11.11.2019 Aufrufe

IT: BANKER Ausgabe 04.2021

Bankmagazin mit IT-Lösungen für und aus der Bankpraxis.

Bankmagazin mit IT-Lösungen für und aus der Bankpraxis.

MEHR ANZEIGEN
WENIGER ANZEIGEN

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

Ausgabe 4/ 2021 | Oktober |

info@bauve.de |

Supplement von bank objekte

IT-Lösungen für Banken

IT BANKER

SICHERHEIT

DIE BAIT-NOVELLE 2021

Kreditgeschäft

Der Workflow-System-Kredit

Authentifizierung

Die Robo-Ident-Technologie


Ausgabe 2 / 2021 // April // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 02-21 objekte Anzeige

April

Ausgabe 2/2021 | April |

info@bauve.de |

Supplement von bank objekte

IT BANKER

IT-Lösungen für Banken

Oktober

Ausgabe 3/2021 | Juni |

info@bauve.de |

Supplement von bank objekte

IT BANKER

DATENMANAGEMENT

WEGBEGLEITER DER SICHERHEIT

Payment

Zahlungsverkehr im Wandel

KÜNSTLICHE INTELLIGENZ –

EIN TRANSFORMATIONSPROZESS

Datenmanagement

IBOR-Ablösung unter Druck

IBOR

IT-Lösungen für Banken

Sicherheit

Benutzerrechte verwalten

Kernbanksysteme

Ausgabe 4/2021 | Oktober |

info@bauve.de |

Supplement von bank objekte

IT BANKER

SICHERHEIT

DIE BAIT-NOVELLE 2021

Kreditgeschäft

Der Workflow-System-Kredit

IT-Lösungen für Banken

Migration nachhaltig gestalten

Authentifizierung

Die Robo-Ident-Technologie

www.bank-objekte.de info@bank-objekte.de BAUVE Medien GmbH & Co. KG Bahnhofstraße 57 D-86807 Buchloe ISSN 2194-1335 Einzelverkaufspreis F 12,50 25. Jahrgang

Ausgabe 5 / 2021 // Oktober // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 05-21 objekte Anzeige

Jeder Raum ein Erlebnis • VR-Bank in Südoldenburg eG

www.bank-objekte.de info@bank-objekte.de

BAUVE Medien GmbH & Co. KG Bahnhofstraße 57 D-86807 Buchloe ISSN 2194-1335 Einzelverkaufspreis € 12,50 25. Jahrgang

Jeder Raum ein Erlebnis

VR-Bank in Südoldenburg eG

Technik

Im Umbruch

Sicherheit im Fokus

Bankenplanung in der Transformation

Nachhaltigkeit

Designed for Recycling

P Hybrid-Filiale • Lösungen für kleine Standorte

P Regional verankert • Die Sparkasse Bremen AG

Special

Bodenbeläge

info@bank-objekte.de BAUVE Medien GmbH & Co. KG

Einzelverkaufspreis F 12,50 25. Jahrgang

Ausgabe 3/2021 // Juni // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 03-21 objekte Anzeige

Regional verankert

Die Sparkasse Bremen AG

Arbeitsplätze

Zwischen Homeoffice und Open Space

Hybrid-Filiale

Lösungen für kleine Standorte

info@bank-objekte.de BAUVE Medien GmbH & Co. KG Bahnhofstraße 57 D-86807 Buchloe ISSN 2194-1335 Einzelverkaufspreis F 12,50 25. Jahrgang

Ausgabe 4 / 2021 // August // ZKZ 06039 (Deutschland) // Plus.Zeitung 12Z039463 P (Österreich) // Post-Nr. 04-21 objekte Anzeige

Modern und nahbar

Kreissparkasse Nordhorn

Special

Filialkonzepte

Special

Akustiklösungen

Special

Funktionelle Arbeitsplätze

Das Fachmagazin für Bankplanung und

Digital Banking – mit Supplement IT-Banker

Don’t miss the online edition!

www.bauve.de


EDITORIAL

Anzeige

Liebe Leserinnen, liebe Leser,

Cyberangriffe auf Banken nehmen deutlich

zu. Mitte des Jahres bekamen das

auch die Kunden der Volksbanken massiv

zu spüren, da Onlinefunktionen über längere

Zeit lahmgelegt waren. Im vergangenen

Jahr sind einige Banken Opfer von

Hackerangriffen geworden. So wundert

es nicht, dass diesen Herbst das Thema

hoch im Kurs steht: Die SicherheitsExpo

am 24./25. November in München hat

Cyberkriminalität neu in ihr Themenspektrum

aufgenommen. Und auch auf

der It-sa 2021, die in der zweiten Oktoberwoche auf der Messe Nürnberg

über die Bühne ging, zogen sich Cybersecurity-Aspekte als roter Faden durch

die präsentierten Technik- und Managementthemen rund um die IT-Sicherheit.

Das Event in München lohnt den Besuch – und die Nürnberger Kongressmesse

hat mit it-sa365 eine umfassende und dauerhafte Onlinepräsenz.

Nach den Vorgaben der European Banking Authority, den neuen EBA-Leitlinien,

hat die bundesdeutsche Banken- und Finanzaufsicht BaFin die Umsetzung

auf nationaler Ebene übernommen und im August unter anderem die

bankenaufsichtlichen Anforderungen an die IT (BAIT) aktualisiert. Worum

es dabei genau geht und welche Wirksamkeitskontrollen zur laufenden

Überprüfung der Sicherheit von den Banken verlangt werden, beschreibt ein

ausführlicher Beitrag in dieser Ausgabe (Seite 7).

