Institutsindividuelle IT-Penetrationstests

Marko Mohrenz, Bereichsdirektor Interne Revision, Volksbank Münsterland Nord eG

I. Einleitung

Die Bedeutung der Informationssicherheit und des damit verbundenen Informationssicherheits- und -risikomanagements hat nicht erst sei der Eskalation der russischen Aggression gegenüber der Ukraine potentiell zugenommen. Auch wenn derartige politische bzw. kriegerische Ausnahmesituationen immer wieder die eigene Wahrnehmung und Sensibilität dynamisch erhöhen, sollten dennoch die Themen des strategischen Umgangs mit IT-Risiken sowie der Steuerung risikoreduzierender Maßnahmen seit nunmehr vielen Jahren ein bedeutendes Element interner Strategieprozesse sein. Da in der Regel die größten Teile des IT-Betriebes zugleich auch ausgelagert sind, erhöhen die damit verbundenen Fragen nach der Dienstleistersteuerung sowie der Verknüpfung der Sicherungskonzepte zwischen Institut und Dienstleister die Komplexität des Informationssicherheitsmanagements zusätzlich. 

Cyber-Angriffe auf große Dienstleister und Rechenzentralen gehören heutzutage (leider) schon zur Tagesordnung. Da sie zugleich auch Bestandteil der kritischen Infrastruktur sind, sind dort auch entsprechende Abwehrzentren im 24/7-Betrieb vorhanden. Auffälligkeiten in der IT-Struktur bzw. den Datenbeständen und Angriffe auf diese können frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Dennoch sind Störungen oder Ausfälle einzelner IT-Dienste oder ggf. der gesamten IT-Infrastruktur nicht auszuschließen. So kam es z. B. im Juni 2021 nach einem „Distributed-Denial-of-Service“ (DDoS-Angriff) auf den genossenschaftlichen IT-Dienstleister Atruvia (damals noch Fiducia & GAD IT AG) zu einer IT-Großstörung, die das Online-Banking und die Banking-Apps unzugänglich machten. Zudem waren auch Kartentransaktionen sowie Verfügungen an Geldautomaten massiv gestört.[1]  [...]
Beitragsnummer: 20616