IT: BANKER Ausgabe 04.2021

Ausgabe 4/ 2021 | Oktober |
info@bauve.de |
Supplement von bank objekte
IT-Lösungen für Banken
IT BANKER
SICHERHEIT
DIE BAIT-NOVELLE 2021
Kreditgeschäft
Der Workflow-System-Kredit
Authentifizierung
Die Robo-Ident-Technologie

Ausgabe 2 / 2021 // April // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 02-21 objekte Anzeige
April
Ausgabe 2/2021 | April |
info@bauve.de |
Supplement von bank objekte
IT BANKER
IT-Lösungen für Banken
Oktober
Ausgabe 3/2021 | Juni |
info@bauve.de |
Supplement von bank objekte
IT BANKER
DATENMANAGEMENT
WEGBEGLEITER DER SICHERHEIT
Payment
Zahlungsverkehr im Wandel
KÜNSTLICHE INTELLIGENZ –
EIN TRANSFORMATIONSPROZESS
Datenmanagement
IBOR-Ablösung unter Druck
IBOR
IT-Lösungen für Banken
Sicherheit
Benutzerrechte verwalten
Kernbanksysteme
Ausgabe 4/2021 | Oktober |
info@bauve.de |
Supplement von bank objekte
IT BANKER
SICHERHEIT
DIE BAIT-NOVELLE 2021
Kreditgeschäft
Der Workflow-System-Kredit
IT-Lösungen für Banken
Migration nachhaltig gestalten
Authentifizierung
Die Robo-Ident-Technologie
www.bank-objekte.de info@bank-objekte.de BAUVE Medien GmbH & Co. KG Bahnhofstraße 57 D-86807 Buchloe ISSN 2194-1335 Einzelverkaufspreis F 12,50 25. Jahrgang
Ausgabe 5 / 2021 // Oktober // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 05-21 objekte Anzeige
Jeder Raum ein Erlebnis • VR-Bank in Südoldenburg eG
www.bank-objekte.de info@bank-objekte.de
BAUVE Medien GmbH & Co. KG Bahnhofstraße 57 D-86807 Buchloe ISSN 2194-1335 Einzelverkaufspreis € 12,50 25. Jahrgang
Jeder Raum ein Erlebnis
VR-Bank in Südoldenburg eG
Technik
Im Umbruch
Sicherheit im Fokus
Bankenplanung in der Transformation
Nachhaltigkeit
Designed for Recycling
P Hybrid-Filiale • Lösungen für kleine Standorte
P Regional verankert • Die Sparkasse Bremen AG
Special
Bodenbeläge
info@bank-objekte.de BAUVE Medien GmbH & Co. KG
Einzelverkaufspreis F 12,50 25. Jahrgang
Ausgabe 3/2021 // Juni // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 03-21 objekte Anzeige
Regional verankert
Die Sparkasse Bremen AG
Arbeitsplätze
Zwischen Homeoffice und Open Space
Hybrid-Filiale
Lösungen für kleine Standorte
info@bank-objekte.de BAUVE Medien GmbH & Co. KG Bahnhofstraße 57 D-86807 Buchloe ISSN 2194-1335 Einzelverkaufspreis F 12,50 25. Jahrgang
Ausgabe 4 / 2021 // August // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 04-21 objekte Anzeige
Modern und nahbar
Kreissparkasse Nordhorn
Special
Filialkonzepte
Special
Akustiklösungen
Special
Funktionelle Arbeitsplätze
Das Fachmagazin für Bankplanung und
Digital Banking – mit Supplement IT-Banker
Don’t miss the online edition!
www.bauve.de

EDITORIAL
Anzeige
Liebe Leserinnen, liebe Leser,
Cyberangriffe auf Banken nehmen deutlich
zu. Mitte des Jahres bekamen das
auch die Kunden der Volksbanken massiv
zu spüren, da Onlinefunktionen über längere
Zeit lahmgelegt waren. Im vergangenen
Jahr sind einige Banken Opfer von
Hackerangriffen geworden. So wundert
es nicht, dass diesen Herbst das Thema
hoch im Kurs steht: Die SicherheitsExpo
am 24./25. November in München hat
Cyberkriminalität neu in ihr Themenspektrum
aufgenommen. Und auch auf
der It-sa 2021, die in der zweiten Oktoberwoche auf der Messe Nürnberg
über die Bühne ging, zogen sich Cybersecurity-Aspekte als roter Faden durch
die präsentierten Technik- und Managementthemen rund um die IT-Sicherheit.
Das Event in München lohnt den Besuch – und die Nürnberger Kongressmesse
hat mit it-sa365 eine umfassende und dauerhafte Onlinepräsenz.
Nach den Vorgaben der European Banking Authority, den neuen EBA-Leitlinien,
hat die bundesdeutsche Banken- und Finanzaufsicht BaFin die Umsetzung
auf nationaler Ebene übernommen und im August unter anderem die
bankenaufsichtlichen Anforderungen an die IT (BAIT) aktualisiert. Worum
es dabei genau geht und welche Wirksamkeitskontrollen zur laufenden
Überprüfung der Sicherheit von den Banken verlangt werden, beschreibt ein
ausführlicher Beitrag in dieser Ausgabe (Seite 7).
Zuletzt ein Hinweis in eigener Sache: Der IT:BANKER geht im nächsten
Jahr vollständig und ausschließlich online – ein folgerichtiger Schritt,
denn die Themenwelt des Supplements von bank objekte ist ja ebenfalls
eine vollständig digitale. Somit halten Sie heute die letzte Printausgabe des
IT:BANKER in Händen.
