Auf den Punkt: Finanzunternehmen müssen Cybersecurity von einer reaktiven Schutzfunktion zu einer aktiven Steuerungseinheit entwickeln, indem sie Compliance durch Automation direkt in ihre Kontrollsysteme integrieren statt nachträgliche manuelle Prüfungen durchzuführen.
Eine gemeinsame Studie von IDC und KPMG zeigt erhebliche Kontrolldefizite bei deutschen Finanzdienstleistern – 40 Prozent arbeiten mit unvollständigen Asset-Inventaren, 30 Prozent haben keine Transparenz über ihre IT-Umgebung. Die fehlende Übersicht auf Systeme und Datenflüsse macht es unmöglich, Sicherheitsvorfälle rechtzeitig zu erkennen oder regulatorische Anforderungen zu erfüllen.
Finanzinstitute verstehen Cybersecurity vielfach noch immer primär als reaktive Abwehrmaßnahme gegen externe Angriffe. Dabei zeigt ein reales Szenario die Konsequenzen dieser Sichtweise: Ein Kreditinstitut bindet einen Drittanbieter für automatisierte Kreditprüfungen an die eigenen Systeme an. Wochen später werden sensible Kundendaten über eine Cloud-Schnittstelle des Partners kompromittiert. Die Bank bemerkt den Datenabfluss nicht, weil sie keinen Einblick in die Infrastruktur des Dienstleisters hat und kein System den kontinuierlichen Datenfluss überwacht. Der Vorfall bleibt wochenlang unentdeckt.
Die genannte Studie von IDC und KPMG, die 150 Führungskräfte deutscher Unternehmen befragt hat – davon ein Drittel aus dem Finanzsektor – dokumentiert systematische Blindstellen: 40 Prozent der Finanzdienstleister führen unvollständige Asset-Inventare, ihnen fehlt also Sicherheitshardware oder -software an kritischen Stellen. 30 Prozent haben keine Transparenz über ihre IT-Umgebung. Besonders kritisch: 82 Prozent steuern ihre Detection- und Response-Fähigkeiten nicht über klare, integrierte Key Performance Indicators (KPI). Damit bleiben Sicherheitsmaßnahmen unwirksam, weil ihre Effektivität nicht gemessen wird. Hinzu kommt, dass 42 Prozent Sicherheitsereignisse nur eingeschränkt systematisch überwachen und auswerten können, weil sie über unzureichende Kapazitäten in ihren Security Operations Centern (SOC) oder Computer Emergency Response Teams (CERT) verfügen.
Um diese Defizite zu beheben, müssen Sicherheitsverantwortliche die unabhängige Risikoüberwachung – die sogenannte Second Line of Defense – deutlich ausbauen. In einer Umgebung mit Cloud-Infrastruktur und künstlicher Intelligenz ist es nicht ausreichend, quartalsweise eine regulatorische Checkliste abzuhaken. Erforderlich ist ein modernes Second-Line-Target-Operating-Model, das klare Rollen und unabhängige Prozesse für die kontinuierliche Überwachung von IKT-Risiken definiert. Dies schafft eine verlässliche Datenbasis für strategische Managemententscheidungen.
Die praktische Umsetzung erfolgt über das Konzept „Compliance by Design”: Anstatt Kontrollen nachträglich manuell zu prüfen, werden risikoorientierte IKT-Kontrollkataloge direkt in die internen Kontrollsysteme eingebettet. Sicherheitsverantwortliche definieren dafür einheitliche Kennzahlen sowohl für die Performance (KPI) als auch für das Risiko (KRI). Präzision ist dabei essentiell, um die Wirksamkeit von Maßnahmen tatsächlich steuern zu können.
Quelle: www.it-daily.net · Erschienen 30. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.