Geldinstitute > Karriere

War for Talents und Cybermanager in der Finanzwelt

In der Finanzbranche werden fast täglich Systeme von Hackern angegriffen. Dies ist die dunkle Seite der Digitalisierung und sie verdient genauso viel Aufmerksamkeit wie die Chancen, die die Digitalisierung mit sich bringt. Doch dazu braucht es fähige Sicherheitsexperten im Haus und die sind rar gesät.

Henning Sander, Leiter der Business Unit Banking, Executive Search, Hager Unternehmensberatung

Banken, Investmentgesellschaften und Versicherungen zählen zu beliebten Angriffszielen von Cyber-Kriminellen. Die Motive sind dabei sehr unterschiedlich; vom klassischen Diebstahl von Geld oder sensiblen Daten bis hin zur Manipulation von Geschäftsprozessen oder gar der Zerstörung wichtiger Infrastrukturen. Der in den vergangenen Jahren im Finanzdienstleistungssektor entstandene finanzielle Schaden aufgrund Cyber-Attacken ist im Branchenvergleich mit der höchste.

 

Defizite beim Schutz vor Cyber-Attacken

Der kritische Aspekt im Umgang mit Cyber-Risiken ist bei einigen Instituten noch immer primär nur auf dem Papier geregelt. Institute, die lediglich reagieren und nicht proaktiv agieren, werden früher oder später mit schmerzhaften und teilweise auch kostspieligen Problemen konfrontiert. Es gibt viele zwingend erforderliche Maßnahmen, um gegen Angriffe gewappnet zu sein. Um das Thema Cybersecurity nicht als Trivialität weg zu delegieren, ist es essentiell, das entsprechende Know-how an Bord zu holen. Neben Standardkenntnissen rund um die Themen ISMS, IT-Riskmanagement und Sicherheitsmanagement sind auch fundierte Erfahrungen mit gängigen Netzwerken, Systemen, Anwendungsentwicklungen und Rechenzentren von Nöten. Die Rekrutierung von IT-Sicherheitstalenten kann sogar als Wettbewerbsvorteil verstanden werden.

Finanzinstitute aller Größen weisen Sicherheitslücken auf

Viele Institute verfügen über eine Governance und können Bedrohungspotentiale für sensible und kritische Daten identifizieren. Einige Institute haben zwar Schutzmechanismen eingeführt, jedoch fehlt es häufig an Regularien, die den Umgang mit komplexeren Bedrohungsszenarien beschreiben. Ebenso fehlt es oft an notwendigen Erweiterungen für die Anwendung technischer Überwachungsansätze. Viele kleinere Institute haben nur einen minimalen Aufwand vorgesehen, um den normalen Geschäftsbetrieb nach einer Attacke zeitnah wieder aufnehmen zu können.

 

Cybermanager und Talente gesucht

Die für den Sicherheitsbereich gesuchten IT-Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Bankinterne ISMS Rahmenwerke müssen gemäß MaRisk weiterentwickelt und regelmäßig gepflegt werden sowie relevante IS-Kontrollen (IKS) etabliert und überwacht werden. Führungskräfte müssen außerdem Informationssicherheitsstandards etablieren und mithilfe gezielter Kampagnen und Trainings im Unternehmen einführen sowie Sonderaudits zur Sicherheitsüberwachung planen und durchführen.

Eine effektive Präventionsarbeit dieser Spezialisten beinhaltet auch die Planung potenzieller Angriffs-Szenarien, beispielsweise wenn Datenbanken angezapft oder Prozesse blockiert werden sollen. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich, Kryptografie und natürlich Vertrautheit mit allen gängigen Softwareherstellern und deren Produkten erforderlich. Vorteilhaft sind auch Zertifizierungen wie CISM, CISA oder CISSP und Kenntnisse in den gängigen Sicherheitsstandards wie ISO 2700x, BSI Grundschutz, CoBit, NIST, etc. Zudem muss der IT-Spezialist sich in die vermutete Zielsetzung und idealerweise sogar in die Denkweise der Hacker hineinversetzen können, um geeignete Gegenmaßnahmen zu ergreifen.

Neben der theoretischen Konstruktion von ‚worst case Szenarien‘ ist es natürlich auch erforderlich, mögliche Schlupflöcher im gesamten System aufzufinden. Auch sollten Szenarien überdacht werden, die nicht rein auf der Programmierung, dem Angriff auf die Firewall oder direkten anderen Angriffen beruhen. Erhebliches Gefährdungspotential an Cyberangriffen ist mittlerweile auch dem Social Matching zuzuschreiben.

 

Wie schwer ist es für Finanzinstitute, geeignete und loyale Kräfte am Markt zu rekrutieren?

Das Bewusstsein und auch die Sensibilisierung für die neuen Anforderungen an IT-Sicherheit ist zwar gewachsen, jedoch ist die Umsetzung noch sehr langsam. Die ersten Hochschulen bieten mittlerweile Lehrstühle oder haben eine auf IT-Sicherheit spezialisierte Professur eingerichtet.

Viele Finanzinstitute erkennen die hohe Bedeutung der IT-Sicherheit, haben es aber sehr schwer, personell aufzurüsten, um geeignete Qualifikationen an Bord zu holen. Generell sind aktuell auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuellsten Standards bieten.

 

  

Der Quereinstieg im IT-Sicherheitsumfeld

Als Quereinsteiger in der IT-Sicherheitsbranche Fuß zu fassen, bedeutet oftmals, intensive Umschulungsprogramme und Weiterbildungsmaßnahmen zu absolvieren, die hohen persönlichen Einsatz erfordern. Von Quereinsteigern wird hohe Flexibilität und Eigeninitiative erwartet. Sie haben es angesichts der steigenden Komplexität immer schwerer, in die IT-Sicherheitsbranche zu gelangen. Durch die Komplexität und Anfälligkeit der IT-Systeme ist es gleichzeitig erforderlich, neben dem Fachwissen auch ein Verständnis für systemübergreifende Zusammenhänge mitzubringen.