Analyse.#85 – IT-Sicherheit und Finanztechnologie by Contentway

EINE UNABHÄNGIGE KAMPAGNE VON EUROPEAN MEDIA PARTNER

Nr. 85 Dezember 2021

IT-Sicherheit und Finanztechnologie EUROPEAN

Sonderpublikation in Die Welt im Dezember 2021

MEDIA PARTNER

Digitalisierung und Innovation Sichere Lösungen in allen Bereichen nutzen

Finanztechnologie | Claus-Peter Praeg, | Fraunhofer-Institut

„Digitalisierung ist viel mehr als der reine Technologieeinsatz.“ Seite 30

Lesen Sie weitere interessante Artikel auf analysedeutschland.de Finanztechnologie | Prof. Dr. Volker Brühl, | Uni Frankfurt

IT-Sicherheit | Eike Christoph Greth, | Otto Group

Wird Decentralized Finance die Zukunft in der Finanzwelt?

„Alte Gewohnheiten aufgeben“

Seite 36 und 37

Seite 14 und 15

Mehr Sicherheit für das Digitale-Ich.

„Die Digitalisierung bedeutet eine Anpassung der bestehenden Prozesse“, erklärt Greth.

Partner Content | Ernst & Young

Schutz vor Cyberangriffen und Datenklau Im Ernstfall ist ein funktionierendes NotfallmanageSeite 25 ment überlebenswichtig.

governikus.de

IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

ANALYSE

Recyclen oder weiterreichen!

analysedeutschland.de

WEITERE INHALTE IT Sicherheit 4. Susanne Dehmel, Bitkom e.V. 6. Expertenmeinungen 14. Eike Christoph Greth, Otto Group

Finanztechnologie 28. Tobias Tenner, Bankenverband 31. Digitale Transformation 32. Mobile Payment 36. Prof. Dr. Volker Brühl, CFS

ANALYSEDEUTSCHLAND.DE Rechtlich auf Nummer Sicher gehen Die Sicherung großer Datenvolumina ist auch juristisch eine große Herausforderung.

Ihnen die neue Kampagne „Analyse. IT-Sicherheit und Finanztechnologie“.

Abstandhalten, Sicherheitskonzepte und nicht

men in der IT elementar. Durch die Corona-Pandemie und insbesondere den daraus gestiegenen Anteil von Homeoffice wurde deutlich, wie hoch der Nachholbedarf in puncto IT-Sicherheit ist – durch alle Branchen hinweg. Dabei liegen die Lücken nicht nur, wie man erst einmal vermuten könnte, bei kleinen Unternehmen: Selbst KMU sowie große Konzerne können schneller als gedacht Opfer von Cyberattacken werden.

zuletzt auch der praktische Nutzen haben die Entwicklung sowie Verbreitung von digitalen Bezahlweisen und Innovationen der Finanztechnologie weiter gefördert und vorangetrieben. Man könnte jetzt denken, dass insbesondere die jüngere Zielgruppe viel Wert darauf legt, auch digital und somit kontaktlos bezahlen zu können. Nicht zu unterschätzen sind aber auch ältere Generationen, die den Nutzen der neuen Möglichkeiten ebenso zu schätzen wissen – und an den jeweiligen Kassen etc. auch erwarten. In dem Zuge ist es für Banken und Sparkassen aber auch notwendig, sich anzupassen und mit den Entwicklungen zu gehen, um weiterhin die Kundenzufriedenheit im Zentrum der Tätigkeiten zu haben.

und O, schließlich können Sicherheitslücken verschiedenste Ursachen haben: Von den Mitarbeitern über Viren bis hin zu bewussten Angriffen von außen. Insbesondere der Sensibilisierung des Managements kommt hier eine tragende und nicht zu unterschätzende Rolle zu. In unserer Kampagne erfahren Sie, wie Sie sich, Ihr Unternehmen, Ihre Mitarbeiter und alle wichtigen Daten genau vor so einer Katastrophe schützen können.

Um dies schadens- und

Wir wünschen Ihnen viel

risikofrei zu ermöglichen, sind erhebliche Maßnah-

ANALYSE. #85 IT-Sicherheit und Finanztechnologie

Spaß beim

Campaign Manager: Manh Nam Nguyen, Mira Khanna Geschäftsführung: Nicole Bitkin Editor: Alicia Steinbrück Art Director: Aileen Reese Text: Theo Hoffmann, Christiane Meyer-Spittler, Jörg Wernien, Chan Sidki-Lundius, Thomas Soltau, Armin Fuhrer, Katja Deutsch, Jakob Bratsch, Kirsten Schwieger, Helge Strömer, Frank Tetzel Coverfoto: Ivan Samkov/pexels, Presse, EY Distribution&Druck: Die Welt, 2021, Axel Springer SE

Im Jahr 2021 sahen 78 % der befragten Unternehmen die Rechtsunsicherheit als eine der größten Herausforderungen bei der Umsetzung der DSGVO an. 59 % der deutschen Unternehmen setzen auf „Security by Design“, berücksichtigen also die IT-Sicherheit bei der Entwicklung ihrer Produkte und Anwendungen von Beginn an.

FOLGE UNS! Bleiben Sie mit unseren neuesten Kampagnen auf dem Laufenden auf unseren sozialen Kanälen.

EXKLUSIVE ONLINE INHALTE

Seite 8

Sehen Sie sich exklusive Filme und Videos auf unserer Website an.

Markus Jerger, Bundesgeschäftsführer des BVMW

Seite 26

Prävention ist das A

Lesen und Informieren!

ANALYSEDEUTSCHLAND.DE Finanzdienstleistungsbranche im Wandel Die Branche braucht drei Dinge, um verlorenes Vertrauen zurück zu gewinnen.

AUCH IN DIESER AUSGABE:

ANALYSE. #85 IT-SICHERHEIT UND FINANZTECHNOLOGIE uropean Media Partner präsentiert

ANALYSEDEUTSCHLAND.DE Datenschutz in Unternehmen in Zeiten von Corona Die Digitalisierung stellt viele Unternehmen vor neue Herausforderungen.

Prof. Dr. Claudia Eckert, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC

Auf unserer Website finden Sie viele weitere interessante Artikel und Interviews.

Seite 40 Prof. Dr. Philipp Sandner, Leiter des Blockchain Centers der Frankfurt School of Finance & Management

European Media Partner Wir erstellen Online- und Printkampagnen mit wertvollen und interessanten Inhalten, die an relevante Zielgruppen verteilt werden. Unser Partner Content und Native Advertising stellt Ihre Geschichte in den Vordergrund.

Die Ausgaben für IoT-Sicherheit im Jahr 2021 sollen sich auf rund 3,1 Milliarden US-Dollar belaufen.

Die Inhalte des „Partner Content“ in dieser Kampagne wurden in Zusammenarbeit mit unseren Kunden erstellt und sind Anzeigen.

Herausgegeben von: European Media Partner Deutschland GmbH Rödingsmarkt 20 DE-20459 Hamburg

Für die Lesbarkeit verwenden wir das generische Maskulinum. Die Formulierungen sprechen alle Geschlechter gleichberechtigt an.

Tel.: +49 40 87 407 400 Email: de@europeanmediapartner.com Web: www.europeanmediapartner.com

83 % der Unternehmen, die Künstliche Intelligenz zum Schutz einsetzen, gaben an, die KI zur Erkennung von Cyberangriffen zu verwenden. Zur Prävention wurden KI-Systeme von 64 % der Unternehmen genutzt.

Die weltweiten Ausgaben für Identity & Access Management beliefen sich im Jahr 2020 auf 12,04 Milliarden US-Dollar. Quellen: Statista, BKA; Icons: Pixabay

ANALYSE

BOSCH – Partner Content

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Richtige Partner für Cybersecurity finden partner content

Für IT-Security-Verantwortliche in Unternehmen ist es oft zeitaufwändig, passende Partner zur Unterstützung ihrer Arbeit zu finden. Eine unabhängige B2B-Plattform kann dabei helfen. Derzeit stehen die IT-Abteilungen von Unternehmen bei einer ganzen Reihe von Themen im Zentrum oder sind zumindest stark beteiligt, um beispielsweise die digitale Transformation voranzutreiben. IT-Security bildet dabei nur einen Teil ihres Aufgabenspektrums, obwohl sie ja ziemlich komplex ist und viele Facetten dabei berücksichtigt werden müssen. Dazu gehören organisatorische Maßnahmen mit Blick auf die Netzwerksicherheit, aber eben auch unpopuläre Entscheidungen wie z. B. ein Verbot von USB-Sticks. Zusätzlich ist der Markt von vielen finanzstarken Anbietern besetzt, die viel in Marketing investieren. Kombiniert mit einem signifikanten Fachkräftemangel bedeutet dies oft, dass IT-Abteilungen mit Informationen und Entscheidungen überflutet sind. Nehmen wir als Beispiel einen Klassiker im Bereich Cybersecurity: den Penetrationstest. Diese Dienstleistung wird von hunderten Anbietern angeboten und das in unzähligen Varianten. Nur wenn zuvor

konkrete Anforderungen and den Test klar benannt werden, kann ein spezialisierter Profi zufriedenstellend testen, sodass IT-Abteilungen mithilfe der Ergebnisse konkret an den identifizierten Schwachstellen arbeiten können. Ansonsten verpufft auch eine fünfstellige Investition schnell ohne Nutzen. In diesem Dschungel von Anbietern und Möglichkeiten den Durchblick zu behalten, ist für eine IT-Abteilung allein eine sehr aufwendige Arbeit.

”

„Das Thema Security Operations Center (SOC) etwa wird derzeit immer populärer, da es eine durchgängige Überwachung der Systeme ermöglicht.“ Nach welchen Kriterien aber kann man einen passenden Anbieter finden? Ein Cybersecurity-Marktplatz, wie ihn Bosch CyberCompare geschaffen hat, hat sich zur Aufgabe gemacht, aus zahlreichen Kunden-

projekten sowie Bosch-eigenen Projekten relevante Spezifikationen abzuleiten, die notwendig sind, um eine Ausschreibung effektiv durchzuführen. Mit diesen Daten lassen sich anonym die Anbieter anfragen, die optimal zu dem Profil eines bestimmten Kunden passen. Durch die anonyme Ausschreibung werden die Informationen des Kunden nicht breit im Markt gestreut. Außerdem ist CyberCompare durch die bestehende Marktübersicht in der Lage, eine große Anzahl verschiedener Anbieter abzudecken und vergleichbar zu machen. Als unabhängiger Spieler ist man dabei an keine Exklusivitäten oder Partnerverträge gebunden, sondern arbeitet stattdessen immer im Auftrag des Kunden. Pro Themengebiet werden bei dieser Arbeit typischerweise sechs bis zehn spezifische Kriterien erstellt, anhand derer man die Rückmeldungen der Anbieter bewertet. Das reicht z. B. von dem Scope der Lösung über Fragen der Integration, User Experience bis hin zu Projektreferenzen und natürlich dem Preisleistungsverhältnis. Der Vorteil ist, dass die Angebote und Lösungskonzepte der Anbieter analysiert und objektiv anhand von Fakten, Erfahrungen aus der Bosch Gruppe und bereits erfolgten CyberCompare Projekten bewertet werden. Rückfragen der Anbieter zu klären, Angebote auszuwerten und vergleichbar zu machen, kostet IT-Mitarbeiter

oft viel Zeit. Hier kann CyberCompare auf die Erfahrung aus ähnlichen Projekten zurückgreifen und damit effiziente Abläufe sicherstellen. Natürlich behalten Plattformen wie CyberCompare die neusten Entwicklungen auf dem Anbietermarkt der Cybersecurity im Auge. Das Thema Security Operations Center (SOC) etwa wird derzeit immer populärer, da es eine durchgängige Überwachung der Systeme ermöglicht. Aufgrund der fehlenden Kapazitäten zum Auf bau eines internen SOC, gerade bei Unternehmen mit 500 bis 8.000 Mitarbeitern, kommt meist nur ein SOC als Managed Service in Frage, welches durch einen Dienstleister betrieben wird. Jedoch fällt die Auswahl des passenden Partners oft schwer, da der Markt durch die Vielzahl an Angeboten unübersichtlich ist. Generell kann man in nahezu allen Security-Bereichen eine deutliche Zunahme an neuen Lösungen und Start-ups mit innovativen Ansätzen zu den Themen Mitarbeiter-Awareness bis hin zu komplexen Managed Services beobachten. Der Austausch mit erfahrenen Marktspezialisten hilft dabei, sich zu orientieren und ist ein guter erster Schritt, um die eigene IT-Sicherheit und auch die Sicherheit der Betriebstechnik (OT), sowie Internet der Dinge (IoT) auf dem aktuellen Stand zu halten – oder zu bringen.

Cybersecurity von morgen beginnt heute

CyberCompare Jetzt geprüfte Anbieter für IT-/OT-Security finden & vergleichen!

Transparent Anonymisiert

Individualisiert Unabhängig Praxiserprobt www.cybercompare.com/welt

IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Cybersicherheit als Qualitätsmerkmal begreifen! einleitung Es kann alle treffen – unabhängig von Größe, Branche, Umsatz oder Bundesland: Kein Unternehmen ist in der heutigen Zeit vor Cyberangriffen sicher. Und so richtet sich das Augenmerk vieler Unternehmen verstärkt auf die Sicherheit ihrer Informationstechnologien. Das war überfällig, denn deren Standhaftigkeit entscheidet mit über den Erfolg und die digitale Souveränität unseres Standortes. Aus diesem Grund muss die Cyber- und IT-Sicherheit in der neuen Legislaturperiode als ein politischer Schwerpunkt etabliert werden. Foto: Till Budde

als fataler Irrtum herausstellen. Neben dem fehlenden Verständnis für die eigene Attraktivität als Unternehmen für Cyberkriminelle, mangelt es an Personal und Ressourcen. Zahlreiche unzureichend digitalisierte Prozesse, die individuell vor Ort gesteuert und betreut werden, tun ihr Übriges. Alte, fehlerhafte und nicht gepatchte Systeme spielen hierbei natürlich eine Schlüsselrolle. Das kann sich

deshalb als Qualitätsmerkmal begreifen – und nicht als lästige Kostenposition. Man kann heute keine erfolgreiche Firma mehr betreiben, ohne diese Thema mitzudenken. Ein zentrales Problem ist dabei, dass Cybersicherheit noch immer rein technisch und als Aufgabe der IT-Abteilung verstanden wird. Neben technischen Lösungen gehört zu einem robusten Sicherheitsmanagement aber auch, Mitarbeitende zu schulen, Prozesse für den Notfall aufzusetzen und das Sicherheitskonzept regelmäßig zu überprüfen. Unternehmen müssen Cybersicherheit

och damit nicht genug: IT-Sicherheit endet nicht im politischen Berlin oder an der Türschwelle großer Konzerne. Hackerangriffe können genauso Selbstständige, Familienunternehmen oder Handwerksbetriebe treffen. Wenn Computersysteme verschlüsselt werden, ist der Zugriff auf Kundendaten, genauso wie die Bedienung von Produktionsanlagen, in Gefahr. Plötzlich kann die Existenz auf dem Spiel stehen. Unseren aktuellen Studien zufolge sieht jedes zehnte Unternehmen in Deutschland seinen geschäftlichen Fortbestand durch Cyberattacken bedroht. Der Löwenanteil von dem,

Unternehmen müssen Cybersicherheit als Qualitätsmerkmal begreifen.

was wir im Cyberraum beobachten, ist geschäftsgetrieben. Kriminelle sind häufig auf das schnelle Geld aus. Deshalb müssen sich Unternehmen bemühen, nicht am unteren Ende der Nahrungskette zu stehen. Viele Unternehmen unterliegen leider noch immer einem Trugschluss: Bislang ist alles gutgegangen, das wird auch so bleiben.

Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit Bitkom e.V.

Kein Unternehmen ist in der heutigen Zeit vor Cyberangriffen sicher.

Deshalb darf Cybersicherheit nicht unkoordiniert in den Händen von vielen liegen. Es braucht einen zentralen Verantwortungsbereich auf Führungsebene, wo Prioritäten festgelegt und Budgets kanalisiert werden. Nur so kann eine gesamtheitliche Sicherheitskultur gefördert und ein robustes Sicherheitsmanagement aufgebaut werden. Für diese wichtige Aufgabe wünsche ich Ihnen beim Lesen spannende Impulse und freue mich selbst auf aufschlussreiche Einblicke. ANZEIGE

WE ARE HIRING! Journalist (m/w/d) Du schreibst gerne und eignest dir schnell Wissen zu verschiedenen Themenschwerpunkten an, dann bist du bei uns an der richtigen Adresse! Haben wir dein Interesse geweckt? Dann schicke uns deine Bewerbung an: bewerbung@europeanmediapartner.com Oder melde dich bei Madeleine Buyna unter der Telefonnummer: +49 40 87 407 417

ANALYSE

ELEKS – Partner Content

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Digitale Transformation braucht Struktur Die Auswirkungen der Digitalisierung auf Unternehmen sind immens. Doch nur, wenn sie maßgeschneidert sind, ergeben sie Sinn. Deutschland muss sich auf dem Weg zur digitalen Transformation bewegen. Viel Handlungsbedarf bei der Digitalisierung sieht auch eine ifo-Studie im Auftrag der IHK für München und Oberbayern. Deutschland zeige bislang im internationalen Vergleich bei der Digitalisierung „eine deutliche Tendenz zum Mittelfeld“, sagt ifo-Experte und Studienautor Oliver Falck. Viele drängen auf die digitale Unternehmenstransformation, die durch die Corona-Pandemie einen deutlichen Boost erhalten hat. Doch der Umbau

”

„Die digitale Transformation funktioniert nur dann, wenn man das ganze System integriert.“

der IT-Landschaft scheitert häufig an elementaren Problemen. „Es bedarf einer tiefen Analyse des Unternehmens. Erst danach wird klar, ob die Transformation überhaupt sinnvoll erscheint“, sagt Dr. Lyubomyr Matsekh, Head of Strategic Technology Consulting bei ELEKS. Nachhaltigkeit, Sinnhaftigkeit, maßgeschneiderte Konzepte und umfassende Beratung seien wichtig, so der Experte. Der digitale Wandel in Unternehmen ist unabwendbar. Warum tun sich trotzdem so viele Firmen schwer mit der Umsetzung, Herr Dr. Lyubomyr Matsekh? Bevor man eine technische Strategie entwickelt oder die Strategie entwickelt, muss man immer an die Geschäftsstrategie denken. Wo bin ich in 20 Jahren? Bin ich überhaupt noch am Markt? Wie passt die digitale Strategie in das Ganze, was ich mache? An diesem umfangreichen Prozess scheitern Firmen häufig. Sie entwickeln irgendwas, aber zu welchem Zweck, mit welchem Sinn, bleibt offen. Es geht bei der digitalen Transformation generell um Optimierung, Automatisierung oder Erschließung neuer Geschäftsfelder. Diesen Zweck von digitaler Transformation müssen Firmen verstehen. Wie gelingt es, die digitale Transformation von Unternehmen schneller voranzutreiben, um auf neue Marktanforderungen zu reagieren? Zuerst muss erstmal Vertrauen durch Kommunikation aufgebaut werden. Denn

res

partner content

Fo t

o: P

Dr. Lyubomyr Matsekh, Head of Strategic Technology Consulting bei ELEKS die digitale Transformation funktioniert nur dann, wenn man das ganze System integriert. Um das zu erreichen, sollte man in die Mitarbeiter investieren und sie mit den IT-Produkten experimentieren lassen. So begreifen alle den digitalen Wandel im Unternehmen und entwickeln ein geschärftes Mindset. Welche sichtbaren Erfolge bringt die digitale Transformation – und wie sieht es mit der Reduktion von Kosten aus? Es gibt verschiedene Optionen, wie man Geld einsparen kann. Etwa in der Logistik. Hier sitzen Menschen den ganzen Tag am Telefon und müssen Lkw-Touren mit Waren organisieren – auch in der Nacht. Das kostet Geld und Ressourcen. Diese Prozesse zwischen Fahrern und Distribution lassen sich digital optimieren. Durch Automatisierung der Datenerhebung können Unternehmen die Personalkosten

”

„Der Umbau der IT-Landschaft scheitert häufig an elementaren Problemen.“ optimieren. Aber dann sollte die HR-Abteilung für die weggefallene Arbeit anderer Tätigkeiten fürs Personal beschaffen. So erzielen Firmen sichtbare Erfolge. Firmen wünschen sich häufig die digitale Transformation, können diese aber nicht eigenständig vorantreiben. Wie wichtig ist Technology Consulting? Gute Beratung ist der Schlüssel zum Erfolg. Die umfangreiche Unterstützung ist bei ELEKS absolut maßgeschneidert für das Unternehmen. Wir arbeiten mit unseren Kunden von Anfang bis Ende konstruktiv zusammen – und stellen nicht nur, wie einige Mitbewerber, ein Template zur Verfügung. Wir halten den direkten Kontakt mit jedem Teammitglied, um mit ihnen zusammen die IT zu verbessern. Das sind dann maßgeschneiderte Lösungen mit dem Input unserer Kunden und der Expertise von ELEKS. Welche Herausforderungen warten auf Firmen in der Zukunft? Nachhaltigkeit und das Lieferkettengesetz sind die wichtigen Themen in den nächsten Jahren. Und das wird für Unternehmen ein großes Problem. Darauf müssen sie durch Transparenz, Optimierung und digitale Transformation reagieren. Besonders jüngere Menschen verlangen, dass die Warenströme transparent ablaufen. Sie wollen wissen, wo die Produkte herkommen. Und zur Nachhaltigkeit: Digitalisierung können wir dort einsetzen und etablieren, wo es Sinn ergibt und Projekte nachhaltig umgesetzt werden können. Homeoffice vermeidet unnötigen Individualverkehr. Viele Prozesse lassen sich heute mit digitalen Tools wie Videotelefonie, oder digitalen Projektmanagement Tools umsetzen.

Für weitere Informationen einfach den QR-Code scannen oder auf unsere Website gehen: eleks.com/de

IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnergermany

Foto: Presse

Ralf Werner, Chief Innovation Officer bei OGE

Dejan Kosmatin, Interim-Manager und Managementberater im digitalen Wandel

Cybersicherheit fängt für mich immer beim Menschen an, also bei mir, meinen Kollegen, meinen Geschäftspartnern, aber auch in meinem privaten Umfeld. Die sicherste Technologie und der sicherste „Zero Trust“-Ansatz verpuffen wirkungslos, wenn Menschen sich bewusst oder unbewusst falsch verhalten. Das bedeutet konkret eine tägliche Überwindung des inneren Schweinehunds, den unbequemen Weg zu gehen, beispielsweise bei der Passwortvergabe, bei der Aufklärung seines Umfelds, aber auch beim Nachhalten und Abarbeiten von bekannten Security Lücken, z. B. durch „Security by Design“-Ansätze bei unseren Dienstleistern. Das Mindset aller Mitarbeiter sollte sein: „Egal wie viele Sicherheitsmaßnahmen zum Tragen kommen, der schwächste Punkt der Kette wird irgendwann überwunden werden, da Angreifer den Verteidigern immer zwei Schritte

voraus sind.“ Das heißt die Awareness aller Stakeholder, vom Topmanagement bis zum Mitarbeitenden, und – in Zeiten von New Work und verstärktem Homeoffice – auch der Familie, muss ständig vorhanden sein. Cybersecurity hört nicht an der Unternehmensgrenze auf. Drei Punkte sind mir besonders wichtig: 1. Wir benötigen ein robustes Ökosystem mit unseren Partnern, in dem Transparenz über die Sicherheitslage, Kenntnis über mögliche (neue) Angriffsvektoren, gemeinsame Abwehrmaßnahmen und ein Security-sensibles Mindset der Standard sind. 2. Außerdem schaffen hohe Sicherheitsstandards in jedem Produkt Vertrauen und Verbindlichkeit. 3. Das Need-to-knowPrinzip stets forcieren und leben – also im Klartext beispielsweise nicht einfach Daten veröffentlichen und hoffen, dass es niemand es sieht oder diese braucht.

Zweifelsohne bei der informationellen Autonomie und der Privatsphäre von Kunden, Konsumenten und Privatpersonen überhaupt. Es ist eine Frage der Informationsethik in der global vernetzen Welt, in der der Datenschutz und die IT-Sicherheit auf digitale Herausforderungen Antworten finden muss. Unsere Informationsgesellschaft braucht eine Ethik, die zeigt, wie wir uns moralisch in der IT- und neuen Medienwelt verhalten und neue digitale Technologien nutzen sollen. In Anlehnung an den kategorischen Imperativ (Kant), die formuliert und danach fragt, was gemäß des geltenden Werteverständnisses gemacht werden darf oder kann. So ein normatives Orientierungswissen für digitale Anwendungen über IoT bis Industrie 4.0 ermöglicht Kooperationen zwischen Privatpersonen und Unternehmen unter dem Gesichtspunkt der Corporate Social Responsibility. Das ist Aufgabe von Unternehmen und der Wirtschaftsethik und steht im Sinne der gesellschaftlichen

Verantwortung. Die Digitalisierung von Geschäftsprozessen eröffnet nicht nur neue Chancen, sie bietet auch viel Spielraum für Cyberattacken und -kriminalität und damit den Missbrauch sensibler Daten von Privat- und juristischen Personen gleichermaßen. Die Ethik und Moral in diesem Zusammenhang ist ein Zusammenspiel aus Vertrauen und Verantwortung jedes Einzelnen, die auf Aufklärung und Transparenz der Unternehmer basiert, damit eine stabile Volkswirtschaft funktionieren kann.

Netzbetreiber.

Thomas Mannmeusel, CIO bei Webasto SE

Führungsverantwortung, politisch oder unternehmerisch, verpflichtet zu den Bemühungen, die gesetzten Ziele bei gleichzeitiger Beachtung der fundamentalen Werte menschlicher Würde und der spezifischen Verhaltensregeln innerhalb eines aktuellen Situationskontextes zu erreichen – am besten als Handlungsmaxime von Heinz v. Foerster (ethischer Imperativ): „Handle stets so, dass die Anzahl der Wahlmöglichkeiten größer wird!“

Die Kosten/Verluste von Cyberattacken im Jahr 2021 in Deutschland betragen durchschnittlich 21.818 Euro je Vorfall.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete im Jahr 2021 rund 14,8 Millionen Meldungen zu SchadprogrammInfektionen an deutsche

Foto: Webasto Group

Foto: Presse

Wo fängt Cybersicherheit an?

76 % der Befragten gaben an, dass sie bereits CloudDienste (Privateoder PublicCloud) in ihrem Unternehmen einsetzen.

In einer zunehmend vernetzten Welt geht Cybersecurity weit über technische und organisatorische Maßnahmen in Unternehmen, Organisationen, Behörden, etc. hinaus. Es ist vielmehr eine Aufgabe, die jede Person, jede Familie, jede gesellschaftliche Gruppe in irgendeiner Form betrifft. Oft fehlt das Wissen, wie man sich in einer virtuellen Umgebung so verhält und bewegt, dass Risiken für sich selbst und für andere so weit wie möglich minimiert werden. Stattdessen herrscht häufig ein blindes Vertrauen in technische Schutzmechanismen. Eine Analogie zur Verkehrserziehung bis hin zu Verkehrsregeln und zum Führerschein ist wohl nicht völlig abwegig – mit dem Unterschied, dass sich die Gefahrensituation im Bereich Cybersecurity wesentlich schneller ändert als im Straßenverkehr. Es mag vielleicht eine Binsenweisheit sein, aber die kontinuierliche Schärfung des Bewusstseins für die echten Risiken und das richtige Verhalten muss meines Erachtens bereits im Kindergarten beginnen. Von da an begleitet uns das Thema im privaten und auch im geschäftlichen Alltag permanent und ein Leben lang.

Oft fehlt das Wissen, wie man sich in einer virtuellen Umgebung so verhält und bewegt. Texte: Jakob Bratsch

Eine weltweit durchgeführte Umfrage aus dem Jahr 2021 ergab, dass rund 46 Prozent der befragten Unternehmen in Deutschland mindestens ein Mal Opfer einer CyberAttacke geworden waren.

