Warum Banken eine einheitliche Lösung für Technologie, Risiko und Sicherheit brauchen
Im dynamischen Umfeld, in dem sich Banken heute bewegen, hat ein effektiver Umgang mit Technologierisiken zentrale Bedeutung. Durch die rasche Umstellung auf neue digitale Tools und Lösungen sind Banken potenziell einer Vielzahl technologiebasierter Bedrohungen ausgesetzt, die den Geschäftsbetrieb zum Stillstand bringen könnten.
Die Risiken nehmen zu. Das Spektrum reicht von Cyberattacken und Betrugsversuchen bis hin zu Ausfällen interner Software oder System-Fehlkonfigurationen. CEOs sind sich der Bedrohung bewusst. In einer von ServiceNow und ThoughtLab durchgeführten internationalen Umfrage unter 750 Bankmanagern nannten sieben von zehn CEOs Technologierisiken als größte Gefahr für ihre Bank. Außerdem rechnen 64 Prozent der befragten CEOs mit einer Zunahme der Technologierisiken in den nächsten zwei Jahren.
Hinzu kommt, dass Aufsichtsbehörden die Rechenschaftspflicht von Vorständen und Führungskräften verschärfen. Vier von zehn Banken stellen sicher, dass der Vorstand und die Führungsebene das Management von Technologierisiken beaufsichtigen können. Dieser Anteil dürfte in zwei Jahren höher liegen.
Technologierisiken erfordern effektives Management
Risk Management und Resilienz müssen mit dem zunehmenden Innovationstempo in der digitalen Welt Schritt halten. Ungefähr ein Viertel aller Befragten aus der Chefetage – und mehr als ein Drittel aller COOs – gibt an, dass Innovationen aufgrund von Bedenken wegen damit verbundener Technologierisiken nicht in Angriff genommen werden.
Weitere 23 Prozent aller Befragten aus der Chefetage – und 27 Prozent aller CIOs – sind der Ansicht, dass ihre Innovationen Risiken heraufbeschwören, weil die für IT, Risiken und Sicherheit zuständigen Teams nicht früh genug eingebunden werden. Und fast die Hälfte aller Führungskräfte ist der Meinung, dass für ein erfolgreiches Management von Technologierisiken diese Funktionen gut zusammenarbeiten müssen.
Interne Akteure sind dabei genauso wichtig – wenn nicht sogar wichtiger – als externe Akteure. Denn laut The Financial Brand sind Hacker und böswillige Akteure nur für 6 Prozent aller Ausfälle bei Großbanken verantwortlich.
Die meisten schwerwiegenden Incidents sind auf Ereignisse zurückzuführen, die intern verhindert werden könnten (z. B. fehlerhafte Software, ungeeignete Changeprozesse, Bereitstellungsprobleme, menschliches Versagen). Das bekräftigt, wie wichtig teamübergreifende Zusammenarbeit ist – also der enge Austausch zwischen Fachleuten für technologiebedingte, menschenbedingte, prozessbedingte und sonstige Risiken.
Isolierte Teams und Daten
Auch wenn die meisten Banken über Systeme, Technologien und Prozesse für das Management von Risiken verfügen, greifen diese oft nur punktuell. Das verstärkt den Siloeffekt auf Benutzer, Prozesse und Daten. Die Studie von ServiceNow und ThoughtLab kommt zu dem Ergebnis, dass in Silos isolierte Daten und Tools für Banken-Risikoteams, die das Management von Technologierisiken verbessern möchten, das vorrangige technische Hindernis darstellen.
Sind Teams und Daten nicht miteinander verbunden, müssen Technologie- und Sicherheitsteams gewaltige Anstrengungen unternehmen, um über den gesamten Technologie-Lebenszyklus richtig mit Risiken umgehen und einen compliancegerechten Betrieb sicherstellen zu können. Aufgrund der Fragmentierung ist es Chief Risk Officers, Information Security Officers und Technologieverantwortlichen oftmals nicht möglich, das aktuelle Risikoniveau richtig einzuschätzen, die Wirksamkeit ihrer Maßnahmen zu überprüfen oder Fehler zu korrigieren.
Selbst bei Banken mit ausgereiftem Risikomanagement gehen 40 Prozent der Verantwortlichen für IT, Cybersicherheit und Risiken davon aus, dass sie nur einen Teil der IT-Infrastruktur, Sicherheitssysteme und Geschäftsprozesse überblicken.
