Der Finanzdienstleistungssektor steht zunehmend unter Druck, seine Cybersecurity-Massnahmen zu verstärken. Vor der Frage, ob die Sicherheitsfunktionen intern verwaltet oder an spezialisierte Dienstleister ausgelagert werden sollen, entscheiden sich viele Unternehmen für Letzteres – oder ziehen es zumindest in Betracht.
Der folgende Artikel beleuchtet, weshalb zahlreiche Finanzinstitute die Verwaltung ihrer Cybersicherheit externen Anbietern überlassen und welche Risiken damit verbunden sind, insbesondere wenn die internen Schutzmassnahmen nicht parallel gestärkt werden. Eine Kombination verschiedener Faktoren, vom Mangel an qualifizierten IT-Sicherheitsfachleuten über die hohen Kosten für internes Fachpersonal bis hin zur zunehmenden Komplexität von Cyberbedrohungen, bewegt viele Finanzdienstleister dazu, auf externe Unterstützung zu setzen. Trotzdem bleibt ein robuster interner Schutz unerlässlich.
Die Bedeutung einer internen Sicherheitsorganisation
Auch wenn das Outsourcing von Sicherheitsaufgaben gewisse Herausforderungen adressieren kann, ist es für Finanzinstitute entscheidend, eine interne Sicherheitsorganisation aufzubauen und aufrechtzuerhalten. Eine starke interne Cybersecurity-Kompetenz ist zentral, sowohl für regulatorische Anforderungen, als auch für die interne Informationsverarbeitung und weitere geschäftsrelevante Prozesse.
Bezüglich regulatorischer Vorgaben verlangen Aufsichtsbehörden, dass Finanzinstitute die letztendliche Verantwortung für ihre Sicherheitslage behalten. Eine interne Sicherheitsorganisation sorgt für die nötige Aufsicht über ausgelagerte Funktionen und gewährleistet die Rechenschaftspflicht. Die Zusammenarbeit mit einem externen Partner entbindet nicht von der eigenen Verantwortung.
Ferner fungiert ein internes Cybersecurity-Team zudem als wichtige Schnittstelle zwischen dem Unternehmen und dem externen Anbieter. Es nimmt Sicherheitsinformationen entgegen, verarbeitet sie unternehmensintern, leitet kritische Themen weiter und beurteilt deren Auswirkungen auf die spezifischen Abläufe und Systeme des Unternehmens.
Ein weiterer Vorteil liegt in der Steuerung und Kontrolle. Eine starke interne Organisation ist essenziell, um die Sicherheitsstrategie der externen Partner wirksam zu lenken – etwa durch das Festlegen klarer Anforderungen, die Validierung der Umsetzung und die Sicherstellung der Wirksamkeit ausgelagerter Sicherheitsmassnahmen.
Nicht zuletzt heisst Cybersecurity-Outsourcing nicht, dass man die Sicherheit völlig aus der Hand geben kann. Zwar erkennen Dienstleister Sicherheitsrisiken, doch nur das interne Team versteht diese im Kontext der eigenen Prozesse und kann die Bedeutung richtig einordnen. Entsprechend braucht es internes Fachwissen, um die Resultate Dritter sinnvoll auszuwerten.
Die Notwendigkeit einer klaren Cyber-Sourcing-Strategie
Angesichts der heutigen Bedrohungslage ist es für Finanzdienstleister zentral, eine klare, ganzheitliche Strategie für das Sourcing ihrer Cybersecurity zu entwickeln. Neue Vorschriften, wie der Digital Operational Resilience Act (DORA) in der EU, stellen hohe Anforderungen an die operative Resilienz, insbesondere bei der Abhängigkeit von Drittanbietern im IT-Bereich. Während sich die Bedrohungslage stetig weiterentwickelt, verändert sich auch das regulatorische Umfeld rasant.
Dazu kommen der anhaltende Fachkräftemangel sowie steigende Löhne für Cybersecurity-Fachleute. Gemäss dem Weltwirtschaftsforum WEF fehlen weltweit vier Millionen qualifizierte Fachkräfte, um die Lücke im Cybersecurity-Bereich zu schliessen. Zwar können Unternehmen mit attraktiven Gehältern um Talente werben, doch auch Outsourcing kann helfen, den Druck zu mindern.
Gleichzeitig nehmen die Bedrohungen weiter zu, sowohl in Zahl, als auch in Raffinesse. Die Entwicklung von Künstlicher Intelligenz hat Cyberangriffe einfacher und effektiver gemacht. Rund 72 % der Cybersecurity-Experten berichten von einem Anstieg der Risiken in ihren Organisationen. Für knapp 47 % stellt generative KI die grösste Sorge im Hinblick auf neue Angriffsmethoden dar. Diese Bedrohungslage, wenngleich getrieben durch geopolitische und gesellschaftliche Faktoren, macht effektive Cybersecurity unabdingbar.