In Deutschland gibt es derzeit 94.301 IT-Unternehmen. Quellen: Statista, BSI; Icons: Pixabay

ANALYSE

Drivelock – Partner Content

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

„Prävention ist für Firmen das A und O“ partner content

Cyber-Attacken sind eine große Gefahr, aber effektiver Schutz ist möglich, erklärt Andreas Fuchs, Strategist des Anbieters von Cybersecurity-Lösungen Drivelock.

res

:P o to

Andreas Fuchs, Strategist bei Drivelock

Herr Fuchs, die Digitalisierung nimmt mehr und mehr an Fahrt auf. Bringt das Gefahren für die IT-Sicherheit mit sich? Die digitale Transformation hat große Vorteile, birgt aber tatsächlich auch Gefahren, weil sie große Angriffsflächen für Cyberattacken bietet. Denn dadurch wird Kriminellen die Möglichkeit eröffnet, sich unzulässigerweise Daten anzueignen oder die IT von Unternehmen oder Behörden mittels Ransomware zu sperren und sie erst nach der Zahlung eines Lösegeldes wieder freizugeben. Der Schaden kann immens sein und weit über den eigentlichen Datendiebstahl hinausgehen. Wenn auf diese Weise beispielsweise auch Kundendaten eines infiltrierten Unternehmens

betroffen sind, kann das einen großen Vertrauensverlust auslösen. Lange haben die Unternehmen diese Gefahr nicht sehr ernst genommen. Hat sich das geändert? Ja, das Bewusstsein ist gewachsen. Inzwischen mussten sogar schon CEOs nach erfolgreichen Angriffen ihren Hut nehmen, weil sie nicht für die erforderlichen Sicherheitsmaßnahmen gesorgt hatten. Aber nach wie vor ist viel Auf klärungsarbeit nötig, und gerade während der Pandemie sind die Gefahren weitergewachsen. Inwiefern? Durch den Umzug ins Homeoffice arbeiten die Mitarbeitenden nicht mehr in ihren bisherigen sicheren Umgebungen. In vielen Fällen sind ihre Endgeräte Zuhause keine gesicherten Endpoints, zumal, wenn es sich um ihre privaten Geräte handelt. Und auch die IT musste ja plötzlich von Zuhause arbeiten. Das machte die Sache nicht einfacher. Vieles muss neu gedacht werden. Welches sind denn die gefährlichsten Eintritts Tore für Cyber-Angriffe? Am gefährlichsten sind immer noch Phishing-Emails. Ein Mitarbeitender klickt auf den Anhang einer Mail, den Bad-URL, und lädt sich einen Virus herunter, der das ganze System befallen kann. Die Angreifer gehen immer häufiger gezielt an bestimmte Personen, zum Beispiel den CEO oder den Finanzvorstand. Der Virus kann sich lateral, also seitwärts, innerhalb des Unternehmens weiterbewegen. Es handelt sich dabei um einen sogenannten Advanced

Persistent Threat (APT). Auch Wechselträger wie USB-Sticks können gefährliche Viren haben und sie weiterverbreiten, wenn ein Mitarbeitender sie in sein Endgerät steckt. Grundsätzlich sehen wir auch immer mehr Angriffe per Bots und über CloudNative-Applikationen. Auch die Rechenzentren werden mit Schadsoftware oder Trojanern infiltriert. Die Bedrohung ist also vielfältiger geworden. Eine Firewall und ein Antivirenprogramm reichen bei weitem nicht aus. Welche Rolle spielt der menschliche Faktor? Das Thema Security Awareness, also die Gefahren der IT-Sicherheit bewusst zu machen, spielt eine große Rolle im Kampf gegen Cyberattacken. Der Mensch ist die erste und die letzte Verteidigungslinie in einer ganzheitlichen Sicherheitsstrategie. Daher müssen die Mitarbeitende erkennen, wie wichtig sie als Teil der Sicherheitsstruktur sind. Unternehmen müssen eine richtige Cybersicherheitskultur entwickeln, IT-Sicherheit muss Teil der DNA der Belegschaft werden. Wie unterstützt Drivelock die Unternehmen? Wir unterstützen sowohl große Kunden mit mehr als 100.000 Endgeräten als auch kleinere Mittelständler ohne eigene IT-Sicherheitsabteilung, und zwar sowohl on premise als auch in der Cloud. Und zusätzlich haben wir unsere Security-Plattform, um verschiedene kritische Sicherheitskontrollen zu implementieren, wie es zum Beispiel vom BSI empfohlen wird. Wir haben eine ganze Reihe von Modulen im

www.drivelock.com

Angebot, die ganz individuell implementiert werden können und ineinandergreifen. Das bedeutet, dass mehrere Module mehr sind als die Summe ihrer Einzelteile.

”

„Unternehmen müssen eine richtige Cybersicherheitskultur entwickeln, IT-Sicherheit muss Teil der DNA der Belegschaft werden.“ Wie gehen Sie vor? Wir haben vier Prozessschritte. Wir beginnen mit einem Discovery, das untersucht, welche Endgeräte, Software und Schwachstellen es gibt. Als nächstes etablieren wir Präventionsmaßnahmen, die auf mehreren Säulen basieren. Prävention ist das A und O, weil jeder Angriff, der präventiv vermieden wurde, später nicht erkannt und eingedämmt werden muss. Drittens geht es um die Erkennung – alles, was den Präventionsmaßnahmen durchgeschlüpft ist, muss anschließend erkannt werden. Wenn ein Rechner infiziert ist, wird er viertens, mit zusätzlichen ResponseMaßnahmen z. B. isoliert.

IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Unternehmen müssen IT-Sicherheit zur Chefsache machen statement Markus Jerger, Bundesgeschäftsführer des BVMW, über die Gefahr von Cyberangriffen in Unternehmen. Text: Katja Deutsch Foto: C.Kruppa

ast jedes zweite mittelständische Unternehmen ist von Cyberangriffen betroffen. Doch trotz gewachsenem Bewusstsein wandeln KMU dieses zu selten in konkrete Schutzmaßnahmen um. Cyber-Kriminelle nutzen gerne den Faktor Mensch, um beispielsweise durch Social Engineering sensible Daten zu erhalten. Immer noch öffnen Mitarbeiter leichtfertig Anhänge oder Links. Mit der Verlagerung analoger Prozesse ins Digitale während der Corona-Pandemie wurde auch das Homeoffice ein größeres Einfallstor für Cyberangriffe.

machen Angriffe durch Schadsoftware aus, beispielsweise über Ransomware- oder Spyware-Attacken, bei denen Daten verschlüsselt oder ausgespäht werden. Angriffe über Phishing-E-Mails sind häufig, aber auch DDoS-Angriffe, bei denen Server gezielt überlastet werden, nahmen zu. Die finanziellen Folgen können für kleine Betriebe existenzbedrohend sein, denn die Angriffe treffen auch die Informations- und Produktionssysteme. Selbst die Erpressung von Lösegeldern ist im Mittelstand keine Seltenheit mehr. Einen großen Teil

Markus Jerger, Bundesgeschäftsführer des BVMW

Mit der Verlagerung analoger Prozesse ins Digitale während der Corona-Pandemie wurde auch das Homeoffice ein größeres Einfallstor für Cyberangriffe.

Angriffe werden oft sehr schwer oder gar nicht erkannt. Unternehmen fürchten neben dem Verlust von Kunden- und Unternehmensdaten einen erheblichen Imageschaden – ein Grund, weshalb die

Informationssicherheit muss als strategisches Thema betrachtet werden und gehört auf die Leitungsebene.

Firewall, doch nur wenige erstellen regelmäßige Datensicherungen oder erarbeiten Krisenreaktionspläne. Gerade kleinere Betriebe haben zumeist weder eine eigene IT-Abteilung noch entsprechende Beurteilungskompetenz bei der Auswahl externer IT-Dienstleister. dass noch immer zu viele Mittelständler einen zu geringen Teil ihrer IT-Ausgaben in Cybersicherheit investieren. Bei mehr als 50 Prozent dient lediglich ein Zehntel der IT-Ausgaben der Cybersicherheit, Experten raten jedoch zu rund 20 Prozent. Es kommt hinzu,

Fälle nicht immer an die Öffentlichkeit gelangen. Angriffe zielen auf den Diebstahl sensibler Daten, wie Kommunikationsdaten aus E-Mails, Finanz-, Mitarbeiter- oder Kundendaten, oder aber die Verfügbarkeit von Systemen, die aufgrund der zunehmenden Vernetzung zwischen Unternehmen, Lieferanten und Kunden eine immer wichtigere Rolle spielt. Der Ausfall von Systemen hat gravierende Folgen für den Betriebsablauf. Aber auch Angriffe mit Ransomware, deren Ziel die Erpressung von Lösegeldern ist, häufen sich. Ein Großteil der Attacken kommt dabei Hobby-Hackern oder Privatpersonen und erfolgt ohne konkretes Ziel. Der gezielte Diebstahl sensibler Daten geht von der organisierten- und Auftragskriminalität aus, nicht selten sind auch ausländische Geheimdienste im Spiel. Viele mittelständische Unternehmen

verfügen über technischen Basisschutz, beispielsweise Virenscanner oder

Angriffe zielen oft auf den Diebstahl sensibler Daten, wie Kommunikationsdaten aus E-Mails, Finanz-, Mitarbeiter- oder Kundendaten.

zum kleinen Einmaleins – und werden trotzdem immer noch zu wenig berücksichtigt. Vor dem Hintergrund der laut BSI täglich 553.000 neuen registrierten Schadprogramm Varianten ein brandgefährliches Versäumnis. Regelmäßig Updates gehören

strategisches Thema betrachtet werden und gehört auf die Leitungsebene. Gleiches gilt für die Resilienz bei Cyberangriffen. Nur wenn Unternehmen Reaktionsmechanismen und Notfallpläne erarbeitet haben, ist im Krisenfall klar, was zu tun ist. Die Lehre für Unternehmen kann daher nur sein, IT-Sicherheit zur Chefsache zu machen und sie bei allen Digitalisierungsvorhaben mitzudenken. Informationssicherheit muss als

ANALYSE

Eine unabhängige Kampagne von European Media Partner

genua GmbH – Partner Content

analysedeutschland.de

„Wir müssen den Ernstfall trainieren“ partner content

Angriffe auf IT-Systeme häufen sich. Umso wichtiger ist es, diese Risiken zu erkennen und die Funktionsfähigkeit zentraler Prozesse zu erhalten. Firmen wie die genua GmbH helfen dabei, digitale Infrastrukturen zu schützen.

res

Fo t

o: P

Matthias Ochs, Geschäftsführer genua GmbH Die Digitalisierung schreitet voran und hat durch die Corona-Pandemie einen zusätzlichen Schub erhalten. Besonders der Wandel vom Büro zum weniger datensicheren Homeoffice hat Schattenseiten. Angriffe von Hackern gehören zur alltäglichen Bedrohung für jeden. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro, so eine aktuelle Studie des Digitalverbands Bitkom. Neun von zehn Unternehmen waren 2020/2021 von Angriffen betroffen. Einen hundertprozentigen Schutz gibt es nicht. „Die aktuelle Bitkom-Studie macht deutlich, wie wichtig eine resiliente Wirtschaft für den Standort Deutschland ist“, erklärte Verfassungsschutz-Vizepräsident Sinan Selen. Doch was tun, wenn ein Angriff die Server lahmlegt? Matthias Ochs, Geschäftsführer der genua GmbH, betont, dass jede IT-Strategie Cyber-Resilienz als zentrales Leitbild integrieren und umsetzen sollte. Herr Ochs, was ist Cyber-Resilienz? Cyber-Resilienz ist die Widerstandsfähigkeit von Unternehmen, deren digitale Infrastrukturen angegriffen werden – und zum anderen die Fähigkeit, nach einem erfolgreichen Angriff schnell wieder in den operativen Betrieb zurückzukommen. Wichtigstes Ziel ist es, die Funktionsfähigkeit zentraler Prozesse aufrecht zu erhalten.

www.genua.de

Der Fokus liegt dabei nicht auf hundertprozentiger, sondern adäquater Sicherheit. Warum sollte Cyber-Resilienz für jedes Unternehmen zum zentralen Leitbild werden? Wir sprechen meist nur über IT-Sicherheit und dass wir einen maximalen Schutz aufbauen müssen. Die Resilienz ist breiter gefasst, denn ein Angriff durch Hacker ist heute sehr wahrscheinlich. Es gilt weit über die Verteidigung von IT-Systemen hinausdenken. Sämtliche Sicherheitsrisiken sollten Verantwortliche aktiv managen und gleichzeitig Cyber-Resilienz als Kerneigenschaft von IT-Systemen etablieren. Es ist ein großer Vorteil, wenn man diese Parameter für den Aufbau der IT-Infrastruktur berücksichtigt. Welche typischen Sicherheitslücken gibt es in der IT? Angriffe durch E-Mail sind ein großes Thema. Wenn die HR-Abteilung Bewerbungen per Mail erhält, kann sie ein PDF entweder löschen oder öffnen. Und wenn die Unterlagen mit einem Crypto-Trojaner präpariert sind, bedeutet das Öffnen eine potenzielle Gefahr. Es gibt auch klassische Angriffe auf im Netzwerk eingebundene Geräte. Produktions-Daten werden häufig verschlüsselt in eine Cloud gespielt, um dort

weiter verarbeitet zu werden. Ob der Rechner, der dann selbst mit der Cloud kommuniziert, ein sicheres Betriebssystem hat und er regelmäßig gepatcht wird, das ist häufig nicht im Blickfeld. Die menschliche Neugier ist auch ein Problem. Etwa dann, wenn ein Link in einer SMS angeklickt wird, der das System mit Viren infiziert. Das Bundesamt für Sicherheit in der Informationstechnik betont, dass der Schlüsselfaktor Resilienz in Zukunft immer bedeutsamer für alle Unternehmen wird. Was sollten Firmen für mehr Cyber-Resilienz tun? Für eine Analyse der möglichen Schwachstellen in der IT brauchen Firmen den Austausch mit Spezialisten. Dazu zählt die Erkenntnis darüber, wie das Unternehmen aufgestellt ist, um auf Bedrohungen angemessen zu reagieren. Ein redundant aufgebautes Rechenzentrum erhöht etwa die eigenen Schutzmaßnahmen deutlich. Es gibt im Bereich Cyber-Awareness Schulungen. Wie lassen sich Mechanismen zum Erkennen digitaler Bedrohungen trainieren? Meistens erfolgt eine Reaktion erst dann, wenn die IT-Systeme angegriffen wurden. Das ist zu spät: Wir müssen den Ernstfall

bereits vorher trainieren. Ich vergleiche das mit einem Fahrsicherheitstraining, das auf Gefahrensituationen vorbereitet. In einem Notfall wissen die Verantwortlichen, welche Maßnahmen sie einleiten müssen. Wie sehen Schritte für einen CyberResilienz-Plan in Unternehmen aus? Prozesse oder Pläne zu skizzieren ist ein ganz wichtiger Punkt, genauso wie die offene interne Kommunikation sowie Unternehmenskultur. Jeder Mitarbeitende, der mit IT-Systemen zu tun hat, benötigt eine praxisnahe Awareness-Schulung. Warum nicht mal einen Hacking-Workshop besuchen, um zu verstehen, was im Falle eines Angriffes passiert? Das ist eine sehr gute Option.

”

„Angriffe von Hackern gehören inzwischen zur alltäglichen Bedrohung für jeden.“

10 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnerdeutschland

IT-Raubritter werden immer professioneller sicherheit Die digitale Transformation birgt viele Chancen, aber auch eine große Gefahr für die Sicherheit der IT-Systeme von Unternehmen. Text: Armin Fuhrer Foto: Presse, Tima miroshnichenko/pexels

Dr. Holger Mühlbauer, Geschäftsführer des Bundesverbandes IT-Sicherheit e.V.

Krise auch eine Chance steckt, mag ein etwas abgegriffener Spruch sein – aber wohl selten war er so wahr wie im Pandemiejahr 2020. Denn bei allen Rückschlägen, welche die Corona-Krise für die Wirtschaft bedeutete, so hat sie doch immerhin eine außerordentlich positive Folge gezeitigt: Die digitale Transformation hat einen dermaßen starken Anschub bekommen, sodass ein Zurück in die Zustände vor der Pandemie kaum denkbar ist. Seit Deutschland ins Homeoffice umgezogen ist, wird digitales Arbeiten mehr und mehr zur neuen Normalität. Und da die Digitalisierung den Unternehmen Vorteile wie Kostensenkungen, Effizienz und Nachhaltigkeit beschert, ist das eine gute Entwicklung. ass in jeder

das sogar zum größten Schadensfall für das betroffene Unternehmen werden – Rechtsstreitigkeiten und immenser Vertrauensverlust inklusive. Die Angriffsflächen der IT-

und Internettechnologie werden durch komplexe Software und kompliziertere Zusammenhänge zwischen Protokollen, Diensten und Infrastrukturen immer größer, die Angriffe immer professioneller und raffinierter. Dass die deutsche Wirtschaft noch längst nicht ausreichend gegen diese Gefahren gewappnet ist, treibt Experten um. „Die IT-Kriminalität erfährt eine zunehmende Industrialisierung und damit eine nicht zu unterschätzende und nie dagewesene professionalisierte Nachhaltigkeit“, stellt vor diesem Hintergrund Dr. Holger Mühlbauer, Geschäftsführer von Bundesverband IT-Sicherheit e.V. (TeleTrusT) fest. Mühlbauers Blick auf die Gesamtlage ist nicht sehr erfreulich: „Die aktuelle Sicherheitssituation ist für eine moderne Informations- und Wissensgesellschaft wie Deutschland nicht angemessen sicher und vertrauenswürdig genug.“ TeleTrusT hat daher ein umfangreiches

Konzeptpapier zur IT-Sicherheit in Deutschland erarbeitet, in dem es auch Handlungsvorschläge für Unternehmen gibt. Ein wichtiges Ergebnis beschreibt Mühlbauer: „Nur solche Lösungsansätze sind wirklich effektiv, die individuelle Konzepte bieten, also auf spezifische Bereiche und Nutzergruppen abgestimmt sind.“ hat gezeigt, dass diejenigen Unternehmen, die bereits mit ihrer digitalen Transformation weit vorangeschritten waren, immense Vorteile Das Jahr 2020

gegenüber denen hatten, die sich nach dem Ausbruch der Pandemie erst auf den Weg in das digitale Zeitalter machten. Diese Unternehmen hatten und haben nicht nur Wettbewerbsnachteile – sie sind auch stärker als die fortgeschritteneren der Gefahr äußerer Cyberangriffe ausgesetzt. Denn sie mussten sich Hals über Kopf in die Digitalisierung stürzen, ohne über die erforderliche Systemarchitektur zu verfügen. Dass dabei zuerst die Geschäftsabläufe im Mittelpunkt standen und nicht die Sicherheit der IT kann kaum überraschen. Angestellte nutzten ihre privaten Endgeräte in ungesicherten WLAN-Netzen Zuhause – mit der Folge, dass streng geheime Daten des Unternehmens, die bis dahin niemals das Gebäude verlassen hatten, plötzlich ungeschützt hin- und hergeschickt wurden. Eine Freude für Cyberangreifer, ein Horror für Sicherheitsexperten. Ein Thema, das viele Unternehmen noch gar nicht auf dem Schirm haben, ist die steigende Gefährdung ihrer Operational Technology (OT). Doch da der IT- und der Produktionsbereich mehr und mehr zusammenwachsen und kommunizieren, gerät auch die OT-Umgebung ins Visier von Hackern. Die Schäden durch Angriffe auf die OT sind vergleichbar denen auf die IT. Wenn beispielsweise eine verseuchte E-Mail ins Firmennetz eindringt, können Cyber-Kriminelle einzelne Maschinen oder ganze Produktionsstraßen übernehmen, stilllegen oder möglicherweise sogar Produktionsprozesse manipulieren. Ein Schutz gegen solche Angriffe auf die OT ist möglich, aber komplizierter als

Die IT-Kriminalität erfährt eine zunehmende Industrialisierung und damit eine nicht zu unterschätzende und nie dagewesene professionalisierte Nachhaltigkeit. Alles gut also? Nicht ganz. Denn ein Problem gibt es, welches die digitale Transformation unweigerlich begleitet: Die Gefahren für die Sicherheit der Unternehmens-IT. Dass digitale Raubritter wachsende Chancen sehen, illegal in die IT-Systeme der Unternehmen einzudringen, umso größer diese werden und umso mehr wichtige Daten sie speichern, kann eigentlich gar nicht überraschen. Schäden durch einen Cyberangriff können für das betroffene Unternehmen dramatisch sein: Daten werden entwendet oder mittels sogenannter Ransomware in Geiselhaft genommen und erst durch die Zahlung eines Lösegeldes wieder freigelassen. Oder Geschäftsgeheimnisse geraten in die Hände Unbefugter, und wenn davon auch noch Geschäftspartner oder Kunden betroffen sind, kann

Die Angriffsflächen der IT- und Internettechnologie werden durch komplexe Software größer.

der Schutz der IT. Denn Produktionsmaschinen haben oft eine lange Laufzeit, was die Aktualisierung von Firmware, Betriebssystemen und APIs ebenso schwieriger macht wie den Einsatz von Antiviren-Software. Und zwar gilt auch im OT-Bereich, dass eine auf die individuellen Bedürfnisse des Kunden spezialisierte Abwehrstrategie die beste ist, aber diese ist häufig nicht kompatibel mit standardisierten IT-Lösungen. digitale Transformation der Wirtschaft auch 2021 ein entscheidendes Thema bleibt, kann kein Zweifel bestehen. Das hat gerade erst eine Umfrage von Red Hat unter 1.470 IT-Profis ergeben. Sie zeigt, dass die digitale Transformation ganz oben auf der Agenda steht, wobei es die befragten Unternehmen ganz besonders auf die Verbesserung ihrer Innovationsfähigkeit, Sicherheit, User Experience und Kostensenkung absehen. Immerhin: 45 Prozent der Befragten wollen im kommenden Jahr in die Sicherheit investieren. Das ist mehr als für jeden anderen Bereich. Daran, dass die

fakten Die Pandemie hat Cyber-Kriminellen neue Möglichkeiten für Betrugsversuche gebracht. So wurden Phishing-Kampagnen, CEO-Fraud und Betrugsversuche mit IT-Mitteln beobachtet. Es gelang Betrügern beispielsweise, Soforthilfe-Maßnahmen zu missbrauchen, indem sie die Antragswebsiten amtlicher Stellen täuschend echt nachahmten.

ANALYSE

DGC – Partner Content

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Beschleunigte Digitalisierung sicher gestalten partner content

Matthias Nehls ist Geschäftsführender Gesellschafter und Gründer der Deutschen Gesellschaft für Cybersicherheit (DGC). Er rät Unternehmern dazu, das Thema Cybersecurity ganzheitlich anzugehen, um das Potenzial der digitalen Transformation zu heben. Die Sicherheitsbedrohungen durch Schadsoftware, Identitätsdiebstahl und die Gefahr, auch durch Nutzung von Social Media, Opfer eines Hackerangriffs zu werden, nehmen stetig zu. Wie hat sich die Gefährdungslage in Deutschland in jüngster Zeit generell verändert? Unternehmensentscheider waren und sind im Zuge der COVID-19-Pandemie besonders gefordert, Digitalisierungsvorhaben beschleunigt umzusetzen, um auch aus dem Homeoffice heraus für Geschäftskontinuität zu sorgen. An vielen Stellen ging es darum, interne IT-Systeme kurzfristig extern verfügbar zu machen sowie analoge Prozesse schneller als geplant zu digitalisieren. Dabei sind neue Schwachstellen entstanden, mit denen ein erhöhtes Angriffspotenzial durch Hacker einhergeht. Hinzu kommt, dass oftmals keine Zeit für notwendige Schulungen eingeräumt wurde, um die eigene Belegschaft für wachsende IT-Risiken zu sensibilisieren und sie zur Abwehr zu befähigen. Manches Führungsteam mag auch davon ausgegangen sein, dass Schulungen während der Pandemie

: Pr F o to

ess

Matthias Nehls, Geschäftsführender Gesellschafter und Gründer der Deutschen Gesellschaft für Cybersicherheit (DGC) schwierig umzusetzen sind. Dabei gibt es bereits Trainingsangebote, die remote und nach individuellem Kenntnisstand absolviert werden können. Durch die beschleunigte Digitalisierung hat sich aktuell auch die Gefährdungslage durch Kryptotrojaner stark zugespitzt. Hier hat sich eine neue Branche unter den Hackern entwickelt. Inzwischen gibt es sogar Gruppierungen, die diese Ransomware (Verschlüsselungssoftware) als Dienstleistung anbieten. Cyberkriminelle sind damit imstande, eine komplette Infrastruktur bzw. Verschlüsselungssoftware zu mieten, um etwa 100 Millionen E-Mails mit einem Trojaner im Anhang zu verschicken. Bei diesem perfiden Geschäftsmodell werden die Ransomware-Vermieter am erbeuteten Geld beteiligt – die IT-Security muss hier

unbedingt mit aktuellen maßgeschneiderten Maßnahmen entgegenwirken.

len Folgen, ganz zu schweigen von dem Reputationsschaden.

Welche neuen Tricks der Angreifer sind aktuell besonders bedrohlich? Beispielsweise verschaffen sie sich gezielt Zugriff auf E-Mail-Postfächer, wenn sie Rechner infizieren. Sie durchkämmen das Postfach des Opfers und senden an alle dortigen Kontakte – also an alle Empfänger von gesendeten und empfangenen E-Mails – eine Nachricht mit der Originalsignatur der gehackten Person. Dafür nutzen Cyberkriminelle eine KI-Lösung, die analysiert, welcher Text als Antwort auf die letzte E-Mail passen könnte – und fügen Malware, wie etwa Trojaner, bei. Dieses Vorgehen ist besonders hinterhältig, da die infizierte E-Mail direkt aus dem E-Mail-Postfach des Opfers versendet wird und somit kaum als „fake“ identifiziert werden kann.

Im Kontext der Datenintegrität wird die Blockchain zunehmend relevanter – weshalb ist die Methode so bewährt? Die Blockchain steht für Fälschungssicherheit: Dort enthaltene Daten sind nicht veränderbar und können jederzeit validiert werden – man kann also genau sehen, ob zu einem bestimmten Zeitpunkt ein bestimmter Wert eingetragen wurde oder eben nicht. So lassen sich Interaktionen zwischen Parteien lückenlos erfassen. Hinzu kommt, dass neue Blockchain-Technologien deutlich günstiger in der Anwendung geworden sind und die Verfügbarkeit aufgrund der Dezentralität – also der Verteilbarkeit der Blockchain-Knoten – nicht an einzelne Rechner oder einzelne Rechenzentren geknüpft ist. Vielmehr sind mehrere Rechenzentren beteiligt, sodass die Ausfallwahrscheinlichkeit sehr gering ist.

Kryptotrojaner sind schneller zu erkennen als geschickt getarnte Angreifer – woran genau liegt das? Kryptotrojaner sind lange nicht so gefährlich wie Hacker, da letztere verdeckt vorgehen und sich unbemerkt in Systemen auf halten. Hacker werden meist nicht oder verspätet enttarnt, verweilen somit lange unbemerkt im System und extrahieren Daten, die sie dann zu Geld machen. Im Durchschnitt dauert es 56 Tage, bis unzureichend geschützte Unternehmen einen Angriff entdecken, bisweilen sogar Jahre – meist mit gravierenden finanziel-

”

„Es werden immer ausgeklügeltere Methoden entwickelt, mit denen Hacker ihre Opfer austricksen.“

dgc.org

12 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Forschen für mehr Cyberschutz prävention Das Fraunhofer-Institut für Sichere Informationstechnologie SIT ist Teil des nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE in Darmstadt, dem größten Forschungszentrum dieser Ausrichtung in Europa. Allein hier arbeiten über 220 Wissenschaftler an aktuellen Problemen von Cybersicherheit und Privatsphärenschutz. Erfahren Sie mehr im Interview mit Frau Dr. Shulman vom Fraunhofer SIT. Text: Christiane Meyer-Spittler Foto: Harald T. Schreiber, Bench Accounting/unsplash

Dr. Haya Shulman, Abteilungsleitung Cybersecurity Analytics und Defences

Die Cyberkriminalität organisiert sich in den letzten Jahren immer mehr.

Frau Dr. Shulman, schon lange befasst sich Ihr Institut vorrangig mit IT-Sicherheit. Was hat sich über die Jahre hinsichtlich Cyber-Kriminalität verändert?

Vereinfacht kann man sagen, früher hatte man es mit Einzeltätern zu tun, heute gibt es im Darknet schon so etwas wie ein „Amazon für Kriminelle“. Die Cyberkriminalität organisiert sich in den letzten Jahren immer mehr. Seit spätestens 2010 ist diese dunkle Szene eine echte Industrie geworden. Sie sammelt sich im Darknet und es fließt sehr viel Geld dabei. Das macht ihre Machenschaften attraktiv und das Risiko, dabei erwischt zu werden, ist sehr gering. Man agiert nicht in der physischen Welt, sondern kann alles zum Beispiel von zuhause aus erledigen. Die moralische Hemmschwelle ist auch deshalb wesentlich geringer als beispielsweise bei einem Bankeinbruch, wo Beteiligte physisch Schaden nehmen könnten. Somit steigen auch die verursachten Schäden bei Unternehmen, Industrie oder Behörden in Milliardenhöhe. In den USA ist zum Beispiel die University of California, San Francisco im Sommer 2020 angegriffen worden. Sie hat allein 1,14 Millionen US-Dollar Lösegeld bezahlt, um ihre Daten wieder zu bekommen. Was sind die häufigsten Schwachstellen in Sachen Cybersicherheit?