Zuletzt ein Hinweis in eigener Sache: Der IT:BANKER geht im nächsten

Jahr vollständig und ausschließlich online – ein folgerichtiger Schritt,

denn die Themenwelt des Supplements von bank objekte ist ja ebenfalls

eine vollständig digitale. Somit halten Sie heute die letzte Printausgabe des

IT:BANKER in Händen.

Herzliche Grüße

Annette Tisken

Ihre Annette Tisken

Objektleitung IT:Banker

a.tisken@bank-objekte.de

Digitale Kontrolle

am analogen Schließfach

nachrüstbare

Sicherheit

Überwachen Sie Ihre Bankmietfächer

mit Einzelfachsensorik

(EFS) und profitieren Sie mehrfach:

Höhere Sicherheit durch nachvollziehbare

und manipulationssichere Einzelüberwachung

Mitarbeiterentlastung durch SB-fähige Zugangskontrolle

und Management-Software

Optimales Kosten-Nutzen-Verhältnis durch

drahtlose Nachrüstung ohne Öffnen der

Fächer

Kontaktieren Sie unseren Partner

www.safecor.de

Designed To Protect

IT:BANKER – OKTOBER 2021 3

www.insys-locks.com


INHALT

Sicherheit

7 BAIT-Novelle 2021

Das sind die neuen Anforderungen

an Banken

8 Mobilgeräte im Fadenkreuz

Welche Angriffsmethoden

Cyberkriminelle nutzen und wie

Unternehmen und Organisationen

ihnen einen Riegel vorschieben können

Kundenauthentifizierung

10 Meilenstein in der Online-

Identifikation

Die Bundesnetzagentur erteilt

die Modulbestätigung für die

Robo- Ident-Technologie von Nect

Rubriken

3 Editorial

4 Impressum

5 News: Events

6 News: Personen

11 Anbieterverzeichnis

Kreditgeschäft

9 Gemeinsam stark

Wie Sparkassen von der

Kreditabwicklung durch die

Verbundpartner profitieren

Mobilgeräte sind ein reizvolles Angriffsziel für Cyberkriminelle

und brauchen besondere Schutzmaßnahmen

Bild: Sergey Tarasov – stock.adobe.com

Impressum

Kurzcharakteristik „IT:BANKER“:

IT:BANKER ist ein Supplement von „bank objekte“ und richtet

sich an alle Sparkassen, Genossenschaftsbanken, Privat- und

Geschäftsgroßbanken, Rechenzentren und Verbände in Deutschland

und Österreich sowie ausländische Bankhäuser, die hier ihren

Sitz haben. Empfänger und Zielpersonen sind die IT- und Orgaabteilungen

sowie Vorstände. Mit fünf Ausgaben im Jahr berichtet

IT:BANKER über technologische Entwicklungen, erfolgreich

umgesetzte Projekte und Lösungen für die Praxis.

Verlag / Herausgeber:

BAUVE Medien GmbH & Co. KG

Bahnhofstraße 57, D-86807 Buchloe

Telefon +49 (0)8241 99884-0

www.bauve.de

info@bauve.de

Geschäftsführung:

Ines te Heesen

Geschäftsleitung:

Sina te Heesen

Objektleitung:

Annette Tisken

a.tisken@bank-objekte.de

Telefon +49 (0)8241 99884-110

Redaktion:

Christiane Pütter-Haux

cp@bauve.de

Satz, Layout, Grafik:

Markus Miller

Telefon +49 (0)8241 99884-111

Titelfoto:

©Sergey Tarasov – stock.adobe.com

Druck:

W. Kohlhammer Druckerei GmbH & Co. KG

Augsburger Straße 722, D-70329 Stuttgart

Telefon +49 (0)711 3272-0, Telefax +49 (0)711 3272-104

Inserenten:

Bauve Medien S. 2, INSYS S. 3, emagixx S. 9, Riverbed S. 12,

Netcomm S. 16.

Einsendungen:

Für unverlangt eingereichte Manuskripte gibt es keine Gewähr. Sie

gelten in jeder Hinsicht der Redaktion zur freien Disposition überlassen.

Namentlich gekennzeichnete Artikel geben nicht unbedingt

die Meinung der Redaktion wieder. Eine Verwertung der in „bank

objekte“ veröffentlichten Beiträge ist unzulässig.

4 IT:BANKER – Oktober 2021


NEWS

SicherheitsExpo 2021

Leitmesse für Sicherheit wieder in Präsenz

Am 24. und 25. November 2021 findet die SicherheitsExpo München

wieder in Präsenz im MOC München statt. Bei dem wichtigsten

Branchenereignis für Sicherheitstechnik in Deutschland

präsentieren über 100 Aussteller wieder zahlreiche Lösungen,

die Firmen, Private und den öffentlichen Bereich vor kriminellen

Angriffen von innen und außen schützen:

Industrieanlagen, Banken, Kliniken, Transportunternehmen,

Handel, Bahnhöfe, Flughäfen,

Museen, Private und Behörden. Vor allem durch

die zunehmende Vernetzung von Komponenten

und die Digitalisierung von Arbeitsabläufen

in Gebäuden und Infrastruktureinrichtungen

erhält die Sicherheitstechnik eine Schlüsselrolle

in den Zukunftsmärkten „Smart Building“ und

„Smart City“. So wird durch die Vernetzung des

Zutrittsmanagements mit der Videotechnik die

Effizienz der Einlasskontrolle und der Sicherheitszentralen erhöht.