Herzliche Grüße
Annette Tisken
Ihre Annette Tisken
Objektleitung IT:Banker
a.tisken@bank-objekte.de
Digitale Kontrolle
am analogen Schließfach
nachrüstbare
Sicherheit
Überwachen Sie Ihre Bankmietfächer
mit Einzelfachsensorik
(EFS) und profitieren Sie mehrfach:
Höhere Sicherheit durch nachvollziehbare
und manipulationssichere Einzelüberwachung
Mitarbeiterentlastung durch SB-fähige Zugangskontrolle
und Management-Software
Optimales Kosten-Nutzen-Verhältnis durch
drahtlose Nachrüstung ohne Öffnen der
Fächer
Kontaktieren Sie unseren Partner
www.safecor.de
Designed To Protect
IT:BANKER – OKTOBER 2021 3
www.insys-locks.com

INHALT
Sicherheit
7 BAIT-Novelle 2021
Das sind die neuen Anforderungen
an Banken
8 Mobilgeräte im Fadenkreuz
Welche Angriffsmethoden
Cyberkriminelle nutzen und wie
Unternehmen und Organisationen
ihnen einen Riegel vorschieben können
Kundenauthentifizierung
10 Meilenstein in der Online-
Identifikation
Die Bundesnetzagentur erteilt
die Modulbestätigung für die
Robo- Ident-Technologie von Nect
Rubriken
3 Editorial
4 Impressum
5 News: Events
6 News: Personen
11 Anbieterverzeichnis
Kreditgeschäft
9 Gemeinsam stark
Wie Sparkassen von der
Kreditabwicklung durch die
Verbundpartner profitieren
Mobilgeräte sind ein reizvolles Angriffsziel für Cyberkriminelle
und brauchen besondere Schutzmaßnahmen
Bild: Sergey Tarasov – stock.adobe.com
Impressum
Kurzcharakteristik „IT:BANKER“:
IT:BANKER ist ein Supplement von „bank objekte“ und richtet
sich an alle Sparkassen, Genossenschaftsbanken, Privat- und
Geschäftsgroßbanken, Rechenzentren und Verbände in Deutschland
und Österreich sowie ausländische Bankhäuser, die hier ihren
Sitz haben. Empfänger und Zielpersonen sind die IT- und Orgaabteilungen
sowie Vorstände. Mit fünf Ausgaben im Jahr berichtet
IT:BANKER über technologische Entwicklungen, erfolgreich
umgesetzte Projekte und Lösungen für die Praxis.
Verlag / Herausgeber:
BAUVE Medien GmbH & Co. KG
Bahnhofstraße 57, D-86807 Buchloe
Telefon +49 (0)8241 99884-0
www.bauve.de
info@bauve.de
Geschäftsführung:
Ines te Heesen
Geschäftsleitung:
Sina te Heesen
Objektleitung:
Annette Tisken
a.tisken@bank-objekte.de
Telefon +49 (0)8241 99884-110
Redaktion:
Christiane Pütter-Haux
cp@bauve.de
Satz, Layout, Grafik:
Markus Miller
Telefon +49 (0)8241 99884-111
Titelfoto:
©Sergey Tarasov – stock.adobe.com
Druck:
W. Kohlhammer Druckerei GmbH & Co. KG
Augsburger Straße 722, D-70329 Stuttgart
Telefon +49 (0)711 3272-0, Telefax +49 (0)711 3272-104
Inserenten:
Bauve Medien S. 2, INSYS S. 3, emagixx S. 9, Riverbed S. 12,
Netcomm S. 16.
Einsendungen:
Für unverlangt eingereichte Manuskripte gibt es keine Gewähr. Sie
gelten in jeder Hinsicht der Redaktion zur freien Disposition überlassen.
Namentlich gekennzeichnete Artikel geben nicht unbedingt
die Meinung der Redaktion wieder. Eine Verwertung der in „bank
objekte“ veröffentlichten Beiträge ist unzulässig.
4 IT:BANKER – Oktober 2021

NEWS
SicherheitsExpo 2021
Leitmesse für Sicherheit wieder in Präsenz
Am 24. und 25. November 2021 findet die SicherheitsExpo München
wieder in Präsenz im MOC München statt. Bei dem wichtigsten
Branchenereignis für Sicherheitstechnik in Deutschland
präsentieren über 100 Aussteller wieder zahlreiche Lösungen,
die Firmen, Private und den öffentlichen Bereich vor kriminellen
Angriffen von innen und außen schützen:
Industrieanlagen, Banken, Kliniken, Transportunternehmen,
Handel, Bahnhöfe, Flughäfen,
Museen, Private und Behörden. Vor allem durch
die zunehmende Vernetzung von Komponenten
und die Digitalisierung von Arbeitsabläufen
in Gebäuden und Infrastruktureinrichtungen
erhält die Sicherheitstechnik eine Schlüsselrolle
in den Zukunftsmärkten „Smart Building“ und
„Smart City“. So wird durch die Vernetzung des
Zutrittsmanagements mit der Videotechnik die
Effizienz der Einlasskontrolle und der Sicherheitszentralen erhöht.