Schwachstellen bieten immer ungepatchte Systeme, das heißt Systeme ohne aktuelle Wartung, wo Software oder Konfigurationsdaten nicht upgedatet

Im letzten Jahrzehnt sind Cyberangriffe ein immer größeres Problem geworden.

sind. Der Kriminelle scannt das Netz und findet an diesen Schwachpunkten einfache Beute. Er nutzt seinen Datenklau, um ihn entweder zu verkaufen oder damit den Besitzer zu erpressen. An gut gesicherten Unternehmen hat er kein Interesse. Auch durch das coronabedingte Homeoffice ist die Angriffsfläche für Cyber-Kriminelle größer geworden. Zum Beispiel wenn Laptops zuhause geschäftlich wie privat genutzt werden, haben sogenannte Phishing-Mails, gefälschte E-Mails, ein leichtes Spiel, um Schadstoffware in das System einer Organisation zu bringen. Gilt hier also auch „Aufklärung ist der beste Schutz“?

Auf jeden Fall: Mitarbeiter-Schulungen in Cybersicherheit sind heutzutage unabdingbar. Sie gehören mit zur Prävention gegenüber Cyberangriffen und an dieser sollte gerade jetzt, wo die Digitalisierung in aller Munde ist, nicht gespart werden. Dafür wird zu viel Geld investiert und die Schäden durch offene Angriffsflächen sind enorm hoch. Hilft das Fraunhofer Institut auch im Schadensfall?

Wir führen forensische Untersuchungen durch und geben auch Hilfestellungen beim sogenannten Säubern von infiltrierten Systemen. Viele Unternehmen melden einen Schadensvorfall nicht bei der Polizei, im Gegensatz etwa zu einem physischen Einbruch. Oft sind wir

erster Ansprechpartner und Unterstützer für Cybergeschädigte. Wir können Wirtschaft, Industrie oder Politik immer wieder nur raten, Cybersicherheit zur Chefsache zu erklären. Nur durch regelmäßige Wartung von Sicherheitssystemen und Schließung von Schwachstellen gibt man diesen „Gelegenheitsdieben“ aus dem Darknet keine Chance und verhindert durch geschultes Personal das Infiltrieren von Schadsoftwares.

Wir führen forensische Untersuchungen durch und geben auch Hilfestellungen beim sogenannten Säubern von infiltrierten Systemen. fakten Die Fraunhofer-Gesellschaft wurde 1949 in München gegründet und ist die weltweit führende Organisation für anwendungsorientierte Forschung. Heute arbeiten weltweit rund 29.000 Mitarbeiter in 75 Instituten und Forschungseinrichtungen mit einem jährlichen Forschungsvolumen von 2,8 Milliarden Euro.

ANALYSE

suresecure GmbH – Partner Content 13

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Cyberschutz ist der neue Brandschutz partner content

Welche Themen müssen zwingend Teil der IT-Sicherheitsstrategie eines Unternehmens sein? In der Vergangenheit haben sich Unternehmen primär darauf fokussiert, einen Cyberangriff zu verhindern. Daher wurden Virenscanner, Firewalls und andere Abwehrmechanismen implementiert. Heute jedoch wird durch die Vielzahl an erfolgreichen Cyberangriffen immer deutlicher, dass dieser Ansatz nicht ausreichend ist. Denn ebenso wichtig wie die Abwehr, ist die frühzeitige Erkennung und angemessene Reaktion. Das ist vergleichbar mit einem Brand: Erkenne ich das Feuer früh, dann reicht unter Umständen schon ein Feuerlöscher. Haben meine Erkennungsmöglichkeiten jedoch nicht gegriffen, dann benötige ich eventuell schon den Großeinsatz der Feuerwehr. Unternehmen sollten

res

Viele Unternehmen verkennen die Gefahren von Cyberangriffen und sind häufig nicht ausreichend vorbereitet. Das Bewusstsein für die Prävention muss dringend geschaffen werden. Ein „Incident Response Management Plan“ nimmt bei der Bekämpfung eine Schlüsselrolle ein. Fo t

o: P

Andreas Papadaniil, Geschäftsführer suresecure GmbH daher akzeptieren, dass ein erfolgreicher Angriff stattfinden wird und die Themen Erkennung und Reaktion ebenfalls in den Fokus rücken. Eine hundertprozentige Sicherheit wird es leider nie geben, aber man kann und sollte alles dafür tun, dass der Schaden möglichst gering ausfällt. Neben Unternehmen sind in den Medien auch immer mehr Angriffe auf Privatpersonen zu verzeichnen, welche Empfehlungen können Sie dort geben? Das Grundkonzept bleibt identisch. Verhindern, erkennen und reagieren. Es werden tatsächlich auch ähnliche Angriffs-

konzepte genutzt. Beliebt ist hier Phishing per E-Mail oder SMS, die Installation von Schadsoftware oder auch die Nutzung von Social Engineering. Die Angreifer nutzen den Faktor Mensch, um mit krimineller Energie einen finanziellen Vorteil zu erzielen. Reagieren Sie also nicht auf Angebote, die von Personen stammen, die Sie nicht kennen und die auf den ersten Blick überaus lukrativ erscheinen. Warum bedarf es Spezialisten, die Vorfallreaktionspläne auf ganz bestimmte Unternehmensstrukturen ausrichten? Die Unternehmen, die das erste Mal einen solchen Sicherheitsvorfall erleben, sind nicht ausreichend vorbereitet sind und haben nur rudimentäre Erfahrung im Umgang mit Cyberangriffen. Nochmal zur Brand-Analogie: Hier gibt es in Unternehmen klare Evakuierungspläne und Handlungsanweisungen. In Bezug auf Cyberangriffe ist das leider anders und das, obwohl die Wahrscheinlichkeit für einen Brand deutlich geringer ist als für einen erfolgreichen Cyberangriff. Erfahrene Spezialisten erstellen aus ihrer Erfahrung aus bereits vergangenen Incidents und den Daten aus der Unternehmensanalyse diese Pläne individuell, weil jede Organisation anders ist.

Was ist bei der Erstellung eines solchen Plans besonders wichtig? Damit ein effektiver Plan erstellt werden kann, muss das Unternehmen ganzheitlich betrachtet werden. Dazu gehören u. a. die Unternehmensstruktur, die Managementorganisation, Internationalität, kritische Businessprozesse und spezielle Applikationen. Nicht jedes Unternehmen hat beispielsweise dediziertes IT-Security Personal, sodass manche Aufgaben vielleicht gar nicht intern übernommen werden können. Gleiches gilt für Spezial-Applikationen. Sie wollen nicht erst im Vorfall feststellen, dass Sie gerade niemanden verfügbar haben, um Ihre wichtigsten Applikationen wieder in Betrieb zu nehmen. Was kann ein kluges Incident Response Management hier leisten? Es sollte zwei Dinge leisten. Das Unternehmen schnellstmöglich wieder aus der Cyberkrise befreien und dabei eine effiziente Nutzung der Ressourcen Zeit, Personal und Geld ermöglichen. Wichtig ist auch, dass das Business hier mit einbezogen wird, Incident Response Management ist keine Tätigkeit, die nur in der IT liegen darf. Im Idealfall suchen Unternehmen einen passenden Partner für die Vorfallsbewältigung, bevor der Angriff startet. Mit diesem Partner kann dann z. B. ein Incident Response Management Plan ausgearbeitet oder auch eine Cyberkrise simuliert werden. Aktuell ist es noch so, dass wir während wir Unternehmen bei dem Incident Response Management unterstützen noch Workshops durchführen, in denen wir die kritischen Business Prozesse identifizieren und diese den IT-Assets zuordnen, damit wir zielgerichtet den Betrieb wiederherstellen können. Es spart sowohl Zeit als auch Geld eine Blaupause vor dem Vorfall anzufertigen. Denn je länger der Wiederherstellungsprozess andauert, desto größer ist der finanzielle Schaden.

”

„Eine hundertprozentige Sicherheit wird es leider nie geben, aber man kann und sollte alles dafür tun, dass der Schaden möglichst gering ausfällt.“

www.suresecure.de

14 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnergermany

fakten Komplexe Technologien zu verstehen und deren Zusammenhänge in der Technologie-Welt zu erkennen ist eine große Herausforderung. Eike Christoph Greth hilft dabei sein Mathematikstudium mit dem Schwerpunkt Kryptologie. „Es war eine perfekte Vorbereitung auf die Arbeit in der Informationssicherheit“, sagt er heute.

Eike Christoph Greth:

„Alte Gewohnheiten aufgeben“

ANALYSE

IT-Sicherheit 15

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

großes interview Die Digitalisierung bedeutet eine Anpassung der bestehenden Prozesse, erklärt Eike Christoph Greth, Chief Informatic Security Officer bei der Otto Group. Text: Armin Fuhrer Foto: Presse

Die Digitalisierung ist spätestens durch die Pandemie richtig in Schwung gekommen. Welche Rolle spielt bei dieser Entwicklung der Mittelstand in Deutschland?

Für viele Mittelständler stellt die Transformation aber auch mächtige Herausforderungen dar. Was kann man ihnen raten?

Einen analogen Prozess zu digitalisieren, bedeutet in der Regel, dass man diesen Prozess anpassen, also verändern muss. Die Digitalisierung geht deshalb zwingend mit Veränderungen einher. Ich rate dementsprechend dazu, alte Gewohnheiten aufzugeben, auch wenn diese in einer analogen Welt gut funktioniert haben. Zudem halte ich es für unglaublich wichtig, Wissensträger der Digitalisierung in der eigenen Unternehmung aufzubauen und zu etablieren.

Ich würde vielmehr sagen, dass die Unternehmen generell durch die Pandemie fast gezwungen sind, verstärkt Technologien zur Aufrechterhaltung der Geschäftsprozesse einzusetzen. Das allein reicht aber nicht, um die Chancen der Digitalisierung zu nutzen. Digitalisierung bedeutet eine Anpassung der bestehenden Prozesse, wobei der Fokus auf der Datennutzung liegt. Sprich: Welche Daten brauche ich wofür? Der Mittelstand ist meiner Erfahrung nach noch ein gutes Stück davon entfernt, die Digitalisierung richtig anzugehen.

Für diese Unternehmen bieten sich insbesondere Netzwerke mit anderen Unternehmen an. Die Erfahrungen, die dort geteilt werden, können sehr hilfreich für die eigenen Fortschritte sein.

Allerdings: Die Unternehmen müssen

Sehen Sie in Plattformen und digitalen

sich dieser Herausforderung stellen,

Tools gerade für die kleineren Unterneh-

denn ohne Digitalisierung sind die meis-

men eine gute Lösung?

ten Mittelständler heute gar nicht mehr

Digitale Werkzeuge sind ein unverzichtbarer Teil der Digitalisierung. Allerdings liegt der Schwerpunkt in der Digitalisierung auf den datengetriebenen Prozessen und eben nicht auf den Tools. Letztere werden nur dann zu einer guten Lösung, wenn sie zu den Prozessen passen.

wettbewerbsfähig, oder?

Mittelfristig ist das definitiv so. Eine ideale Digitalisierung sorgt für Effizienz und Effektivität. Beides führt zu einer Zeit- beziehungsweise Kostenersparnis und zahlt sich daher enorm für die Wettbewerbsfähigkeit der Unternehmen aus.

Der Ausfall der notwendigen Geschäftsprozesse und damit der Ausfall der Wertschöpfungskette ist ein Szenario, welches es zu vermeiden gilt.

Digitalisierung bedeutet eine Anpassung der bestehenden Prozesse, wobei der Fokus auf der Datennutzung liegt. grundlegendes Element der Digitalisierung, denn die Daten beziehungsweise Informationen rücken dabei in den Mittelpunkt. Die Verarbeitung dieser Daten erfolgt in der Regel durch Technologien, welche es folglich zu schützen gilt. Welche Gefahren drohen den Unterneh-

Wie sieht es mit den kleinen mittelstän-

men denn konkret durch einen Mangel

dischen Unternehmen aus, die oft gar

an Datensicherheit?

keine Möglichkeiten haben, eine eigene

Das ist abhängig vom jeweiligen Geschäftsmodell. Die Theorie unterscheidet daher zwischen Vertraulichkeit, Verfügbarkeit und Integrität. Im Handel erfährt die Verfügbarkeit von Systemen eine wesentliche Relevanz. Der Ausfall der notwendigen Geschäftsprozesse und damit der Ausfall der Wertschöpfungskette ist ein Szenario, welches es zu vermeiden gilt. Demgegenüber schützen Unternehmen, deren Erfolge auf Patenten beziehungsweise Geschäftsgeheimnissen basieren, diese besonders stark vor unberechtigten Zugriffen. Hier hat die Vertraulichkeit eine sehr hohe Priorität.

Abteilung mit der Transformation zu betrauen? Wo können sie sich Hilfe holen?

Derzeit bleibt häufig bei dem Prozess die Datensicherheit noch auf der Strecke. Die Folgen für ein von einer Cyberattacke betroffenes Unternehmen können katastrophal sein, im schlimmsten Fall existenzbedrohend. Wird das Thema unterschätzt?

Meiner Meinung nach ja. Die Informationssicherheit ist aus meiner Sicht ein

Der Umsatz in Deutschland im Bereich IT-Services belief sich im Jahr 2020 auf rund 39,6 Milliarden Euro.

65 % der Cloud-Nutzer verwenden Security Services zur Absicherung ihrer Cloud-Lösungen.

Ransomware: Lieferketten sind zunehmend gefährdet

Und wo können sich Unternehmen, die sich schützen möchten, dafür aber Hilfe benötigen, diese Unterstützung suchen?

Auch an dieser Stelle bieten sich spezifische Netzwerke von Unternehmen beziehungsweise Organisationen an, in denen man anbieterneutral Erfahrungsberichte erhält. Zudem gibt es Initiativen der deutschen Sicherheitsbehörden, unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder vom Verfassungsschutz, die sehr hilfreich und lohnend sind.

Im dritten Quartal 2021 entfielen rund 6,2 Prozent der PhishingAngriffe auf soziale Netzwerke.

Christian Franzen, Leiter der Cyber-Security-Beratung für die Konsumgüterindustrie und den Handel bei Ernst & Young risiken

Nicht nur Einzelhändler, auch Konsumgüterhersteller und Großhändler sind an verschiedenen Stellen ihrer Produktions- und Lieferketten von Cyberangriffen betroffen. Text: Chan Sidki-Lundius Foto: Presse/EY

Eine Folge: Lieferengpässe. „Das Spektrum der Angriffsflächen wird größer, weil immer mehr Parteien an einer Lieferkette beteiligt sind. Zudem schreitet die Plattform-Migration in die Cloud voran. Damit wachsen die Anforderungen an die IT-Sicherheit“, sagt Christian Franzen, Leiter der Cybersecurity-Beratung für die Konsumgüterindustrie und den Handel bei EY. IT-Verantwortliche seien daher gefordert, für Transparenz zu sorgen und genau zu analysieren, an welchen Punkten ihre Lieferkette durch Ransomware verwundbar ist. „Bei dieser Form von Inventarisierung sind alle Parteien entlang der gesamten Lieferkette ins Visier zu nehmen, also zum Beispiel auch Lieferanten“, rät Christian Franzen. Unter dem Strich könne es nur mit einem ganzheitlich ausgerichteten Third Party Risk Management gelingen, das Gesamtrisiko zu minimieren. Dies beinhaltet auch, Sicherheitsvorgaben zu machen und Sicherheitsstandards entlang der gesamten Lieferkette umzusetzen.

Das Bundeskriminalamt (BKA) hat 2020 7,9 % mehr Fälle von Internetkriminalität registriert als im Vorjahr. Den größten Teil der Fälle macht die Kategorie „Computerbetrug“ (82.781 Fälle) aus. 33 % der befragten Unternehmen gaben an, dass sie kostenpflichtige CloudDienste zum Betrieb von Unternehmensdatenbanken nutzen. Quellen: Statista, BKA

16 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnergermany

Fördermöglichkeiten der Digitalisierung

Bis zu 100.000 € für das Projekt Kaum ein Feld erfordert in den nächsten Jahren so hohe Investitionen wie die Digitalisierung. Besonders die kleinen und mittelständischen Unternehmen können hier jede Fördermöglichkeit gebrauchen. So stellt das BMWI (Bundesministerium für Wirtschaft) bis 100.000 € für Projekte im Programm „Digital Jetzt“ zur Verfügung. Profitieren können davon Betriebe aus allen Branchen (3 bis 499 Beschäftigte) die Investitionen im Bereich Soft- und Hardware planen und die Mitarbeiter qualifiziert Schulen wollen. Und die Vermittlung von digitalem Wissen ist dringend notwendig. In einer Befragung unter 200 Führungskräften der Unternehmensberatung Baulig-Consulting suchen 75 Prozent der befragten Unternehmen Hilfe bei der Digitalisierung. Zudem wollen 74 Prozent in den

kommenden zwei Jahren weitere Trainings zu Digitalisierungsthemen in Anspruch nehmen, mehr als die Hälfte davon hat solche sogar bereits beauftragt. „Gerade die aus der Corona-Not geborenen E-Learnings und Online-Coachings waren für viele Firmenvertreter überraschend effizient, Hemmschwellen konnten bereits durch die digitale Art der Veranstaltung abgebaut werden“, sagt Markus Baulig, Geschäftsführer der Unternehmensberatung Baulig Consulting. Und genau das fördert das Programm „Digital Jetzt“. Über ein elektronisches Antragsformular auf der Seite www.digitaljetzt-portal.de können sich die Interessierten anmelden. Ein Losverfahren entscheidet dann über die Fördersummen. Insgesamt stehen für das Programm 203 Millionen Euro zur Verfügung.

„GO-DIGITAL“ – Geschäftsprozesse digital optimieren Die so notwendige digitale Transformation betrifft alle Branchen und Geschäftsbereich. Wer am Markt bleiben möchte und auch in der Zukunft einen guten Umsatz erzielen will, muss die Digitalisierung in alle Geschäftsprozessen implementieren. Hier versucht das Programm „GO-DIGITAL“ eine wertvolle Hilfe zu leisten. Es wendet sich gezielt an kleine und mittlere Unternehmen der gewerblichen Wirtschaft und natürlich auch an das Handwerk. Sehr praxisorientiert bietet das Programm Beratungsleistungen um mit den technologischen und gesellschaftlichen Entwicklungen im Bereich Online-Handel, Digitalisierung des Geschäftsalltags und dem steigenden Sicherheitsbedarf bei der digitalen Vernetzung Schritt zu halten.

übernehmen auch die Abrechnung der Leistungen und prüfen den Verwendungszweck. Auf einer interaktiven Beraterlandkarte sind alle vom BMWI autorisierten Firmen gelistet. Gefördert werden Beratungsleistungen von einem maximalen Beratungssatz von 1.100 Euro pro Tag und das für maximal 30 Tage in einem halben Jahr. Voraussetzung dafür sind weniger als 100 Mitarbeiter, ein Umsatz von höchstens 20 Millionen Euro, ein Firmensitz in Deutschland und ein Unternehmen der gewerblichen Wirtschaft und des Handwerkes mit einem technologischen Potential. Mehr Informationen zum

bei der Entlastung der bürokratischen Hemmnisse, sie Autorisierte Beratungsunternehmen helfen

Günstige Förderkredite für die digitale Zukunft Die KfW (Kreditanstalt für

Wiederaufbau) bietet ein großes Portfolio an Förderprogrammen für die Digitalisierung. Allerdings handelt es sich hier immer um sehr zinsgünstige Kredite. Die Fördersumme beträgt zwischen 25.000 und 25 Millionen Euro. Doch wie auch bei vielen anderen Projekten müssen die geplanten Maßnahmen mit der Förderung übereinstimmen. Die Kf W finanziert dabei Investitionen und Betriebsmittel. Dazu gehören Weiterbildungen im Bereich Digitalisierung, der Ausbau innerbetrieblicher Breitbandnetze und auch der Aufbau einer Infrastruktur für Big Data Anwendungen. Auf der Produktseite für den Kredit 380 finden sich dazu reichlich Informationen. Interessant dürften die Zinskonditionen für alle Unternehmen sein. Die Kredite gibt es schon ab einem effektiven Jahreszins von nur 0,01 Prozent.

Wichtig ist hierbei –

der Kredit wird bei der Hausbank über die Kf W beantragt. Mit einem Online-Förderassistenten können Sie im Vorwege schon viele mögliche Hürden umschiffen. Auf der Webseite finden sich auch einige Best-Practice von kleinen und mittelständischen Unternehmen, die mit der Hilfe der Digitalen Förderung ihr Unternehmen fit für die Zukunft gemacht haben. Weitere Infos unter: www.kfw.de/inlandsfoerde-

rung/Unternehmen/Innovation-und-Digitalisierung

Texte: Jörg Wernien, Fotos: Priscilla Du Preez/unsplash, Maria Frances/unsplash, Gabrielle Henderson/unsplash

hier: www.bmwi.de

Programm finden sich

ANALYSE

Medialine AG – Partner Content 17

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Jedes Unternehmen sollte sein Bewusstsein für Zero Trust schärfen partner content

Unternehmensnetzwerke sollen Angestellten den schnellen und unkomplizierten Zugriff auf ihre erforderlichen Arbeitsunterlagen bieten und zugleich eine offene Kommunikation und einen einfachen

res

Trotz dem seit Jahren ungebrochenen Anstieg von Cyberangriffen, fehlt vielen Unternehmen in Deutschland noch immer das Bewusstsein für die akuten Gefahren, die davon ausgehen. Immer öfter versuchen kriminelle Gruppen, in die digitale Infrastruktur von Unternehmen einzudringen, mit dem Ziel, diese zu erpressen, Produktion und Intranet lahmzulegen, Lieferketten zu stören und an Kundendaten und -Kontoverbindungen zu gelangen. Viele Angriffe bleiben dabei über Monate unentdeckt und verursachen immense Schäden. Zusätzlich begünstigt durch fehlende Schutzmechanismen bei der Auslagerung von Arbeitsplätzen ins Homeoffice hat eine weitere Professionalisierung dieser Attacken „aus dem Nichts“ stattgefunden. Die einzige Möglichkeit, sich vor solchen unternehmensschädigenden Angriffen zu schützen, besteht in der gezielten Schulung aller Beteiligten in so genannter „Awareness“ – dem Bewusstsein, Angriffsfläche für Cyberkriminelle zu sein. Und daraus folgend mögliche Angriffspunkte zu lokalisieren und diese zu sichern.

Fo t

o: P

Martin Hörhammer, Gründer und CEO der Medialine AG

Austausch innerhalb des Kollegenteams ermöglichen. Diese angenehm praktische digitale Infrastruktur bietet jedoch zunehmend Gefahren, weil sie Hackern an vielen Punkten relativ einfach Angriffsoptionen ermöglicht. „In traditioneller Legacy IT-Architektur wurden Netzwerke bisher so offen zugänglich wie möglich designed“, sagt Martin Hörhammer, Gründer und CEO der Medialine AG. „Dieser ‚Trust‘, dieses Grundvertrauen, sollten Unternehmen schnellstmöglich durch ein ausgeprägtes ‚Zero Trust‘, also ein grundsätzliches Misstrauen bzw. eine ausgeprägte Vorsicht, ersetzen.“ Mit seinem Unternehmen Medialine AG unterstützt Martin Hörhammer und sein Team aus professionellen Informatikern

”

„In traditioneller Legacy IT-Architektur wurden Netzwerke bisher so offen zugänglich wie möglich designed. Dieser ‚Trust‘, dieses Grundvertrauen, sollten Unternehmen schnellstmöglich durch ein ausgeprägtes ‚Zero Trust‘, also ein grundsätzliches Misstrauen bzw. eine ausgeprägte Vorsicht, ersetzen.“ Unternehmen bei der Umsetzung des Zero-Trust-Gedankens. Dazu ist es erforderlich, sämtliche Assets zu identifizieren: Jedes technische Gerät, jede Applikation, Netzwerk, Datacenter und auch die Cloud mit eigener Identität auszustatten. Dabei darf auch die Perimetersicherheit und die physische Sicherheit nicht außer Acht gelassen werden, wie beispielsweise das WLAN, das bis hinaus auf den Parkplatz des Firmengeländes reicht. „Zero Trust fängt bei Grundsätzlichem an“, so der Unternehmensgründer. „Das bedeutet zuallererst, Richtlinien zu definieren. Und das geht wiederum nur, wenn das Bewusstsein dafür geschärft wird.“

den eine ganzheitliche Sicht auf deren bestehende IT-Infrastruktur und IT-Sicherheit. Mit Managed Security Services analysiert das Unternehmen die DNA der Kunden und entwickelt daraus individuelle, ganzheitliche Konzepte. Der erste Schritt dazu ist eine Beratung in Form einer Reifegradanalyse: Wo steht das Unternehmen? Wo liegen die offensichtlichen Angriffsflächen? „Wichtig ist es uns, realistische Konzepte anzubieten“, sagt Martin Hörhammer. „Wir implementieren, installieren und begleiten das Unternehmen im Anschluss weiterhin. Denn nach der IT-Security Optimierung ist vor der ITSecurity Optimierung.“

Denn die meisten Intranetze sind äußerst leicht zu infiltrieren. Medialine bietet Kun-

Als Full-Service-Systemhaus steht Medialine AG für maßgeschneiderte IT-Lösungen für den Mittelstand und Konzerne. Medialine unterstützt Unternehmen auf ganzer Linie, von der Anforderungsanalyse, Ideensammlung und Konzeptentwicklung über die Ausarbeitung und Umsetzung der passenden IT-Strategie bis hin zu regelmäßigem technischem Support und Workshops für die Mitarbeiter. Die Angebotspalette reicht dabei vom Angebot einzelner IT- und Sicherheitsbausteine, über die Betreuung des Security Operation Centers bis hin zur Übernahme des kompletten IT-Betriebs – immer ausgerichtet am tatsächlichen Bedarf des Kunden. Durch die bundesweite Ausrichtung profitieren die Kunden von einem engen Netz von Vertriebs- und Technikressourcen, mit der eine optimale Servicebetreuung in Echtzeit vor Ort ermöglicht wird.

Gerade durch Homeoffice und mobiles Arbeiten werden Endgeräte vermehrt zur Gefahr für Firmennetzwerke.

Besuchen Sie uns auf www.medialine.com oder schreiben Sie uns: welcome@medialine.ag

Vertrauen ist gut, regelmäßige Kontrolle ist besser: Für ein sicheres Netzwerk braucht man Experten – die Medialine AG hat sie.

18 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnerdeutschland

In puncto digitaler Sicherheit gilt: Am teuersten wird es erfahrungsgemäß, wenn man nichts tut.

Digitale Kriminalität mittelstand Der Bundesverband IT-Mittelstand e. V. (BITMi) vertritt über 2.200 IT-Unternehmen und ist damit der größte Fachverband für ausschließlich mittelständische IT-Unternehmen in Deutschland. Text: Christiane Meyer-Spittler Foto: Presse, Christine Donaldson/unsplash

Patrick Häuser, Leiter des Hauptstadtbüros BITMi, Bundesverband IT – Mittelstand e. V.

Digitalisierung wurde in Unternehmen oft erzwungen, ohne IT-Sicherheitsstrategie.

Herr Häuser, es gibt in den letzten Jahren einen massiven Zuwachs an Cyberkriminalität in Unternehmen. Wie erklären Sie sich das?

Der Anstieg von Cyberkriminalität lässt sich schon seit Jahren beobachten. Das liegt daran, dass es durch die fortschreitende Digitalisierung immer mehr Bereiche gibt, in die die Täter eingreifen können. Dazu kommt, dass sich ein großer Markt an Cybercrime-Tools und -Dienstleistungen gebildet hat, auf dem sich auch Kriminelle ohne besondere IT-Kenntnisse bedienen können. Der Täterkreis ist damit gewachsen. Dieser Entwicklung hat die Pandemie noch einmal einen Schub gegeben: Digitalisierung wurde in Unternehmen oft erzwungen, ohne IT-Sicherheitsstrategie. Das war ein leichtes Einfallstor für Cyberkriminelle. Trifft dies nur auf Großunternehmen zu?

Keinesfalls. Gezielte Angriffe und Erpressung sind bei den großen Unternehmen häufiger. Aber auch deutsche Mittelständler stellen mit ihrer Bandbreite an innovativen Geschäftsmodellen und der hohen Zahl an Patentanmeldungen lukrative Ziele für Angreifer dar. Dazu kommt, dass Angriffe durch Phishing auf dem Vormarsch sind: Es kann jedes Unternehmen treffen. Hier sind Unternehmen auch von Geschäftspartnern, Kunden und deren Sicherheitsmaßnah-

men abhängig. Gelangen E-Mails von externen Personen in die Hände der Cyberkriminellen, haben diese inhaltlich die perfekte Grundlage für einen zugeschnittenen Angriff. Noch dazu können die Angriffe, wenn einmal Daten abgeflossen sind, größtenteils automatisiert durchgeführt werden. Welchen wirtschaftlichen Schaden verursachen solche Vorfälle?

Zuletzt war für 2020 von etwa 223 Milliarden Euro entstandenem Schaden pro Jahr die Rede – das ist mehr als doppelt so viel wie in den Jahren 2018 und 2019. Wie können sich kleine und mittlere Unternehmen davor schützen?