Rationalisierungseffekte werden auch durch die weitere Vernetzung

der Arbeitsabläufe mit den Finanz- und Personalabteilungen

erzielt. Die Daten aus dem Zutrittsmanagement fließen direkt

in die digitale Personalakte mit Lohn-, Gehalts- und Kantinenabrechnung

und Urlaubsplanung mit ein. Um den unterschiedlichen

Anforderungen von Industriebetrieben, Handel, Banken,

Schulen, Transport und Verkehr gerecht zu werden, zeigen Aussteller

auf der SicherheitsExpo 2021 die neuesten Lösungen der

digitalen Sicherheitstechniken RFID, NFC, KI, Smart Cards,

CCTV und Biometrie. Die Schwerpunkte der vernetzten und integrierten

Sicherheitstechnik bilden dabei die Bereiche Besuchermanagement,

Zutrittskontrolle und Videoüberwachung,

Brandschutz, Freilandsicherung und

Alarmanlagen sowie IT-Security, Smart Cards

und Identity-Management. In Kooperation

mit dem Bayerischen Verband für Sicherheit in

der Wirtschaft (BVSW), dem BHE Bundesverband

Sicherheitstechnik e. V. sowie dem Bayerischen

Landeskriminalamt ist es gelungen,

die wichtigsten Anbieter von Sicherheitstechnik

in Deutschland als Aussteller zu gewinnen.

Der Bayerische Staatsminister des Innern, für

Sport und Integration, Joachim Herrmann, wird am 24.11. um

10 Uhr die Messe mit einem Vortrag eröffnen. Im Anschluss daran

beginnt das Tagungsprogramm, in dem an beiden Tagen zahlreiche

Referenten die Topthemen der Sicherheitstechnik aufgreifen.

Es gelten die 3G-Regeln und ein umfangreiches Hygienekonzept.

www.sicherheitsexpo.de

Rückschau: it-sa 2021

„Home of IT Security“ öffnete die Nürnberger Messehallen

Darauf hatte der IT-Sicherheitssektor lange gewartet: Nachdem

pandemiebedingt zahlreiche Live-Events abgesagt worden waren,

brachte die it-sa Expo & Congress vom 12. bis 14. Oktober IT-

Sicherheitsexperten wieder zum persönlichen Austausch zusammen.

Wie gewohnt im Messezentrum Nürnberg,

aber erstmals in den neuen Hallen 7 und

7A sowie im modernen und direkt angrenzenden

Nürnberg Convention Center Ost. Mit

über 270 Ausstellern aus 18 Ländern und einem

umfangreichen Rahmenprogramm zu Fragen

der Cybersicherheit unterstrich die Fachmesse

ihre Bedeutung als zentrale Dialogplattform

zum Thema mitten in Europa. Congress@

it-sa startete bereits am 11. Oktober und brachte

auch die Jahrestagung der IT-Sicherheitsbeauftragten in Ländern

und Kommunen zurück nach Nürnberg. Mit der im Vorjahr eingeführten

Dialogplattform it-sa 365 bietet die it-sa ein zusätzliches

digitales Angebot auch zur Messe: Ausgewählte Highlights

wie die englischsprachigen Vorträge im International Forum und

die Special Keynote des IT-Visionärs Chris Boos wurden live

unter itsa365.de übertragen und stehen dort weiterhin als Aufzeichnung

zur Verfügung.

Natürlich durften auch die Vorträge und Diskussionen im

Forenprogramm der it-sa nicht fehlen. Mehr als 130 waren es

dieses Jahr, darunter Live-Hackings und zahlreiche produktneutrale

Beiträge. Eine spannende Perspektive vermittelte die Roundtable-Diskussion

„The broken investment chain

of the European cyber security market“. Erstmals

beleuchteten hier Vertreter der European

Cyber Security Organisation (ECSO) die Rahmenbedingungen

für IT-Sicherheitsunternehmen

in Europa und Gründe für das Finanzierungsdefizit

bei Cybersicherheitstechnologien

im Vergleich zu Israel oder den USA.

Die besondere Innovationskraft, die im

Wachstumsmarkt für IT-Sicherheitslösungen

liegt, zeigte sich auf der Sonderfläche Startups@it-sa sowie bei der

Verleihung des UP@it-sa Awards. Über diesen Preis für herausragende

Leistungen junger Unternehmen im DACH-Raum durfte

sich XignSys freuen. Das junge Team konnte die Fachjury überzeugen

und mit seiner Authentifizierungslösung auch im Online-

Pitch punkten, der auf it-sa 365 zum Mitentscheiden einlud.

www.itsa365.de

IT:BANKER – Oktober 2021

5


NEWS

IT-Wechsel bei HSBC und Hamburg Commercial Bank

Anfang Oktober ging CIO (Chief Information

Officer) Christoph Kecher von der HSBC

Germany mit Sitz in Düsseldorf zur Hamburg

Commercial Bank AG (HCOB). Das Geldinstitut,

das bis Februar 2019 als HSH Nordbank

firmierte, ist die erste privatisierte Landesbank

in Deutschland mit Hauptsitz in Hamburg

und weiteren deutschen Niederlassungen.

Kechers Nachfolge bei der HSBC Germany

übernimmt Jürgen-Hendrik Kuhn.

Kuhn kommt von Alter Domus, einem

Dienstleister im Segment alternative Investmentfonds

mit Hauptsitz in Luxemburg. Der

Diplom-Ingenieur arbeitete dort als CTO

Jürgen-Hendrik Kuhn

Bild: HSBC

(Chief Technology Officer). In dieser Funktion

zählte er zum Group Executive Board

des Unternehmens und verantwortete IT,

Digitalisierung und Technologieprodukte. Er

versteht seine neue Rolle bei der HSBC nach

eigenen Worten als Brückenbauer zwischen

IT und Bankern.