Rationalisierungseffekte werden auch durch die weitere Vernetzung
der Arbeitsabläufe mit den Finanz- und Personalabteilungen
erzielt. Die Daten aus dem Zutrittsmanagement fließen direkt
in die digitale Personalakte mit Lohn-, Gehalts- und Kantinenabrechnung
und Urlaubsplanung mit ein. Um den unterschiedlichen
Anforderungen von Industriebetrieben, Handel, Banken,
Schulen, Transport und Verkehr gerecht zu werden, zeigen Aussteller
auf der SicherheitsExpo 2021 die neuesten Lösungen der
digitalen Sicherheitstechniken RFID, NFC, KI, Smart Cards,
CCTV und Biometrie. Die Schwerpunkte der vernetzten und integrierten
Sicherheitstechnik bilden dabei die Bereiche Besuchermanagement,
Zutrittskontrolle und Videoüberwachung,
Brandschutz, Freilandsicherung und
Alarmanlagen sowie IT-Security, Smart Cards
und Identity-Management. In Kooperation
mit dem Bayerischen Verband für Sicherheit in
der Wirtschaft (BVSW), dem BHE Bundesverband
Sicherheitstechnik e. V. sowie dem Bayerischen
Landeskriminalamt ist es gelungen,
die wichtigsten Anbieter von Sicherheitstechnik
in Deutschland als Aussteller zu gewinnen.
Der Bayerische Staatsminister des Innern, für
Sport und Integration, Joachim Herrmann, wird am 24.11. um
10 Uhr die Messe mit einem Vortrag eröffnen. Im Anschluss daran
beginnt das Tagungsprogramm, in dem an beiden Tagen zahlreiche
Referenten die Topthemen der Sicherheitstechnik aufgreifen.
Es gelten die 3G-Regeln und ein umfangreiches Hygienekonzept.
www.sicherheitsexpo.de
Rückschau: it-sa 2021
„Home of IT Security“ öffnete die Nürnberger Messehallen
Darauf hatte der IT-Sicherheitssektor lange gewartet: Nachdem
pandemiebedingt zahlreiche Live-Events abgesagt worden waren,
brachte die it-sa Expo & Congress vom 12. bis 14. Oktober IT-
Sicherheitsexperten wieder zum persönlichen Austausch zusammen.
Wie gewohnt im Messezentrum Nürnberg,
aber erstmals in den neuen Hallen 7 und
7A sowie im modernen und direkt angrenzenden
Nürnberg Convention Center Ost. Mit
über 270 Ausstellern aus 18 Ländern und einem
umfangreichen Rahmenprogramm zu Fragen
der Cybersicherheit unterstrich die Fachmesse
ihre Bedeutung als zentrale Dialogplattform
zum Thema mitten in Europa. Congress@
it-sa startete bereits am 11. Oktober und brachte
auch die Jahrestagung der IT-Sicherheitsbeauftragten in Ländern
und Kommunen zurück nach Nürnberg. Mit der im Vorjahr eingeführten
Dialogplattform it-sa 365 bietet die it-sa ein zusätzliches
digitales Angebot auch zur Messe: Ausgewählte Highlights
wie die englischsprachigen Vorträge im International Forum und
die Special Keynote des IT-Visionärs Chris Boos wurden live
unter itsa365.de übertragen und stehen dort weiterhin als Aufzeichnung
zur Verfügung.
Natürlich durften auch die Vorträge und Diskussionen im
Forenprogramm der it-sa nicht fehlen. Mehr als 130 waren es
dieses Jahr, darunter Live-Hackings und zahlreiche produktneutrale
Beiträge. Eine spannende Perspektive vermittelte die Roundtable-Diskussion
„The broken investment chain
of the European cyber security market“. Erstmals
beleuchteten hier Vertreter der European
Cyber Security Organisation (ECSO) die Rahmenbedingungen
für IT-Sicherheitsunternehmen
in Europa und Gründe für das Finanzierungsdefizit
bei Cybersicherheitstechnologien
im Vergleich zu Israel oder den USA.
Die besondere Innovationskraft, die im
Wachstumsmarkt für IT-Sicherheitslösungen
liegt, zeigte sich auf der Sonderfläche Startups@it-sa sowie bei der
Verleihung des UP@it-sa Awards. Über diesen Preis für herausragende
Leistungen junger Unternehmen im DACH-Raum durfte
sich XignSys freuen. Das junge Team konnte die Fachjury überzeugen
und mit seiner Authentifizierungslösung auch im Online-
Pitch punkten, der auf it-sa 365 zum Mitentscheiden einlud.
www.itsa365.de
IT:BANKER – Oktober 2021
5

NEWS
IT-Wechsel bei HSBC und Hamburg Commercial Bank
Anfang Oktober ging CIO (Chief Information
Officer) Christoph Kecher von der HSBC
Germany mit Sitz in Düsseldorf zur Hamburg
Commercial Bank AG (HCOB). Das Geldinstitut,
das bis Februar 2019 als HSH Nordbank
firmierte, ist die erste privatisierte Landesbank
in Deutschland mit Hauptsitz in Hamburg
und weiteren deutschen Niederlassungen.
Kechers Nachfolge bei der HSBC Germany
übernimmt Jürgen-Hendrik Kuhn.
Kuhn kommt von Alter Domus, einem
Dienstleister im Segment alternative Investmentfonds
mit Hauptsitz in Luxemburg. Der
Diplom-Ingenieur arbeitete dort als CTO
Jürgen-Hendrik Kuhn
Bild: HSBC
(Chief Technology Officer). In dieser Funktion
zählte er zum Group Executive Board
des Unternehmens und verantwortete IT,
Digitalisierung und Technologieprodukte. Er
versteht seine neue Rolle bei der HSBC nach
eigenen Worten als Brückenbauer zwischen
IT und Bankern.
Die HSBC Germany (formal: HSBC Trinkaus
& Burkhardt AG) verortet die IT im Vorstand
bei Thomas Runge. Er ist als Chief
Operating Officer (COO) für den Bereich
HSBC Operations, Services and Technology
verantwortlich.