Das Bewusstsein ist inzwischen in weiten Teilen da. Viele Mittelständler wissen aber nicht, was genau sie jetzt eigentlich tun sollten. Dabei gibt es viele konkrete Maßnahmen, die einfach ergriffen werden können: Eine Zwei-Faktor-Authentifizierung sollte Standard sein, Backups müssen regelmäßig erfolgen, Mitarbeiter geschult und Mails verschlüsselt werden. Damit ist schon ein guter Grundstein gelegt. Welche Hilfestellung für mehr IT-Sicherheit in Unternehmen können Sie geben?

Das Wichtigste ist, dass Unternehmen für sich einen Plan entwickeln, was sie bei einem Angriff tun. Hier handelt

Eine Zwei-FaktorAuthentifizierung sollte Standard sein, Backups müssen regelmäßig erfolgen, Mitarbeiter geschult und Mails verschlüsselt werden. es sich um eine Stresssituation, in der schnell Entscheidungen gefällt werden müssen. Es zahlt sich aus, wenn bereits klare Handlungsanweisungen vorbereitet sind, und Risiken eingeschätzt wurden. Es gibt viele gute und kostenlose Angebote, die sich an den Mittelstand richten und ihm beim Thema IT-Sicherheit unter die Arme greifen: Dazu gehört die Transferstelle IT-Sicherheit im Mittelstand (TISiM) oder unsere eigene BITMi-Fachgruppe IT-Sicherheit mit Veranstaltungen wie dem IT-Security Tuesday. Panik ist fehl am Platz, jedoch müssen sich Unternehmer beim Thema IT-Sicherheit immer vor Augen halten: Im Ernstfall können Verluste in Millionenhöhe drohen, welche die Investitionen in IT-Sicherheit deutlich übersteigen. Dazu kommt ein nicht abzuschätzender Imageschaden. Das Teuerste ist es also, nichts zu tun.

ANALYSE

Perseus Technologies GmbH – Partner Content 19

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Mehr als Firewall und Virenscanner

Wie viele Cyberangriffe gibt es aktuellen Schätzungen nach jährlich und welcher Schaden entsteht der deutschen Wirtschaft dadurch? Kevin Püster: Hier gibt es eine hohe Dunkelziffer. Quellen belegen allerdings, dass neun von zehn Unternehmen von Datenklau, Spionage oder Sabotage betroffen sind. Allein im Jahr 2020/2021 sind der deutschen Wirtschaft Schäden in Höhe von 223 Milliarden Euro entstanden. Dabei war auch die vermehrte Nutzung digitaler Produkte aus dem Homeoffice im Zuge der Corona-Pandemie ein Treiber. Zum Vergleich: Das Jahrhundert-Sturmtief Bernd im Sommer 2021 verursachte bisher einen Versicherungsschaden von ca. 7 Milliarden Euro. Welche Schäden können für Unternehmen durch Cyberkriminalität entstehen? Johannes Vakalis: Nach einem Cyberangriff kann es unter Umständen zu einem

Fo t

o: M

lis

Vak a ela

nie

Vak a ela

nie

Perseus ist Experte für Cybersicherheit. Das Berliner Unternehmen hat ein Konzept für die Cyberfitness von Mitarbeitenden entwickelt, unterstützt bei der Risikoanalyse und ist der erste Ansprechpartner im Fall eines Cyber-Angriffs. Wir haben Perseus CEO Kevin Püster und Johannes Vakalis, Head of Sales & Marketing, gefragt, welche Schäden für Unternehmen entstehen können, wie man sich am besten davor schützt und was bei einem Cybervofall zu tun ist.

lis

partner content

Fo t

o: M

Kevin Püster, CEO bei Perseus Technologies GmbH, Berlin

Johannes Vakalis, Head of Sales & Marketing bei Perseus Technologies GmbH, Berlin

kompletten Betriebsausfall kommen. Der finanzielle Schaden ist immens, hinzu kommt der Image- und Vertrauensverlust bei Kunden im Fall von gestohlenen persönlichen Daten. Damit stellen Cyberattacken eines der größten Geschäftsrisiken für Unternehmen dar.

einzelne Unternehmen ermitteln und mit Sensibilisierung sowie den entsprechenden Service-Leistungen dagegen ansteuern. Unser Team aus erfahrenen Cyberexperten erkennt Cyberbedrohungen, bevor unsere Kunden betroffen sind.

Kennen Unternehmen ihr eigenes Cyberrisiko, bzw. sehen sie die potenziellen Bedrohungen aus dem Internet? Kevin Püster: Hier gibt es definitiv noch Nachholbedarf. Jedes Unternehmen und auch jede öffentliche Institution muss – unabhängig von Größe oder Branche – davon ausgehen, Zielscheibe eines Cyberangriffs zu werden. In Deutschland sind viele mittelständische Unternehmen als sogenannte Hidden Champions beheimatet. Diese sind aufgrund ihrer Innovationskraft in Verbindung mit Patenten entsprechend attraktiv für Kriminelle. Viele sind sich der Gefahren noch nicht bewusst. Bei Perseus können wir die Risiken für jedes

Wo sitzen denn die typischen Schwachstellen? Johannes Vakalis: Zum einen öffnen fehlende Updates bei Firewall und Antivirus-Programmen sowie nicht vorhandene Sicherheitsmaßnahmen wie sichere Passwörter oder die Zwei-Faktor-Authentifizierung Tür und Tor für Kriminelle. Mit der richtigen Technik lassen sich bereits grundlegende Präventionsmaßnahmen schaffen. Zum anderen spielt der Faktor Mensch eine entscheidende Rolle. Je nach Statistik sind rund zwei Drittel aller erfolgreichen Cyberattacken auf menschliches Versagen zurückzuführen: aufgrund von Unwissenheit, Nachlässigkeit und manchmal auch krimineller Energie. Bei den

ersten beiden Punkten setzen wir bei Perseus mit unserem ganzheitlichen Lernkonzept aus kurzweiligen, zeit- und ortsunabhängigen Online-Trainings in Kombination mit regelmäßigen Phishing-Simulationen an. Phishing ist eine der häufigsten Angriffsmethoden, bei der durch das Versenden betrügerischer E-Mails, gefälschten Internetseiten und anderen Methoden versucht wird, an vertrauliche Unternehmensdaten zu gelangen. Die Schärfung des Gefahrenbewusstseins ist der beste menschliche Schutzschild. Wie verhält man sich richtig in einem Schadensfall? Johannes Vakalis: Noch während der Attacke sollte der erste Schritt zum Cyberexperten bzw. Forensikern gehen. Dabei wird ermittelt, woher der Angriff kommt, welcher Schaden angerichtet wurde und wie sich dieser beheben lässt. Ebenso wichtig ist es, dass der Vorfall gerichtsfest dokumentiert wird. Hier sind die Polizei oder, je nach Bundesland, das BKA die richtigen Ansprechpartner. Sind Personendaten betroffen oder abhandengekommen, ist dies meldepflichtig und zwar beim jeweiligen Landesbeauftragen für Datensicherheit. Kevin Püster: Wir raten jedem Betrieb, die Notrufnummer eines Cyberexperten oder Datenforensikers für den Notfall griff bereit zu haben. Eine wesentliche Herausforderung ist, dass heutzutage in einer Notsituation Experten nur limitiert auf dem Markt verfügbar sind. Diese sollte man sich also bereits vorab sichern. Auch die finanzielle Absicherung eines Schadens durch eine Cyberversicherung sollte nicht fehlen. Welche Rolle spielen Cyberversicherungen bzw. welche Schäden werden aktuell abgedeckt? Johannes Vakalis: Grundsätzlich decken viele Cyberversicherungen die unmittelbaren Kosten, die durch eine Cyberattacke entstehen können. Darunter fallen die vier Hauptrisiken, wie Haftung für Netzwerksicherheit und Datenschutz, Unterbrechung des Netzwerkbetriebs, Medienhaftung sowie Fehler und Auslassungen. Kevin Püster: Zentral für den richtigen Versicherungsschutz ist, dass die Risiken eines Unternehmens adäquat eingeschätzt werden. Daran arbeiten wir als führender Partner für die Versicherungsbranche derzeit mit, indem wir Risikoanalysen anbieten und diese gemeinschaftlich mit Versicherern weiterentwickeln bzw. als Standards etablieren, sodass sowohl unsere Kunden als auch Versicherungspartner langfristig davon profitieren.

20 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Produktion „sicher“ steigern datenschutz Das Vorurteil vom Führungspersonal vieler Firmen, komplexe Systeme für die Cybersicherheit würden die Produktivität behindern, muss überwunden werden. Text: Theo Hoffmann Foto: Claudio Schwarz/unsplash

iele Unternehmen fürchten

sich davor, eine komplexe und immer wieder zu aktualisierende IT-Security zu installieren. Als Grund nennen sie auch, dass gewohnte Arbeitsabläufe gestört werden und dadurch die Produktivität eines Unternehmens leiden könnte. Meist wird dabei vergessen, dass die Zahl der Cyberangriffe kontinuierlich wächst und dass kleinere und mittelständische Unternehmen davon nicht ausgenommen sind. Die Methoden der Angreifer sind oft perfide und zielen darauf ab, Vertrauen zu erwecken und dann zu missbrauchen. Der Trend zum Homeoffice hat in Pandemiezeiten die Verletzlichkeit schützenswerter Daten dramatisch erhöht. Mitarbeiter greifen über private und/oder öffentliche Router aufs Netz und die Server ihrer Firmen zu. Sie nutzen Social-Media-Kanäle und bieten Angreifern offene Flanken. Ist ein Unternehmen erst einmal von Cyberangriffen betroffen, ist die Überraschung, aber auch das Klagen darüber groß, dass man dies nicht im Voraus verhindert hat.

Der Trend zum Homeoffice hat in Pandemiezeiten die Verletzlichkeit schützenswerter Daten dramatisch erhöht. Dabei können intelligente Sicherheits-

systeme sehr gut helfen, Geld zu sparen. Mindestens ein Antivirusprogramm sollte verwendet und die Firewall aktiviert werden. Selbstverständlich sollten alle Beteiligten in der Lage sein, Systeme zu aktualisieren, wenn sie dazu aufgefordert werden. Gegen Malware und Datenverlust kann man sich durch Verschlüsselung der Daten schützen und Sicherungskopien auf Cloud-Speichern und externen Festplatten anlegen. Bei einiger Routine ist der Zeitaufwand für all das übersichtlich. Natürlich ist es auch wichtig, Mobilgeräte und Bildschirme durch die Verwendung starker Passphrasen zu schützen. Es dauert im Schnitt 200 Tage, bis ein Angriff von einem Unternehmen bemerkt wird. Damit geht wertvolle Zeit verloren. Und ist das Kind erst mal in den Brunnen gefallen, wird die Produktivität ebenso sinken. Ransomware und Spyware sind zwei der häufigsten Online-Bedrohungen, von denen Unternehmen und Einzelpersonen derzeit betroffen sind.

So kompliziert, täuschend und verwirrend, wie Malware manchmal auch sein mag – ihr Erfolg hängt davon ab, dass wir vertraute, alltägliche Aktionen ausführen, wie zum Beispiel das Anklicken von Links, das Anschließen von Geräten oder das Öffnen von Anhängen. Glücklicherweise bestimmen wir selbst, wie und wann wir diese Aktionen ausführen. Wenn wir also aufpassen, behalten wir auch die Kontrolle.

seine Mitarbeiter bei der Erfüllung ihrer Aufgaben, wenn es Sicherheitssysteme installiert, die vom Einzelnen nahezu unbemerkt den erforderlichen Schutz ermöglicht. Gerade bei Arbeiten im Home-office oder unterwegs kann keine Firma davon ausgehen, dass ein benutztes Gerät trotz lange verwendeter Anmeldemodalitäten auch sicher ist. Stattdessen sollten Security-Abteilungen den Zugriff aufs Netzwerk nur nach vorher vereinbarten Richtlinien gewähren. Die Sichtbarkeit all dessen, was im Netzwerk geschieht, ist ausschlaggebend. Dafür sollte die IT-Security einer Firma sowohl den Austausch von Daten innerhalb eines Netzwerks als auch alle von außen eingehenden Daten überwachen.

Kein Unternehmen behindert

definiert werden, welche Daten nach modernen Verschlüsselungsstandards eines speziellen Schutzes bedürfen. Weil Angreifer darZudem muss genau

Ransomware und Spyware sind zwei der häufigsten OnlineBedrohungen, von denen Unternehmen und Einzelpersonen derzeit betroffen sind. auf mit großer Vorliebe abzielen, sollten diese Daten von der Security regelmäßig auch wieder entschlüsselt und überprüft werden. Dafür empfehlen die Fachleute, dass diese Daten möglichst zentral und nicht in verschiedenen Tools entschlüsselt werden.

fakten Die technischen Kontrollen eines Unternehmens sollten immer so gut sein, dass Kriminelle ihre Angriffe nur ausführen können, wenn sie physischen Zugang zu Computern und anderen Geräten erhalten. Und selbst das lässt sich mit intelligenten Sicherheitssystemen überwachen. Schaden kann immer nur begrenzt werden, wenn man ihn früh bemerkt.

Noch immer unterschätzen Unternehmen die Gefahren, die von Cyberangriffen ausgehen – welche sich mit dem vermehrten Homeoffice ebenfalls vervielfältigt haben.

ANALYSE

AOE GmbH – Partner Content 21

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

IT-Sicherheit steht nicht im Widerspruch zur Produktivität partner content

Steffen Ritter unterstützt mit seinem Spezialisten-Team Unternehmen in den Bereichen der Absicherung von Login-Prozessen und deren Verwaltung (IAM) wie auch dem Security Audit von modernen Webapplikationen. Ein Interview mit ihm über den Faktor Mensch in der IT-Security. Viele kleine und mittelständige Unternehmen ignorieren die Risiken der IT-Sicherheit auf breiter Linie, während man der Presse wie auch staatlichen Lageberichten entnehmen kann, dass die Bedrohungslage stetig zunimmt. Können Sie aus Ihrer Erfahrung sagen, woran das liegt? Das ist korrekt. Studien zeigen auf, dass zwar viele Unternehmen das Risiko wahrnehmen, aber gleichzeitig die Schutzbehauptung aufstellen, dass es sie nicht treffen werde, weil sie dafür gar nicht interessant genug seien. Ich sage Schutzbehauptung, weil es Ihre Frage, woran das liegt, sehr deutlich beantwortet: Wäre man betroffen, müsste man handeln. Und dieses Handeln bedeutet Veränderung. Veränderung in Arbeitsabläufen, Veränderung im Verhalten, Veränderung in Aufgaben. Der Mensch ist ein Gewohnheitstier und hat immer Angst vor Veränderung. Bei solchen Bestrebungen, gerade in kleinen Unternehmen, schwingt auch immer die Angst

”

„Zusammenfassend hält sich in vielen Köpfen also immer noch das Mantra, dass die Verbesserung der IT-Sicherheit mit Produktivätseinbußen einhergeht, die für viele Unternehmen genauso schädlich sein können wie ein eventuelles Schadensereignis.

www.bare.id

Steffen Ritter, Leiter der Cybersecurity der AOE GmbH vor Mitarbeiterverdruss mit. Beispielsweise sind in KMU IT-Abteilungen – sofern überhaupt vorhanden – häufig nicht aufgestellt, die Anforderungen, die neu an sie gestellt werden, zu erfüllen. Und gleichzeitig sind langjährige Mitarbeiter schwer davon zu überzeugen, wenn ihnen Handlungsspielräume genommen werden, die sie zwar noch nie gebraucht haben, aber dennoch seit Jahren haben. Zusammenfassend hält sich in vielen Köpfen also immer noch das Mantra, dass die Verbesserung der IT-Sicherheit mit Produktivätseinbußen einhergeht, die für viele Unternehmen genauso schädlich sein können wie ein eventuelles Schadensereignis – das Ergebnis liegt auf der Hand. Was raten Sie Unternehmern, wenn Sie auf eine solche Meinung stoßen? Gute Frage. Ich würde sagen: Nicht den Kopf in den Sand stecken, sondern einen kleinen Schritt nach dem anderen tätigen. Maßnahmen zur IT-Security sollten immer angemessen sein. Die zwei größten Risiken, die ich auch heutzutage noch antreffe, sind veraltete Systeme (Hard- wie Software) und bewusst unsichere Konfiguration wie einfache Passwörter oder „Zugriff auf alles für alle“, die vermeintlich Produktivität steigern sollen. Aber gerade letzteres ist gefährlich in Kombination mit der Schwachstelle Nr. 1: Dem Faktor Mensch – also dem Mitarbeiter. Und da sollte man ansetzen. Was schlagen Sie vor? Wir haben eine Produktlösung entwickelt: Bare.ID. Mit Bare.ID bieten wir eine

Mehrfaktorauthentifizierung ist heutzutage mehr als nur Authenticator-Apps. Das Beispiel im Bild: Einmalpasswort via E-Mail.

SaaS-Lösung an, mit der wir sogenanntes „Single Sign-On“ ermöglichen. Als managed Lösung stellt das keine Belastung für die Unternehmens-IT dar und der Verantwortliche benötigt kein Expertenwissen im Bereich IT-Sicherheit oder IAM. Damit bleibt die „Angemessenheit“ im Vergleich zu großen IAM-Lösungen gewahrt. So lösen wir die diversen im Unternehmen vorhandenen unterschiedlichen Logins durch ein zentrales Login ab. Das kann die Anzahl der Loginvorgänge und vom Mitarbeiter zu merkenden Zugangsdaten massiv reduzieren und gleichzeitig, durch die Einführung von Mehrfaktor-Authentifizierung (MFA), das Risiko der Kompromittierung stark reduzieren. Aber ist nicht gerade MFA ein Thema, das von Digital Immigrants als Produktivitätshemmer und Verdrussfaktor wahrgenommen wird? Das ist leider wahr. Meiner Meinung nach rührt dies daher, dass mit dem Aufkommen von MFA primär die sogenannten „Authenticator-Apps“ für die Generierung von Einmalpasswörtern (OTP) als zweiter Faktor zur Verfügung standen, deren Einrichtung für den Laien oft unverständlich kompliziert ist. Heutzutage haben sich viele weitere Verfahren etabliert, die je nach erforderlichem

”

„Maßnahmen zur IT-Security sollten immer angemessen sein.“ Sicherheitsniveau von SMS oder E-Mail über Geräte-Identifikationen, Hardwaretokens und biometrischen Merkmalen bis hin zum elektronischen Personalausweis und Signaturkarten viele Spielarten erlauben. Welche Gefahren sehen sie trotz aller Vorsicht auch in der MFA? Trügerische Sicherheit. Soll heißen, dass gebotene Vorsicht im Umgang mit Passwörtern und Logins fallen gelassen wird, weil man ja auf die Sicherheit des Systems vertraut. Zum einen sind nicht alle eingesetzten Verfahren wirkliche echte Faktoren im Sinne der Theorie und zum anderen ist ja auch klar: Wenn mein Passwort 1234 ist, habe ich bei 2-Faktor-Authentifizierung am Ende nur einen wirksamen Sicherheitsfaktor.

22 Partner Content – ML Gruppe

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE ANZEIGE

Abwehr von Cybercrime ist keine Mission partner content

Trainings zur Informationssicherheit wenden sich an alle Beschäftigten von Organisationen. Egal ob Reinigungskraft, Bürokraft, Fahrdienst oder Leitung.

www.mlgruppe.de

Fo t

o: P

Frank Hoffritz, Geschäftsführender Gesellschafter der ML Gruppe

Narrativ, das dahintersteckt. Dabei besteht Cybercrime laut BKA-Bundeslagebild bereits seit Jahren zu 75 % aus „normalem“ Betrug. Hütchenspieler, Trickser auf Auktionsplattformen oder bei Kleinanzeigen-Portalen. Die Tricks, die dort angewendet werden, sind oft ziemlich banal und würden auf einem normalen Flohmarkt nicht funktionieren. In der realen Welt sind wir gut im Erkennen von Plagiaten oder Betrügern. Die notwendigen Kompetenzen erscheinen zu schwierig und nur für Nerds geeignet, aber nicht für die normalen Menschen. Cybercrime wird als „Mission Impossible“ dargestellt, als sei es unmöglich sich davor zu schützen. Welche Rolle spielen bei den Sensibilisierungsmaßnahmen die Führungsebenen? Stefan Klopp: Führungskräfte sind in Organisationen nicht nur Vorbild (passiv) und Multiplikator (aktiv) für sicheren Umgang mit digitalen Werten. Führungskräfte, die den sicheren Umgang ernst nehmen und vorleben, schaffen überhaupt erst ein

res

In den letzten Jahren hat sich im Bewusstsein für Cybersecurity ja bereits viel getan. Warum gibt es trotzdem noch immer einen so großen Sensibilisierungsbedarf? Stefan Klopp: Wir sehen verschiedene mögliche Ursachen. Zum einen leben einige Menschen in Deutschland in digitaler Sorglosigkeit. Wir sind ein gefahrenarmes Leben gewohnt. § 823 BGB, die Schadensersatzpflicht, sorgt dafür, dass für mögliche eröffnete Gefahren jemand haftet. Wir können Geräte kaufen und uns sicher fühlen. Wir können Straßen bedenkenlos entlanggehen, Lebensmittel zu uns nehmen oder uns frei bewegen. So lange wir uns im Wirkungsbereich des § 823 BGB befinden, können wir ein sorgenarmes Leben führen. Gefahrenbereiche mit hoher Kriminalität sind gut erkennbar und bekannt. Die Gefahrenbereiche des Internets sind jedoch noch nicht so bekannt. Lügner erkennen wir im echten Leben an Mimik, Körpersprache, Tonfall oder feuchten Händen. Diese Quellen fehlen uns im digitalen Alltag. Frank Hoffritz (Geschäftsführender Gesellschafter der ML Gruppe): Eine zweite Ursache vermuten wir im Gefühl der Machtlosigkeit. Fragen von IT-Sicherheitsexperten wie „Wurden Sie schon gehackt, oder wissen Sie es noch nicht?“ stellen eine zwangsweise Ausweglosigkeit dar. „Wir haben keine Chance gegen Hacker“ ist das

Fo t

o: P

Stefan Klopp, Geschäftsführender Gesellschafter der ML Gruppe

Klima, in dem ein bewusster Umgang mit den Gefahren der digitalen Welt möglich ist. Im Gegensatz dazu rufen Führungskräfte, die notwendige Sicherheitsmaßnahmen negativ in der eigenen Abteilung kommentieren, buchstäblich zur Missachtung der Regelungen auf.

”

„Um ein ‚Grundrauschen‘ an Informationssicherheit zu erzeugen, bieten sich monatliche Newsletter an.“ Ohne Ressourcen (Zeit, Personal, Geld) kann es keinen sicheren Umgang mit Informationen geben, Ressourcen werden durch die Hierarchieebenen beantragt und bewilligt.

Somit sind alle, die an der Ressourcenplanung einer Organisation beteiligt sind, verantwortlich. Haben die Beschäftigten keine Ressourcen (Zeit, Personal), können Sensibilisierungsmaßnahmen nicht ihre volle Wirkung entfalten. Viele Beschäftigten werden, intrinsisch motiviert, zunächst ihre Kernaufgabe erfüllen und dann erst die als zusätzlich wahrgenommenen Sicherheitsmaßnahmen, wenn noch Zeit ist. Frank Hoffritz: Wir haben mit unserer Marke „ML Cybersec“ extra eine Fachabteilung innerhalb der ML Gruppe geschaffen, die mit ihren Leistungen und Produkten auf die Sensibilisierung spezialisiert ist. Es sind viele neue Spielarten von Cyberangriffen hinzugekommen? In welchen Abständen muss das in das Awareness-Training eingebunden werden? Frank Hoffritz: Grundsätzlich ist Awareness und Informationssicherheit kein Sprint und kein Marathon, sondern ein lockerer Dauerlauf, den man jedoch kontinuierlich betreiben sollte, um eine Organisation fit und resilient zu bekommen oder zu halten. „Awareness“ bedeutet „Bewusstsein“. Wenn wir also über Bewusstseins-Training sprechen, raten wir dazu, in die Filterblase der Beschäftigten zu kommen. Das schafft man nicht, wenn man nur einmal jährlich eine Aktion oder ein E-Learning macht oder einen Newsletter verschickt. Idealerweise baut man eine Marke zum Thema Informationssicherheit auf und bietet sowohl zu aktuellen Ereignissen als auch zu saisonale Themen Hintergrundinformationen an. Eine gesunde Mischung, die abgestimmt auf die Kultur

ANALYSE

ML Gruppe – Partner Content 23

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

”

„Führungskräfte, die den sicheren Umgang ernst nehmen und vorleben, schaffen überhaupt erst ein Klima, in dem ein bewusster Umgang mit den Gefahren der digitalen Welt möglich ist.“

Impossible der jeweiligen Organisation über das Jahr geplant wird. Um ein „Grundrauschen“ an Informationssicherheit zu erzeugen, bieten sich monatliche Newsletter an. Hiermit lassen sich aktuelle Themen aufgreifen aber auch grundsätzliches Wissen auf bauen (Was ist ein Cookie? Wie sichere ich mein Online-Banking? Wie funktioniert diese Ransomware Geschichte?) Dieses Grundrauschen lässt sich mit quartalsweisen Webinaren, oder Informationsveranstaltungen zu speziellen Themen erweitern. Ein jährliches Highlight kann dann ein Sicherheitstag oder eine Live-Hacking-Show sein, bei der man unseren „Hackern“ mal bei der Arbeit über die Schulter schauen kann. Ein solches Jahreskonzept ermöglicht es einer Organisation, jederzeit auf aktuelle Gefahren hinzuweisen und einzugehen, um die eigenen Beschäftigten schnellst- und bestmöglich zu informieren. Wie kann das Training auf die oft sehr individuellen Anforderungen eines Unternehmens angepasst werden? Stefan Klopp: Es kann nicht nur, es sollte auf jeden Fall. Wesentliche Kommunikationswege sollten berücksichtigt werden, ebenso wie eine genaue Zielgruppenanalyse und ein Bild der Unternehmenskultur. Zudem muss das Umfeld betrachtet werden, in welchem die Organisation sich bewegt. Eine Übersicht über die klassischen Prozesse hilft den Trainern auch, auf die spezifischen Gefährdungen einzugehen. Kenntnis über bisherige Maßnahmen und Regelwerke helfen den Trainern und Trainerinnen, die aktuelle Situation einzuschätzen. Oft bringen Recherchen über Sicherheitsvorfälle aus den speziellen Bran-

chen besonders interessante Ereignisse von Mitbewerbern zu Tage, oder die Unternehmen kennen selbst entsprechende Vorfälle. Was bringt es, wenn Lernende zum Training einem „Live-Hacker“ über die Schulter schauen? Ist das nicht zu abstrakt? Frank Hoffritz: Überhaupt nicht, im Gegenteil. Durch eine Live-Hacking-Show wird die Seite der Angreifenden viel transparenter und es lässt sich leichter nachvollziehen, wie man sich schützen kann. Durch den Show-Charakter mit zwei verschiedenen Personen in klaren Rollen können sich die Zuschauenden in die jeweilige Rolle hineinversetzen und auch sehen was passiert, wenn „es“ passiert. Zudem werden auf diese Art und Weise aus Gerüchten klare Wahrheiten und Urban Legends können enttarnt werden. Die Zuschauenden bekommen ein Gefühl dafür, welche Bedrohungen wirklich existent sind, und welche zwar existieren, jedoch für normale Anwendende keine Gefahr darstellen, weil sie z. B. viel zu teuer in der Durchführung und somit für Angreifende nicht lukrativ sind. Große Gefahren, wie z. B. die mehrfache Nutzung wichtiger Passwörter, können in einem Live-Hacking sehr praxisnah dargestellt werden. Passwort hacken und bei einem anderen Dienst ausprobieren zum Beispiel. Die Fülle von Passwörtern, die man bei unterschiedlichen Systemen im Kopf behalten soll, wird immer umfangreicher. Was empfehlen Sie im Umgang mit diesem Problem? Stefan Klopp: Nutzen Sie einen Passworttresor, die gängigen Premium-Anbie-

ter von Geräten und Programmen bieten hier in der Regel schon gute Sicherheit. Wer es ein wenig unabhängiger haben möchte, ist mit KeePass, einem kostenlosen Open-Source-Produkt, gut beraten. Erstellen Sie ihre eigene Passwortstrategie. Wichtiges Konto = Richtiges und einmaliges Passwort. Ihr E-Mail-Konto etwa sollte mit einem sicheren und einmaligen Passwort geschützt sein, zwölf oder mehr Zeichen und möglichst verschiedene Sonderzeichen einsetzen. Wenn Ihre Kontodaten oder Adresse damit geschützt werden, sollten Sie auf jeden Fall auch auf ein sicheres einzigartiges Passwort setzen. Sichert das Passwort nur einen unwichtigen Zugang (kostenloser Downloadbereich oder

ähnliches) kann es auch mehrfach verwendet werden. Besser aber: Verwenden Sie, so oft es möglich ist, die Zwei-Faktor-Authentifizierung. Wissen und Besitz sind zwei verschiedenen Faktoren. Wenn Sie also eine SMS auf Ihr Smartphone geschickt bekommen, oder wie bei der Bankkarte eine Karte mit PIN nutzen können, ist das eine wirklich gute Lösung! Betreiben Sie möglichst wenig Passwort-Recycling, verwenden Sie wichtige Passworte nur einmal! Sie wissen nicht immer, wie gut die jeweiligen Dienste auf Ihr Passwort achten. Ein einmal erbeutetes Passwort wird sehr schnell bei verschiedenen Diensten ausprobiert, auch bei eBay, Amazon oder gar PayPal.