Die HSBC Germany (formal: HSBC Trinkaus

& Burkhardt AG) verortet die IT im Vorstand

bei Thomas Runge. Er ist als Chief

Operating Officer (COO) für den Bereich

HSBC Operations, Services and Technology

verantwortlich.

Hessenmüller verlässt Commerzbank

Bild: Commerzbank

Jörg Hessenmüller, der als COO (Chief Operating

Officer) seit 2019 im Vorstand der

Commerzbank für die IT zuständig ist, wird

das Haus spätestens zum Jahresende verlassen.

Nach Angaben des Geldinstituts hat Hessenmüller

diesen Schritt selbst angeboten,

um „der Bank Raum für einen Neuanfang

zu bieten“. Als Nachfolger gilt Jörg Oliveri

del Castillo-Schulz. Er ist derzeit als selbstständiger

Berater für Strategie- und Transformationsvorhaben

tätig. Zuvor arbeitete er

unter anderem als COO und CHRO (Chief

Human Resources Officer) bei der IKB Deutsche

Industriebank AG. Dort verantwortete er

als Vorstandsmitglied die Felder IT, Digitalisierung,

Operations, Sourcing und Personal.

Die Bestellung von Oliveri del Castillo-Schulz

bei der Commerzbank stand bei Redaktionsschluss

noch unter dem üblichen Vorbehalt

der Zustimmung der Aufsicht.

Der scheidende COO Hessenmüller hatte

im Rahmen der „Strategie 2024“ die digitale

Transformation der Commerzbank forciert.

Zu den Projekten des Diplom-Betriebswirts

zählt eine agile Cluster-/Lieferorganisation

mit dem Titel „Campus 2.0“.

Bild: Commerzbank

Gruca neuer CDIO der Hypovereinsbank

Die Hypovereinsbank schafft erstmals die

Position eines Chief Digital & Information

Officers (CDIO) und besetzt diese mit Artur

Gruca. Zur Vorbereitung darauf kam der

Informatiker im September als Generalbevollmächtigter

nach München. Davor war er fast

zwei Jahre lang als Executive Vice President &

CIO Finance & Controls für die UniCredit

Bank in Mailand tätig. Insgesamt arbeitet er

seit rund zwölf Jahren bei dem Geldinstitut.

Neben seinem Master in Computer Science

an der Silesian University of Technology verfügt

Gruca über einen Abschluss an der IMD

Business School in Digital Transformation.

Hintergrund ist die strategische Neuausrichtung

der UniCredit. Das Institut hatte

dafür den Investmentbanker Andrea Orcel

als neuen CEO geholt. Der 58-Jährige hatte

schon vor mehr als 20 Jahren an der Unicredit-Gruppe

mitgearbeitet und beriet die Bank

beispielsweise bei der Übernahme der Münchener

Tochter Hypovereinsbank (HVB).

6 IT:BANKER – Oktober 2021


SICHERHEIT

BAIT-Novelle 2021

Das sind die neuen Anforderungen an Banken

Um neue EBA-Leitlinien auf nationaler Ebene abzubilden,

hat die BaFin im August 2021 sowohl MaRisk

als auch BAIT aktualisiert. Neben kleineren Anpassungen

ergänzt die Novelle die bankenaufsichtlichen

Anforderungen an die IT um drei neue Kapitel. Da

es sich nach Ansicht der Behörde um keine neuen

Anforderungen, sondern um eine Konkretisierung

der bestehenden Vorgaben handelt, sind alle Maßnahmen

der BAIT-Novelle umgehend zu implementieren.

Worauf müssen Finanzdienstleister jetzt achten

und wie können sie Compliance-Herausforderungen

meistern?

Operative Informationssicherheit

Kern des neuen Kapitels zur operativen Informationssicherheit

sind Wirksamkeitskontrollen zur laufenden

Überprüfung der Sicherheit. Dazu zählen Schwachstellenscans,

Penetrationstests, simulierte

Angriffe und Abweichungsanalysen,

die jeweils Mängel im

bestehenden Sicherheitskonzept aufdecken

sollen. Wichtig: Bei der Überprüfung

müssen Interessenskonflikte

vermieden werden. Das bedeutet,

dass Personen, die für die Durchführung

der Kontrollen zuständig sind,

nicht an der Auswertung der Ergebnisse

beteiligt sein dürfen.

Darüber hinaus legt BAIT nun genauer fest, wie

Banken IT-Sicherheit im laufenden Betrieb gewährleisten

müssen. Wesentliche Punkte sind die physische

Absicherung sensibler Bereiche, die Verschlüsselung

von gespeicherten Daten und die

Segmentierung des Netzwerks. Ebenso muss es ein

Konzept zur Identifizierung und Dokumentation

von sicherheitsrelevanten Vorfällen geben, durch das

Daten für eine spätere (forensische) Auswertung gesichert

werden.

„Institute müssen ein

Notfallkonzept erstellen,

das sowohl die Fortführung

der Geschäftsprozesse

als auch die Wiederherstellung

des vollen

Betriebs abdeckt.“

IT-Notfallmanagement

Institute müssen ein Notfallkonzept erstellen, das

sowohl die Fortführung der Geschäftsprozesse als auch

die Wiederherstellung des vollen Betriebs abdeckt.

Dabei ist auch auf Abhängigkeiten zu achten, die sich

durch die Auslagerung von IT-Dienstleistungen ergeben.

Unter Umständen sind also auch externe Unternehmen

einzubinden, die ein abgestimmtes Notfallkonzept

vorweisen müssen. Die Wirksamkeit des

Notfallkonzepts muss jährlich überprüft werden.