Hessenmüller verlässt Commerzbank
Bild: Commerzbank
Jörg Hessenmüller, der als COO (Chief Operating
Officer) seit 2019 im Vorstand der
Commerzbank für die IT zuständig ist, wird
das Haus spätestens zum Jahresende verlassen.
Nach Angaben des Geldinstituts hat Hessenmüller
diesen Schritt selbst angeboten,
um „der Bank Raum für einen Neuanfang
zu bieten“. Als Nachfolger gilt Jörg Oliveri
del Castillo-Schulz. Er ist derzeit als selbstständiger
Berater für Strategie- und Transformationsvorhaben
tätig. Zuvor arbeitete er
unter anderem als COO und CHRO (Chief
Human Resources Officer) bei der IKB Deutsche
Industriebank AG. Dort verantwortete er
als Vorstandsmitglied die Felder IT, Digitalisierung,
Operations, Sourcing und Personal.
Die Bestellung von Oliveri del Castillo-Schulz
bei der Commerzbank stand bei Redaktionsschluss
noch unter dem üblichen Vorbehalt
der Zustimmung der Aufsicht.
Der scheidende COO Hessenmüller hatte
im Rahmen der „Strategie 2024“ die digitale
Transformation der Commerzbank forciert.
Zu den Projekten des Diplom-Betriebswirts
zählt eine agile Cluster-/Lieferorganisation
mit dem Titel „Campus 2.0“.
Bild: Commerzbank
Gruca neuer CDIO der Hypovereinsbank
Die Hypovereinsbank schafft erstmals die
Position eines Chief Digital & Information
Officers (CDIO) und besetzt diese mit Artur
Gruca. Zur Vorbereitung darauf kam der
Informatiker im September als Generalbevollmächtigter
nach München. Davor war er fast
zwei Jahre lang als Executive Vice President &
CIO Finance & Controls für die UniCredit
Bank in Mailand tätig. Insgesamt arbeitet er
seit rund zwölf Jahren bei dem Geldinstitut.
Neben seinem Master in Computer Science
an der Silesian University of Technology verfügt
Gruca über einen Abschluss an der IMD
Business School in Digital Transformation.
Hintergrund ist die strategische Neuausrichtung
der UniCredit. Das Institut hatte
dafür den Investmentbanker Andrea Orcel
als neuen CEO geholt. Der 58-Jährige hatte
schon vor mehr als 20 Jahren an der Unicredit-Gruppe
mitgearbeitet und beriet die Bank
beispielsweise bei der Übernahme der Münchener
Tochter Hypovereinsbank (HVB).
6 IT:BANKER – Oktober 2021

SICHERHEIT
BAIT-Novelle 2021
Das sind die neuen Anforderungen an Banken
Um neue EBA-Leitlinien auf nationaler Ebene abzubilden,
hat die BaFin im August 2021 sowohl MaRisk
als auch BAIT aktualisiert. Neben kleineren Anpassungen
ergänzt die Novelle die bankenaufsichtlichen
Anforderungen an die IT um drei neue Kapitel. Da
es sich nach Ansicht der Behörde um keine neuen
Anforderungen, sondern um eine Konkretisierung
der bestehenden Vorgaben handelt, sind alle Maßnahmen
der BAIT-Novelle umgehend zu implementieren.
Worauf müssen Finanzdienstleister jetzt achten
und wie können sie Compliance-Herausforderungen
meistern?
Operative Informationssicherheit
Kern des neuen Kapitels zur operativen Informationssicherheit
sind Wirksamkeitskontrollen zur laufenden
Überprüfung der Sicherheit. Dazu zählen Schwachstellenscans,
Penetrationstests, simulierte
Angriffe und Abweichungsanalysen,
die jeweils Mängel im
bestehenden Sicherheitskonzept aufdecken
sollen. Wichtig: Bei der Überprüfung
müssen Interessenskonflikte
vermieden werden. Das bedeutet,
dass Personen, die für die Durchführung
der Kontrollen zuständig sind,
nicht an der Auswertung der Ergebnisse
beteiligt sein dürfen.
Darüber hinaus legt BAIT nun genauer fest, wie
Banken IT-Sicherheit im laufenden Betrieb gewährleisten
müssen. Wesentliche Punkte sind die physische
Absicherung sensibler Bereiche, die Verschlüsselung
von gespeicherten Daten und die
Segmentierung des Netzwerks. Ebenso muss es ein
Konzept zur Identifizierung und Dokumentation
von sicherheitsrelevanten Vorfällen geben, durch das
Daten für eine spätere (forensische) Auswertung gesichert
werden.
„Institute müssen ein
Notfallkonzept erstellen,
das sowohl die Fortführung
der Geschäftsprozesse
als auch die Wiederherstellung
des vollen
Betriebs abdeckt.“
IT-Notfallmanagement
Institute müssen ein Notfallkonzept erstellen, das
sowohl die Fortführung der Geschäftsprozesse als auch
die Wiederherstellung des vollen Betriebs abdeckt.
Dabei ist auch auf Abhängigkeiten zu achten, die sich
durch die Auslagerung von IT-Dienstleistungen ergeben.
Unter Umständen sind also auch externe Unternehmen
einzubinden, die ein abgestimmtes Notfallkonzept
vorweisen müssen. Die Wirksamkeit des
Notfallkonzepts muss jährlich überprüft werden.
