«Es gibt in keiner Industrie eine absolute Sicherheit»

Fintechs gelten gemäss einigen IT-Sicherheitsberichten als potenzielle Schwachpunkte. Wo sind hier hinsichtlich der IT-Sicherheit die grössten Herausforderungen?

Aus unserer Erfahrung kann man das nicht so allgemein sagen. Junge Unternehmen sind wie alle anderen in Bezug auf IT-Sicherheit mit Herausforderungen konfrontiert. Sehr junge Unternehmen haben sicherlich begrenzte Mittel und allfällig ein fehlendes Verständnis, um hoch entwickelte Sicherheitsinfrastrukturen zu implementieren und aufrechtzuerhalten.

Hier ist es wichtig, gerade bei schnellen Innovationszyklen auch an ausreichende Sicherheitsüberprüfungen zu denken, bei denen Systeme auf Schwachstellen und potenzielle Eintrittspunkte für Angriffe getestet werden. Beispielsweise mit Pentests, um allfällige Lücken vor dem Launch von digitalen Produkten zu schliessen. Auch ändern sich oft regulatorische Anforderungen, was zusätzliche Herausforderungen für die Sicherheitskonformität mit sich bringt. Jedoch bietet sich Fintechs die Chance, Infrastruktur von Neuem aufzubauen, und sie haben keine «Legacy»-Systeme, die über Jahre aufwendig instand gehalten werden müssen. 

Wenn Banken mit Fintechs kooperieren, wird auch die IT-Sicherheit ein Thema. Was ist dabei wichtig?

Primär ist es wichtig, dass gemeinsam angemessene Sicherheitsvorkehrungen getroffen werden, um die Kundendaten zu schützen. Auch ist der laufende Austausch zentral, um gemeinsame Sicherheitsstandards zu entwickeln und weiter auszubauen. Wichtige Themen sind dabei Fragen rund um Datenschutz und Zugriffe, Authentifizierung, Notfallpläne, Verschlüsselung der Daten und Interoperabilität der Systeme. 

Gerade bei der Kundenauthentifizierung sehen wir noch grosses Potenzial, sicherere und benutzerfreundlichere Methoden anzubieten. Als Beispiel: SMS gilt unterdessen als nicht mehr sicher und verursacht unnötig hohe operationelle Kosten. Auch Passwörter haben ihren Zenit erreicht und können mit passwortlosen Alternativen ersetzt werden.

Woran erkennt man überhaupt die Sicherheitsqualität einer Bank oder eines Fintechs?

Es gibt in keiner Industrie eine absolute Sicherheit. Es gibt aber durchaus Indikationen, mit denen man das Sicherheitsniveau einer Bank oder eines Fintechs einschätzen kann. 

Wir sehen in der Zusammenarbeit bei Organisationen oft sehr schnell, wie eine Sicherheitskultur gelebt wird. Gibt es Schuldzuweisung bei Fehlern, sogenanntes Finger Pointing, wenn etwas schlecht läuft, oder wird aktiv eine konstruktive Kultur geschaffen, um gemeinsam Sicherheitsprobleme aufzuspüren und sie konstruktiv zu adressieren?

Weiter können folgende Bereiche auch einen guten Einblick in die Sicherheitskultur und -maturität geben: vorhandene Sicherheitszertifizierungen wie zum Beispiel ISO 27001 für Informationssicherheitsmanagement, aber auch die Konformität mit regulatorischen Vorschriften, wie PSD2 (Payment Services Directive 2) oder GDPR (General Data Protection Regulation). Zudem die eingesetzten Sicherheitstechnologien wie beispielsweise Verschlüsselungen, Zwei-Faktor-Authentifizierung und Intrusion Detection Systeme. Darüber hinaus auch die Regelmässigkeit von Sicherheitsaudits und Penetrationstests. Zu nennen sind schliesslich auch die Programme für die Weiterbildung und Sensibilisierung der Mitarbeitenden in Sachen Sicherheitsrisiken. 

Etliche Fintechs arbeiten mit der Blockchain-Technologie. Wie sicher ist diese? Ist sie so robust, wie immer gesagt wird?

Dezentrale Konzepte sind durchaus spannend, da sie das Klumpenrisiko in der Sicherheit dezentral diversifizieren. Wie bei allem ist aber auch Blockchain in alltäglichen Anwendungen nicht immer sicher und eignet sich nicht für alle Anwendungsfälle. Dezentrale Infrastruktur zu managen, kann sehr teuer sein und Latenzen mit sich bringen. Es muss immer genau geprüft werden, wo sich Blockchain-Technologie für eine Anwendung lohnt und wo eine einfache Datenbank ausreichend ist. 

Im IT-Sicherheitsbereich gibt es einige Jungunternehmen wie Ihres. Wo haben Sie einen Vorsprung gegenüber etablierten grösseren IT-Sicherheitsfirmen erarbeitet?

Als ETH-Spin-off hilft uns die Nähe zur Forschung der ETH Zürich sehr. Gerade bezüglich Informationssicherheit haben wir hoch renommierte Institutionen hier in der Schweiz. Wir haben Zugang zu einem riesigen Netzwerk der besten Forschenden, Trends und Studien in der Sicherheitsforschung weltweit. Wir müssen in unserem Bereich immer einen Schritt voraus sein, um unsere anspruchsvolle Kundschaft adäquat zu unterstützen. Zudem können wir durch unsere schlanken Entwicklungsprozesse sehr rasch auf Kundenwünsche eingehen und sie laufend allen interessierten Kunden zur Verfügung stellen. Hier pflegen wir einen sehr engen, persönlichen Austausch.

Und wie wird sich das Thema IT-Sicherheit bei Banken längerfristig weiterentwickeln? 

Die IT-Sicherheit in der Finanzbranche verändert sich ständig. Banken müssen flexibel sein und ihre Sicherheitsstrategien kontinuierlich anpassen, um auf die rasch ändernden Cyberbedrohungen reagieren zu können. Ein spannendes Thema, an dem wir arbeiten, ist, die Betrugserkennung über eine ganze Organisation hinweg integriert zu betrachten. Wir befassen uns konkret mit Kundenauthentifizierung und Betrugserkennung, um Online-Dienste zu schützen, ohne Kunden zu beeinträchtigen, während gleichzeitig möglichst schnell auf verändernde Gefahren eingegangen wird.

In der Forschungen sehen wir einen Trend weg von Biometrie als alleiniges Erkennungsmerkmal zu raffinierten Systemen. Hier kommen künftig vermehrt intelligente Analyse- und Sicherheitslösungen, die auf künstliche Intelligenz oder Machine Learning gestützt sind, zum Einsatz. Sie erkennen die Anomalien und verdächtige Muster gesamtheitlich. 

Die enge Zusammenarbeit zwischen Industrie, Regulator und Technologieexperten oder Spin-offs aus Hochschulen wird entscheidend sein, um eine robuste und sichere Finanzinfrastruktur weiterzuentwickeln und schnelle Innovationszyklen zu gewährleisten. Ich würde mir sehr wünschen, dass IT-Sicherheitsprodukte aus Europa hier künftig eine wichtigere Rolle spielen.