24 Partner Content – TÜV SÜD

Eine unabhängige Kampagne von European Media Partner

ANALYSE

analysedeutschland.de

Trends in der Cybersecurity SÜ

Cyberangriffe der jüngsten Vergangenheit haben es gezeigt: Die Absicherung der gesamten Lieferkette wird immer wichtiger. Für das Jahr 2022 und darüber hinaus hat TÜV SÜD einige weitere Trends in der Cybersicherheit identifiziert. Dazu zählt die Professionalisierung der Angreifer, aber auch ein wachsendes Bewusstsein bei Verbrauchern und Unternehmen für mehr Cybersicherheit ist zu beobachten.

partner content

Fo t

o: T

ÜV

Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO), TÜV SÜD AG

Ransomware-Angriffe wie Kaseya, SolarWinds und Colonial Pipeline haben Schlagzeilen gemacht. Diese Attacken im Jahr 2021 haben eindrucksvoll gezeigt, wie verwundbar unsere global vernetzten Infrastrukturen wirklich sind. Sie sind allerdings nur die Spitze des Eisbergs. Mit Blick in die Zukunft ist deshalb klar: Cybersicherheit ist kein zusätzliches Feature, sondern ein zentrales Thema für alle Akteure im digitalen Ökosystem. Deshalb wird es immer wichtiger, Cybersicherheit als Bestandteil der Unternehmenskultur zu etablieren. Für das Jahr 2022 und darüber hinaus sieht TÜV SÜD folgende wichtige Entwicklungen und Trends in der Cybersecurity.

Malware gekauft werden, sogar inklusive technischem Support. Dieser Markt wird weiterwachsen. Unternehmen müssen darauf proaktiv reagieren und verstärkt in die Schulung und Awareness ihrer Mitarbeitenden sowie in die Absicherung der technischen Infrastruktur investieren. Cyberkriminelle haben 2021 dafür genutzt, sich neu zu positionieren und ihr Tätigkeitsfeld auszubauen. Daher wird es nun für Kleine und Mittlere Unternehmen (KMU), Industrie, KRITISBetreiber und den öffentlichen Sektor wichtig, darauf entsprechend vorbereitet zu sein.

Cybercrime-as-a-Service (CaaS) Wachsende Professionalisierung von Cyberkriminellen erfordert eine entsprechende Vorbereitung auf Unternehmensseite. Denn Ransomware wird mittlerweile von Cyberkriminellen ähnlich vermarktet wie reguläre Software, sie haben damit ein Geschäftsmodell geschaffen: Ransomware ist mittlerweile als Cybercrime-as-a-Service sehr einfach zugänglich. Gegen Lizenzgebühren kann

Cybersecurity Awareness: Verbraucher sind sensibilisiert Angriffe auf große Unternehmen und Infrastruktur haben gezeigt, dass die Maßnahmen der Industrie in Sachen Cybersicherheit beispielswiese im Bereich Industrial Internet of Things (IIoT) den Methoden der Angreifer deutlich hinterher sind. Es liegt daher im Eigeninteresse der Industrie, das eigene Bewusstsein für

Risiken und Bedrohungen zu schärfen und resilienter gegenüber Angreifern zu werden. Auch für Endverbraucher gilt: Diese achten bei der Kaufentscheidung vernetzter Produkte zunehmend auf Cybersicherheit, beispiels-weise bei IoT-Geräten wie Smartwatches oder anderen Wearables. Das neue Prüfzeichen „Cybersecurity Certified“ des TÜV-Verbands fördert die digitale Sicherheit im Internet der Dinge für Verbraucher. Digital Trust: Schutz für KI, Automation und Algorithmen KI und Automatisierung helfen Unternehmen beispielsweise dabei, Prozesse zu optimieren und den eigenen Datenverkehr zu analysieren, um Angriffe, Datenlecks und -diebstähle frühzeitig zu erkennen. Allerdings sind diese Technologien nur so zuverlässig, wie die Algorithmen dahinter abgesichert werden. Unternehmen und Organisationen müssen entsprechend umsichtig sein, wie sie diese Technologien schützen. Denn auch Cyberkriminelle nutzen KI zunehmend für ihre Zwecke. Grundlegende Standards zur Cybersicherheit von KI können den Schutz der Infrastruktur und die Datenintegrität unterstützen. Lieferkette: Einheitliche Sicherheitsstandards Vergangene Vorfälle zeigen, dass besonders die Lieferkette in der Software-Entwicklung noch mehr Awareness für Cyberbedrohungen benötigt. Zudem muss es gemeinsame Standards für sichere Software geben, wie sie beispielsweise von der Charter of Trust gefordert werden, einer globalen Cybersicherheitsallianz in der TÜV SÜD aktives Mitglied ist. Hersteller

sollten ihre Partner und Zulieferer bezüglich der Einhaltung neuer Vorschriften unterstützen und Cybersicherheit von Anfang an mitdenken, ganz nach dem Prinzip „Security by Default“. Globale Harmonisierung: Gemeinsam für mehr Cybersicherheit „Standards sind das Rückgrat der Cybersicherheit.“ Dieses Motto muss international gelebt werden und erfordert grenzüberschreitende Zusammenarbeit. Industrie und Gesetzgeber sollten gemeinsam an harmonisierten Mindestanforderungen arbeiten, die über Branchen und Technologien hinweg dafür sorgen, dass Produkte und Services „ab Werk“ cybersicher sind. Durch einheitliche und allgemeingültige Standards für Cybersicherheit ist es möglich, das Sicherheitsniveau zu stärken. Eine branchenübergreifende und globale Zusammenarbeit bei der Festlegung gemeinsamer grundlegender Cybersicherheitsanforderungen kann Wirtschaft und Gesellschaft insgesamt bei der Verbesserung ihrer Cyberresilienz unterstützen. Als neutrales, herstellerunabhängiges Prüf- und Zertifizierungsunternehmen sieht TÜV SÜD einen wachsenden Bedarf an der globalen Harmonisierung von Sicherheitsstandards. Weltweit harmonisierte Standards und entsprechende Zertifizierungen machen es kleineren und größeren Unternehmen leichter, konkrete Cybersicherheitsanforderungen zu erfüllen. Informationen zu den Dienstleistungen von TÜV SÜD rund um Cybersicherheit: www.tuvsud.com/cybersecurity

Die Cybersecurity-Trends 2022

Globale Harmonisierung: Gemeinsam für mehr Cybersicherheit Cybercrime-as-a-Service (CaaS)

Digital Trust: Schutz für KI, Automation und Algorithmen Cybersecurity Awareness: Verbraucher sind Lieferkette: Einheitliche sensibilisiert Sicherheitsstandards

ANALYSE

EY – Partner Content 25

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Schutz vor Cyberangriffen und Datenklau partner content

Im Ernstfall ist ein funktionierendes Notfallmanagement überlebenswichtig. Eine wirksame Cybersecurity-Strategie umfasst den richtigen Mix aus Vorsorgeund Abwehr-, Erkennungs- und Notfallmaßnahmen.

:E o to

Matthias Bandemer, Partner und Leiter Cybersecurity bei EY Die Arbeitswelt ist während der Pandemie noch digitaler geworden. Zum Beispiel mussten Unternehmen Beschäftigte von heute auf morgen ins Homeoffice schicken oder neue Lösungen in der Cloud aufsetzen. Oft gab es wenig Zeit für entsprechende Sicherheitsvorkehrungen – für Cyberkriminelle und Hacktivisten ideal, weil sich die mögliche Angriffsfläche deutlich vergrößert. Unter dem Strich werden immer ausgefeiltere Methoden eingesetzt, um Geld zu erpressen oder an Firmengeheimnisse zu kommen. Im Fokus der Angreifer stehen insbesondere umsatzstarke Unternehmen, Einzelhandel, Automobilzulieferer sowie Technologie- und Medienunternehmen. Dass sich das Einfallstor für organisierte Cyberkriminelle weiter geöffnet hat, unterstreicht die Datenklaustudie von EY. Danach ist jedes dritte Unternehmen der Meinung, dass das Risiko von Cyberangriffen und Datenklau in der Pandemie zugenommen hat. 99 Prozent erwarten, dass das Problem weiter zunehmen wird. Dennoch sehen 27 Prozent der befragten Manager ihr Unternehmen noch nicht wirkungsvoll gegen Informationsabfluss gesichert. Wir haben mit Matthias Bandemer, Partner und Leiter Cybersecurity bei EY, über Cybersicherheit gesprochen. Herr Bandemer, gibt es hundertprozentigen Schutz gegen Datenklau? Leider gibt es den nicht. Daher sollten Unternehmen ihre Geschäftsgeheimnisse und -prozesse gut schützen, um im Angriffsfall schnell reaktionsfähig zu sein. Möglichst genaue Krisenpläne können helfen, den Schaden zu begrenzen.

www.ey.com

Wodurch zeichnet sich ein guter Krisenplan aus? Er sorgt dafür, dass bei einem Ausfall der IT infolge einer Ransomware-Attacke, die im schlimmsten Fall zu einem Stillstand der Geschäftsprozesse führt, Klarheit besteht und insbesondere in den ersten kritischen Stunden direkt nach einem Vorfall keine Zeit verloren geht. Was sind Prioritäten, wer ist verantwortlich, was sind grundsätzliche Vorgehensweisen hinsichtlich der Einberufung des Krisenstabs, der Kommunikationsketten und der Bereitstellung von zu nutzendem, „sauberen“ IT-Equipment zur Aufrechterhaltung der Kommunikationsfähigkeit? Wann sollte die Arbeit an einem Krisenplan beginnen? Wenn es noch keinen Cyber-Krisenplan gibt: Jetzt sofort! Am besten vor der Krise. Zunächst ist festzulegen, welche Geschäftsprozesse die wichtigsten für das Überleben des Unternehmens sind und wie lange diese höchstens ausfallen dürfen. Aus dieser Analyse leiten sich auch wichtige präventive Vorsorgemaßnahmen ab. Was verstehen Sie darunter? Das kann eine Verbesserung der Schutzmaßnahmen- und Angriffsüberwachung für das Unternehmensnetzwerk oder die Cloud sein oder der redundante Auf bau von IT-Infrastrukturen für kritische Geschäftsprozesse. Zusätzlich bieten sich die Prüfung der Backups und Wiederherstellungsfähigkeit, ein Review der Disaster Recovery Pläne und die Planung von Krisensimulationen und Cyber-Notfallübungen an. Außerdem ist zu überlegen, ob Verträge mit Dienstleistern für Incident Response und Forensik zu schließen sind oder wie mit der Bezahlung von Ransomware grundsätzlich umzugehen ist. Abgerundet wird ein handfester Cyber-Krisenplan mit Kommunikationsplänen und -templates für HR, Presse, Investoren, Aufsichtsbehörden oder Ermittlungsbehörden. Was sind Ihre Empfehlungen für die Zeit während der Krise? Auf die ersten Stunden kommt es an. Hier gilt es, den Krisenstab einzuberufen, eine Lageeinschätzung vorzunehmen und für regelmäßige Updates an die Unternehmensleitung zu sorgen. Zudem sollten IT-Notfallmaßnahmen rasch eingeleitet werden. Abhängig von der Lage ist zu entscheiden, welche Kommunikationspläne und welche externen Dienstleister für Cyber Incident Response und Forensik aktiviert werden. Ferner sind unter Umständen Ermittlungsbehörden und Versicherungen einzuschalten.

Sollten Unternehmen zu den Angreifern Kontakt aufnehmen? In Fällen, wo die angesprochenen Maßnahmen nicht gewirkt haben, ist in der Regel eine Kontaktaufnahme und Verhandlung nötig. In einem guten Krisenplan sind entsprechende Vorgehensweisen vermerkt. Dies gilt auch für den rechtssicheren Umgang mit Lösegeld-Zahlungen. Und was sollten Unternehmen nach der Krise bedenken? Hier haben der Wiederanlauf in den Normalbetrieb und eine detaillierte Dokumentation oberste Priorität. Was sind die „Lessons Learned“? Nur durch eine gute Analyse lassen sich künftige IT-Sicherheitsmaßnahmen verbessern. Unterstützung bieten externe Experten, die die Netzwerke auf Schwachstellen überprüfen. Und Mitarbeitende sollten regelmäßig zur Datensicherheit geschult werden. Welche Beratungsleistungen bietet EY an? Unser Cybersecurity-Team agiert als strategischer und weltweit aufgestellter

Partner für mittelständische und große Mandanten in sechs Handlungsfeldern: 1. Cybersecurity ist Chefsache: Festlegung von Verantwortlichkeiten und Auf bau von Ressourcen 2. Schonungslose Analyse und Behandlung von Cyberrisiken und Schwachstellen (technisch und organisatorisch) 3. Verankerung von Informationssicherheit als kontinuierlicher Verbesserungsprozess 4. Umsetzung von technischen und organisatorischen Schutz- und Erkennungsmaßnahmen auf der gesamten Angriffsfläche 5. Erarbeitung und Integration von Cyber-Notfall- und Krisenplänen 6. Zielgruppengerechte Sensibilisierung von Mitarbeitenden Dafür bieten wir maßgeschneiderte und risikoorientierte Beratungsansätze, standardisierte Bausteine und ergänzend dauerhafte „Managed Services“ in den Bereichen Angriffserkennung oder Lieferantensicherheits-Audits.

26 IT-Sicherheit

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Selbstbestimmtes Handeln ist wichtig digitale souveränität Eine digitale europäische Souveränität existiere leider nicht, sagt Prof. Dr. Claudia Eckert vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC. Text: Armin Fuhrer Foto: Presse, Sigmund/unsplash

Beunruhigt Sie die große Abhängigkeit Europa von den digitalen US-Anbietern?

Die Marktdominanz US-amerikanischer, aber auch asiatischer Anbieter in wichtigen Bereichen digitaler Technologien, wie Cloud-Plattformen, Mobilkommunikation oder Chipfertigung ist ein Fakt. Beunruhigt bin ich, wenn wir keine Wahlmöglichkeiten haben und nicht bestimmen können, welche Anforderungen die Technologien erfüllen sollen, zum Beispiel in Bezug auf die Cybersicherheit. Kann man derzeit überhaupt von einer digitalen Souveränität der Europäer reden?

Prof. Dr. Claudia Eckert, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC

Leider nein. Allein aus wirtschaftlichen Gründen sind Unternehmen auf den Einsatz von digitalen Technologien der global agierenden Player angewiesen. Damit geht aber nicht zwangsläufig auch der völlige Kontrollverlust, der Verlust an Souveränität einher. Souverän heißt,

Allein aus wirtschaftlichen Gründen sind Unternehmen auf den Einsatz von digitalen Technologien der global agierenden Player angewiesen.

dass ich die Risiken von Abhängigkeiten beurteilen und unbeeinflusst von Dritten selbstbestimmt Handeln kann. Dafür muss ich nicht autark sein und alle Technologien selbst entwickeln. Ich muss aber in der Lage sein, die Werte, die mir wichtig sind, zu formulieren und zu prüfen, ob die Anbieter von Technologien diese Werte kontinuierlich gewährleisten, wie beispielsweise ein hohes Maß an Datenschutz.

Cyberrisiken, die mit dem Einsatz von Technologien verbunden sind, beurteilen zu können.

Die Bedrohungen durch Cyberangriffe nehmen weltweit rasant zu. GAIA-X ist der Versuch, europäische Infrastrukturen aufzubauen. Ist das der

Warum ist digitale Souveränität so

richtige Weg?

wichtig?

Ja, GAIA-X ist ein richtiger und wichtiger Ansatz. Ziel von GAIA-X ist der Aufbau eines offenen Datenökosystems, um die unternehmensübergreifende gemeinsame Nutzung von Daten in sicheren Datenräumen vertrauenswürdig und fair zu ermöglichen. Daten können dadurch aus unterschiedlichen Quellen zusammengeführt werden. Dies erlaubt z. B. eine bessere Diagnostik in der Medizin, oder ein vorausschauendes Management, das Produktionsausfälle verhindert. GAIA-X legt Regelwerke fest, zu deren Einhaltung sich die Partner verpflichten. Für sicherheitskritische Bereiche wären aber weitere Maßnahmen wünschenswert, wie der technisch prüfbare Nachweis der Einhaltung von festgelegten Sicherheitsvorgaben. Mit der konsequenten Umsetzung der GAIA-X Ziele wäre ein wichtiger Grundstein für die Steigerung der digitalen Souveränität gelegt.

Wir sind an der Schwelle von der digitalen Transformation der Gesellschaft in das Zeitalter der Digitalität. Digitale Technologien sind allgegenwärtig. Deshalb ist die digitale Souveränität, also die Fähigkeit des selbstbestimmten Handelns, trotz und mit digitalen Technologien, von sehr großer Bedeutung für die Zukunft unserer Gesellschaft. Cybersicherheit ist dabei ein zentraler Aspekt, damit das selbstbestimmte Handeln nicht unterlaufen wird, indem beispielsweise Daten abfließen, Abläufe manipuliert werden oder ganze Produktionsanlagen durch kompromittierte Technologien zum Stillstand gebracht werden. Die Bedrohungen durch Cyberangriffe nehmen weltweit rasant zu. Für die digitale Souveränität einer Gesellschaft ist es deshalb unerlässlich, Fähigkeiten und auch Technologien zu besitzen, um die

Digitale Technologien sind allgegenwärtig. Deshalb ist die digitale Souveränität, also die Fähigkeit des selbstbestimmten Handelns, trotz und mit digitalen Technologien, von sehr großer Bedeutung für die Zukunft unserer Gesellschaft.

ANALYSE

Detecon Consulting – Partner Content 27

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

„Jetzt auf Gaia-X vorbereiten“ partner content

„Unternehmen können das neue Ökosystem rasch nutzen, wenn sie ihre Datenstrategien transformieren“, sagt Steffen Roos von Detecon. Die Management- und Technologieberatung und Advisory-Säule der T-Systems ist Mitglied bei der International Data Spaces Association IDSA, einer der Gründungsorganisationen der Gaia-X AISBL.

res

Fo t

o: P

Steffen Roos, Managing Partner und Leiter „Business Technology“ bei Detecon Consulting Wie können Unternehmen von Gaia-X konkret profitieren? Gaia-X bietet Unternehmen einen geschützten Raum, um an Ökosystemen vernetzter Wertschöpfungsketten teilnehmen zu können. Somit ist es möglich, eigene Daten mit anderen Teilnehmern einer Lieferkette zu teilen, ohne die eigene Datensouveränität zu verlieren. Sie müssen Daten nicht uneingeschränkt hergeben, sondern tauschen sie sicher und datenschutzkonform nur mit jenen Akteuren aus, mit denen sie dies vereinbart haben. Diese Kontrolle über die Daten gewährleistet Investitionssicherheit in innovative, datengesteuerte Geschäftsmodelle, die sich so zudem durch höhere Skalierbarkeit auszeichnen. Auch der Handel von bepreisten Daten soll künftig ermöglicht werden. Zudem: Die europäische Industrie ist extrem fragmentiert. Viele Länder pochen auf eigene Zuständigkeiten. Gerade daher birgt es enormen Nutzen, nun ein offenes System zur Verbindung von sicheren Datenräumen über geografische Grenzen hinweg zu etablieren. Sind Unternehmen mit ihren Digitalstrategien denn hierfür bereit? Entscheidend ist eine Transformation der Datenstrategie: Bislang betrachtet

www.detecon.com

diese primär die eigene Unternehmenswelt und ihre unmittelbaren Geschäftspartner. Gefordert ist nun der Blick auf ganze Wertschöpfungsketten und Ökosysteme. Diese Transformation bedarf einer Methodik, die den Weg in diese neuen Datenräume ermöglicht. Zuvor raten wir zudem immer zu einem strategischen Dialog, um Ziele und Wettbewerbspositionen zu klären. Schließlich wird sich die Perspektive erheblich weiten: Bisher gab es meist nur an der Außenkante des eigenen Unternehmens einen gewissen Datenaustausch. Fertiger hatten etwa Kontakt mit ihren Zulieferern sowie noch zu ihren Kunden und Händlern. Auf Digitalebene kannten sie aber nicht die Zulieferer ihrer Zulieferer. Ein Paradebeispiel ist der Lieferausfall von Chips, den so niemand kommen gesehen hat. Durch Projekte, die rund um Gaia-X entstehen, sind solche End-to-End-Wertschöpfungsketten nun gut abbildbar. Welche Voraussetzungen müssen Unternehmen mitbringen, um bei Gaia-X teilzunehmen? Natürlich müssen Unternehmen gewisse Spielregeln beachten, die die Gaia-X European Association for Data and Cloud AISBL als Gründungsvereinigung von Gaia-X vorgibt, um die Datensouveränität aller Teilnehmer zu gewährleisten. Dazu gehören technische als auch organisatorische Rahmenbedingungen, unter anderem Architektur-, Policy- und Security-Vorgaben. Können Sie einige dieser Vorgaben näher beschreiben? Vertrauen ist die Basis, die über allem steht. Vier Komponenten sind hierfür besonders wichtig: Erstens ein föderiertes Identity Management, das alle Teilnehmer absolut zuverlässig identifizieren und zertifizieren können muss, zweitens ein Service-Katalog, der alle Leistungen eines Teilnehmers auch hinsichtlich der Eigentumsansprüche transparent beschreibt. Drittens die standardisierten technischen Schnittstellen und valide Signaturen für Data Contract Transactions. Viertens müssen die Unternehmen in die dezentrale Gesamtarchitektur (Distributed Ledger Technology) eingebunden werden. Klingt anspruchsvoll. Ist Gaia-X demnach eine Spielwiese für Großunternehmen? Nein, durchaus nicht. Die Datenräume

von Gaia-X sind klar definiert. Die Reise vom Status Quo in diesen Zielzustand braucht Strategie und Methodik, dies hat nichts mit der Unternehmensgröße zu tun. Auch Mittelständler sollen das neue Ökosystem rasch nutzen können, denn Datensouveränität und geistiges Eigentum spielt hier eine immense Rolle.

”

„Gaia-X bietet Unternehmen einen geschützten Raum, um an Ökosystemen vernetzter Wertschöpfungsketten teilnehmen zu können.“ Warum sollte man sich gerade jetzt engagieren? Um gut und rechtzeitig vorbereitet zu sein und neue, grenzübergreifende Möglichkeiten auszuschöpfen. Zudem: Zum jetzigen Zeitpunkt können Unternehmen als Mitglieder durch ihre Mitarbeit die Plattform und Gaia-X zertifizierbare Infrastruktur entsprechend ihren Anforderungen mitgestalten und einzelne Projekte bereits in Umsetzungsallianzen

und Förderprojekten verproben. Profitieren werden am Ende alle vom einfachen Management der IT-Schnittstellen aufgrund der hohen Interoperabilität. Aber auch Nicht-Mitglieder können bereits jetzt ihre eigenen Business Cases definieren und technologisch und organisatorisch ausarbeiten, um diese, gemeinsam mit Infrastruktur Partnern – Gaia-X Mitglieder, die entsprechende Cloud und Connectivity Infrastruktur sowie das notwendige Knowhow anbieten – umzusetzen. Manche Kritiker werfen europäischen Akteuren vor, mit Gaia-X eine Art Abschottungsfantasie zu realisieren. Was antworten Sie? Gaia-X ist keine europäische, sondern globale Initiative, die europäische Werte und Datenschutzstandards gewährleisten wird. Wir haben mit Südkorea bereits den ersten asiatischen Hub inauguriert und sehen großes Interesse aus Japan, Singapur und Australien. Viele außereuropäische Unternehmen engagieren sich für Gaia-X. Das Arbeiten in globalen Ökosystemen und Wertschöpfungsketten macht ja nicht an Europas Grenze Halt. Lediglich der Standard und der Rechtsrahmen sind europäisch. Erst auf dieser sicheren Basis kann die Industrie das, was sie etwa bei der Hardware in der Automobilindustrie und der engen Zusammenarbeit zwischen OEM und Zulieferern geschafft hat, dann auch auf der Digitalebene realisieren. Dies ist eine enorme Chance für Europa und die Welt.

28 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnergermany

Banken für die digitale Ökonomie einleitung Der Druck auf eine schnellere Digitalisierung wächst: Smarte Apps, automatisierte Prozesse, Social Media und Kooperationen mit Fintechs prägen, wie wir leben, arbeiten, kommunizieren und bezahlen. Foto: Jochen Zick/actionpress

ft werden dabei Digitalisierung

und Automatisierung synonym verwendet. Aber das ist ein Trugschluss, denn das Herzstück der Digitalisierung ist eine digitale Ökonomie und nicht lediglich die Automatisierung von Prozessen. 1995 ist der Begriff „digitale Ökonomie“ durch Don Tapscott und Nicholas Negroponte geprägten worden. Gemeint war schon damals der freie Zugang zu Informationen. Heute stehen Daten im Mittelpunkt jeder Handlung. Maschinen und Sensoren tauschen autonom Echtzeit-Daten aus, um Prozesse ohne den Menschen zu koordinieren. Die Verschmelzung des Digitalen mit dem Analogen in Form des Internet of Things überführt das Internet in die physische Wirklichkeit. Die Blockchain-Technologie wird die industrielle Wertschöpfung revolutionieren. All diese Entwicklungen zeigen: Ohne digitale Ökonomie geht nichts mehr. Software programmiert Software, Innovationen entstehen exponentiell, Grenzen zwischen Ländern verschwinden. Ohne Bezahlen kein Geschäft:

Es ist das tägliche Brot der Banken, Zahlungsverkehr sicher und schnell abzuwickeln. In einer digitalen Ökonomie könnten Banken den Zahlungsverkehr sogar neu gestalten, etwa auf Blockchain-Basis: Der Digitale Euro der Europäischen Zentralbank oder der Giralgeldtoken, um programmierte Bezahlvorgänge der Industrie zu ermöglichen, sind zwei wichtige Punkte für die

Finanzinstitute. Aber auch bei der Kreditvergabe und der Verhinderung von Geldwäsche und Terrorismusfinanzierung bleiben Banken auch in der digitalen Ökonomie vertrauenswürdige Partner. Und machen wir uns nichts vor: Die Transformation unserer Wirtschaft bedeutet auch einen enormen Finanzierungsbedarf, den Banken stemmen müssen. Die größte Herausforderung für

die digitale Ökonomie Europas ist jedoch nicht die Finanzierung, sondern der Verlust der digitalen Souveränität. Der Einfluss Europas im Web 2.0 ist relativ klein im Vergleich mit internationalen Konzernen wie Google, Facebook & Co. WhatsApp, die Google-Suche: Sie sind aus unserem Alltag kaum wegzudenken. Der direkte Kontakt zu Kunden und ihren Daten ermöglichen es diesen Unternehmen, auch die Fühler in Richtung Bankdienstleistungen auszustrecken. Amazon hat in den USA, Indien, Mexiko und Südamerika bereits entsprechende Services für Kunden und Händler integriert. Gleichzeitig zeigt Chinas Tempo

bei der Blockchain-Technologie, wie man die digitale Transformation im Turbo vorantreibt. Kein anderes Land auf der Welt investiert so viel in Blockchain. Mit dem sogenannten Blockchain-based Service Network betreibt China eine beispiellose Globalisierungsstrategie.

Tobias Tenner, Head of Digitalisation beim Bundesverband Deutscher Banken

Die Transformation unserer Wirtschaft bedeutet auch einen enormen Finanzierungsbedarf, den Banken stemmen müssen.

In Anbetracht dieser starken

Mitbewerber darf sich Europas nicht abhängen lassen, sondern muss die eigene digitale Souveränität auf den Prüfstand stellen und mit vereinten Kräften eine Spitzenposition in einer digitalen Ökonomie anvisieren.

Banken sind bereit, dabei

übernehmen.

Im Durchschnitt verwenden 56 % der Deutschen Finanz-Apps.

Der Umsatz-Anteil von E-Commerce-Elektronik & Medien an den ausgewählten digitalen Märkten beträgt im Jahr 2021 etwa 21,2 %.

eine zentrale Rolle zu

€ 12 % der Befragten in Deutschland haben an Verkaufsstellen Zahlungen über ihr Smartphone getätigt.

Das Gesamttransaktionsvolumen im Segment Digital Payments wird 2021 etwa 164.320 Mio. € betragen.