Information von Zahlungsdienstnutzern

Aufgrund seiner Relevanz für Banken wurde dieser

Abschnitt aus den Vorschriften für Zahlungsdienste

auch in BAIT übernommen. Somit ist nun klarer

definiert, in welcher Form Kunden hinsichtlich von

Sicherheitsrisiken aufgeklärt werden müssen. Darüber

hinaus sind Optionen zur Einschränkung

der Risiken vorgesehen,

etwa durch das Festlegen von Limits

für Überweisungen oder das Sperren

von Auslandszahlungen.

Automatisierte Lösungen für Banken

Durch die Anpassung von MaRisk

und BAIT ergibt sich für Banken

zusätzlicher Aufwand im Bereich IT.

Vor allem die Planung und Koordination

von Wirksamkeitskontrollen und Notfallkonzepten

stellt aufgrund der Einbindung unterschiedlicher

Fachabteilungen und externer Dienstleister eine

logistische Herausforderung dar. Um die Anforderungen

von BAIT möglichst effizient abzudecken, sollten

Finanzinstitute daher überall, wo es möglich ist,

auf automatisierte Software-Lösungen setzen, zum

Beispiel für Netzwerksicherheit, Schwachstellenscans

und Patchmanagement.

Das gilt insbesondere für das Kapitel Identitätsund

Rechtemanagement, das zu den Grundlagen für

Datenschutz und IT-Sicherheit zählt. Eine Lösung

für das Identity Access Management (IAM) hilft

dabei, Benutzerkonten und Zugriffsrechte schnell,

sicher und Compliance-gerecht zu verwalten. Mehr

Informationen zum Thema BAIT und IAM finden

Sie unter https://tenfold-security.com. •

Bild: Virtual Solution

Autor Helmut

Semmelmayer ist

Senior Manager Channel

Sales bei tenfold

IT:BANKER – Oktober 2021

7


SICHERHEIT

Mobilgeräte im Fadenkreuz

Welche Angriffsmethoden Cyberkriminelle nutzen und wie Unternehmen

und Organisationen ihnen einen Riegel vorschieben können

Mobilgeräte sind für Cyberkriminelle ein reizvolles

Ziel, denn sie enthalten viele persönliche

und geschäftliche Daten, darunter auch wertvolle

Nutzeridentitäten für Anwendungen

oder Portale. Gleichzeitig sind Smartphones

und Tablets oft always on mit dem Internet

verbunden und so einfach zu attackieren. Zu

guter Letzt sind sie auch noch schlechter vor

Malware oder Angriffen geschützt als ein herkömmlicher,

besser in die interne Sicherheitsstruktur

eingebundener Rechner. Cyberkriminelle

können daher Schadprogramme mit

geringerem Aufwand einschleusen, um die

Geräte zu überwachen oder sensible Daten

abzugreifen. Das sind die gefährlichsten

Bedrohungen für Mobilgeräte:

Phishing

Phishing ist wohl das größte Sicherheitsproblem

auf Smartphones oder Tablets. Dabei

verschicken Betrüger meist eine gefälschte

E-Mail, SMS oder Messenger-Nachricht mit

Links zu vermeintlichen Onlinehändlern,

Bezahldiensten oder sozialen Netzwerken.

Beliebt sind aktuell besonders Versandmitteilungen

mit Links zu Paketdienstleistern und

Foren, in denen sich Hacker als Supportmitarbeiter

ausgeben, sowie immer noch der klassische

betrügerische Telefonanruf. Dabei wird

das Opfer auf eine Fake-Webseite gelockt oder

zum Installieren eines vermeintlichen Hilfsprogramms

überredet. Anschließend werden

dann die Versuche gestartet, persönliche

Zugangsdaten abzugreifen (Phishing), automatische

Downloads zu starten oder auf Basis

der Phishing-Daten Malware auf das Gerät

zu schleusen. Phishing bildet damit oft den

Startpunkt für eine Cyberattacke, wie beispielsweise

bei der Spyware Pegasus oder der

Video-Attacke auf den Amazon-Chef Anfang

Bild: Virtual Solution

Autor Christian

Pohlenz ist Security

Expert bei Virtual Solution

2020. Da bei dienstlichen Mails der administrative

Filter greift, bei privaten Mailboxen auf

demselben Gerät aber nicht, ist für Angreifer

der private E-Mail-Account besonders interessant.

Wichtigste Prophylaxe gegen Phishing

ist die Multifaktor-Authentifizierung (MFA).

Für einen umfassenden Schutz sollte sie kombiniert

werden mit Endpunktüberwachung

und Webfiltern gegen betrügerische Webseiten

sowie Antiviren-Programmen als lokalem

Schutz des Endgeräts. Da Phishing-Attacken

per se den menschlichen Faktor als schwächstes

Glied in der Abwehrkette einkalkulieren,

gilt der Security-Schulung der Mitarbeiter

besondere Aufmerksamkeit.

Trojaner und Ransomware

Trojaner tarnen sich, indem sie sich entweder

als vermeintlich legitime Software ausgeben,

sich von einer anderen, legitimen Software

nachladen lassen oder sich auf dem System

unsichtbar machen. Cyberkriminelle setzen

sie ein, um Daten zu stehlen, Benutzer auszuspionieren

und unbefugten Zugriff auf Systeme

zu erlangen. Mit Hilfe

von sogenannten Remote-

Access-Trojanern (RAT)

können Hacker die infizierten

Systeme über eine

Netzwerkverbindung fernsteuern.

Ransomware nutzt

Trojaner für eine moderne Form von Erpressung.