Information von Zahlungsdienstnutzern
Aufgrund seiner Relevanz für Banken wurde dieser
Abschnitt aus den Vorschriften für Zahlungsdienste
auch in BAIT übernommen. Somit ist nun klarer
definiert, in welcher Form Kunden hinsichtlich von
Sicherheitsrisiken aufgeklärt werden müssen. Darüber
hinaus sind Optionen zur Einschränkung
der Risiken vorgesehen,
etwa durch das Festlegen von Limits
für Überweisungen oder das Sperren
von Auslandszahlungen.
Automatisierte Lösungen für Banken
Durch die Anpassung von MaRisk
und BAIT ergibt sich für Banken
zusätzlicher Aufwand im Bereich IT.
Vor allem die Planung und Koordination
von Wirksamkeitskontrollen und Notfallkonzepten
stellt aufgrund der Einbindung unterschiedlicher
Fachabteilungen und externer Dienstleister eine
logistische Herausforderung dar. Um die Anforderungen
von BAIT möglichst effizient abzudecken, sollten
Finanzinstitute daher überall, wo es möglich ist,
auf automatisierte Software-Lösungen setzen, zum
Beispiel für Netzwerksicherheit, Schwachstellenscans
und Patchmanagement.
Das gilt insbesondere für das Kapitel Identitätsund
Rechtemanagement, das zu den Grundlagen für
Datenschutz und IT-Sicherheit zählt. Eine Lösung
für das Identity Access Management (IAM) hilft
dabei, Benutzerkonten und Zugriffsrechte schnell,
sicher und Compliance-gerecht zu verwalten. Mehr
Informationen zum Thema BAIT und IAM finden
Sie unter https://tenfold-security.com. •
Bild: Virtual Solution
Autor Helmut
Semmelmayer ist
Senior Manager Channel
Sales bei tenfold
IT:BANKER – Oktober 2021
7

SICHERHEIT
Mobilgeräte im Fadenkreuz
Welche Angriffsmethoden Cyberkriminelle nutzen und wie Unternehmen
und Organisationen ihnen einen Riegel vorschieben können
Mobilgeräte sind für Cyberkriminelle ein reizvolles
Ziel, denn sie enthalten viele persönliche
und geschäftliche Daten, darunter auch wertvolle
Nutzeridentitäten für Anwendungen
oder Portale. Gleichzeitig sind Smartphones
und Tablets oft always on mit dem Internet
verbunden und so einfach zu attackieren. Zu
guter Letzt sind sie auch noch schlechter vor
Malware oder Angriffen geschützt als ein herkömmlicher,
besser in die interne Sicherheitsstruktur
eingebundener Rechner. Cyberkriminelle
können daher Schadprogramme mit
geringerem Aufwand einschleusen, um die
Geräte zu überwachen oder sensible Daten
abzugreifen. Das sind die gefährlichsten
Bedrohungen für Mobilgeräte:
Phishing
Phishing ist wohl das größte Sicherheitsproblem
auf Smartphones oder Tablets. Dabei
verschicken Betrüger meist eine gefälschte
E-Mail, SMS oder Messenger-Nachricht mit
Links zu vermeintlichen Onlinehändlern,
Bezahldiensten oder sozialen Netzwerken.
Beliebt sind aktuell besonders Versandmitteilungen
mit Links zu Paketdienstleistern und
Foren, in denen sich Hacker als Supportmitarbeiter
ausgeben, sowie immer noch der klassische
betrügerische Telefonanruf. Dabei wird
das Opfer auf eine Fake-Webseite gelockt oder
zum Installieren eines vermeintlichen Hilfsprogramms
überredet. Anschließend werden
dann die Versuche gestartet, persönliche
Zugangsdaten abzugreifen (Phishing), automatische
Downloads zu starten oder auf Basis
der Phishing-Daten Malware auf das Gerät
zu schleusen. Phishing bildet damit oft den
Startpunkt für eine Cyberattacke, wie beispielsweise
bei der Spyware Pegasus oder der
Video-Attacke auf den Amazon-Chef Anfang
Bild: Virtual Solution
Autor Christian
Pohlenz ist Security
Expert bei Virtual Solution
2020. Da bei dienstlichen Mails der administrative
Filter greift, bei privaten Mailboxen auf
demselben Gerät aber nicht, ist für Angreifer
der private E-Mail-Account besonders interessant.
Wichtigste Prophylaxe gegen Phishing
ist die Multifaktor-Authentifizierung (MFA).
Für einen umfassenden Schutz sollte sie kombiniert
werden mit Endpunktüberwachung
und Webfiltern gegen betrügerische Webseiten
sowie Antiviren-Programmen als lokalem
Schutz des Endgeräts. Da Phishing-Attacken
per se den menschlichen Faktor als schwächstes
Glied in der Abwehrkette einkalkulieren,
gilt der Security-Schulung der Mitarbeiter
besondere Aufmerksamkeit.
Trojaner und Ransomware
Trojaner tarnen sich, indem sie sich entweder
als vermeintlich legitime Software ausgeben,
sich von einer anderen, legitimen Software
nachladen lassen oder sich auf dem System
unsichtbar machen. Cyberkriminelle setzen
sie ein, um Daten zu stehlen, Benutzer auszuspionieren
und unbefugten Zugriff auf Systeme
zu erlangen. Mit Hilfe
von sogenannten Remote-
Access-Trojanern (RAT)
können Hacker die infizierten
Systeme über eine
Netzwerkverbindung fernsteuern.
Ransomware nutzt
Trojaner für eine moderne Form von Erpressung.