Das durchschnittliche Transaktionsvolumen pro Nutzer im Segment Neobanking liegt im Jahr 2021 voraussichtlich bei 20.718 €. Quellen: Statista, BSI; Icons: Pixabay

ANALYSE

Finanztechnologie 29

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

@europeanmediapartnerdeutschland

Mehr Flexibilität, kurze Bindung abonnements Abo-Modelle für Gebrauchsgegenstände könnten in Zukunft stark an Bedeutung gewinnen. Vor allem auf jüngere Menschen wirkt das Mieten auf Zeit attraktiv. Text: Armin Fuhrer Foto: Ant Rozetsky/unsplash

gal ob Autos und

Nutzfahrzeuge, Möbel, Haushalts- oder Elektrogeräte, Kunstwerke, Kameras oder Kopfhörer – für alle diese Produkte gibt es inzwischen die Möglichkeit, sie in einem Abonnement auf Zeit zu mieten, anstatt zu kaufen. Solche Abo-Modelle funktionieren im Prinzip wie ein Kredit mit relativ niedrigen Zinsen: Der Verbraucher bezieht ein Produkt, zahlt eine monatliche Miete und gibt es nach einer zuvor festgelegten Zeit zurück oder kann es gegen eine geringe zusätzliche Gebühr übernehmen. Bei Smartphone-Verträgen ist das Modell längst alltäglich. Letztlich funktionieren auch Film- und Musikstreamingdienste nicht anders. Mit einem Unterschied: Der Nutzer hat keine Möglichkeit, Songs oder Filme in irgendeiner Weise für die Zeit nach dem Ende des Abonnements zu behalten.

sicht birgt es einige Vorteile: So beinhaltet das Abo nicht nur das Fahrzeug, sondern auch die Kfz-Versicherung und mögliche Reparaturen. Außerdem kann ein Auto im Abonnement für sehr kurze Zeit, bei vielen Anbietern ab einem Monat, übernommen werden, während ein Leasing-Vertrag für gewöhnlich über einen deutlich längeren Zeitraum läuft. Das kann für Privatpersonen, die nur für eine kurze Zeit ein Auto benötigen ebenso vorteilhaft sein wie für Unternehmen, die zum Beispiel kurzfristig zusätzlichen Bedarf an Autos während besonders starker Auftragseingänge haben. Die Zahl

der Autos im Abonnement liegt dieses Jahr in Deutschland bei rund 60.000. Eine Zahl, die klein erscheint, aber nach Experten-Schätzung hat dieses Modell gute Zukunftschancen. Auch beispielsweise Firmencomputer, die nur für eine kurze Zeit benötigt werden, kann ein Unternehmen auf diese Weise im Abo mieten. Es entgeht damit hohen Anschaffungskosten. Gerade bei jungen Leuten ist das Abo-Modell auf dem Vormarsch. Möchten viele Vertreter der „Generation Golf“ ihr Auto oder ihren Computer noch besitzen, so legen jüngere Menschen

mehr Wert auf die eigentliche Nutzung und auf größtmögliche Flexibilität. Weil hohe Anschaffungskosten entfallen und stattdessen eine monatliche Leihgebühr zu zahlen ist, werden die abonnierten Gegenstände erschwinglich. Das Modell lohnt sich aber eher bei einer kürzeren Dauer. Umso länger die Mietzeit ist, umso größer wird am Ende die Diskrepanz zwischen dem ursprünglichen Kaufpreis und der Abo-Gebühr. Oft steht bei den Verbrauchern aber auch im Vordergrund, dass durch die Zirkularwirtschaft Emissionen eingespart und Elektroschott vermieden werden kann, denn die Geräte können nach dem Ablauf des Abos von einem anderen Benutzer erneut gemietet werden.

Auch in der Autobranche wachsen die Zahlen der Kunden, die nicht mehr das klassische Leasing-Modell wünschen, sondern das Abonnement. Aus Kunden-

Auch in der Autobranche wachsen die Zahlen der Kunden, die nicht mehr das klassische LeasingModell wünschen, sondern das Abonnement.

Weil die Abo-Modelle mit dem Wunsch von immer mehr Kunden nach mehr Flexibilität und nach mehr Nachhaltigkeit zusammenfallen, dürfte es sich in den kommenden Jahren weiter ausbreiten.

Weil die Abo-Modelle mit

Maschinen können mittlerweile nicht nur geleast, sondern auch gemietet werden – was für viele Unternehmen attraktiv ist.

dem Wunsch von immer mehr Kunden nach mehr Flexibilität und nach mehr Nachhaltigkeit zusammenfallen, dürfte es sich in den kommenden Jahren weiter ausbreiten. Nicht zuletzt ist es auch für die Unternehmen interessant, denn ein Abo-Modell bedeutet einen dauerhaften, gut planbaren Umsatz und ermöglicht es, Kunden längerfristig zu binden. Denn die Chancen sind groß, dass ein zufriedener Kunde auch das nächste Produkt wieder bei demselben Unternehmen mietet. ANZEIGE – ADVERTORIAL

BaaS – Den Kunden in den Mittelpunkt rücken Autoindustrie. Beispiel Tesla: Ist das noch ein Autobauer oder doch eher ein Plattform-Betreiber der Elektroautos baut? Tesla kennt seine Kunden und deren Bedürfnisse besser als je ein Autobauer zuvor. Warum? Plattformen sind fester Bestandteil unseres Lebens geworden und sie begleiten uns 24/7. Vor dieser Herausforderung stehen heute Banken. Mit Subscription Management lassen sich Millionen von Vertragsbeziehungen durchgängig automatisiert und ganzheitlich kundenzentriert managen, so Pierre Schramm, CSMO bei billwerk. Vor welchen Herausforderungen steht der Finanzsektor? Finanzdienstleister müssen im Zuge der Digitalisierung mehr denn je (wieder) verstehen, den Kunden in den Fokus ihrer Existenz zu rücken. Nur Geld-Dienstleistungen zu erbringen, wird als Bindungselement in Zukunft nicht mehr ausreichen. Wer treibt diese Entwicklung voran? Der Technologiesektor. Wir kennen das aus der

Welche Rolle spielt hier Subscription Management? Plattformen, wie billwerk, managen Vertragsbeziehungen automatisiert über Zeit und können in dieser Funktion alle relevanten Prozesse zwischen den beteiligten Systemen orchestrieren. Sie stellen einen essenziellen Bestandteil der digitalen Wertschöpfungskette dar, ohne den wiederkehrende Geschäftsmodelle kaum mit vertretbarem Aufwand realisierbar wären. Welche Möglichkeiten ergeben sich daraus für Banken? Mit Banking-as-a-Service wird sich für Banken das Geschäftsmodell vom Geld-Geschäft hin zu einem 360°-Financial-Service-Geschäft verändern.

Traditionelle Banken können hier viel von den Neo-Banken lernen, die ihr Geschäftsmodell mehr schon wie ein Subscription Modell betreiben, statt klassisch Bank zu sein. Wie genau kann billwerk helfen? billwerk verfolgt einen horizontalen Branchenansatz. Kunden aus allen Branchen profitieren von diesem Vorgehen, weil sie Ansätze und Geschäftsmodelle, die in einer Branche gut funktionieren für ihr eigenes adaptieren können. Ein echtes Asset für Banken im Transformationsprozess. Standards spielen dabei sicher eine Rolle? Selbstverständlich. Standard und Vertrauen. billwerk ist eine Standard-Plattform. Das heißt, alle Kunden haben stets die beste Version im Einsatz. billwerk erfüllt zudem wichtige regulatorischer Standards, wie zum Beispiel die bindenden GoBD.

www.billwerk.com

30 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnerdeutschland

„Die Digitalisierung ist nicht alles“ zukunft Auch in Zukunft sollten Banken auf direkte Kundenbeziehungen setzen, sagt Claus-Peter Praeg vom Fraunhofer-Institut für Arbeitswirtschaft und Organisation. Text: Armin Fuhrer Foto: Presse, Adeolu Eletu/unsplash

Claus-Peter Praeg, Themenbeauftragter Finanzdienstleister vom FraunhoferInstitut für Arbeitswirtschaft und Organisation

Für ganz wichtig halte ich es, dass die Banken endlich das Thema Kundenzentrierung konsequent angehen.

Die Banken stehen vor großen Herausforderungen. Wie müssen sie sich diesen stellen?

Für ganz wichtig halte ich es, dass die Banken endlich das Thema Kundenzentrierung konsequent angehen. Sie müssen viel stärker von den Bedarfen her denken, das tun ja große Internetgiganten wie Amazon auch. Derzeit sind Banken immer noch produktgetrieben, die in ihren Anlage- oder Versicherungsprodukten denken, aber weniger in echten Leistungen und schon gar nicht in der Kategorie der Kundenzentrierung. In den vergangenen Jahren wurden die Privatkunden daher konsequent weggedrängt. Ein Problem ist in diesem Zusammenhang, dass die Kundenberater und die Bankvorstände nur noch anhand kurzfristiger Erfolge bewertet werden, gar nicht mehr auf lange Sicht. Das Gefühl für die Bedeutung einer langen Kundenbindung ist verloren gegangen. Damit verbunden ist ein Bedeutungszuwachs anderer Player, die sich zwischen die Kunden und die Banken geschoben haben und die Schnittstellen in vielen Bereichen besser beherrschen als die Banken. Haben sich die Wünsche der Kunden, zumal der jüngeren, geändert?

Ich glaube das gar nicht, dass die Änderungen so gewaltig sind. Auch junge Kunden wünschen sich ein vertrauens-

Für die Banken wird ein Umdenken – in Richtung Digitalisierung – immer wichtiger.

volles Verhältnis zu einer Person, die auch nicht ständig ausgewechselt wird. Sie möchten gut informiert werden und nicht nur regelmäßig ein neues Produkt beworben bekommen. Junge Kunden sind aber den einfachen Zugang aus vielen anderen Bereichen gewohnt, nur bei den Banken funktioniert das noch nicht. Sie könnten vieles schlanker und damit besser machen.

Digitalisierung ist viel mehr als der reine Technologieeinsatz. viele Lösungen für die etablierten Häuser übernehmen. In Zukunft wird es aber spannend sein, wer welche Plattformen an den Start bringt und wer welche Rollen dabei besetzen wird.

Die Digitalisierung bietet dafür doch viele Möglichkeiten. Nutzen die Banken

Welche Rolle bleibt dann für die

das nicht?

Banken?

Erst einmal muss man sagen, dass Digitalisierung viel mehr als der reine Technologieeinsatz ist. Auch junge Kunden wollen nicht alles nur virtuell machen. Aber sie müssen ihre Kontaktperson nicht ständig treffen, sondern es reicht ihnen ein persönliches Kennenlernen. Aber dann erwarten sie, dass man diesen Menschen auf verschiedene Arten, vor allem auch virtuell, erreichen kann und dass diese Kundenbeziehung längerfristig ist.

Das ist genau die Frage: Wollen sie diese Plattformen selbst betreiben oder wollen sie den Zugriff auf eine bestehende Plattform, die ja letztlich nichts anderes als ein Netzwerk darstellt?

Wie sehen Sie die Bedeutung von FinTechs?

Was die technische Seite betrifft, können FinTechs heute oftmals viele Lösungen komfortabler und besser darstellen als traditionelle Banken. Inzwischen kooperieren beide Seiten und nutzen ihre jeweiligen Stärken, indem die FinTechs

Wie sehen Sie die Plattformen?

Ich bin ein Freund dieses Gedankens, vor allem, weil diese Netzwerke seit vielen Jahren schon bestehen. Das gilt insbesondere für Sparkassen und Volksbanken. Ein Vorstand einer Regionalbank kennt in seiner Region alle Firmenkunden und auch wichtige Privatkunden. So besteht also eigentlich ein Netzwerk schon, auf das man eine Plattform mit vielfältigen ergänzenden Angeboten für Kunden aufsetzen könnte. Nur: Sie machen noch viel zu wenig daraus. Hier könnten andere Arten von Plattformen Mehrwerte für diese Institute bieten.

ANALYSE

Finanztechnologie 31

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Auch die älteren Generationen erledigen ihre Bankgeschäfte mittlerweile überwiegend online.

Keine Transformation ohne Datenschutz transformation Professor Michael Grote von der Frankfurt School of Finance & Management über die digitale Transformation der Banken. Text: Thomas Soltau Foto: Presse, Towfiqu Barbhuiya/unsplash

Prof. Dr. Michael Grote, Professor an der Frankfurt School of Finance & Management

Die Banken benötigen die Technik, aber müssen gleichzeitig auch das gesamte Geschäftsmodell verändern. ist erst mal verständlich. Daher sollte ich den Kunden einen Mehrwert bieten. Entweder durch eine größere Erreichbarkeit, mehr Service oder gesteigerte Benutzerfreundlichkeit. Im Idealfall muss ich mein Handy nur noch angrinsen, um eine Zahlung auszulösen. Ich sehe es nicht so, dass die Älteren besonders hinterherhinken würden. Viele erledigen ihre Bankgeschäfte wie selbstverständlich online.

nicht bedrohlich. Ich denke, wir werden eine noch stärkere Zusammenarbeit sehen zwischen einzelnen Fintechs und den Banken. Die einen benötigen die große Kundenzahl, um Plattformen vernünftig betreiben zu können. Die anderen brauchen die Technologie und kaufen diese ein. Es gibt bei vielen immer noch dieses große Vertrauen in eine traditionelle Bank und die Skepsis, einen Großteil meiner Ersparnisse einer Online-Bank anzuvertrauen. Wie gelingt es, die digitale Transformation von Unternehmen schneller

Wie sollte eine klar formulierte Transfor-

voranzutreiben?

mationsstrategie aussehen?

Die meisten Banken entwickeln ja bereits einiges, machen aber wenig Gewinne, weil der Bankensektor bei uns nicht besonders profitabel ist. Finanzdienstleistungen sind in Deutschland

Bei vielen Banken sieht es relativ ähnlich aus. Zuerst geht es erstmal darum, die Kosten zu verringern, meist über das Schrumpfen des Filialnetzes. Darüber, wie es in zehn Jahren aussehen soll, besteht wenig Klarheit, das ist auch technologieabhängig. Vielleicht arbeiten wir mit Hologrammen, die auch vernünftig aussehen. Dann setzt sich so ein Hologramm neben den Kunden und beantwortet Fragen – wie im Raumschiff Enterprise. China und andere sind mit der Akzeptanz digitaler Bezahlsysteme übrigens schon auf einem anderen Level. Aber gucken wir neidvoll nach Asien? Ich denke, wir sind froh, wenn wir die Möglichkeit der Barzahlung weiter haben.

FinTechs gehören zu den Leadern der Transformation. Drängen sie klassische

In der Bankkunden-Typologie bilden

Kreditinstitute bald ins Abseits?

laut einer YouGov-Studie die digitalen

Ich glaube, dass die Situation im Moment noch nicht so ist. Klar, es gibt cyberaffine Menschen, die zu reinen Online-Banken wechseln. Aber das sind nur wenige. Der Rest der Fintech-Branche klagt eigentlich über zu wenig Kunden. Im Moment sieht es so aus, dass wir zwar viele Fintech-Lösungen haben, die aber bei den Banken nur einen kleinen Teil vom Umsatz ausmachen – das ist noch

Finanzexperten die größte Gruppe, die Transformationen mitmacht. Wie lassen sich alle Kunden auf diese Reise mitnehmen?

Im Mittelpunkt der digitalen Transformation steht natürlich auch die Reduzierung von Personal- und Filialkosten. Das heißt, sie nehmen den Kunden etwas weg. Dass die Leute das nicht mögen,

viel billiger als in anderen Ländern. Das heißt aber, dass Banken auch nicht so viel Geld haben, um jetzt in großem Ausmaß in neue Technologien investieren zu können. Die Transformation läuft langsamer. Die Banken benötigen die Technik, aber müssen gleichzeitig auch das gesamte Geschäftsmodell verändern. Also für mich ist in Deutschland die ING Diba das erfolgreichste Fintech. Warum? Weil sie sehr früh sehr viel richtig gemacht haben. Etwa die Reduzierung des Angebotes auf ganz wenige Produkte.

Es gibt bei vielen immer noch dieses große Vertrauen in eine traditionelle Bank und die Skepsis, einen Großteil meiner Ersparnisse einer Online-Bank anzuvertrauen.

32 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnergermany

Handy statt Geldbörse: Mobiles Bezahlen nimmt Fahrt auf mobiles bezahlen In vielen Ländern kann man bereits in nahezu jedem Supermarkt und an jeder Straßenecke bargeldlos zahlen. Schweden will bis 2030 sogar das erste EU-Land ohne Bargeld werden. Auch hierzulande gewinnen elektronische Zahlungsmittel zunehmend an Bedeutung. Text: Chan Sidki-Lundius Foto: Jonas Leupe/unsplash

Dr. Bernhard Rohleder, Bitkom-Hauptgeschäftsführer

Bezahlmöglichkeiten in Deutschland mittlerweile beliebter als Bargeld: Inzwischen bezahlen 61 Prozent der Menschen kontaktlos, 21 Prozent nutzen bereits Mobile Payment mit Handy oder Smartwatch. Bei den Jüngeren zwischen 18 und 25 Jahren sind dies sogar 33 Prozent. Das hat eine repräsentative GfK-Umfrage im Auftrag von Mastercard ergeben. Damit verstärkt sich ein Trend, der schon bei der Untersuchung des Zahlverhaltens im vergangenen Jahr gemessen wurde. Bereits im Herbst 2020 sagten 33 Prozent, sie wollten in Zukunft vermehrt bargeldlos bezahlen. In der jüngsten Untersuchung gaben 41 Prozent der Befragten an, künftig noch häufiger bargeldlos bezahlen zu wollen. atsächlich sind bargeldlose

Auffällig ist, dass das kontaktlose Zahlen spätestens seit der Corona-Pandemie Fahrt aufgenommen hat: Die größten Vorteile sehen die Nutzenden in der Schnelligkeit (50 Prozent), in der Hygiene (43 Prozent) und in der Einfachheit (42 Prozent). Bemerkenswert ist vor allem die steigende Akzeptanz und Nutzung von Mobile Payment.

der Gunst der Mobile-Payment-Nutzer in Deutschland stehen Google Pay (34 Prozent) oder Apple Pay (32 Prozent). 16 Prozent bevorzugen die mobile Bezahl-App ihrer Bank oder Sparkasse. „Es ist erstaunlich, wie stark Ganz oben in

Es ist erstaunlich, wie stark die Pandemie den Wandel zu digitalen Bezahlmöglichkeiten beschleunigt hat.

Elektronisches, also bargeldloses, Bezahlen wird immer größer – auch in Deutschland.

die Pandemie den Wandel zu digitalen Bezahlmöglichkeiten beschleunigt hat. Die aktuellen Zahlen der GfK belegen, dass Zahlungen mit dem Smartphone inzwischen verbreitet genutzt werden und in der Bevölkerung immer beliebter werden. Das zeigt, wie gut digitale Lösungen in Deutschland angenommen werden, wenn sie einfach, komfortabel und sicher sind“, sagt Peter Bakenecker, Division President Central Europe bei Mastercard. „Ich bin überzeugt, dass wir in den kommenden Jahren sehen werden, wie das Smartphone andere Bezahlmöglichkeiten nach und nach ersetzen wird. „Cash only“ oder „Hier keine Kartenzahlung“ bald der Vergangenheit angehören sollten, prognostiziert auch der Digitalverband Bitkom. Auch er hat jüngst eine Umfrage durchgeführt, für die mehr als 1.000 Personen ab 18 Jahren in Deutschland befragt wurden. Danach unterstützen rund drei Viertel (74 Prozent) die Forderung, dass man künftig an jedem Verkaufspunkt die Möglichkeit haben sollte, auch digital, also bargeldlos, zu bezahlen. „Wir brauchen echte Wahlfreiheit beim Bezahlen. Es geht nicht darum, das Bargeld abzuschaffen, sondern den Kundinnen und Kunden an jedem Ort die freie Entscheidung zu überlassen, wie sie bezahlen möchten“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. „Niemand sollte mehr gezwungen werden, ständig Bargeld bei sich zu tragen.“ Vor allem Jüngere fordern, dass alle Geschäfte, Restaurants oder andere Verkaufsstellen mindestens eine digitale Bezahlmöglichkeit anbieten müssen. 87 Prozent der 18- bis 29-Jährigen unterstützen das. Bei den 30- bis 49-Jährigen sind es 75 Prozent, Dass Schilder wie

bei den 50- bis 64-Jährigen 76 Prozent. Und selbst unter den Seniorinnen und Senioren ab 65 Jahre spricht sich eine deutliche Mehrheit von 64 Prozent dafür aus. Ob Apple Pay, Alipay, Bluecode, epay, Samsung Pay, Google Pay oder Payback Pay: Die meisten Mobile-Payment-Lösungen funktionieren entweder kontaktlos über eine NFC-Schnittstelle oder via Bar- oder QR-Code. Beide Verfahren haben den Vorteil, dass beim Bezahlvorgang kein direkter Kontakt zwischen Kunden und Kassenpersonal notwendig ist und der Kunde sein Handy nicht aus der Hand geben muss. Hinzu kommt, dass die meisten Bezahl-Apps, keine zusätzliche Autorisierung vom Kunden über ein externes Gerät benötigen. Die meisten Menschen, die sich bislang nicht an das mobile Bezahlen herangetraut haben, geben in einer Umfrage des EHI Retail Institutes Sicherheitsbedenken an. Diese Erfahrung hat man auch bei der Verbraucherzentrale gemacht. Zu den häufigsten Gründen, die die Verbraucherschützer zum Thema im Alltag hören, zählen neben Sicherheitsbedenken Bedenken beim Datenschutz. Dabei ist das mobile Bezahlen technisch gesehen sogar noch eine Spur sicherer als die Nutzung einer physischen Karte, da die Kartennummer nicht auf dem Gerät gespeichert wird. Wird das Smartphone durch einen Fingerabdruck oder Gesichtsscan entsperrt, ist die hinterlegte Karte eindeutig dem Nutzer zugeordnet. Beim NFC-System übermittelt der Chip statt der hinterlegten Kartendaten einen Transaktionscode. Der sogenannte Token kann dann nur für diesen einen Einkauf genutzt werden kann.

Die meisten MobilePayment-Lösungen funktionieren entweder kontaktlos über eine NFC-Schnittstelle oder via Bar- oder QR-Code. unterschiedlichen Möglichkeiten des mobilen Bezahlens aufzuklären, hat das EHI Retail Institute gemeinsam mit Partnern im Jahr 2018 die Mobile-Payment-Initiative gegründet. Als Partner sind unter anderem Bluecode, CGI Deutschland, girocard, Google Deutschland, Payback, Payone, Roqqio und S-Payment an Bord. Weitere Infos: www.mobile-payment-initiative.de Um über die

Tipps für das sichere mobile Bezahlen • Nutzen Sie automatische Updates, um die Gerätesoftware Ihres Smartphone oder Ihrer Smartwatch stets auf dem neuesten Stand zu halten. • Sollte Ihre funkfähige Karte oder Ihr Smartphone verloren gehen, gilt es, sofort zu handeln. Lassen Sie Karten und Konten umgehend sperren. In den meisten Fällen kann der zentrale Sperr-Notruf weiterhelfen. Dieser ist unter 116 116 rund um die Uhr zu erreichbar. • Kontrollieren Sie regelmäßig Ihre Abrechnungen und melden Sie falsche Abbuchungen umgehend ihrer Bank.

ANALYSE

First Cash Solution GmbH – Partner Content 33

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Wohin des Weges? Die Zukunft des Payment partner content

Bequemes, sicheres und bargeldloses Bezahlen mit Smartphone & Co.: Der Trend ist nicht mehr aufzuhalten.

”

„Kaum ein Markt ist so dynamisch wie der PaymentMarkt.“

Fo t

o: P

res

Innovativ, mobil, sicher und blau – so funktioniert das Bezahlen im digitalen Zeitalter bereits heute in der SAP Arena und bei Edeka Südwest. In der Fan-App der Adler Mannheim sowie in den Bestell-Apps von Edeka Südwest kommt das Zahlverfahren Bluecode zum Einsatz. Zusätzlich zum einfachen Bezahlen per Swipe und blauem Strichcode bietet Bluecode die Möglichkeit, Mehrwertservices wie Rabatte, Gewinnspiele und Bonuspunkte zu integrieren. Bestellen, Punkte sammeln, Gewinnspiele und Bezahlen – alles in einer App. Dabei ist das Bezahlen denkbar einfach: Registrieren, Konto verknüpfen, Code scannen lassen – fertig. Das smarte und hochsichere Bezahlverfahren funktioniert mit jedem Girokonto auf Basis des europäisch-blauen, einzigartigen Codes. Zusätzlich ist es mit anderen Übertragungstechnologien wie NFC und Bluetooth kompatibel und basiert auf einer Hochtechnologie-Lösung. Das rein europäische Bezahlsystem überzeugt zudem mit transparenten und attraktiven Kostenstrukturen für Händler. Die Transaktionsabwicklung kommt ohne transatlantische Anbieter aus.

Fo t

o: P

Markus Dauber, Co-Vorstand der Volksbank eG – Die Gestalterbank

Michael Kienzler, Geschäftsführer der First Cash Solution GmbH (1cs)

Ein Interview mit Markus Dauber, Co-Vorstand der Volksbank eG – Die Gestalterbank, und Michael Kienzler, Geschäftsführer der First Cash Solution GmbH (1cs), über die neusten Entwicklungen im Payment-Bereich.

Welche Produkte und Dienstleistungen bieten Sie an? Kienzler: Als Full-Service-Dienstleister kümmern wir uns um alles rund ums Payment. Von den passenden Kreditkartenakzeptanzen und der modernen Terminalhardware im Geschäft vor Ort über das digitale Bezahlen mit und ohne Onlineshop, attraktive Mehrwertlösungen wie unserem Cash Pooling oder unseren Gutscheinkarten bis hin zu Lösungen für Bargeld haben wir Passendes im Portfolio. Und das alles optimal miteinander verzahnt, um für unsere Kunden eine maßgeschneiderte Lösung zu installieren. Die Payment-Group der Volksbank eG bringt zusätzlich Knowhow aus den Bereichen Kassenlösungen und IT-Dienstleistungen ein. So profitieren unseren Kunden von innovativen Lösungen aus einer Hand und solider Expertise im gesamten Payment-Bereich – mit transparenter Kommunikation auf Augenhöhe und der Sicherheit und dem Vertrauen einer der größten Volksbanken Deutschlands.

Was sind die wichtigsten Trends im Mobile Payment? Dauber: Durch die Pandemie hat die Digitalisierung einen enormen Schub bekommen. Dadurch nehmen wir auch wahr, dass vermehrt bargeldlos bezahlt wird. Egal ob mit Karte, Smartphone oder Smartwatch. Wir sehen, dass die Schnelligkeit und der Komfort, den mobiles Bezahlen mit dem ständigen Begleiter im Alltag bieten, immer mehr geschätzt werden. Die Karte muss nicht aus der Hand gegeben werden, Kontaktpunkte werden reduziert. Daneben haben die Nutzer vor allem ein großes Bedürfnis nach Sicherheit der Bezahlverfahren und Hoheit über die eigenen Daten. Hier punktet Bluecode als rein europäisches Zahlverfahren. Die Daten bleiben in Europa und werden nicht über den Atlantik an weitere Anbieter und Dienstleister übermittelt. Auch die Karte fällt weg: Alles ist in einer App gesammelt.

Was ist der Vorteil für die Kunden? Dauber: Durch unseren Unternehmensverbund haben wir es geschafft, ein einmaliges Leistungsangebot über die gesamte Wertschöpfungskette des Payments zu orchestrieren und uns als ganzheitlicher Payment-Solution-Anbieter zu positionieren. Nicht im Rahmen einer anonymen und komplexen Konzernstruktur, sondern durch ein Netzwerk weitgehend eigenständig agierender, mittelständischer Unternehmer. In unserer Gesellschafterrolle bündeln wir das gesamte „Know-how“ und „Know-who“ unserer Payment-Group – mit den Werten und der starken wirtschaftlichen Basis der Volksbank eG. Wir positionieren uns als

”

„Im Vordergrund steht das Erlebnis, Bezahlen wird dabei im Hintergrund zur einfachsten Sache der Welt.“ verlässlicher Full-Service-Dienstleister im Payment und sind so in der Lage, umfassende, innovative, individualisierte und nachhaltige Lösungen für die Bedürfnisse und Anforderungen der Kunden zu entwickeln. Unter dem Motto #kristallklar bringen wir unsere Regionalität, Unabhängigkeit, Stabilität und Sicherheit nutzerzentriert zum Vorteil unserer Kunden ein. Der eine Ansprechpartner für alle Fragen im Payment, die kurzen Entscheidungswege und effizienten Prozesse sowie einfache verständliche Lösungen überzeugen schon heute zahlreiche Kunden. Was erwarten Sie für die Zukunft? Kienzler: Eins wissen wir – die Zukunft wird spannend. Kaum ein Markt ist so dynamisch wie der Payment-Markt. Wettbewerber kommen und gehen, neue Regularien werden verabschiedet und der Anspruch der Kunden an Sicherheit und Komfort steigt beständig. Auch wächst der Hunger nach Neuem. Wir sehen eine immer bessere Verzahnung von Prozessen mit Bestell- und Bezahlstrecken ohne Medienbruch oder Wechsel von Anwendungen, wie die Integration von Bluecode in die Apps von Edeka Südwest zeigt. Das Beispiel der SAP Arena kombiniert Fanerlebnis, Information, Mehrwertservices und Bezahlen in einer App. Im Vordergrund steht das Erlebnis, Bezahlen wird dabei im Hintergrund zur einfachsten Sache der Welt. Gleichzeitig werden die Anforderungen an Sicherheit und Datenhoheit weiterhin im Fokus bleiben oder gar noch mehr in diesen rücken, da sich das Bewusstsein der Kunden verändert. Dauber: Bleiben Sie mit uns gespannt und arbeiten wir engagiert daran, die Payment-Zukunft gemeinsam zu gestalten.