Dabei werden meist Daten der Betroffenen

per Krypto-Trojaner verschlüsselt. In

Einzelfällen, insbesondere im iOS-Universum,

werden aber auch immer noch Lockscreen-Trojaner

eingesetzt, um dem Nutzer

den Zugriff auf sein Gerät zu sperren. Ziel von

Ransomware-Attacken ist es, Lösegeld für die

Freischaltung der Daten respektive des Geräts

zu erpressen. Die Verteilung der Schadsoftware

erfolgt meist über einen Download-

Link. Häufig verteilen die Erpresser ihre Software

aber auch über E-Mails beziehungsweise

als E-Mail-Anhang getarnt. Solche betrügerischen

Anhänge können über eine Firewall

abgefangen werden. Umso wichtiger ist deshalb

ein Ransomware-freies Backup, um nach

einem Angriff schnell wieder den Betrieb herstellen

zu können. Einen besonders effektiven

Schutz bieten Container-Lösungen, die

„Wichtigste Prophylaxe

gegen Phishing ist die

Multifaktor-Authentifizierung

(MFA).“

sensiblen Daten einen hermetisch abgesicherten

Raum bieten und damit das größtmögliche

Hindernis für Cyberkriminelle darstellen.

Auch sicherheitskritische Unternehmen

wie die Nürnberger Versicherung und die

M. M. Warburg Bank setzen auf eine Container-Technologie

für das sichere mobile

Arbeiten.

Denial of Service, Brute Force

und Zero-Day-Exploits

Die Hacker-Folterkammer kennt noch eine

Vielzahl weiterer Instrumente und Methoden.

Brute-Force- und Denial-of-Service(DoS)-

Angriffe sind für Mobilgeräte weniger relevant.

Die Geräte können jedoch unbemerkt

als Teil eines DoS-Botnetzwerkes zum Angriff

auf Server missbraucht werden. Die Daten

des Mobilgeräts selbst sind dabei aber nicht

betroffen. Bei der Brute-Force-Methode handelt

es sich um den Versuch, Passwörter zu

knacken, Loginseiten anzugreifen oder einen

verborgenen Schlüssel zu finden. Sie erfordern

hohen Aufwand seitens des Angreifers und

richten sich in der Regel

auf prominente Ziele. Zero-

Day-Exploits sind keine

Angriffe im herkömmlichen

Sinn, ermöglichen aber

Attacken über Schwachstellen

in Programmen für iOSund

Android-Geräte, gegen die es noch keine

bekannten Schutzmaßnahmen gibt. Diese

offenen Einfallstore, wie beispielsweise die im

März dieses Jahres publik gewordenen Lücken

in Microsoft Exchange, nutzen Cyberkriminelle

dann zur Installation von Angriffsvektoren

wie Trojanern oder Ransomware.

Der größte Schwachpunkt in der Abwehrkette

ist nach wie vor der Mensch. Das

Bewusstsein der Mitarbeitenden für die

Gefahren aus dem Cyberraum muss daher

immer wieder geschärft werden. Technisch ist

es sinnvoll, eine einfache und nutzerfreundliche

Container-Lösung einzusetzen. Sie

gibt Anwendern die Sicherheit, nichts falsch

machen zu können. Und den Security-Verantwortlichen

die Gewissheit, dass sie vor unliebsamen

Überraschungen geschützt sind. •

www.virtual-solution.com

8 IT:BANKER – Oktober 2021


KREDITGESCHÄFT

Gemeinsam stark

Sparkassen: Mehrwert für die Kreditabwicklung

durch die Verbundpartner

Selbst in Zeiten von Corona läuft das Kreditneugeschäft

der Sparkassen sehr gut. Nicht nur in Schwierigkeiten

geratene Unternehmer und Selbstständige

fragen nach Finanzierungsleistungen, auch und die

Nachfrage nach Eigenheimfinanzierungen ist aufgrund

der weiterhin niedrigen Zinsen konstant. Das Geschäft

der Sparkassen mit Immobilienfinanzierungen bleibt

also lukrativ und krisenfest.

Für die Sparkassen im harten Wettbewerb gilt es, die

Finanzierungsanfragen ihrer Kunden zeitnah und mit

höchster Präzision umzusetzen. Die DSGF bietet den

Instituten eine Dienstleistung an, die das private und

gewerbliche Kreditgeschäft zuverlässig, aufsichtsrechtlich

konform und den hausinternen Vorgaben entsprechend

abwickelt. Dies erledigt die DSGF innerhalb

ihres Produktionsnetzwerkes, dessen technische Basis

es ermöglicht, die Finanzierungsprozesse über die Vielzahl

der vorhandenen Applikationen hinweg zu organisieren

und zu automatisieren.

Produktion nach industriellen Maßstäben

Das Workflow-System Kredit Live deckt den kompletten

Prozess des Kreditgeschäfts ab und verbindet Digitalisierung

und Kredit-Know-how auf innovative Art

und Weise. Ihr standardisiertes Angebot kann die DSGF

über einen modularen Baukasten auf die individuellen

Bedürfnisse der Sparkasse erweitern. Kredit Live läuft

im Produktionsnetzwerk der DSGF. Hier bearbeiten

bundesweit verteilte Kompetenzteams die eingehenden

Aufträge der Sparkassen und agieren direkt im Kernbanksystem

der Mandanten. Im Produktionsnetzwerk

der DSGF sind alle Prozesse standardisiert, streng basierend

auf dem PPS-Ordnungsrahmen. Die Aufträge und

alle notwendigen Dokumente werden bereits bei Eingang

digital aufbereitet und stehen zur Bearbeitung zur

Verfügung. Medienbrüche und Redundanzen werden

verhindert.

