DIE IN GELB UND BLAU GEHALTENE E-MAIL sah täuschend echt aus, „Kundeninformation Deutsche Postbank AG" lautete die Betreffzeile. Dass hinter dem Anschreiben keineswegs die Finanztochter der Post steckt, merkten verdutzte Nutzer erst, als sie ihre Login-Daten für das Online-Banking nach dem Öffnen einiger Browserfenster auf einer obskuren Webseite eintippen sollten.
Derartige Phishing-Attacken, bei denen Kriminelle mit Hilfe von Manipulations-Mails an die Daten von Bankkunden gelangen wollen, haben im letzten Jahr stark zugenommen. Dabei versuchen die Mail-Versender nicht nur, Kunden der großen Bankhäuser, der Commerzbank, der Deutschen oder der Dresdner Bank, in die Falle zu locken. Die Anti Phishing Working Group (APWG) registriert, dass auch die kleinen Finanzhäuser immer stärker ins Visier der Phisher geraten.
Phishing wird zum Thema
Neu ist es für die CIOs im Finanzsektor nicht, dass ihre Systeme angegriffen werden. Das gilt auch für die IT-Chefs der im MDAX vertretenen fünf Banken. Phishing fügt dem Thema Sicherheit lediglich eine weitere Facette hinzu – aber eine, die CIOs viel Arbeit macht, wenn sich ihre Unternehmen direkt an den Endkunden wenden. „Phishing und Viren bereiten uns im Online-Banking große Kopfschmerzen“, sagt beispielsweise der CIO der Postbank, Dirk Berensmann.
Zu Recht, denn der Dauerbrenner Sicherheit verunsichert zunehmend Kunden, die die Banken eigentlich mit ihren Online-Angeboten gewinnen oder zu mehr Umsatz verführen wollen. Aus Angst, dass persönliche Daten gestohlen werden, haben bereits fast zwölf Millionen US-Amerikaner ihre Bank gewechselt und rund 39 Millionen das Einkaufen im Internet aufgegeben. Das ermittelten die Finanzmarktforscher von Financial Insights. Zwar fehlen bislang Zahlen für Deutschland, doch auch hier ist ein Trend erkennbar: Die Nutzerzahlen stagnieren, neue Services werden nur zögerlich angenommen. „Die Angst der potenziellen Nutzer von Online-Bank-Services vor Missbrauch ist das größte Hindernis, das der weiteren Nutzung im Wege steht", sagt Benjamin Ensor, Senior Analyst für das Fachgebiet Finanzdienstleistungen bei Forrester Resereach. Zwei Fünftel der europäischen Internetnutzer, die das Online-Banking ablehnen, geben als Grund dafür an, es sei nicht sicher genug.
CIOs wie Dirk Berensmann müssen einen Spagat bewältigen: Sie müssen einerseits das Online-Banking sicherer machen und beim „Hase-und-Igel-Spiel“, wie er den Wettlauf mit den Cyber-Kriminellen nennt, die Nase vorn behalten. Andererseits dürfen sie nicht zu hohe technische Hürden errichten. Die meisten Nutzer seien nicht bereit oder in der Lage, sich mit Themen wie 128-bit-Verschlüsselung oder Doppel-Authentifizierung auseinander zu setzen, ermittelte Forrester.
Eingeschränkte Innovationsmöglichkeiten
Die Banken-CIOs haben deshalb alle Hände voll zu tun, das Kunden-Front-End mit einfachen Methoden gegen Manipulationen abzusichern. „Wir wollen dem Kunden möglichst große Flexibilität ermöglichen. Dadurch verlagert sich aber immer mehr Infrastruktur in den persönlichen Bereich, auf den die Sicherheitstechnologie der Bank keinen Zugriff hat“, sagt Berensmann. Schließlich weiß kein CIO, ob die PCs seiner Kunden mit einer Firewall und Antivirensoftware abgesichert sind. Gefragt sind von ihm also einfache Konzepte, wie man auch die Kunden schützt, die ihre Pflichten vernachlässigen. Die Postbank tut das zum Beispiel durch Innovationen wie die Mobile TAN, die nur Minuten gültig ist und dem Nutzer direkt vor der Transaktion auf sein Handy geschickt wird.
