Das Etablieren von Cyberresilienz ist für Organisationen aller Branchen und Grössen essenziell. Doch gerade im hochregulierten Finanzsektor liegt die Messlatte nochmals deutlich höher. at rete AG hilft den Akteuren dieses Sektors dabei, in Sachen Cybersecurity immer einen Schritt voraus zu sein. Davon profitieren auch Firmen anderer Branchen.

Christoph Pfister
Head of Cyber Security
at rete ag
Herr Pfister, atrete erbringt unter anderem Beratungen und Dienstleistungen im Feld der Cybersecurity. Hier sind Sie insbesondere im Feld der Finanzdienstleister tätig. Welche Herausforderungen stellen sich für diese Branche?
Grundsätzlich sind alle Organisationen, die Daten verarbeiten, mit wichtigen Fragestellungen konfrontiert. Doch im Finanzmarkt sind die Anforderungen an die Sicherheit der Daten aufgrund ihrer sensiblen Natur besonders hoch. Organisationen in diesem Segment sind stark reguliert und müssen klare Vorgaben erfüllen. Das Einhalten von Cybersecurity-Aspekten ist daher ein absolutes Muss, was, anders als in vielen anderen Sektoren, auch strengstens kontrolliert wird. Wir verfügen in dieser Branche über eine breite Erfahrung und sind daher mit den besonderen Ansprüchen des Finanzwesens vertraut. Unsere Expertise, etwa im Feld von Regulatory Compliance oder Cloud-Security, zeichnet uns ebenso aus wie die Fähigkeit, Kenntnisse von branchenspezifischen Bedürfnissen mit technischem Know-how zu kombinieren. Natürlich machen unsere Consultants dieses Know-how auch anderen Kunden und Branchen zugänglich. In sämtlichen Fällen achten wir auf einen pragmatischen Hands-on-Approach.
Warum ist ein solcher Ansatz so wichtig?
Echte Cybersecurity entsteht nur dann, wenn man die Mitarbeitenden einer Organisation mit an Bord holen kann. Dafür ist es unerlässlich, alle Hierarchiestufen zu erreichen, von den IT-Spezialisten bis zum Verwaltungsrat. Genau darin liegt unsere Stärke und dadurch sind wir in der Lage, erfolgreiche Projekte für finanzmarkt-regulierte Institute wie Banken und Versicherungen zu realisieren. Dieses Segment ist die «Königsklasse der Komplexität», was anderen Kunden, etwa im Gesundheitswesen, der Industrie oder der öffentlichen Verwaltung, ebenfalls zugutekommt.
Welche technologischen Aspekte bestimmen die aktuelle Sicherheitsdebatte?
Cloud-Security, Identitätsmanagement und Netzwerksicherheit sind hier absolut wesentlich. Gleichzeitig ist gerade die Cloud auch für die Digitalisierung zentral und stellt zudem einen wesentlichen Faktor in der Kostenstruktur eines Unternehmens dar, weil sie enorme Einsparungen eröffnen kann. Da die Cloudnutzung aber stets auch mit einer externen Datenbearbeitung einhergeht, muss nebst den Governance-, Cybersecurity- und Compliance-Anforderungen vor allem der Netzwerksicherheit oberste Priorität zukommen. Konkret kann dies bedeuten, dass das System etwa in der Lage sein muss, im Falle eines Cyberangriffs gewisse Segmente abzutrennen. Eine solche Zonierung und Segmentierung ist für Finanzdienstleister und ihre Outsourcingpartner sogar regulatorisch vorgeschrieben. Und in Zeiten von Cloud und Homeoffice und Co. wird die Sicherheit des Netzwerkes ohnehin immer kritischer.
Kann KI bereits geschulte Security-Fachpersonen ersetzen?
Angreifer können durch KI tatsächlich ausgefeiltere Szenarien erstellen, etwa mit Sprach- und Bildimitation. Aufseiten der Verteidigung wiederum kann KI dazu beitragen, Anomalien und Muster zu erkennen und damit die initiale Response auf Attacken zu beschleunigen sowie kritische Prozesse zu automatisieren, damit die Cybersecurity-Spezialisten für andere wichtige Tätigkeiten zur Verfügung stehen. Wichtig für Unternehmen ist zudem, KI auch aus Datenschutz- und Cybersecurity-Sicht konform zu nutzen. Menschliche Kompetenzen bleiben aber unersetzbar.
KI wird oft im Zusammenhang mit der Digitalisierung genannt. Wie gelingt die digitale Transformation?
KI kann für verschiedene Anwendungsfälle im Rahmen der Digitalisierung nützlich sein, zum Beispiel um manuelle Prozesse zu automatisieren, um Kundendaten zu analysieren und entsprechend personalisierte Angebote zu erstellen, oder auch in der Betrugsprävention und -erkennung. Um Effizienzgewinne und Kostensenkungen zu erzielen, müssen Organisationen klare Ziele formulieren und präzise Anforderungen definieren, was mit dem Einsatz von KI erreicht werden soll. Ferner benötigen sie die notwendigen Strukturen und müssen über eine durchgängige Informationsarchitektur verfügen. Oftmals sehen wir allerdings, dass die technischen Infrastrukturen historisch gewachsen sind. Diesem Umstand muss man ebenso Rechnung tragen wie der Tatsache, dass es in vielen Organisationen noch an durchgängigen Datenmodellen mangelt, die als ausreichende Grundlage für eine Digitalisierung bzw. Automation dienen könnten. Um hier die Interoperabilität zu fördern, setzt atrete auf Erfahrung, technologische Expertise sowie zwischenmenschliche Kompetenz – denn jede Digitalisierung bedeutet auch Change-Management und dafür ist es essenziell, die Betroffenen zu Beteiligten zu machen und sie auf die Reise mitzunehmen.
Wie wichtig ist in diesem Zusammenhang Ihr Angebot «CISO as a Service»?
Das Angebot kann eine zentrale Rolle spielen: Wenn etwa der Chief Information Security Officer (CISO) die Organisation verlässt, ist es oftmals entscheidend, kurzfristig jemanden hinzuzuziehen, der diese Aufgaben übernimmt. Mit unserem Angebot decken wir das ab: Unsere Experten springen sozusagen nahtlos in die Bresche und führen die Aufgaben des CISOs weiter, bis intern oder extern eine Nachfolge gefunden wurde. Alternativ ist «CISO as a Service» auch ideal, wenn eine Unternehmung zu klein ist, um einen eigenen CISO zu stellen oder sich die Kandidatensuche schwierig gestaltet. Gerade für Fondsleitungen oder Verwaltungen von Kollektivanlagen, die erst seit Kurzem im Bereich Cybersecurity und Cyberresilienz so streng reguliert sind, ist der Outsourcing-Service absolut optimal geeignet.
Weitere Informationen unter www.atrete.ch
Schreibe einen Kommentar