Der konkrete Prozess läuft folgendermaßen ab: Die

Kundenberatung erfolgt vor Ort durch den Mitarbeiter

der Sparkasse, der anschließend die erforderlichen

Daten in OSPlus einpflegt. Durch die Speicherung

greift automatisch das Workflow-System Kredit

Live, denn die Daten aus OSPlus werden vollautomatisch

ausgelesen und in das System überführt. Die

Weitergabe der papierhaften Unterlagen an die DSGF

kann auf zwei Wegen erfolgen: durch das Scannen in

der Filiale oder durch Versand und priorisiertes Scannen

durch die DSGF. Digitale Dokumente können auf

direktem Wege per E-Mail-Schnittstelle im gesicherten

Netz der Finanz Informatik an Kredit Live übertragen

werden. Die Personennummern aus dem relevanten

OSPlus-Personenverbund dienen als Ordnungskriterium,

um die Dokumente der bestehenden virtuellen

Akte zuzuordnen. Zeitgleich werden alle Dokumente

auch im OSPlus-Archiv (ZDA) der Sparkassen hinterlegt.

Dort sind sie bereits vor der Bearbeitung sichtbar.

Im Produktionsnetzwerk der DSGF wird der bearbeitungsreife

Antrag vollständig papierlos einem Mitarbeiter

der DSGF zugewiesen. Bereits wenige Tage

später erhält der Kundenberater per E-Mail die erstellten

Vertragsunterlagen und kann sie dem Kunden zur

Vertragsunterzeichnung vorlegen.

Transparenz und Zuverlässigkeit

Transparenz ist durch eine stets aktuelle, elektronische

Checkliste gegeben, die über den Auftragsstatus

und offene Sachverhalte informiert und für den Kundenberater

jederzeit einsehbar ist. Damit ist er über die

gesamte Laufzeit der Finanzierung in der Lage, dem

Kunden eine aktuelle Rückmeldung zum Stand der

Bearbeitung zu geben. Das Workflow-System Kredit

Live ist auch mit OSPlus_neo kompatibel.

Für die Endkunden entstehen im Zuge der Auslagerung

keinerlei Nachteile – ganz im Gegenteil. In

Zeiten aufstrebender Fintechs und Neobanken sorgt

Kredit Live dafür, dass die Sparkassen in Sachen

Abwicklungsgeschwindigkeit wettbewerbsfähig sind.

Am Markt bleibt Bewährtes erhalten: Die Sparkasse ist

ihren Kunden der gewohnt zuverlässige Ansprechpartner

vor Ort. Ihre Mitarbeiter sind dank vollkommener

Prozesstransparenz jederzeit auskunftsfähig.

Mit ihren umfassenden, flexiblen und automatisierten

Lösungen setzt die DSGF die Empfehlungen

zur Auslagerung von Prozessen zur Senkung des Verwaltungsaufwandes

aus dem Projekt „Betriebsstrategie

der Zukunft“ (BdZ) konsequent um und bietet

den Sparkassen effiziente Lösungen an. Sie bündelt,

automatisiert und industrialisiert in ihrem Produktionsnetzwerk

die Marktfolge-Prozesse der Sparkassen

passgenau und sichert ihnen damit erhebliche

Effizienzgewinne. •

www.dsgf.de

Autor Volker Kurth

ist Geschäftsführer der

Deutschen Servicegesellschaft

für Finanzdienstleister (DSGF)

Bild: DSGF

IT:BANKER – Oktober 2021

9


KUNDENAUTHENTIFIZIERUNG

Meilenstein in der Online-Identifikation

Bundesnetzagentur erteilt Modulbestätigung für Nect Robo-Ident-Technologie

Die Robo-Ident-Technologie von Nect wurde von der Bundesnetzagentur

nach Prüfung durch die akkreditierte Konformitätsbewertungsstelle

datenschutz cert GmbH als erstes und derzeit

einziges Modul für Videoidentifizierung mit

automatisierten Verfahren in die offizielle Liste

geprüfter und genehmigter Anwendungen zur

Identitätsfeststellung aufgenommen. Die Bundesnetzagentur

ist im Einvernehmen mit dem

Bundesamt für Sicherheit in der Informationstechnik

(BSI) dafür verantwortlich, die im

Sinne des Artikels 24 der europäischen eIDAS-

Richtlinie lokal anerkannten Identifizierungsmethoden und die

jeweils geltenden Mindestanforderungen festzulegen. Demnach

wurde für die Robo-Ident-Technologie eine im Vergleich zur persönlichen

Anwesenheit gleichwertige Verlässlichkeit der ermittelten

Identität festgestellt.

„Die Modulbestätigung

bei der Bundesnetzagentur

ist ein wichtiger Schritt für

die Zukunft der Online-

Identifikation insgesamt.“

Bild: Nect

Benny Bennet Jürgens, Gründer und CEO von Nect: „Die

Modulbestätigung bei der Bundesnetzagentur ist ein wichtiger

Schritt für die Zukunft der Online-Identifikation insgesamt.

Mit der behördlichen Akzeptanz wurden wir

für unsere Vorangehen und Strategie belohnt.

Damit nehmen wir eine führende Rolle in der

KI-basierten, optischen Fernidentifizierung von

Personen in Europa ein.“

Durch die Nect-Lösung auf Basis künstlicher

Intelligenz (KI) können Unternehmen ihren

Kunden einen sicheren und zugleich einfachen

Zugang zu ihren Dienstleistungen ermöglichen. Der Einsatz der

zum Patent angemeldeten Technologie ermöglicht den Nutzenden

eine bequeme Fernidentifizierung – 24 Stunden am Tag und

mit Ausweisdokumenten aus nahezu allen Ländern der Erde.

