Wenn es um die Bekämpfung interner Gefahren geht, fehlt dem Finanzsektor das nötige Problembewusstsein. Wie eine aktuelle Untersuchung des Cert Insider Threat Center der Carnegie Mellon Universität bestätigt, ist vor allem die Datensicherung äusserst mangelhaft.
Viele der auftretenden Betrugsfälle gehen auf schwache Informationssicherheitssysteme zurück, die es Insidern erlauben, ihre Zugriffsrechte in irgendeiner Form zu missbrauchen. Bösartige Handlungen von Managern verursachen dabei mit durchschnittlich 153.185 Euro doppelt so viel Schaden wie jene von einfachen Mitarbeitern.
"Die Finanzinstitute sind im Umgang mit internem Gefahrenpotenzial noch viel zu vertrauenswürdig", stellt etwa Martin Penzes, Geschäftsführer von Safetica fest. Prinzipiell könne zwar davon ausgegangen werden, dass die Mehrheit der eigenen Mitarbeiter nichts Böses im Schilde führt. "Schon wenige schwarze Schafe können hier aber einen enormen finanziellen Schaden für ein Unternehmen hervorrufen", betont der Experte. Beim Verlust von besonders sensiblen Daten wie etwa Bankkontoinformationen drohe zusätzlich noch ein grosser Imageschaden.
Im Rahmen der vorgelegten US-Studie wurden 80 Betrugsfälle auf ähnliche Verhaltensmuster bei Vergehen untersucht, die durch Insider in Finanzinstituten begangen wurden. Dabei wurden betrügerische Handlungen in nur sechs Prozent der Fälle von einem sogenannten DLP-System (Data Loss Prevention) oder anderen IT-Anwendungen verhindert. In den meisten Fällen (41 Prozent) wurden die Betrugsversuche lediglich durch Zufall oder aufgrund von Stichproben aufgedeckt. Sogar in den Ereignisberichten nach einem Datendiebstahl wurden in nur 20 Prozent der Fälle IT-Ressourcen zu Rate gezogen. "Würden interne Informationssicherheitssysteme in den Betrieben häufiger zum Einsatz kommen, würde das die Datenverluste drastisch eindämmen", meint Penzes. Sicher sei die Anschaffung und Einbindung derartiger Systeme mit einigen Kosten verbunden. "Die Kosten stehen hier allerdings in keiner Relation zum Nutzen", so der Safetica-Geyschäftsführer. Es sei aber davon auszugehen, dass DLP-Systeme hierzulande noch seltener eingesetzt werden als in den USA.
Besonders interessant: Mit einer durchschnittlichen Schadenssumme von 153.185 Euro pro Betrugsfall und im Mittel 33 Monaten bis eine bösartige Handlung aufgedeckt werden konnte, haben durch Manager verursachte betrügerische Aktivitäten einen beinahe doppelt so hohen Schaden verursacht und in etwa zweimal so lange gedauert wie Pflichtverletzungen, die durch Mitarbeiter auf niedrigeren Positionen verursacht wurden. Als Hauptziel von internen Attacken werden Informationen über die persönliche Identität ausgemacht.
