism (SSM) Cyber Stress Test herausfinden. 

  • Wie bereiten sich die betreffenden Finanzinstitute auf den großen Stresstest vor?
  • Wen müssen die Banken für den Stresstest mit ins Boot holen?
  • Welche Test-Szenarien sind wahrscheinlich?
  • Welche Schlüsse können Institute und Aufsicht aus dem Test ziehen? 

„Mit ihrem geplanten Cyber Stresstest will die EZB das europäische Bankensystem an seine Cyber-Belastungsgrenzen bringen“, Frau Niedermeier.

„Eines ist klar: Eine lückenlose Vorbereitung über alle Ebenen hinweg ist Grundvoraussetzung, um für den Stresstest gewappnet zu sein“, weiß Peter Hertlein.

Er sagt auch noch: „Es braucht eine funktionsübergreifende Zusammenarbeit zwischen den verschiedenen ‚Lines of Defense‘, aber auch zwischen Finanzinstituten und IT-Dienstleistern im Falle einer Auslagerung“.

Ein nur in groben Zügen absehbares Szenario, ein enger Zeitplan, ein Fragebogen mit 478 Fragen und bislang nur wenig Erfahrung bei der Durchführung: Die Aufsicht stellt die Banken und auch sich selbst vor eine Mammutaufgabe.

Die Anforderungen, die mit dem Stresstest einhergehen, reichen noch über die bisherigen Vorgaben der Bankenaufsicht an die Cybersicherheit von Finanzinstituten hinaus. Die Banken bereiten sich deshalb schon jetzt auf den Test vor – und das mit noch einigen unbekannten Sachverhalten, wie das tatsächliche Testszenario. Wie geht das?

Vor allem: Zwei Monate haben die Institute Zeit, um den Test durchzuführen.


Weitere Informationen:

IT-Compliance & Cyber Security für die Finanzbranche
Single Supervisory Mechanism

The Single Supervisory Mechanism (SSM) refers to the system of banking supervision in Europe. It comprises the ECB and the national supervisory authorities of the participating countries.

ECB Banking Supervision: SSM supervisory priorities

Bisherige Podcasts mit KPMG:

Dauerlauf gegen Cyberbedrohungen: So geht Banken nicht die Puste aus

Thema: Mittels Detection & Response können Bedrohungen von vornherein erkannt und ausgeschaltet werden. Security Operations Center (SOC) machen die Bedrohungslage, Angriffsvektoren und Schwachstellen einer Bank sichtbar – und können diese gleichzeitig bekämpfen. So gesehen liegt die Herausforderung für Banken in der kontinuierlichen Optimierung und Automatisierung von SOCs.

Doch: Bei den meisten Banken fehlt es neben der nötigen Anbindung der Systeme sowie geschultem Personal vor allem auch an einer Gesamtstrategie. Christian Nern weiß, dass einige Banken ihre Sicherheitsinfrastruktur im Sinne von “Security by Design” radikal neu aufsetzen, um eine ganzheitliche Architektur zu schaffen und wird heute erklären, wie ein möglicher Lösungsweg aussehen könnte.

  • Ein Security Operations Center (SOC) könnte das Ihrer Ansicht nach ändern – wie? Wie sieht ein SOC in der Praxis aus?
  • Cyberkriminelle finden immer wieder neue Schwachstellen. Wie kann sichergestellt werden, dass Security Operations Center immer auf dem neuesten Stand sind?
  • Wie sieht eine Sicherheitsstruktur im Sinne von “Security by Design” Ihrer Meinung nach aus – und wo setzt man am besten an, wenn man noch ganz am Anfang steht?
  • Neue, bahnbrechende Technologien stellen Unternehmen vor neue Herausforderungen in den Bereichen Sicherheit, Datenschutz und Ethik – immer wieder werden auch grundlegende Fragen zum Vertrauen in digitale Systeme aufgeworfen. Welche Rolle werden Chief Information Security Officer hier einnehmen müssen und auf welche Punkte sollten sie künftig ein besonderes Augenmerk legen?
Von Cyber Security zur Cyber Resilience: So begegnen Finanzdienstleister und Unternehmen der wachsenden Bedrohung im Netz

Thema: Banken zählen seit Jahren zu den präferierten Zielen von Hackern. Und die Bedrohung setzt sich fort, auch für andere Branchen. In der Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ stellte KPMG gemeinsam mit Lünendonk und Hossenfelder fest: 84 Prozent der befragten Unternehmen nehmen eine stärkere Bedrohung durch Cyber-Angriffe gegenüber dem Vorjahr wahr.

Unter den Top-3-Einflussfaktoren für die erhöhte Bedrohungslage nannten 64 Prozent der Finanzdienstleister Attacken mittels Phishing/Ransomware.

Fragen:

  • Identitäten und Daten sind die „Kronjuwelen“ der Unternehmen. 64 Prozent der Finanzdienstleister gaben an, sich durch Phishingattacken und Ransomware bedrohter zu fühlen. Was können sie tun, um es Hackern möglichst schwer zu machen – und wie steht es hier aktuell um die Schutzmaßnahmen laut Studie?
  • Was sind die typischen Herausforderungen, um ein effektives Identity & Access Management aufzusetzen?
  • Immer mehr Finanzinstitute und andere Unternehmen migrieren in die Cloud. Der KPMG Cloud Monitor zeigte zuletzt: 84 Prozent der befragten Unternehmen nutzen bereits irgendeine Form von Cloud Computing. Wie beeinflusst die zunehmende Verlagerung von IT-Ressourcen in Cloud-Umgebungen die Anforderungen und Best Practices für Identity and Access Management (IAM)?
  • Laut der Lünendonk-Studie setzen 69 Prozent der Unternehmen im Speziellen auf hybride bzw. multiple Cloud-Umgebungen. Das hält unter Cyber-Security-Gesichtspunkten einige Herausforderungen bereit. Welche Aspekte sollten Unternehmen bei der Implementierung von IAM in einer hybriden Cloud-Umgebung beachten, in der sowohl On-Premises- als auch Cloud-Ressourcen genutzt werden?
  • Die Erfahrungen sowie auch die jüngste KPMG-Studie zusammen mit Hossenfelder & Lünendonk zeigen, das 7 von 10 Unternehmen die Einführung eines PAM (= Privileged Account Management) planen bzw. sich mitten in der Operationalisierung befinden. Erst  25% haben die Einführung abgeschlossen.Warum ist PAM so wichtig bzw. was ist hier entscheidend?
  • Der Einsatz von KI ist in aller Munde. Inwiefern können Künstliche Intelligenz (KI) und maschinelles Lernen dazu beitragen, die Effizienz und Sicherheit von Identity and Access Management-Systemen zu verbessern?

Music by BlueSwine