In diesem Artikel möchten wir aufzeigen, warum eine verstärkte Analyse im Bereich IT- und Cyberrisiken für Finanzinstitute essenziell ist und wie sich dieses Vorhaben mithilfe des Fishbone-Diagramms auf dem digitalen Whiteboard Collaboardumsetzen lässt. Hierzu finden Sie im weiteren Verlauf auch ein konkretes Praxisbeispiel.
Für Finanzinstitute wie Banken spielen IT- und Cyberrisiken eine besondere Rolle, denn sie haben im Eintrittsfall einen signifikanten Einfluss auf Geschäftskontinuität, Reputation und Wirtschaft. In Erinnerung bleiben die jüngsten Angriffe wie etwa der Ransomware-Angriff auf ICBC Financial Services im Jahr 2023, welcher zu erheblichen Betriebsunterbrechungen führte, oder ein Cyberangriff auf die Deutsche Leasing AG – einer Tochter der Sparkassen - im gleichen Jahr mit Systemblockaden für Mitarbeiter und Kunden.
So wichtig sind IT- und Cyberrisiken für Banken
IT- und Cyberrisiken stellen für Banken erhebliche Herausforderungen dar, da sie die Integrität, Verfügbarkeit und Vertraulichkeit sensibler Daten bedrohen. Die zunehmende Digitalisierung und Vernetzung erweitern die Angriffsfläche für Cyberkriminelle, die mit immer raffinierteren Methoden operieren.
Die Relevanz dieser Risiken für Banken wird durch regulatorische Anforderungen und die hohe Sensibilität der verarbeiteten Kundendaten verstärkt. Studien zeigen, dass Finanzinstitute zunehmend Cloud-Dienste für die Speicherung sensibler Daten und den Betrieb kritischer Systeme nutzen, jedoch sind Cloud-Dienste nicht immer gleich sicher, weswegen die Auswahl von Tools mit bestem Datenschutz und Compliance noch wichtiger macht.
Wie hilft das Fishbone-Diagramm in der Risikoanalyse?
Das Fishbone-Diagramm, auch als Ishikawa-Diagramm bekannt, ist ein bewährtes Werkzeug zur Analyse von Problemen und ihrer Ursachen. Es wurde in den 1960er-Jahren von Kaoru Ishikawa entwickelt und wird häufig in Qualitätsmanagement und Prozessoptimierung eingesetzt. Der Name „Fishbone“ leitet sich von der fischgrätenartigen Struktur ab, die das Diagramm charakterisiert.
Aufbau und Funktionsweise
Das Fishbone-Diagramm visualisiert Ursache-Wirkungs-Beziehungen in einem strukturierten Format. Am Kopf des Diagramms steht das zentrale Problem oder Ziel, während entlang der „Gräten“ mögliche Ursachen gruppiert werden. Typische Kategorien sind etwa:
- Mensch: Fehler durch mangelnde Schulung oder Aufmerksamkeit
- Maschine: Technische Probleme oder fehlerhafte Software/Hardware
- Methode: Ineffiziente Prozesse oder unklare Anweisungen
- Material: Mangelhafte Qualität oder fehlende Ressourcen
- Milieu: Externe Faktoren wie physische oder regulatorische Bedingungen
- Management: Schwächen in Führung oder Kommunikation.
Vorteile
Das Fishbone-Diagramm ist besonders nützlich, um systematisch die Ursachen eines Problems zu identifizieren. Es fördert die Zusammenarbeit im Team, indem es alle Beteiligten einbindet, und eignet sich ideal für Brainstorming-Sitzungen. Das visuelle Format macht komplexe Zusammenhänge leicht verständlich und hilft, Ursachen von Symptomen zu unterscheiden.
Nachteile
Trotz seiner Stärken hat das Fishbone-Diagramm auch Schwächen. Es erfordert Disziplin und Moderation, um nicht in unstrukturiertes Denken abzudriften. Daher ist die genaue Festlegung von Moderations- und Managementkompetenzen – insbesondere wenn das Fishbone-Diagramm auf einem Online-Whiteboard verwendet wird – im Vorfeld wesentlich.
Für Banken bietet das Fishbone-Diagramm eine klare Methode, um komplexe IT- und Cyberrisiken zu analysieren und Lösungsstrategien zu entwickeln. Es erleichtert die strukturierte Diskussion über Probleme wie Sicherheitslücken oder Systemausfälle und ist eine wertvolle Ergänzung zu anderen analytischen Werkzeugen.