Dabei werden meist Daten der Betroffenen
per Krypto-Trojaner verschlüsselt. In
Einzelfällen, insbesondere im iOS-Universum,
werden aber auch immer noch Lockscreen-Trojaner
eingesetzt, um dem Nutzer
den Zugriff auf sein Gerät zu sperren. Ziel von
Ransomware-Attacken ist es, Lösegeld für die
Freischaltung der Daten respektive des Geräts
zu erpressen. Die Verteilung der Schadsoftware
erfolgt meist über einen Download-
Link. Häufig verteilen die Erpresser ihre Software
aber auch über E-Mails beziehungsweise
als E-Mail-Anhang getarnt. Solche betrügerischen
Anhänge können über eine Firewall
abgefangen werden. Umso wichtiger ist deshalb
ein Ransomware-freies Backup, um nach
einem Angriff schnell wieder den Betrieb herstellen
zu können. Einen besonders effektiven
Schutz bieten Container-Lösungen, die
„Wichtigste Prophylaxe
gegen Phishing ist die
Multifaktor-Authentifizierung
(MFA).“
sensiblen Daten einen hermetisch abgesicherten
Raum bieten und damit das größtmögliche
Hindernis für Cyberkriminelle darstellen.
Auch sicherheitskritische Unternehmen
wie die Nürnberger Versicherung und die
M. M. Warburg Bank setzen auf eine Container-Technologie
für das sichere mobile
Arbeiten.
Denial of Service, Brute Force
und Zero-Day-Exploits
Die Hacker-Folterkammer kennt noch eine
Vielzahl weiterer Instrumente und Methoden.
Brute-Force- und Denial-of-Service(DoS)-
Angriffe sind für Mobilgeräte weniger relevant.
Die Geräte können jedoch unbemerkt
als Teil eines DoS-Botnetzwerkes zum Angriff
auf Server missbraucht werden. Die Daten
des Mobilgeräts selbst sind dabei aber nicht
betroffen. Bei der Brute-Force-Methode handelt
es sich um den Versuch, Passwörter zu
knacken, Loginseiten anzugreifen oder einen
verborgenen Schlüssel zu finden. Sie erfordern
hohen Aufwand seitens des Angreifers und
richten sich in der Regel
auf prominente Ziele. Zero-
Day-Exploits sind keine
Angriffe im herkömmlichen
Sinn, ermöglichen aber
Attacken über Schwachstellen
in Programmen für iOSund
Android-Geräte, gegen die es noch keine
bekannten Schutzmaßnahmen gibt. Diese
offenen Einfallstore, wie beispielsweise die im
März dieses Jahres publik gewordenen Lücken
in Microsoft Exchange, nutzen Cyberkriminelle
dann zur Installation von Angriffsvektoren
wie Trojanern oder Ransomware.
Der größte Schwachpunkt in der Abwehrkette
ist nach wie vor der Mensch. Das
Bewusstsein der Mitarbeitenden für die
Gefahren aus dem Cyberraum muss daher
immer wieder geschärft werden. Technisch ist
es sinnvoll, eine einfache und nutzerfreundliche
Container-Lösung einzusetzen. Sie
gibt Anwendern die Sicherheit, nichts falsch
machen zu können. Und den Security-Verantwortlichen
die Gewissheit, dass sie vor unliebsamen
Überraschungen geschützt sind. •
www.virtual-solution.com
8 IT:BANKER – Oktober 2021

KREDITGESCHÄFT
Gemeinsam stark
Sparkassen: Mehrwert für die Kreditabwicklung
durch die Verbundpartner
Selbst in Zeiten von Corona läuft das Kreditneugeschäft
der Sparkassen sehr gut. Nicht nur in Schwierigkeiten
geratene Unternehmer und Selbstständige
fragen nach Finanzierungsleistungen, auch und die
Nachfrage nach Eigenheimfinanzierungen ist aufgrund
der weiterhin niedrigen Zinsen konstant. Das Geschäft
der Sparkassen mit Immobilienfinanzierungen bleibt
also lukrativ und krisenfest.
Für die Sparkassen im harten Wettbewerb gilt es, die
Finanzierungsanfragen ihrer Kunden zeitnah und mit
höchster Präzision umzusetzen. Die DSGF bietet den
Instituten eine Dienstleistung an, die das private und
gewerbliche Kreditgeschäft zuverlässig, aufsichtsrechtlich
konform und den hausinternen Vorgaben entsprechend
abwickelt. Dies erledigt die DSGF innerhalb
ihres Produktionsnetzwerkes, dessen technische Basis
es ermöglicht, die Finanzierungsprozesse über die Vielzahl
der vorhandenen Applikationen hinweg zu organisieren
und zu automatisieren.
Produktion nach industriellen Maßstäben
Das Workflow-System Kredit Live deckt den kompletten
Prozess des Kreditgeschäfts ab und verbindet Digitalisierung
und Kredit-Know-how auf innovative Art
und Weise. Ihr standardisiertes Angebot kann die DSGF
über einen modularen Baukasten auf die individuellen
Bedürfnisse der Sparkasse erweitern. Kredit Live läuft
im Produktionsnetzwerk der DSGF. Hier bearbeiten
bundesweit verteilte Kompetenzteams die eingehenden
Aufträge der Sparkassen und agieren direkt im Kernbanksystem
der Mandanten. Im Produktionsnetzwerk
der DSGF sind alle Prozesse standardisiert, streng basierend
auf dem PPS-Ordnungsrahmen. Die Aufträge und
alle notwendigen Dokumente werden bereits bei Eingang
digital aufbereitet und stehen zur Bearbeitung zur
Verfügung. Medienbrüche und Redundanzen werden
verhindert.