Kommunikation und Koordinierung als Voraussetzung für optimale Ergebnisse
Die Zusammenführung von Technologie-, Sicherheits- und Risikoorganisationen ist ein wichtiger Schritt auf dem Weg zu einer führenden Position in den Bereichen Risk Management und Resilienz und zu mehr Innovation und Wachstum.
62 Prozent aller für Technologierisiken und Resilienz zuständigen Führungskräfte möchten über die nächsten zwei Jahre erreichen, dass die IT-, Risiko- und Cybersecurity-Teams enger zusammenarbeiten. Wenn Organisationsstrukturen und Kultur dieser Teams richtig abgestimmt sind, bilden sie ein „Abwehr-Dreigestirn“, das in enger Zusammenarbeit einen zuverlässigen Risikoumgang gewährleisten kann.
„IT- und Cybersecurity-Abteilungen agierten in der Vergangenheit getrennt voneinander. Wir haben jedoch gelernt, dass wir unsere Arbeit mit anderen Gruppen koordinieren müssen.“ So fasst ein für Krisenmanagement, Cyber- und Technologierisiken verantwortlicher Global Head einer führenden französischen Universalbank die Herangehensweise zusammen und fügt an: „Wir können vielleicht technische Mängel aus der Welt schaffen, nicht jedoch taktische oder strategische. Wir setzen daher alles daran, die Silos aufzubrechen.“
IT- und Cybersecurity-Teams wird zunehmend klar, dass sie sich nicht nur gegenseitig, sondern auch mit Entscheidungsträgern auf Business-Seite wie CEOs, der obersten Führungsebene sowie den Verantwortlichen für das operative Geschäft und Finanzrisiken abstimmen müssen. Um diese Abstimmungsabläufe effektiver zu gestalten, hat mehr als ein Viertel der befragten Führungskräfte IT-Risiken in den Zuständigkeitsbereich des Chief Risk Officers aufgenommen. Dieser Anteil wird in den kommenden zwei Jahren auf voraussichtlich 36 Prozent steigen.
Prozesse intelligent orchestrieren und überwachen
Integrierte Risikoplattformen geben Banken einen vollständigen Überblick über Cyber-, Technologie-, Unternehmens- und operative Risiken und statten sie mit den wichtigsten Tools für deren Management aus.
Laut der Umfrage werden über die nächsten zwei Jahre fast alle mit dem Technologierisiko-Management befassten Führungskräfte – und drei Viertel aller Organisationen mit weniger ausgereiften Lösungen – eine integrierte Risikoplattform verwenden. Für Banken, die Technologierisiken in ihre Gesamt-Risiko-Frameworks einbetten und die Thematik ganzheitlich abdecken möchten, ist diese Entwicklung von wesentlicher Bedeutung.
Wenn Risiko-, Sicherheits- und Technologieteams Prozesse zusammen auf einer zentralen Plattform intelligent orchestrieren und überwachen, ergeben sich für Banken neue Möglichkeiten:
- Kompetenterer Umgang mit Risiken: Finanzinstitute können Risiken schnell erkennen und auf geeignete Weise reagieren. Teams können auf Risiken und Bedrohungen reagieren und damit Sicherheitsverletzungen oder Auditmängel verhindern. Fortlaufendes Technologiemonitoring und Sicherheitsmechanismen reduzieren die Anzahl der Incidents hoher Priorität und schaffen Voraussetzungen für eine robuste Risiko- und Complianceaufstellung.
- Mehr Sicherheit: Modernisierte Sicherheitsabläufe optimieren die Resilienz, Produktivität und Kosten, wenn eine rationalisierte Umgebung für sämtliche Abteilungen vorhanden ist.
- Kostensenkung: Ist Automatisierung in jeden Aspekt des Risk und Compliance Managements integriert, können der manuelle Aufwand und das Potenzial für Verluste aufgrund von Bußgeldern, Auditmängeln oder risikobedingten Ausfällen erheblich reduziert werden.
- Kürzere Innovationszyklen: Sind Technologiesysteme und Technologieprozesse vereinheitlicht, können Verantwortliche auf der betriebswirtschaftlichen und technischen Seite schneller unternehmensweite Innovationen einführen – und dabei die Risiken im Zaum halten.
Um mehr zu erfahren, lesen Sie den vollständigen Bericht: Kontrolle über Technologierisiken im Bankensektor.