Praxisbeispiel: Cyberrisiken mit dem Fishbone-Diagramm visualisiert
Fishbone-Diagramm auf Collaboard zum Thema Cyberrisiken in Banken
Im Bereich der Cyberrisiken wurde mithilfe der Formen-, Pfeil- und Text-Tools in Collaboard schnell und einfach das zuvor definierte Fishbone-Diagramm erstellt. Die vier Userinnen und User haben gemeinsam die Ursachen der Risiken analysiert und konnten dabei kollaborativ und in Echtzeit arbeiten.
Im Fishbone-Diagramm wurden folgende Punkte zum Thema Cyberrisiken aufgeführt und teilweise miteinander durch Pfeile verknüpft (siehe Screenshot).
Mensch
- Mitarbeiter klicken auf Phishing-Links in E-Mails
- Fehlendes Wissen über Social-Engineering-Techniken
- Unachtsamkeit beim Umgang mit sensiblen Daten
- Nutzung unsicherer privater Geräte im Arbeitsumfeld
Maschine
- Veraltete Firewall-Systeme
- Antivirensoftware ohne aktuelle Updates
- Schwachstellen in der Netzwerkarchitektur
- Unzureichend gesicherte IoT-Geräte
Milleu
- Gesetzliche Regulierungen verhindern schnelle Systemanpassungen
- Nutzung von Cloud-Diensten mit unklaren Sicherheitsstandards
- Externe Bedrohungen wie staatlich unterstützte Hackergruppen
- Abhängigkeit von globalen Dienstleistern mit unsicherer Infrastruktur
Material
- Nicht verschlüsselte Kundendaten
- Verwendung unsicherer Kommunikationskanäle
- Veraltete Software mit bekannten Schwachstellen
- Fehlende Sicherheitszertifikate für Webseiten
Methode
- Keine klaren Sicherheitsrichtlinien für Mitarbeiter
- Mangelhafte Prüfung von Drittanbieteranwendungen
- Fehlendes Monitoring von Netzwerkaktivitäten
- Unzureichende Verfahren für den Umgang mit Sicherheitsvorfällen
Management
- Keine regelmäßige Sicherheitsüberprüfung der IT-Infrastruktur
- Fehlende Verantwortung für IT-Sicherheitsfragen in der Führungsebene
- Mangel an Budget für Sicherheitsmaßnahmen
- Keine etablierten Prozesse für Sicherheits-Updates
Auf der rechten Seite des Diagramms werden die Wirkungen (Konsequenzen) beschrieben, darunter Finanzielle Verluste, Reputationsschaden, Datenverlust, Regulatorische Sanktionen, Betriebsunterbrechung, erhöhte Kosten.
Zusammengefasst kann ein Cyberangriff die Bank in ihrer Funktionstüchtigkeit stark beeinträchtigen und erhebliche finanzielle und operative Herausforderungen verursachen. Daher ist es essenziell, moderne digitale Tools zu nutzen, um präventiv und im Team zusammenzuarbeiten und robuste Sicherheitsstrategien umzusetzen.
Mithilfe der Kommentarfunktion können Themen direkt auf dem Board in Form von Chats diskutiert werden, um gemeinsam zu reflektieren und offene Fragen zu klären. Dabei können Kommentare direkt mit Texten, Bildern, Mindmaps, Formen, etc. verbunden werden, um über einen eindeutigen Kontext Klarheit zu schaffen.
Durch die unendlich grossen Whiteboard-Fläche lässt sich stark auf das Board hineinzoomen, sodass zu jedem Inhaltspunkt noch zusätzliche Informationen hinzugefügt werden können. In diesem Beispiel diskutieren die Userinnen und User mithilfe von Moderationskarten den Aspekt der «Wirkung» aus dem Fishbone-Diagramm. Dabei lassen sich die Sticky Notes beliebig skalieren und ebenfalls kommentieren.
Collaboard biete auch eine Ishikawa Diagramm Vorlagen, mit der Sie direkt loslegen können.
Ein mehrseitiges PDF-Dokument wurde ebenfalls auf dem Board platziert, um weitere Informationen zum Thema «Interne & Externe Wirkung» zu geben. Beispielsweise können auch bestehende Dokumente wie Security Konzepte direkt mit Informationen auf dem Board verknüpft werden.