Der konkrete Prozess läuft folgendermaßen ab: Die
Kundenberatung erfolgt vor Ort durch den Mitarbeiter
der Sparkasse, der anschließend die erforderlichen
Daten in OSPlus einpflegt. Durch die Speicherung
greift automatisch das Workflow-System Kredit
Live, denn die Daten aus OSPlus werden vollautomatisch
ausgelesen und in das System überführt. Die
Weitergabe der papierhaften Unterlagen an die DSGF
kann auf zwei Wegen erfolgen: durch das Scannen in
der Filiale oder durch Versand und priorisiertes Scannen
durch die DSGF. Digitale Dokumente können auf
direktem Wege per E-Mail-Schnittstelle im gesicherten
Netz der Finanz Informatik an Kredit Live übertragen
werden. Die Personennummern aus dem relevanten
OSPlus-Personenverbund dienen als Ordnungskriterium,
um die Dokumente der bestehenden virtuellen
Akte zuzuordnen. Zeitgleich werden alle Dokumente
auch im OSPlus-Archiv (ZDA) der Sparkassen hinterlegt.
Dort sind sie bereits vor der Bearbeitung sichtbar.
Im Produktionsnetzwerk der DSGF wird der bearbeitungsreife
Antrag vollständig papierlos einem Mitarbeiter
der DSGF zugewiesen. Bereits wenige Tage
später erhält der Kundenberater per E-Mail die erstellten
Vertragsunterlagen und kann sie dem Kunden zur
Vertragsunterzeichnung vorlegen.
Transparenz und Zuverlässigkeit
Transparenz ist durch eine stets aktuelle, elektronische
Checkliste gegeben, die über den Auftragsstatus
und offene Sachverhalte informiert und für den Kundenberater
jederzeit einsehbar ist. Damit ist er über die
gesamte Laufzeit der Finanzierung in der Lage, dem
Kunden eine aktuelle Rückmeldung zum Stand der
Bearbeitung zu geben. Das Workflow-System Kredit
Live ist auch mit OSPlus_neo kompatibel.
Für die Endkunden entstehen im Zuge der Auslagerung
keinerlei Nachteile – ganz im Gegenteil. In
Zeiten aufstrebender Fintechs und Neobanken sorgt
Kredit Live dafür, dass die Sparkassen in Sachen
Abwicklungsgeschwindigkeit wettbewerbsfähig sind.
Am Markt bleibt Bewährtes erhalten: Die Sparkasse ist
ihren Kunden der gewohnt zuverlässige Ansprechpartner
vor Ort. Ihre Mitarbeiter sind dank vollkommener
Prozesstransparenz jederzeit auskunftsfähig.
Mit ihren umfassenden, flexiblen und automatisierten
Lösungen setzt die DSGF die Empfehlungen
zur Auslagerung von Prozessen zur Senkung des Verwaltungsaufwandes
aus dem Projekt „Betriebsstrategie
der Zukunft“ (BdZ) konsequent um und bietet
den Sparkassen effiziente Lösungen an. Sie bündelt,
automatisiert und industrialisiert in ihrem Produktionsnetzwerk
die Marktfolge-Prozesse der Sparkassen
passgenau und sichert ihnen damit erhebliche
Effizienzgewinne. •
www.dsgf.de
Autor Volker Kurth
ist Geschäftsführer der
Deutschen Servicegesellschaft
für Finanzdienstleister (DSGF)
Bild: DSGF
IT:BANKER – Oktober 2021
9

KUNDENAUTHENTIFIZIERUNG
Meilenstein in der Online-Identifikation
Bundesnetzagentur erteilt Modulbestätigung für Nect Robo-Ident-Technologie
Die Robo-Ident-Technologie von Nect wurde von der Bundesnetzagentur
nach Prüfung durch die akkreditierte Konformitätsbewertungsstelle
datenschutz cert GmbH als erstes und derzeit
einziges Modul für Videoidentifizierung mit
automatisierten Verfahren in die offizielle Liste
geprüfter und genehmigter Anwendungen zur
Identitätsfeststellung aufgenommen. Die Bundesnetzagentur
ist im Einvernehmen mit dem
Bundesamt für Sicherheit in der Informationstechnik
(BSI) dafür verantwortlich, die im
Sinne des Artikels 24 der europäischen eIDAS-
Richtlinie lokal anerkannten Identifizierungsmethoden und die
jeweils geltenden Mindestanforderungen festzulegen. Demnach
wurde für die Robo-Ident-Technologie eine im Vergleich zur persönlichen
Anwesenheit gleichwertige Verlässlichkeit der ermittelten
Identität festgestellt.
„Die Modulbestätigung
bei der Bundesnetzagentur
ist ein wichtiger Schritt für
die Zukunft der Online-
Identifikation insgesamt.“
Bild: Nect
Benny Bennet Jürgens, Gründer und CEO von Nect: „Die
Modulbestätigung bei der Bundesnetzagentur ist ein wichtiger
Schritt für die Zukunft der Online-Identifikation insgesamt.
Mit der behördlichen Akzeptanz wurden wir
für unsere Vorangehen und Strategie belohnt.
Damit nehmen wir eine führende Rolle in der
KI-basierten, optischen Fernidentifizierung von
Personen in Europa ein.“
Durch die Nect-Lösung auf Basis künstlicher
Intelligenz (KI) können Unternehmen ihren
Kunden einen sicheren und zugleich einfachen
Zugang zu ihren Dienstleistungen ermöglichen. Der Einsatz der
zum Patent angemeldeten Technologie ermöglicht den Nutzenden
eine bequeme Fernidentifizierung – 24 Stunden am Tag und
mit Ausweisdokumenten aus nahezu allen Ländern der Erde.