Praxiserprobte Sicherheit und Robustheit

Die Robo-Ident-Technologie wird bereits von vielen Unternehmen

regulierter Branchen, etwa Versicherungen, Krankenkassen

und Telekommunikationsanbietern, für die schnelle, einfache

und sichere Identifizierung ihrer Kundschaft eingesetzt. Seit April

2021 können die so identifizierten Personen ihre Identität darüber

hinaus in der Nect Wallet verwalten und wiederverwenden.

Insgesamt haben in Deutschland so inzwischen rund 4 Millionen

Bestandsnutzende die Möglichkeit, sich mit der Nect App in

wenigen Sekunden online zu identifizieren. Die Nect App gehört

gemessen am Ranking im Play- sowie App-Store seit Monaten zu

den Top-100-Apps in Deutschland.

Benny Bennet Jürgens: „Wir haben allein im ersten Halbjahr

dieses Jahres bereits 1,8 Millionen Identifizierungen durchgeführt;

2020 waren es mehr als zwei Millionen. Umfangreiche

Stichproben durch Spezialisten und maschinelle Robustheitstests

der künstlichen Intelligenz zeigen nicht einen einzigen von unserer

Technologie unentdeckten Betrugsfall. Damit haben wir die

Verlässlichkeit unserer Technologie bewiesen.“

Carlo Ulbrich, CSO und Mitgründer, ergänzt: „Mit der nun

auf Basis von Robo-Ident möglichen qualifizierten elektronischen

Signatur (QES) wollen wir die Banken in Europa ansprechen.“

Erstmalig wurde die Technologie von Nect im Jahr 2018 bei

der R+V Versicherung eingesetzt. Mittlerweile gehören zahlreiche

weitere namhafte Versicherungsunternehmen zum Kundenstamm,

wie beispielsweise die HUK-Coburg, die Barmer und die

WGV Versicherung. Darüber hinaus haben sich auch Organisationen,

Unternehmen und Institutionen aus anderen Bereichen

für die leistungsfähige und sichere Lösung entschieden, etwa die

Deutsche Telekom, die Bundesagentur für Arbeit und die Hamburgische

Investitions- und Förderbank. •

https://nect.com

Benny Bennet Jürgens, Gründer und CEO von Nect

10 IT:BANKER – Oktober 2021


ANBIETER

DSGF Deutsche Servicegesellschaft

für Finanzdienstleister mbH

Adolf-Grimme-Allee 1

50829 Köln

Telefon: +49 221 99 00-0

E-Mail: marketing@dsgf.de

Internet: www.dsgf.de

DSGF

Als erfahrener Full-Service-Dienstleister bündelt, automatisiert

und industrialisiert die DSGF in ihrem Produktionsnetzwerk

die Marktfolge-Prozesse der Sparkassen passgenau und sichert

ihnen damit erhebliche Effizienzgewinne – stets auf der verlässlichen

Basis von ProzessPlus und der Technik der Finanz Informatik.

Mit über 1.900 Mitarbeitenden an 12 Standorten ist

die DSGF bundesweit tätig und zugleich für jeden Mandanten

vor Ort anwesend.

INSYS MICROELECTRONICS GmbH

Hermann-Köhl-Straße 22,

93049 Regensburg, Deutschland

Telefon: +49 941 58692-0

E-Mail: info@insys-locks.de

Internet: www.insys-locks.com

INSYS locks

Ob ausgefeiltes Tresorschloss, Einmal-Code-Cash-Management

oder komplette Online-Schlossadministration – INSYS locks

entwickelt zertifizierte Sicherheits- und Schlosssysteme für verschiedenste

Einsatzbereiche etwa in der Finanzbranche oder im

Groß- und Einzelhandel. Dabei liegt die Produktkompetenz in

einer Hand – von der Entwicklung über die Fertigung bis hin

zum Service.

tenfold Software GmbH

Seidengasse 9 TOP 3.4

1070 Wien, Österreich

Telefon: +43 (0) 1 66 50 633-0

Fax: +43 (0) 1 66 50 633-300

E-Mail: info@tenfold-security.com

Internet: www.tenfold-security.com

tenfold

tenfold Software zählt zu den führenden Experten im Bereich

Identity & Access Management. Die gleichnamige IAM-

Lösung erlaubt es Unternehmen, die Verwaltung von Benutzerkonten

und Zugriffsrechten weitgehend zu automatisieren. Als

effiziente, benutzerfreundliche und rasch einsetzbare Lösung ist

tenfold IAM dabei besonders auf die Bedürfnisse von mittelständischen

Organisationen zugeschnitten.

Virtual Solution AG

Blutenburgstraße 18

80636 München

Telefon: +49 89 30 90 57-0

E-Mail: mail@virtual-solution.com

Internet: www.virtual-solution.com

Virtual Solution ist ein auf sichere mobile Anwendungen spezialisiertes

Softwareunternehmen mit Sitz in München und Entwicklungsstandort

in Berlin. Es entwickelt und vertreibt die

Applikationen SecurePIM, SecureCOM und die Sicherheitsarchitektur

SERA für iOS und Android. SecurePIM ermöglicht

verschlüsseltes und benutzerfreundliches mobiles Arbeiten.

Behörden können mit Smartphones und Tablets auf verschiedenen

Geheimhaltungsstufen kommunizieren.

IT:BANKER – OKTOBER 2021

11


München

24.–25. November 2021

Die Fachmesse für

Zutrittskontrolle

Videoüberwachung

Brandschutz

Perimeter Protection

IT-Security

www.sicherheitsexpo.de

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!