Rolle von Online-Whiteboards bei der Risikoanalyse
Online-Whiteboards wie Collaboard haben sich als leistungsstarke Werkzeuge für die Zusammenarbeit und Analyse etabliert. Für Banken bieten sie eine Plattform, um neben Fishbone-Diagrammen eine grosse Bandbreite an Risikomanagement-Tools effizient zu erstellen und gemeinsam zu bearbeiten, selbst wenn Teammitglieder an verschiedenen Standorten arbeiten.
Online-Whiteboards ermöglichen eine Echtzeit-Bearbeitung, bei der alle Beteiligten gleichzeitig ihre Ideen einbringen können. Dies fördert den kreativen Austausch und beschleunigt den Analyseprozess. Zusätzlich können Daten, Dokumente und andere Tools nahtlos integriert werden, was die Tiefe der Diskussion erhöht.
Da IT- und Cyberrisiken oft mehrere Abteilungen betreffen, erleichtern Online-Whiteboards die Kommunikation zwischen IT-, Risiko- und Compliance-Teams. Sie bieten eine visuelle und gut dokumentierte Basis für Maßnahmen, die auch den regulatorischen Anforderungen gerecht wird.
Ein interdisziplinäres Team kann auf Collaboard ein Fishbone-Diagramm für Cyberrisiken entwickeln, Kommentare in Echtzeit hinzufügen und To-Dos direkt aus der Analyse in Form von Sticky Notes, Mindmaps oder weiterführenden Dokumenten ableiten. Weitere wichtige Funktionen und Vorteile von Collaboard speziell für Finanzinstitute finden sich auf der Branchenseite.
Warum Datenschutz und Compliance bei Dienstleistern essenziell sind
Bei der Nutzung von Online-Whiteboards ist für Banken Datenschutz und Compliance von zentraler Bedeutung. Die Verarbeitung sensibler und interner Daten erfordert eine sorgfältige Auswahl geeigneter Plattformen. Beispielsweise führte 2023 ein Datenleck eines Dienstleisters der deutschen Banken zu einer Kompromittierung tausender Kundendaten. Dieses Beispiel unterstreicht, wie wichtig Kompetenzen des Dienstleisters im Bereich Datenschutz und Compliance sind.
Collaboard ist aufgrund des hohen Datenschutzstandards eine viel genutzte Lösung in der Finanzindustrie. Die Software bietet verschiedene Hosting-Optionen wie z.B. auf Servern in der Schweiz bei Microsoft Azure oder in Deutschland bei der Open Telekom Cloud. Zudem besteht auch die Möglichkeit, Collaboard on-premises oder in einer eigenen Cloudumgebung zu betreiben.
Beispielsweise nutzt die UBS die Rechenzentren von Microsoft in der Schweiz. Zusätzlich zu den flexiblen Hostingoptionen bietet Collaboard höchste Standards bezüglich der Datenverschlüsselung und der Softwarearchitektur.
So wird Collaboard nicht nur das Tool für Risikomanagement, sondern ist ins sich ebenfalls ein Schutz vor IT- und Cyberrisiken. Eine ISO-27001-Zertifizierung, rollenbasierte Zugriffsrechte und Synchronisation mit Active Directory-Gruppen sowie Single Sign-On runden die Sicherheit Collaboards ab.
Dass Collaboard eines der sichersten Online Whiteboards ist, zeigt sich unter anderem auch daran, dass U.S. Regierungsbehörden die Lösung für Daten mit dem Impact Level 5 und 6 verwenden, welche die höchsten Schutzklassen für Daten sind. => Alle Informationen zum Datenschutz und zur DSGVO mit Collaboard.
Schlussendlich minimiert eine regelmäßige Überprüfung der Plattformen und Tools auf Konformität mit regulatorischen Anforderungen Risiken und schafft Vertrauen in deren Nutzung.
Fazit
IT- und Cyberrisiken stellen für Banken eine zentrale Herausforderung dar. Tools wie Collaboard ermöglichen eine strukturierte Analyse, um Schwachstellen zu identifizieren und Gegenmaßnahmen zu erarbeiten.
Die Integration von Collaboard in diesen Prozess fördert die Zusammenarbeit und erleichtert die Dokumentation, während die verstärkte Einhaltung von Datenschutz- und Compliance-Standards Vertrauen schafft.
Das Zusammenspiel von innovativen Analysewerkzeugen und modernen Kollaborationsplattformen gibt Banken die Möglichkeit, sich gegen die wachsenden Bedrohungen der digitalen Welt zu wappnen.