Cyber-Sourcing: Auslagern oder intern verwalten?
Angesichts dieser Ausgangslage braucht es eine sorgfältig durchdachte Cyber-Sourcing-Strategie. Eraneos kann Sie dabei unterstützen.
Mehr als nur Sourcing: Governance stärken
Externe Partnerschaften können ein sinnvolles Mittel sein, doch Finanzinstitute müssen auch ihre internen Sicherheitsstrukturen stärken. Der Aufbau technischer Fähigkeiten, interner Prozesse, Tools und eines qualifizierten Teams bleibt unerlässlich.
Zudem ist Cybersicherheit nicht nur eine technische Herausforderung, denn auch menschliche Faktoren spielen eine Rolle. Eine starke Sicherheitskultur ist zentral: Mitarbeitende müssen Risiken kennen, klare Regeln verstehen und ein Sicherheitsbewusstsein entwickeln. Sicherheit muss als gemeinsame Verantwortung aller wahrgenommen werden.
Ein weiterer Grund für den Aufbau interner Sicherheitskapazitäten ist die zunehmende Abhängigkeit von Drittanbietern innerhalb der Lieferkette ein potenzielles Risiko. Ein aktueller Forrester-Bericht rät Risikoverantwortlichen, ihre Software-Lieferketten genau zu analysieren und Resilienz zu priorisieren. Dies bedingt auch hier eine starke interne Kompetenz, um Drittanbieter beurteilen zu können. Angesichts der Tatsache, dass Angreifer vermehrt Schwachstellen in Lieferketten ausnutzen, müssen Finanzinstitute der Sicherheit ihrer externen Partner hohe Priorität einräumen, nicht nur im Bereich Cybersecurity, sondern für sämtliche IT-Dienstleistungen.
Zentrale Massnahmen für ein resilientes Cyber-Sourcing
Für ein widerstandsfähiges Sourcing sollten Finanzinstitute auf mehrere Punkte achten:
Cloud-Sicherheit priorisieren: Über 75 % der Finanzunternehmen nutzen bereits Cloud-Dienste. Deren Schutz – inklusive Daten – ist daher entscheidend.
Credential Management und Schutz digitaler Identitäten: Starke Massnahmen zur Verhinderung von unbefugtem Zugriff sind zentral, sowohl intern, als auch bei den Dienstleistern.
Kontinuierliches Monitoring und Auditing: Alle Systeme, ob intern oder extern, müssen laufend überwacht werden, um auf Bedrohungen rasch reagieren zu können.
Auch bei ausgelagerter Sicherheit muss eine starke Sicherheitskultur erhalten bleiben. Eine zu starke Abhängigkeit von externen Anbietern kann zu Nachlässigkeit führen und dazu, dass interne Schwachstellen übersehen werden. Um die damit verbundenen Risiken zu bewältigen, braucht es umfassende Strategien für das Management von Drittparteien und ausgeklügelte Resilienzpläne.
Den richtigen Cyber-Sourcing-Partner wählen
Bei Eraneos verstehen wir, weshalb Finanzinstitute auf Cyber-Sourcing setzen, um ihre Sicherheitslage zu verbessern. Wir kennen die Vorteile – aber auch die Risiken. Deshalb sind wir überzeugt: Cyber-Sourcing muss wohlüberlegt erfolgen. Gerade im Finanzbereich, wo hochsensible Daten verarbeitet und übertragen werden, ist besondere Vorsicht geboten.
Wir verfügen über umfangreiche Erfahrung in Sicherheits-Sourcing und haben viele Organisationen erfolgreich durch komplexe Outsourcing-Vorhaben begleitet. Als unabhängiges Unternehmen bieten wir weder Managed Services an, noch verkaufen wir Software oder arbeiten mit bestimmten Anbietern zusammen. So können wir objektive Empfehlungen aussprechen, abgestimmt auf die individuellen Bedürfnisse unserer Kunden.
Unser Team besteht aus erfahrenen Expertinnen und Experten mit breitem Marktverständnis und einer bewährten Methodik.
Delegieren Sie Ihre Cybersecurity nicht an irgendeinen Anbieter. Kontaktieren Sie Eraneos für ein Sourcing, das den regulatorischen Anforderungen und den hohen Kundenansprüchen der Finanzwelt gerecht wird.