Praxiserprobte Sicherheit und Robustheit
Die Robo-Ident-Technologie wird bereits von vielen Unternehmen
regulierter Branchen, etwa Versicherungen, Krankenkassen
und Telekommunikationsanbietern, für die schnelle, einfache
und sichere Identifizierung ihrer Kundschaft eingesetzt. Seit April
2021 können die so identifizierten Personen ihre Identität darüber
hinaus in der Nect Wallet verwalten und wiederverwenden.
Insgesamt haben in Deutschland so inzwischen rund 4 Millionen
Bestandsnutzende die Möglichkeit, sich mit der Nect App in
wenigen Sekunden online zu identifizieren. Die Nect App gehört
gemessen am Ranking im Play- sowie App-Store seit Monaten zu
den Top-100-Apps in Deutschland.
Benny Bennet Jürgens: „Wir haben allein im ersten Halbjahr
dieses Jahres bereits 1,8 Millionen Identifizierungen durchgeführt;
2020 waren es mehr als zwei Millionen. Umfangreiche
Stichproben durch Spezialisten und maschinelle Robustheitstests
der künstlichen Intelligenz zeigen nicht einen einzigen von unserer
Technologie unentdeckten Betrugsfall. Damit haben wir die
Verlässlichkeit unserer Technologie bewiesen.“
Carlo Ulbrich, CSO und Mitgründer, ergänzt: „Mit der nun
auf Basis von Robo-Ident möglichen qualifizierten elektronischen
Signatur (QES) wollen wir die Banken in Europa ansprechen.“
Erstmalig wurde die Technologie von Nect im Jahr 2018 bei
der R+V Versicherung eingesetzt. Mittlerweile gehören zahlreiche
weitere namhafte Versicherungsunternehmen zum Kundenstamm,
wie beispielsweise die HUK-Coburg, die Barmer und die
WGV Versicherung. Darüber hinaus haben sich auch Organisationen,
Unternehmen und Institutionen aus anderen Bereichen
für die leistungsfähige und sichere Lösung entschieden, etwa die
Deutsche Telekom, die Bundesagentur für Arbeit und die Hamburgische
Investitions- und Förderbank. •
https://nect.com
Benny Bennet Jürgens, Gründer und CEO von Nect
10 IT:BANKER – Oktober 2021

ANBIETER
DSGF Deutsche Servicegesellschaft
für Finanzdienstleister mbH
Adolf-Grimme-Allee 1
50829 Köln
Telefon: +49 221 99 00-0
E-Mail: marketing@dsgf.de
Internet: www.dsgf.de
DSGF
Als erfahrener Full-Service-Dienstleister bündelt, automatisiert
und industrialisiert die DSGF in ihrem Produktionsnetzwerk
die Marktfolge-Prozesse der Sparkassen passgenau und sichert
ihnen damit erhebliche Effizienzgewinne – stets auf der verlässlichen
Basis von ProzessPlus und der Technik der Finanz Informatik.
Mit über 1.900 Mitarbeitenden an 12 Standorten ist
die DSGF bundesweit tätig und zugleich für jeden Mandanten
vor Ort anwesend.
INSYS MICROELECTRONICS GmbH
Hermann-Köhl-Straße 22,
93049 Regensburg, Deutschland
Telefon: +49 941 58692-0
E-Mail: info@insys-locks.de
Internet: www.insys-locks.com
INSYS locks
Ob ausgefeiltes Tresorschloss, Einmal-Code-Cash-Management
oder komplette Online-Schlossadministration – INSYS locks
entwickelt zertifizierte Sicherheits- und Schlosssysteme für verschiedenste
Einsatzbereiche etwa in der Finanzbranche oder im
Groß- und Einzelhandel. Dabei liegt die Produktkompetenz in
einer Hand – von der Entwicklung über die Fertigung bis hin
zum Service.
tenfold Software GmbH
Seidengasse 9 TOP 3.4
1070 Wien, Österreich
Telefon: +43 (0) 1 66 50 633-0
Fax: +43 (0) 1 66 50 633-300
E-Mail: info@tenfold-security.com
Internet: www.tenfold-security.com
tenfold
tenfold Software zählt zu den führenden Experten im Bereich
Identity & Access Management. Die gleichnamige IAM-
Lösung erlaubt es Unternehmen, die Verwaltung von Benutzerkonten
und Zugriffsrechten weitgehend zu automatisieren. Als
effiziente, benutzerfreundliche und rasch einsetzbare Lösung ist
tenfold IAM dabei besonders auf die Bedürfnisse von mittelständischen
Organisationen zugeschnitten.
Virtual Solution AG
Blutenburgstraße 18
80636 München
Telefon: +49 89 30 90 57-0
E-Mail: mail@virtual-solution.com
Internet: www.virtual-solution.com
Virtual Solution ist ein auf sichere mobile Anwendungen spezialisiertes
Softwareunternehmen mit Sitz in München und Entwicklungsstandort
in Berlin. Es entwickelt und vertreibt die
Applikationen SecurePIM, SecureCOM und die Sicherheitsarchitektur
SERA für iOS und Android. SecurePIM ermöglicht
verschlüsseltes und benutzerfreundliches mobiles Arbeiten.
Behörden können mit Smartphones und Tablets auf verschiedenen
Geheimhaltungsstufen kommunizieren.
IT:BANKER – OKTOBER 2021
11

München
24.–25. November 2021
Die Fachmesse für
Zutrittskontrolle
Videoüberwachung
Brandschutz
Perimeter Protection
IT-Security
www.sicherheitsexpo.de