Die Volksbank eG – Die Gestalterbank/First Cash Solution GmbH (1cs) Die Volksbank eG mit Sitz in Offenburg und Villingen ist mit einer Bilanzsumme von über 10 Mrd. Euro die größte Volksbank in Baden-Württemberg und TOP 5 in Deutschland. Mit ihrem Tochterunternehmen 1cs bietet sie als eigenständiger Acquirer und Zahlungsdienstleister branchenspezifische Bezahllösungen für den stationären und digitalen Vertrieb ihrer Kunden – und dies mit der Solidität und den Werten der Volksbank. Innovative Bargeldlösungen zählen genauso zum Angebot wie InApp-Lösungen. Die Integration von Payment- und Mehrwertlösungen in digitale Plattformgeschäftsmodelle erweitert nicht nur die Benutzerfreundlichkeit und die Möglichkeiten der Interaktion mit den Kunden, sondern kann Basis für neue B2B-Geschäftsmodelle sein. Gemeinsam mit anderen Tochterunternehmen der Volksbank-Payment-Group verfügen die rund 300 Mitarbeitenden der Gruppe über rund 30 Jahre Erfahrung im Bereich Payment.

www.firstcashsolution.de www.gestalterbank.de

34 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Die Mutter des Mobile Payments - M-Pesa einblick Operations Director Margaret Kulokhoma bei Maggie Holidays stoppt an der Tankstelle in Kitengali, ein paar Kilometer außerhalb Nairobis, der Hauptstadt Kenias. „Einmal voll bitte!“ Der Tankwart füllt den Tank des Autos, doch zum Bezahlen braucht Mrs. Kulokhoma nicht auszusteigen, wie überall in Kenia, zahlt die 45-jährige mit M-Pesa. Text und Fotos: Frank Tetzel

also über 30 Millionen Accounts, sind in dieses System finanziell eingebunden. Das ist eine Auswirkung, die damals niemand vorhersehen konnte. Dort brauchen Margaret oder die Millionen anderer Kunden nur noch echtes Geld in virtuelles einzutauschen und schon haben sie ihr eigenes mobiles Konto. Auch wenn die Verbreitung

von Smartphones in Kenia weitverbreitet ist, benötigt man für die Nutzung dieses mobilen Zahlungssystems nicht einmal eine App, sodass auch ältere Smartphones den Service nutzen können. in den Schwellenländern nicht ohne Grund weit verbreitet. Eine McKinsey-Studie schätzt, dass „zwei Milliarden Einzelpersonen und 200 Millionen kleine Unternehmen in den Schwellenländern heute keinen Zugang zu formellen Ersparnissen und Krediten haben.“ Die Folgen der Nichtbeteiligung an der formellen Wirtschaft sind enorm. In demselben Bericht heißt es: „[...] eine weit verbreitete Einführung und Nutzung digitaler Finanzmittel könnte das BIP aller Schwellenländer bis 2025 um sechs Prozent oder insgesamt 3,7 Billionen Dollar steigern. Dies entspricht der Erweiterung der Weltwirtschaft um eine Volkswirtschaft von der Größe Deutschlands.“

wurde. M-Pesa steht für Mobile – und aus dem Suaheli stammenden Begriff für Geld – Pesa. Viele Wirtschaftsfachleute sahen im Mobiltelefon einen einfachen Weg breite Schichten an das Finanzwesen heranzuführen, vor allem auch die ländliche Bevölkerung, die bislang keinen Zugang zum Finanzsystem hatte. Mitte der 2000er Jahre waren Kenia und Uganda die ersten Länder, die mobile Zahlungen einführten. Inzwischen wird der Markt

in Subsahara für die sogenannten P2P-Zahlungen

(Person to Person) nach einer Schätzung von Boston Consulting auf etwa 500 Milliarden Dollar jährlich geschätzt. Dies ermöglicht es vielen Menschen den Zugang zu vielen neuen Produkten und Dienstleistungen, darunter Energie oder Gesundheitsversorgung, hochwertige Bildungsangebote und sogar Fahrdienste wie Mitfahrgelegenheiten.

M-Pesa steht für Mobile – und aus dem Suaheli stammenden Begriff für Geld – Pesa.

Mobile Geldkonten sind

Margaret Kulokhoma, Operations Director Maggie Holidays

lles, was sie benötigte, um am M-Pesa System teilzunehmen, war eine passende SIM-Karte und einen Ausweis. Sie bekam dann eine Nummer und ein Passwort zugewiesen. Von da ab konnte sie die Karte bei einem der M-Pesa-Agenten aufgeladen. Das können zum Beispiel Tankstellenbesitzer oder Kioskverkäufer sein. In Kenia gibt es M-Pesa-Agenten an fast jeder Straßenecke – 160.000 sind es geschätzterweise. Über 86 Prozent der erwachsenen Kenianer,

Die Einführung von M-Pesa, reicht zurück ins Jahr 2008.

Als Tourismusunternehmerin besitzt

Margaret ein eigenes Konto, aber viele ihrer Lieferanten bezahlt sie mobil. Doch auch ihre Versicherung oder die Arztrechnung begleicht sie mit Hilfe dieses Zahlungsmethode. Die Einführung von M-Pesa,

reicht zurück ins Jahr 2008, also zu einer Zeit, als über Mobile Payment in Deutschland höchstens in elitären Zirkeln gefachsimpelt

Im 4. Quartal des Jahres 2020 beliefen sich die Investitionen in deutsche Fintechs auf eine Summe von rund 192,2 Millionen US-Dollar.

Fintechs sind Internetanbieter, die finanzielle Dienstleistungen basierend auf modernen Technologien bereitstellen.

Viele Wirtschaftsfachleute sahen im Mobiltelefon einen einfachen Weg breite Schichten an das Finanzwesen heran-zuführen, vor allem auch die ländliche Bevölkerung, die bislang keinen Zugang zum Finanzsystem hatte.

Im Segment Neobanking wird im Jahr 2022 ein Umsatzwachstum von 61,4 % erwartet.

€

Mobile Payment umfasst alle Formen der bargeldlosen Bezahlung mittels mobiler Endgeräte an klassischen Verkaufsstellen bzw. am Point-of-Sale (POS). Das größte Marktsegment ist das Segment Digital Payments mit einem erwarteten Volumen von 164.320 Mio. € im Jahr 2021. Quellen: Statista, BSI; Icons: Pixabay

ANALYSE

targens GmbH – Partner Content 35

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Mobile Payment oder digitaler Euro – die Banken im Umbruch partner content

verkehr spielt Mobile Payment in Summe eine große Rolle. Generell wird nach meiner Einschätzung das digitale Bezahlen immer stärker an Bedeutung gewinnen, denn es ist Teil eines gesamten Wertetausches, eines Wertschöpfungsprozesses. sG

Die digitale Transformation, Blockchain und der Umgang mit weit verzweigten Wertschöpfungsketten verändern die Arbeit der Banken, die ihre Prozesse optimieren müssen. g

Immer mehr Menschen entscheiden sich beim bargeldlosen Bezahlen fürs Mobile Payment. Per App ist das schnell und sicher. Gibt es aus Ihrer Sicht dennoch Gefahren, auf die man jetzt, aber auch künftig, achten sollte? Meiner Meinung nach ist im Vergleich zu den klassischen Bezahlverfahren EC und Kreditkarte das mobile Bezahlen deutlich sicherer. Man denke nur an das Thema Diebstahl oder Verlust der Karte. Oder es können Personen, die hinter einem stehen, die Pineingabe mitverfolgen. All das ist beim mobilen Bezahlen anders, denn man gibt keine Pin mehr ein. Das wird über biometrische Verfahren teilweise abgedeckt. Auch das Thema Verlust tritt nicht mehr so oft auf, weil man das Handy viel häufiger und anders im Gebrauch hat und ein Ver-

r : ta o to

Karsten Treiber, Managing Director der targens GmbH lust schneller auffällt. Außerdem ist Mobile Payment komfortabler in der Nutzung. Warum sind andere Länder eigentlich im Mobile Payment viel weiter als Deutschland? Ich glaube, das liegt durchaus an der deutschen Mentalität im Umgang mit Geld. Die Deutschen sind sehr bargeldaffin. Das ändert sich in letzter Zeit mit neuen MobilePayment-Ansätzen wie beispielsweise bei Facebook, die auf Token aufsetzen. Die Nutzung nimmt zu und im digitalen Zahlungs-

Wie lassen sich die digitalen Identitäten von Kundinnen und Kunden noch besser schützen? Die digitale Identität ist für volldigitale Geschäftsprozesse beispielsweise auf Plattformen eine essenzielle Voraussetzung. Heute werden viele dieser Daten immer wieder neu ermittelt, wenn man etwa eine neue Geschäftsbeziehung eingeht. Je nach Qualität und dem dahinterstehenden Anbieter sind die Daten mehr oder weniger geschützt. Hilfe kann hier das Need-toknow-Prinzip bilden, das davon ausgeht, dass nur die wirklich benötigten Daten beim jeweiligen Partner liegen. Glücklicherweise finden derzeit viele Projekte in diese Richtung statt, die entweder auf deutscher oder europäischer Ebene gefördert werden. Man spricht hier von wiederverwertbaren oder dezentralen Identitäten. Die Technik, die

dahintersteht, ist beispielsweise SSI. Auch die targens GmbH entwickelt in diesem Umfeld mit mySaveID, einem Service, der genau diese Themen fokussiert und unterstützt. Wo sehen Sie derzeit noch die größten „Baustellen“ bei der digitalen Transformation der Bankhäuser? Aus meiner Sicht sind Banken in der ersten Welle der Digitalisierung. Dabei handelt es sich zunächst mal um die Optimierung von Prozessen in Hinblick auf Kosten und Geschwindigkeit, eben die Digitalisierung im eigenen Unternehmen. Die Digitalisierung beeinflusst aber auch die Arbeit der Banken, die Zusatzleistungen mit anbieten, die ursprünglich gar nicht im klassischen Banking zu sehen waren, oder auch die Erweiterung des Angebots durch weitere Dienstleister. Banken stehen vor neuen Herausforderungen beispielsweise auch beim digitalen Euro, der derzeit diskutiert wird, dem sogenannten CBDC, oder beim Open Banking, das jetzt schon Einzug gefunden hat. Das alles hat maßgeblich Einfluss auf die Geschäftsmodelle der Banken in Zukunft.

www.targens.de ANZEIGE

EURO Kartensysteme GmbH – Partner Content

Ich bezahle mit Karte, bitte! partner content

r te

n sy

s te m

e GmbH

Laut einer Studie des EHI Retail Institute zu den Zahlungsarten im Einzelhandel wurde im Jahr 2018 erstmalig öfter mit Karte als mit Bargeld bezahlt. Mittlerweile werden immer mehr Zahlungsmöglichkeiten von immer mehr Anbietern auf den Markt geworfen und Händler sind gefordert, sich mit diesen vielen Optionen auseinanderzusetzen. Was sich durchsetzen wird, welche Sicherheitsstandards dabei implementiert werden und wie wir uns dabei authentifizieren, kann niemand vorhersehen. Im Moment jedenfalls liegen Bargeld- und Girocard-Zahlungen in Deutschland gleichauf und die meisten Händler bieten kontaktloses Bezahlen mit der Girocard an.

Fo t

o: E

Ingo Limburg, Leiter Marketing & PR bei EURO Kartensysteme GmbH

www.girocard.eu

Interview mit Ingo Limburg, Leiter Marketing & PR bei der EURO Kartensysteme GmbH und Vorstandsvorsitzender der Initiative Deutsche Zahlungssysteme e.V. Wie sieht die Zukunft des bargeldlosen Zahlungsverkehrs aus? Die Statistik der Deutschen Kreditwirtschaft ermittelte für 2020 5,5 Milliarden Transaktionen mit der Girocard – rund eine Milliarde mehr als im Vorjahr. Zudem sind ganz aktuell bereits rund zwei Drittel aller Girocard-Transaktionen kontaktlos. An der Kasse ist die Girocard die meistgenutzte, am weitesten verbreitete und beliebteste elektronische Bezahlform bei Kunden und Händlern: Sie kann an rund einer Million Terminals zum Bezahlen eingesetzt werden. An den meisten dieser Terminals ist heute auch Bezahlen durch Vorhalten von Karte und Smartphone möglich. Kontaktlos ist das neue Normal.

trages bis zum Druck des Kassenbons gerade mal elf Sekunden. Das Smartphone bietet noch einen besonderen Vorteil. Hier nutzen wir direkt gewohnte Freigabe-Verfahren des Smartphones wie etwa den Fingerabdruck. Das ist für Kunden besonders schnell und bequem. Das alles sorgt für kurze Wartezeiten für die anderen und mehr Umsatz für den Händler. Dieser profitiert außerdem von der Zahlungsgarantie und der schnellen Gutschrift der Umsätze.

Wie beurteilt der Handel kontaktlose Girocard-Zahlungen? Der Handel setzt voll auf die Girocard: Laut einer repräsentativen Umfrage unter kleinen und mittelständischen Händlern von infas quo im Auftrag der EURO Kartensysteme akzeptieren 92 Prozent aller Händler die Girocard, fast genauso viele (90 Prozent) ermöglichen auch schon die kontaktlose Variante. Bei den größeren Händlern ist die Girocard-Akzeptanz ohnehin flächendeckend.

Welche Vorteile bietet das kontaktlose Bezahlen Kunden als auch dem Händler? Der kontaktlose Bezahlvorgang funktioniert schnell, sicher und hygienisch – und er wird von der Mehrheit aller Bezahlterminals in Deutschland akzeptiert. Bei Zahlungen mit klassischer Karte bis 50 Euro ist meistens keine PIN-Eingabe erforderlich, was die Zeit an der Kasse spürbar reduziert. Im Schnitt dauert es von der Nennung des Be-

Wie sind hierbei die Sicherheitsstandards? Alle Transaktionen im Girocard-System werden ausschließlich über den fälschungssicheren EMV-Chip abgewickelt. Aufgrund moderner EMV-Chiptechnologie und stetiger Weiterentwicklung des Systems durch die Deutsche Kreditwirtschaft ist im gesamten Girocard-System kein einziger Schadensfall mit ge- oder verfälschten Karten zu verzeichnen.

Wen können Händler bei Interesse ansprechen? Ganz einfach ihre Hausbank oder Sparkasse. Aber auch der Handelsverband vermittelt gern den Kontakt zu einem Netzbetreiber, der das nötige Bezahl-Terminal zur Verfügung stellen und betreiben kann.

36 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnerdeutschland

persönlicher einblick Was ist Ihnen lieber: Berge oder Meer? VB: Ich liebe beides, aber die Berge haben für mich eine besondere Faszination. Man kann beim Wandern besonders gut abschalten und fühlt sich sehr mit der Natur verbunden. Kochen oder Restaurant? VB: Da habe ich eine klare Präferenz für ein gutes, am liebsten italienisches Restaurant. Für mich gibt es nichts Schöneres, als den Abend entspannt im Kreise der Familie bei gutem Essen zu verbringen. Sport oder lieber den Abend auf der Couch verbringen? VB: Als ehemaliger Leistungssportler brauche ich bis heute viel Bewegung, am liebsten an der frischen Luft. Aber auch ein gemütlicher Abend zu Hause auf der Couch darf es ab und zu sein.

Prof. Dr. Volker Brühl:

Wird Decentralized Finance die Zukunft in der Finanzwelt? 2020 gab es durchschnittlich 2,33 Millionen Aktien- und FondsBesitzer. Dresdner Privatanlegende erzielten im Jahr 2020 mit 4,7 % die höchsten Renditen in Deutschland.

Im Oktober 2021 gab es 6.690 unterschiedliche Kryptowährungen.

In der deutschsprachigen Bevölkerung gibt es rund 30,5 Millionen Personen, denen bei einer Geldanlage Sicherheit wichtiger war als ein hoher Ertrag. Nachhaltige Geldanlagen ist die allgemeine Bezeichnung für nachhaltiges, verantwortliches, ethisches, soziales, ökologisches Investment und alle anderen Anlageprozesse, die in ihre Finanzanalyse den Einfluss von ESG (Umwelt, Soziales und Governance)Kriterien einbeziehen. Quellen: Statista

ANALYSE

Finanztechnologie 37

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

großes interview In der Finanzwelt gibt es ein neues Buzzword: DeFi – Dezentralisierte Finanzdienste. Was ist damit gemeint, wo findet DeFi eine Anwendung und wird das die Zukunft der Finanzwelt? Prof. Dr. Volker Brühl ist Geschäftsführer des Center for Financial Studies an der Goethe-Universität, Frankfurt a.M. und der Experte für DeFi. Wir haben mit ihm gesprochen. Text: Jörg Wernien Foto: Presse/CFS

len Geschäftsmodellen oder im Gaming repräsentieren. Andere Token werden zur digitalen Abbildung von Kunstwerken eingesetzt. Der Verkauf digitaler Wertpapiere im Rahmen eines Security Token Offerings kann für Technologieunternehmen eine Alternative zu einem Börsengang oder Venture Capital sein. Aber es bedarf klarer regulatorischer Rahmenbedingungen, um ein hohes Maß an Anlegerschutz zu gewährleisten. Zu den Anwendungsfeldern zählen auch dezentrale Kreditvergabeplattformen und „decentralised exchanges“ als Alternativen zu klassischen Börsen. Brauchen wir mit DeFi in Zukunft über-

Was versteht man unter Decentralised

haupt noch Banken oder andere Finanz-

Finance (DeFi)?

dienstleister?

Unter Decentralised Finance versteht man ein Finanzsystem, in dem vor allem der Zahlungsverkehr und Wertpapiertransaktionen ohne die Einschaltung von Intermediären wie Zentralbanken, Geschäftsbanken oder Börsen abgewickelt werden. Transaktionen werden in einem dezentralen Computernetzwerk fälschungssicher durchgeführt. Als Infrastruktur dienen verteilte Datenbanken, von denen die Blockchain am bekanntesten ist.

Ja. Dies sieht man am Bitcoin. Dieser spielt auch mehr als zehn Jahre nach seiner Einführung im Zahlungsverkehr keine große Rolle. Allerdings wird die Blockchain-Technologie künftig verstärkt von etablierten Finanzdienstleistern genutzt werden. Dies gilt vor allem für die effiziente Abwicklung von komplexen Finanzprodukten. Ich gehe davon aus, dass sich auf zentrale Strukturen und Intermediation setzende Geschäftsmodelle und die neue Welt der dezentralen Finanzdienstleistungen komplementär entwickeln werden. Beide Architekturen haben ihre Stärken und Schwächen und werden sich in unterschiedlichen Märkten durchsetzen.

Was sind die derzeit wichtigsten Anwendungen von DeFi?

Begonnen hat alles mit dem Bitcoin, der weder eine Zentralbank noch Geschäftsbanken zur Abwicklung von Zahlungen benötigt. Mittlerweile gibt es eine Vielzahl solcher Kryptowährungen, die jedoch keine Währungen im herkömmlichen Sinne sind, da ihnen wegen ihrer hohen Preisvolatilität die Eigenschaften von Geld fehlen. Eine Sonderform sind Stablecoins, die an einen Basiswert wie den US-Dollar (Tether) oder Gold (Digix) gebunden sind. Kryptowährungen machen aber nur einen Teil des stark wachsenden DeFi-Ökosystems aus. Andere Beispiele sind digitale Abbildungen von unterschiedlichen Rechten (Token) auf einer Blockchain. Utility Token können Zugangs- oder Nutzungsrechte im Rahmen von digita-

erfasst. Auch die Anonymität der Nutzer schützt zum Glück in vielen Fällen nicht mehr vor einer Strafverfolgung. Schlupflöcher gibt es vor allem im Darknet. Was würde passieren, wenn solche Systeme von Kryptowährungen gehackt würden?

Die Infrastrukturen der bekanntesten Plattformen wie Bitcoin oder Ethereum sind aufgrund der komplexen Verschlüsselungstechniken kaum zu knacken. Der dazu erforderliche Rechenaufwand ist einfach zu groß. Dennoch kommt es immer wieder vor, dass Hacker die „Private Keys“ und damit den Zugang zu den digitalen Währungen stehlen. Dort liegt für den Anleger das größte Risiko, das man jedoch etwa durch die Aufbewahrung der Private Keys offline in einem Hardware-Wallet reduzieren kann. Kryptowährungen werben damit, dass Menschen ohne Konto oder Bankzugang Zahlungen durchführen können. Sollte man das tun?

In Ländern mit einem stabilen Bankensektor ergibt das wenig Sinn. In unserem Bankensystem hat man den Vorteil der Einlagensicherung, und in absehbarer Zeit werden Instant Payments zum Standard werden. Ich begrüße es, wenn mit dem geplanten digitalen Euro auch für Privatkunden eine digitale Alternative zum Bargeld entsteht.

Sollten Privatpersonen in Kryptowährungen investieren?

Wann werden wir nur noch digital Geld-

Kryptowährungen sind als Anlageklasse aufgrund der hohen Volatilität für Privatanleger nur bedingt geeignet. In jedem Fall sollten sich Anleger gut über die Risiken informieren und auch einen Totalverlust verkraften können.

geschäfte abwickeln?

Wenn der digitale Euro kommt, kann das ganz schnell gehen. Jüngere Menschen nutzen heute schon kaum Bargeld. In spätestens zwanzig Jahren ist Bargeld, wie wir es heute kennen, passé.

Kryptowährungen sind transparent, aber auch anonym – Geldwäsche und Erpressung werden doch Tür und Tor geöffnet?

Kryptowährungen werden in Europa inzwischen von den einschlägigen Vorschriften zur Bekämpfung von Geldwäsche

Jüngere Menschen nutzen heute schon kaum Bargeld.

Online-Teaser

Digital auf Nummer sicher gehen transformation

Die eingesetzte IT ist für Unternehmen Mittel zum Zweck. Es besteht aber die Gefahr, wichtige Aspekte wie die Cybersicherheit dabei zu vernachlässigen. Text: Theo Hoffmann

Es ist unausweichlich und doch ist die digitale Transformation in Deutschland und insbesondere bei manchen Betrieben des deutschen Mittelstands noch längst nicht auf einem befriedigenden Weg. Groß ist das Risiko für solche Unternehmen, den Anschluss zu verlieren, wenn nicht schleunigst auf digitale Geschäftsmodelle umgeschaltet wird. Tatsächlich sind ein Bewusstsein und Bereitschaft dafür wohl vorhanden und die Corona-Pandemie hat viele Unternehmen dazu gezwungen, Lösungen zu suchen. Dennoch zögern noch viele. Eine gut funktionierende IT hat nicht allein mit Technik zu tun. Sie erfordert intelligente Planung und Strukturierung und eine Definition, was man in welchem Umfang von etwaigen Prozessen erwartet. Gerade kleinere Firmen wie Familienunternehmen können damit leicht überfordert sein und bei allem guten Willen auch in die falsche Richtung investieren. Unterstützung, gute Beratung und Konzeptualisierung tun hier dringend not. Es erfordert Fachleute, die neben den IT-Spezialisten fürs Technische, ihrerseits Bedarfe analysieren und Lösungswege aufzeigen. Am Ende soll es funktionieren und Fehler wie... Lesen Sie den ganzen Artikel online auf: analysedeutschland.de ANZEIGE – ADVERTORIAL

Algooo: Das Amazon für die Geldanlage Asset Allokation, Wertpapiersuchmaschine und Vergleichsportal in einer weltweit skalierbaren Technologie vereint. Mehr Gewinn, weniger Risiko – das klingt attraktiv und ist bei Algooo, dem Hightech-Unternehmen für Kapitalanlagen, Realität. Algooo ermittelt mit Hilfe von Big Data aus Milliarden verschiedener Kombinationsmöglichkeiten live die besten Anlagen exakt für jeden Bedarf. Ein digitaler Supermarkt für liquide Geldanlagen auf Basis eines Data-Crawlers und eines einzigartigen Algorithmus. Algooo ist hoch individuell: 10 Millionen Kunden könnten alle ein unterschiedliches Portfolio haben, welches jeweils individuell überwacht wird. Zukunftsweisend ist auch die Sprachsteuerung zur Geldanlage. Es gibt inzwischen ein Produkt mit einer Kapitalgarantie, und eine Kryptowährung ist in Planung. Entwickler Jörg Rosowski hat fünf Jahre lang an der Entstehung dieses unabhängigen und rundherum transparenten digitalen Portals gearbeitet und freut sich jetzt über die große Begeisterung, mit der Experten seine Technologie beurteilen. „Die Suchmaschine Algooo verbindet auf bemerkenswerte und

einzigartige Weise moderne Portfolio- und Risikotheorie und ermittelt auf deren Basis die für die Anleger optimale Anlagekombinationen aus einem gesamt gegebenen Anlageuniversum“, schreibt beispielsweise die Universität Witten-Herdecke. Das Angebot richtet sich an Privatpersonen wie auch als SaaS an Vermögensverwalter, Fintechs, Neobroker, Banken, Versicherungen oder jegliche Art von Portalen. Bei Algooo stehen nicht wie bei vielen anderen Angeboten nur wenige Wertpapiere zur Auswahl, sondern unzählige Investitionsmöglichkeiten. Bei Fonds beispielsweise verzichtet Algooo auf die sonst üblichen Ausgabeaufschläge, erstattet die versteckten Kosten in voller Höhe an den Kunden und beteiligt sich nur am Investitionsgewinn. Sollten die Investoren bei Algooo keinerlei Gewinn erzielen werden auch keine Performancegebühren fällig. „Unsere High Watermark-Methode stellt sicher, dass die Anleger keine Gebühr für eine schlechte

Performance bezahlen müssen“, sagt Jörg Rosowski. „Ähnlich wie beispielsweise Schachcomputer arbeiten unsere intelligenten Algorithmen schneller und zuverlässiger als Menschen, ohne jegliche Wahrnehmungsverzerrung, ganz ohne Emotionen und psychologische Einﬂussfaktoren.“ Weitere Informationen unter: www.algooo.de

38 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

ANALYSE

@europeanmediapartnerdeutschland

analysedeutschland.de

Wenn aus Werten Daten werden möglichkeiten Als vielversprechender Zukunftstrend steht die Tokenisierung mit der Blockchain-Technologie erst am Anfang ihrer Entfaltungsmöglichkeiten, doch schon bald könnte sie die Finanzmärkte grundlegend revolutionieren.

as neue Zauberwort in der Finanzwelt heißt: Tokenisierung. Angelehnt an den englischen Begriff „Token“ (Zeichen oder Wertmarke) wird damit die digitale Zerstückelung realer Vermögenswerten, inklusive ihrer Rechte und Pflichten, in kleine virtuelle Einheiten bezeichnet. Abgebildet wird dies durch die Blockchain-Technologie auf dezentralen Datensystemen. Ein Token selbst hat keinen inneren Wert, sondern repräsentiert den Preis des ihm zugrundeliegenden Vermögenswertes mit

entsprechenden Rechten und Pflichten ab. So ist praktisch alles zeichenbar, was auch handelbar ist, also Sachwerte wie Gebäude, Oldtimer oder Kaffeebohnen, aber auch immaterielle Güter wie Staatsanleihen, Patent- oder Lizenzrechte. Der digitale Token ersetzt die analoge Urkunde und verbrieft die jeweiligen Besitzverhältnisse im Netz. Eigentumsverhältnisse, Rechte, Vermögens- und Sachwerte lassen sich so digital abbilden und tragen zu einer offenen und interoperablen Finanzinfrastruktur bei. Traditionelle Intermediäre, wie Banken oder Börsen, können dadurch ihren bisherige Stellenwert verlieren. Andererseits eröffnet dieses Potenzial ein breites Feld an innovativen Anwendungen und neuen Kooperationsformen. Es wird möglich, illiquide Vermögenswerte liquide zu machen, um auch Kleinanleger an bisher unzugänglichen Vermögenswerten teilhaben zu lassen und kostenintensive Wege über herkömmliche Intermediäre erheblich reduzieren.

Der digitale Token ersetzt die analoge Urkunde und verbrieft die jeweiligen Besitzverhältnisse im Netz.