Vor allem aber müssen Banken-CIOs die eigenen IT-Systeme besser denn je schützen, denn nur ein kleiner Teil der Vorfälle, die von dem Marktforscher Financial Insights untersucht wurden, resultiert tatsächlich aus Angriffen auf Online-Transaktionen. Vielmehr verlegen sich Cyber-Kriminelle offenbar auf das Eindringen in Kundendatenbanken der Bankinstitute. Jüngstes Beispiel ist der Diebstahl der Daten von 40 Millionen Kreditkartenkunden beim US-Dienstleister Cardsystems Solutions.
Hier überschneidet sich das für Banker immer aktuelle Top-Thema Sicherheit mit der zweiten Großbaustelle, vor der Banken-CIOs stehen. Datenverfügbarkeit und Datenverarbeitung sind spätestens seit Basel II ihre zentralen Herausforderungen. Um ab 2007 das Risiko bei der Kreditvergabe entsprechend den Basel-II-Standards bestimmen zu können, müssen alle im MDAX vertretenen Banken ihre Datenverarbeitung umrüsten. Dabei spielt es keine Rolle, dass die Postbank End- und Business-Kunden gleichermaßen im Visier hat, während die IKB, die Depfa, die Hypo Real und die Aareal mit ihren Finanzierungsmodellen Unternehmen, Immobilienvorhaben oder öffentliche Infrastrukturprojekte begleiten.
In Zukunft müssen die Kreditinstitute die Bonität aller Kunden nach speziellen Rating-Verfahren bewerten - egal, ob der Kreditnehmer ein kleiner Mittelständler oder ein Konsortium ist, das eine Autobahn-Brücke bauen will. Während einige Institute die Vorbereitungen hierfür schon abgeschlossen haben, herrscht bei anderen noch Datenchaos. "Die notwendigen Informationen sind zwar in vielen Banken vorhanden, jedoch verstreut, häufig nicht miteinander kompatibel und teilweise noch in Papierform", kritisieren die Berater von Mummert in einer Untersuchung. Im Durchschnitt gaben die Kreditinstitute im letzten Jahr rund zwölf Prozent ihres Gesamtbudgets für Konsolidierungsprojekte in diesem Bereich aus.
Zeitgleich arbeiten die Banken daran, ihre Rentabilität zu erhöhen. Fast alle Institute nutzen dabei Outsourcing und den Einsatz von Standardsoftware, um Prozesse zu automatisieren. "Die Banken nutzen dazu zum Beispiel immer stärker die Möglichkeiten der IT-gestützten Risikovorsorge in ihren Projekten", beobachtet Mummert-Partner Jens Kufer. Nicht nur Privatkredite werden immer häufiger auf der Grundlage standardisierter Softwaremodule vergeben. Auch im Firmenkundengeschäft, das die Mehrzahl der MDAX-Banken betreiben, sind mit Hilfe von Finanzanwendungen wie Summit der Kredit von der Stange und andere Standardfinanzierungsmodelle auf dem Vormarsch. 64 Prozent der von Mummert befragten Bankmanager sprechen sich dafür aus, die Kreditvergabe weiter zu automatisieren.
Vor diesem Hintergrund ist es keine Überraschung, dass neun von zehn Bankmanagern die Automatisierung, Standardisierung und Industrialisierung im Finanzbereich für ein wichtiges Unternehmensziel halten. Welches Projekt dabei zuerst angepackt wird, ist von Haus zu Haus verschieden. Alle CIOs teilen dabei aber eine Herausforderung: Sie dürfen sich nicht bei der Umsetzung verzetteln, auch wenn sie viele Baustellen gleichzeitig betreuen müssen. "Wir beobachten in den Banken einen immensen Nachholbedarf an Automatisierung", sagt Bob Giffords, Director Research and Consulting bei Financial Insights, "sodass es nun gilt, Prioritäten zu setzen und sich nicht in den mannigfaltigen Möglichkeiten, die sich aktuell bieten, zu verlieren."