So bietet die Tokenisierung auch eine große Chance für kleine und mittelständische Unternehmen. 99 % aller Unternehmen in Deutschland gehören dem Mittelstand an. Sie benötigen oft für ihre technischen Innovationen externe Finanzierungsmittel. Doch ein Börsengang oder die Platzierung von Anleihen

Text: Christiane Meyer-Spittler Foto: Christin Hume/unsplash

oder Schuldscheindarlehnen eignen sich für ihren Kapitalbedarf nicht. Doch durch das neue Modell von digitalem Eigentum ohne physischen Besitz wird der Einstieg in die Finanzwelt zugänglicher, effizienter und globaler. Denn der komplexe Weg über Notare, Banken, Börsen, Vermittler und Zwischenhändler fällt weg und Transaktionen werden damit einfach, schnell und günstig. Zudem garantiert die digitale Nachverfolgbarkeit eine transparente Übermittlung der Geldmittel und bietet eine einfache und schnelle Form der Geldanlage. Desweiteren können Investitionen mit eigenen Mittel in ein Anlageobjekt erfolgen, sodass sich daraus größere Handlungsspielräume für beide Seiten ergeben. Die Investition kann hierbei schon mit relativ kleinen Beträgen erfolgen und spricht sowohl institutionellen Anlegern als auch Privatanlegern an. Tokenisierung ist damit auch eine Alternative zur Fremdkapitalfinanzierung. Nicht zuletzt spricht für diese neue Form von digitalem Anlagevermögen, dass Marktmanipulationen erheblich reduziert werden können. Denn jede Transaktion erfolgt transparent, in Echtzeit, redundant, unveränderlich, nachvollziehbar und ist jederzeit für alle Beteiligten – einschließlich der Aufsichtsbehörden – zugänglich aufgezeichnet.

Tokenisierung ist damit auch eine Alternative zur Fremdkapitalfinanzierung. Dennoch gilt auch hier, noch viele Risiken und Unabwägbarkeiten zu beseitigen, wie mangelnde Expertisen, Gefahr von Schattenfinanzsystemen, durch unzureichende Regulatoren und eine hohe Volatilität. Ein erster Schritt kam in Deutschland mit dem Gesetz für elektronische Wertpapiere. Dieses regelt, dass Schuldverschreibungen und elektronische Fondanteile rein digital vergeben werden können.

Regulierung digitaler Vermögenswerte wird, desto mehr wächst Sicherheit und gesellschaftliche Akzeptanz. Denn das zunehmende Interesse an einem dezentralisierten Finanzsystem (DeFi) zeigt das rasant angestiegene Investitionsvolumen von 1 Milliarde USD Ende 2019 auf über 40 Milliarden USD bis Februar 2021. Und das Marktpotential für tokenisierte Vermögenswerte ist groß und wird in der EU bis 2024 auf 1,4 Billionen EUR geschätzt. Je legitimer die

Mit dem Gesetz für elektronische Wertpapiere wurde in Deutschland geregelt, dass Schuldverschreibungen und elektronische Fondanteile auch rein digital vergeben werden können.

ANALYSE

Eine unabhängige Kampagne von European Media Partner

Roland Berger – Partner Content 39 analysedeutschland.de

www.rolandberger.com

Was gibt es für Nachteile bei digitalen Assets? Steger: Als ein wichtiges Argument

r Gm

rge

Be nd

ol a

Sebastian Maus, Partner bei Roland Berger

”

„Aktuell sehen wir den Fokus der Finanzdienstleister und Banken vor allem darauf, ihren Kunden die Verwahrung und den Handel von Kryptowährungen anzubieten.“

Welche Trends, bzw. Marktspieler, treiben die Nachfrage nach digitalen Assets voran? Maus: Der große Trend im Markt sind heute Kryptowährungen, die sich fast täglich in den Schlagzeilen der Finanzmedien wiederfinden. Auch wenn die Initiatoren der Kryptowährungen einen Ersatz für klassische Währungen, wie z. B. den Euro und damit auch ein dezentrales Finanzsystem ohne Banken und andere Intermediäre im Sinn hatten, sehen wir Kryptowährungen aktuell vor allem als eine, häufig spekulative, Anlageklasse und nicht als eine Währung. Als Anlageklasse haben Kryptowährungen ihr Nischendasein abgelegt und sind mit einer zwischenzeitlichen Marktbewertung von über zwei Billionen Euro im Massenmarkt angekommen. Während der Markt auf der Anbieterseite in der Vergangenheit vor allem durch Fintechs geprägt war, steigen auch immer mehr etablierte Anbieter bei der Verwahrung und dem Handel dieser Währungen ein. Steger: Bei den übrigen digitalen

Was sind denn die Vorteile der Tokenisierung? Steger: Durch die Tokenisierung kann die Verfügbarkeit und der Zugang zu Assets einfacher, schneller und günstiger werden, z. B. im Immobilienbereich. Hier lässt sich beispielsweise auch schon eine kleinere Beteiligung an einer Immobilie digital abbilden, sodass der private Kleinanleger nicht das komplette Objekt erwerben muss. Maus: Für die Industrie steckt ebenfalls großes Potenzial in der Tokenisierung. Die Einführung von tokenisiertem Geld ermöglicht den Unternehmen die weitere Automatisierung ihrer Geschäftsprozesse. Im Kontext des „Internet-of-Things“ oder des „Machine-to-Machine (M2M) Payments“ können Bezahlungen automatisch zwischen Maschinen abgewickelt werden, sobald bestimmte, vordefinierte Bedingungen erfüllt sind (sog. „Smart Contracts“). Zum Beispiel zahlt ein Lkw nach dem Tanken den Sprit automatisch an der Zapfsäule.

Und in welchen Bereichen wird sich Tokenisierung in großem Umfang durchsetzen? Steger: Wir sind davon überzeugt, dass die Tokenisierung ein sehr hohes Potenzial hat und den Finanzsektor und die Wirtschaft nachhaltig verändern wird. Auf der einen Seite werden neue Vermögensklassen geschaffen oder Bestehende besser zugänglich, zum anderen lassen sich verschiedene Asset-Klassen damit effizienter abwickeln. Zudem ergeben sich neue Finanzierungsmöglichkeiten. Maus: Im Zahlungsverkehr wird die Tokensierung ebenfalls neue Anwendungsfälle ermöglichen, z. B. bei M2M-Payments oder grenzüberschreitenden Transaktionen. Die Zentralbanken werden die Technologie nutzen, um digitales Zentralbankgeld bzw. Giralgeld einzusetzen.

o: R

r Gm

Und welche Rolle spielt die Tokensierung dabei? Steger: In diesem Kontext ist die Tokenisierung die digitale Abbildung eines Vermögensgegenstandes, häufig auf einer Blockchain. Damit kann der Eigentumsnachweis an einem Vermögensgegenstand digital abgebildet, effizient handelbar und beliebig teilbar gemacht sowie um weitere programmierbare Services ergänzt werden.

Ist das Thema schon reif für breitere Anlegerkreise? Für wen eignen sich digitale Assets? Steger: Hochspekulative Anleger investieren aktuell vor allem in Kryptowährungen oder andere rein digitale Assets. Tokenisierte klassische Vermögenswerte wie Wertpapiere, Immobilien oder Kunst sind jedoch auch für breitere Anlegerkreise geeignet und die Tokenisierung wird sie für diese leichter zugänglich machen. Aber auch in Branchen wie beispielsweise Logistik, Maschinenbau, Leasing oder Automobil sehen wir künftig verschiedene Anwendungsbereiche für digitale Assets.

Fo t

rge

Was versteht man unter digitalen Assets? Maus: Digitale Assets sind grundsätzlich ein sehr weites Feld. Das heute bekannteste Segment digitaler Assets sind sicherlich Kryptowährungen, wie z. B. Bitcoin oder Ethereum. Digitale Assets können jedoch auch tokenisierte Wertpapiere oder andere Vermögenswerte, wie beispielsweise Kunstwerke, Immobilien oder Maschinen sein. Auch der in den Medien häufig diskutierte „Digitale Euro“ als digitales Zentralbankgeld fällt in diese Kategorie.

gegen digitale Assets wird häufig der Stromverbrauch genannt. Für einige Kryptowährungen werden signifikante Rechnerkapazitäten für die Bestätigung einer Transaktion auf der Blockchain benötigt. Alternative Formen der Transaktionsbestätigung können diesen Nachteil jedoch stark verringern oder sogar komplett tilgen. Weitere Nachteile sind die teilweise noch bestehende Rechtsunsicherheit bzw. fehlende Standards. Maus: Ein anderes Problem bei Kryptowährungen, damit diese überhaupt beim Bezahlen sinnvoll eingesetzt werden können, ist ihre hohe Volatilität. Digitales Zentralbankgeld hingegen könnte die Vorteile von tokenisiertem Geld abbilden und gleichzeitig diese hohe Volatilität verhindern.

Im Interview mit Sebastian Maus und Sebastian Steger, Partner bei Roland Berger, über die Vorteile und Entwicklung von digitalen Assets, Kryptowährungen und Tokenisierung.

Asset-Klassen sieht der Markt noch anders aus. Hier besteht in Deutschland inzwischen die Herausgabe bestimmter tokenisierter Wertpapiere (Inhaberschuldverschreibungen) sowie erster tokenisierter Vermögenswerte jenseits des Wertpapierbereichs, aber in der Breite angekommen sind diese Formen von digitalen Assets noch nicht. Die fehlende Regulierung war hier sicherlich ein Hindernis, welches jedoch absehbar abgebaut wird, wie beispielsweise das in diesem Jahr in Kraft getretene elektronische Wertpapiergesetz zeigt.

ol a

partner content

Digitale Assets – Von Kryptowährungen zu tokenisierten Vermögenswerten

Und von welchem Zeithorizont gehen Sie aus, bis sich ein solider Markt entwickelt hat? Maus: Aktuell sehen wir den Fokus der Finanzdienstleister und Banken vor allem darauf, ihren Kunden die Verwahrung und den Handel von Kryptowährungen anzubieten. Hier werden in den nächsten ein bis zwei Jahren Angebote geschaffen. Die breite Anwendung von tokenisierten Assets wird sicherlich noch etwas dauern und erfordert auch weitere Überzeugungsarbeit aufseiten der Markteilnehmer, der Politik und der Regulatoren. Bis wir tokensiertes Geld z. B. in Form von digitalen Euros oder Giralgeld in der Anwendung sehen, werden wohl noch eher fünf Jahre vergehen.

Fo t

o: R

Sebastian Steger, Partner bei Roland Berger

”

„Hochspekulative Anleger investieren aktuell vor allem in Kryptowährungen oder andere rein digitale Assets.“

40 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnergermany

Blockchain abseits des Bitcoins tokenisierung Die Blockchain wurde durch die Kryptowährung Bitcoin bekannt. Doch nur wenige wissen etwas über Anwendung der Blockchain in anderen Bereichen. Text: Jörg Wernien Foto: Presse, nasa/unsplash

Prof. Dr. Philipp Sandner, Leiter des Blockchain Centers der Frankfurt School of Finance & Management

Peer-Netzwerk, Konsensmechanismen, Validierungsregeln, und einem Datenregister. Kern ist die Registerfunktionalität. Vereinfacht gesehen handelt es sich um ein Datenregister mit unveränderlich verifizierten Transaktionsdaten, die in chronologisch und kryptografisch verbundenen Blöcken enthalten sind. Die Datenbank wird dabei repliziert und ist auf vielen verschiedenen Nodes, also Kopien, vorhanden. Der Konsens wird dezentral ohne vertrauenswürdige Drittpartei erreicht. Denn die Validierung und Verifikation von Transaktionen übernimmt das Netzwerk. Man spricht auch oft davon, dass die Blockchain-Technologie den Sprung des Internets, wie wir es bisher kennen, vom „Internet der Informationen“ zum „Internet der Werte“ ermöglicht. Und warum? Weil es nun möglich ist, dass Wertgegenstände digital so versendet werden, dass sie den Besitzer auch tatsächlich wechseln. Bislang findet sie Anwendung in der

Die Blockchain wird immer

wichtiger in der Finanzwelt. Dafür gibt es wichtige Gründe. Wir haben mit Prof. Dr. Philipp Sandner, Leiter des Blockchain Centers der Frankfurt Scholl of Finance & Management gesprochen. Laut FAZ gehört er zu den einflussreichsten Ökonomen Deutschlands. Herr Prof. Sandner, der Bitcoin hat die Blockchain bekannt gemacht – können Sie die Blockchain kurz erklären?

Die Blockchain besteht aus einer Kombination bereits existierender Technologien wie Kryptographie, einem Peer-to-

Logistik, in der Vergabe von Musik- und Bildrechten aber auch zunehmend in der Finanzbranche – haben Sie ein paar praktische Beispiele?

Dieser Sprung zum „Internet der Werte“ ermöglicht es nun, beispielsweise Musik- und Bildrechte sicher auf einer Blockchain abzubilden. Digitale Kunstwerke können nun in limitierter Auflage gehandelt werden, da entsprechende Besitzrechte über die Blockchain-Technologie unveränderlich nachvollzogen werden können. In der Logistikbranche gibt es bereits vielversprechende Lösungen, die allen

Akteuren einer Lieferkette einen gemeinsamen Überblick über die Materialflüsse und Finanzströme bietet und an effiziente Abrechnungsmöglichkeiten koppelt. Die Zusammenarbeit von IBM und Maersk im Schiffscontainerverkehr sind hier wohl das bekannteste Beispiel für Blockchain-basierte Lösungen zur transparenten Nachverfolgung von Lieferketten. Spannende Anwendungsfälle gibt es auch in der produzierenden Industrie: Blockchain-Lösungen ermöglichen „Pay-per-use“-Geschäftsmodelle, in denen Maschinen nun selbst Zahlungen auslösen können und damit beispielsweise direkt Leasinggeschäfte abwickeln. Noch horten viele ihr Geld auf Konten, Sparbüchern oder in Aktien – wann werden wir unser Vermögen „tokenisieren“?

Noch fehlen klare regulatorische Vorgaben, die den Umgang mit tokenisierten Vermögenswerten erleichtern. Zudem fehlt vielen noch das hinreichende Verständnis für die Potenziale von Tokens in unserem Wirtschafts- und Privatleben. In Zukunft werden Tokens jedoch einen Großteil an Kapitalmarkt Konstrukten repräsentieren können. Mit einer größeren Auswahl an tokenisierten Vermögenswerten werden auch mehr und mehr Investoren und Kleinanleger ihr Vermögen in digitale Assets „umschichten“. Die Bundesregierung hat hier erste Gesetze erlassen, weitere Regeln folgen ab 2023 von der Europäischen Kommission. Dann entstehen berechenbare Regeln, ein hoher Anlegerschutz und Unternehmen werden zunehmend aktiv.

Noch fehlen klare regulatorische Vorgaben, die den Umgang mit tokenisierten Vermögenswerten erleichtern. Ganz neu sind NFTs als Anlage – beschreiben Sie uns doch den Begriff NFT.

NFT steht für Non-Fungible Token, d. h. dieser Token ist nicht austauschbar wie beispielsweise Bitcoins. Im Grunde genommen handelt es sich bei NFTs um eine digitale Abbildung von geistigem Eigentum. Dies geht weit über den derzeit populären Anwendungsbereich in der Kunst hinaus, allerdings ist Kunst derzeit mit der spannendste Bereich. Schon heute werden tausendfach solche NFTs Tag für Tag gehandelt. Weitere Anwendungsbereiche sind etwa der Bereich Computerspiele oder Ticketing. Und doch muss man sagen, dass die Welt der NFT etwas skurril anmutet. Eine Prognose – Banken die sich nicht damit beschäftigen...

…verpassen immense Chancen, ihre Rolle in der Finanzwelt neu zu definieren. Auch wenn traditionelle Einnahmen aus dem Zahlungsverkehr wegfallen, bieten sich neue Chancen und Geschäftsmodelle, wie beispielsweise in der Verwahrung von Assets. Banken, die den Bereich der Krypto-Werte ignorieren, verpassen damit also eine große Chance. Erste Banken berichten bereits von Netto-Mittelabflüssen ihrer Kunden zu Krypto-Börsen – weil die Privatanleger zunehmend Bitcoin & Co. nachfragen. Wenn eine Bank also Kunden zwischen 18 Jahren und 45 Jahren Alter im Blick hat, wird sie früher oder später ein Angebot für Bitcoin & Co. schaffen müssen. Von NFTs und anderen skurrilen Assets sind wir aber dann immer noch ein ganzes Stück weit entfernt.

Man spricht auch oft davon, dass die Blockchain-Technologie den Sprung des Internets, wie wir es bisher kennen, vom „Internet der Informationen“ zum „Internet der Werte“ ermöglicht. fakten Digitale Kunstwerke, Musiklizenzen und vielleicht auch bald Kredite die über die Blockchain gesichert und gesteuert werden. Das Anwendungsspektrum wird in der Finanzwelt immer größer. Zeit für die Banken sich der neuen Technologie zu öffnen. Die Kryptowährung Bitcoin hat die Blockchain richtig bekannt gemacht.

ANALYSE

CoreLedger – Partner Content 41

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

Der Blockchain gehört die Zukunft Eine Technologie ist angetreten, digitale Prozesse zu revolutionieren. Warum auch die Finanzbranche an der Blockchain nicht vorbeikommt. Die Blockchain-Technologie ist ein komplexes, digitales Konzept. Erstmalig beschrieben wurde sie 2008 in einem unter dem Pseudonym Satoshi Nakamoto veröffentlichten Whitepaper zur Kryptowährung Bitcoin. Mittlerweile gibt es unzählige Anwendungen der Technologie, nicht nur im Finanzwesen. Man vergleicht eine Blockchain oft mit einer Datenbank, aber dieser Vergleich hinkt. Jede Datenbank hat einen Administrator, und dieser hat die nötigen technischen Möglichkeiten, die Einträge jederzeit nach Belieben zu verändern. Beispielsweise Kontostände. Die Blockchain-Technologie sichert die Daten mithilfe kryptografischer Verfahren ab, sodass es gar keinen Administrator

”

„Wer wettbewerbsfähig bleiben möchte kommt an der Technologie nicht vorbei.“

CORELEDGER TEOS spart bis zu

80%

der gesamten Projektkosten für ein innovatives Blockchain Produkt.

effektiv nur

20%

verbleibender Aufwand, aufbauend auf fertigen Apps und Blockchain Anwendungen.

www.coreledger.net

mit allumfassenden Rechten mehr braucht. Jeder kann seine eigenen Daten – und nur diese – ändern. Blockchain ist ein dezentrales Protokoll für Transaktionen zwischen Parteien, ohne in eine Drittperson oder in ein Unternehmen vertrauen zu müssen. Dieser Peer-to-Peer-Austausch wird allgemein als Dezentralisierung bezeichnet. Interview mit Dr. Johannes Schweifer, CEO und Gründer von CoreLedger AG und Mitbegründer etlicher Start-ups im Crypto Valley, darunter Bitcoin Suisse AG. Welche Möglichkeiten bietet die Blockchain? Die Blockchain eignet sich perfekt für die Verwaltung von allem, was einen Wert besitzt. Vermögenswerte in Form kryptografischer Einheiten (genannt „Tokens“) oder das Copyright auf Daten. Die Technologie ermöglicht komplett neue (Finanz-)Produkte – selbstverwaltende Fonds, tokenisierte Aktien – oder schlicht die Verbesserung von bestehenden, indem sie durch Dezentralisierung günstiger, schneller oder global verfügbar werden. Welche Vorteile erwachsen daraus für welche Branchen? Letzten Endes geht es immer um Service, Qualität und Kosten. Das betrifft alle Branchen, aber am stärksten die Finanzbranche. Dezentralisierung ist eine Möglichkeit auf Kostensenkung, weil Bearbeitungs- oder Durchlaufzeiten gespart werden, Drittparteien und Mittelsmänner, sogenannte Intermediäre und deren Margen, wegfallen. Für den Endanwender hat sie das Potenzial, an dieser Kosten-

res

partner content

Fo t

o: P

Dr. Johannes Schweifer, CEO CoreLedger AG einsparung zu partizipieren. Gleichzeitig ermöglicht sie ihm Unabhängigkeit und das Verfügungsrecht über die eigenen Vermögenswerte. Welche Herausforderungen stellt die Dezentralisierung dar? Die größte Herausforderung stellt sie für Intermediäre und Finanzdienstleister dar, die sich umorientieren müssen. Quasi-Monopole werden fallen, und damit rückt die eigentliche Dienstleistung und der Mehrwert für den Kunden wieder in den Vordergrund. In Blockchain-Produkte investieren zu wollen – tokenisierte Vermögenswerte oder Krypto – ist mittlerweile ein Grund geworden, warum Kunden sogar ihren Finanzdienstleister oder ihre Bank wechseln. Wer wettbewerbsfähig bleiben möchte, kommt an der Technologie nicht vorbei. Im Grunde herrscht wieder eine Stimmung wie um das Jahr 2000, wo der Internetboom eine Vielzahl neuer Opportunitäten geschaffen hat. Ein großer Unterschied zu

RUND UM DIE UHR TRANSAKTIONSSICHER. BENÖTIGT KEIN PERSONAL ZUR ÜBERWACHUNG. VON ÜBERALL SICHER ERREICHBAR. BRAUCHT KEINE VOR-ORT PRÄSENZ. BENÖTIGT NUR SMARTPHONE UND INTERNET. NEUE KUNDENSEGMENTE ERSCHLIESSBAR. FÜR ALLE PRODUKTE UND DIENSTLEISTUNGEN. NEUE GESCHÄFTSMODELLE MÖGLICH.

”

„Die Blockchain eignet sich perfekt für die Verwaltung von allem, was einen Wert besitzt.“ damals ist allerdings die rechtliche Hürde. Nicht alles, was technisch möglich ist, kann man einfach machen. Wenn man es schafft, einen bereits bekannten Geschäftsprozess mit Tokenisierung zu verheiraten, kann man viel Zeit sparen, denn mitunter sind Anfragen beim Regulator mit jahrelanger Wartezeit verbunden. Was macht CoreLedger genau? Wenn ein Unternehmen seine bestehenden Produkte mithilfe von Blockchain-Technologie verbessern oder neue Produkte und Dienstleistungen entwickeln möchte, dann kann der Aufwand mithilfe unserer Infrastruktur erheblich reduziert werden. CoreLedger bietet Bausteine und fertig entwickelte Anwendungen an, mit denen sich Monate an Zeit und bis zu 80 Prozent der Kosten sparen lassen. Unser Betriebssystem – CoreLedger TEOS (die Abkürzung steht für „Token Economy Operating System“) macht Blockchain für Dokumentation, Tokenisierung, Governance und Trading (DeFi) nutzbar, praktisch alles wo die Technologie einen Mehrwert bringt. Ein großes Plus für unsere Kunden ist unser stark wachsendes Partnernetzwerk in den Bereichen Consulting, IT, Recht, Marketing und PR. Warum braucht die Blockchain ein Betriebssystem? Blockchain Technologie ist noch kein Produkt. Die Produkte – die Blockchains – sind uneinheitlich und verändern sich oft. Ein Betriebssystem übernimmt, ähnlich wie beim PC, die Aufgabe, die Interaktion mit Blockchains durch einfach verwendbare und einheitliche Funktionen zu ermöglichen. Mit diesem Betriebssystem entstehen dann benutzerfreundliche Anwendungen, Smartphoneapps oder Websiten.

42 Finanztechnologie

Eine unabhängige Kampagne von European Media Partner

analysedeutschland.de

ANALYSE

@europeanmediapartnerdeutschland

Das Ökosystem der digitalen Identität Mittel zur Authentifizierung

Bürger Rolle: Selbstsouveräne digitale Identität mit voller Transparenz

mobiler Führerschein E-Health E-Pass E-Services E-ID

NT ITÄ T

Biometrie

EN ÄT IT NT

E ID

ID E

HS IC

Bluetooth

Technologien

Unternehmen Banken IT E-Commerce

E-Government Strafverfolgung

Funktechnologie

Finanzen Mobile Geräte

eingebettete ICs

Rolle: Bereitstellen von Vertrauen, Transparenz, Privatsphäre, Benutzerfreundlichkeit, Sicherheit, Standartisierung und Verwaltung

Identitäten spielen im alltäglichen Leben eine große Rolle – vor allem die eigene Identität ist die ganze Zeit Entwicklungen und Anpassungen unterworfen. So wird sie beispielsweise durch die genossene Bildung oder Kommunikation mit Unternehmen geprägt. Letztlich ist der Nachweis der Identität auch notwendig, um zu beweisen oder zu bestätigen, bestimmte Handlungen ausführen zu dürfen, wie beispielsweise Kredite bei der Bank aufzunehmen, einen Handyvertrag abzuschließen oder einen Zugang zur Gesundheitsversorgung zu erhalten. Zusammenfassend lässt sich also sagen: Ohne Identität ist der Aufbau eines Lebens gar nicht möglich, dabei leben sogar 1,5 Milliarden Menschen weltweit ohne eine. Daran arbeitet die ID4D-Initiative der Vereinten Nationen: Ihr Ziel lautet, bis zum Jahr 2030 jedem Menschen eine legale Identität zu verschaffen. Diese Bedeutung der Identitäten lässt sich auch auf den digitalen Bereich übertragen: Die digitale Identität dient zur eindeutigen Identifizierung der Person, sowohl online als auch offline. Letztlich

Telekommunikation

DLTs

IoT

Regulierung

Öffentlicher Sektor

Versorgungsunternehmen

Smart Cards

Privater Sektor Rolle: Bereitstellen wichtiger Dienste und Produkte, von Innovation mit neuen Technologien, eines geringen Risikos und erfüllen von Compliance-Vorschriften

sind gerade die digitalen Identitäten essenziell, wenn es darum geht, das ID4D-Ziel zu erreichen. Dabei stellen digitale Identitäten einen Eckpfeiler der digitalen Wirtschaft dar. Durch die Kollaboration zwischen den verschiedenen Akteuren und Sektoren wird, über alle Authentifizierungsmittel und Sektoren hinweg, Vertrauen und Sicherheit geschaffen. Zusätzlich werden digitale Identitäten auch international immer verbreiteter und wichtiger, aus vielerlei Gründen: die Implementierungskosten senken, die Technologie wird besser und die Internet- sowie Mobilfunknutzung nimmt zu. An diesem Trend ist auch die globale COVID-19Pandemie nicht ganz unschuldig. Was sind nun aber konkret die Akteure des Ökosystems der digitalen Identität, welche alle dazu beitragen, den so wichtigen Vertrauensmechanismus zu schaffen? 1. Technologie: Sie ist der Schlüssel für nahtlose und sichere Abläufe unter Anwendung digitaler

Text: Jakob Bratsch, Icons: Freepik, Mj, Bombasticon Studio, Pixel perfect, Andrean Prabowo

Identitäten. Die Technologie ist und bleibt der wesentlichste Bestandteil, egal, inwiefern sich die Tools herum verändern. 2. Der öffentliche Sektor: Öffentliche Anbieter sowie die Regierungen erstellen und verwalten digitale Identitäten, zudem überwachen und kontrollieren sie die Systeme, welche die Identitäten umgeben. Damit tragen sie wesentlich dazu bei, zusammenhängende und miteinander kompatible Lösungen zu schaffen. 3. Die Bürger: Wichtig ist vor allem der Schutz der Bürger und derer digitalen Identitäten. Oberstes Ziel ist es, die Daten bestmöglich zu schützen und einen nutzerzentrierten Ansatz in den Mittelpunkt zu stellen. 4. Privatwirtschaft: Zusätzlich zu den Akteuren des öffentlichen Sektors stellen private Anbieter weitere Dienste im Bereich der digitalen Identitäten zur Verfügung und sorgen damit für einen innovativen und wettbewerbsfähigen Markt.

ADVERTORIAL

Mehr Sicherheit für das digitale Ich Der Schutzbedarf steigt. Governikus sorgt für den Umgang mit sicheren und verantwortungsbewussten elektronischen Identitäten. Das Bundeslagebild Cybercrime 2020 des Bundeskriminalamts spricht eine deutliche Sprache. Mit wachsender Digitalisierung hat sich eine Underground-Economy entwickelt und Cybercrime-as-a-Service einen enormen Stellenwert erhalten. Zu einer der beliebtesten „Handelswaren“ gehören digitale Identitäten. Das renommierte Hasso-Plattner-Institut zählt mehr als 12,4 Milliarden kompromittierte Accounts insgesamt und knapp 1,6 Millionen geleakte Accounts pro Tag allein in Deutschland (Stand September 2021). Diese „gestohlenen“ Identitäten können der Ursprung für viele weitere Straftaten sein. Die Angst vor Cyberkriminalität steigt Der Nachweis einer Identität in der digitalen Welt gestaltet sich komplex. Durch die nichtphysische Anwesenheit einer Person wird das Ausweisen und persönliche Identifizieren schnell zu einem Hürdenlauf. Sichere digitale Identitäten bieten hier die Möglichkeit zu überprüfen, ob eine Identität mit der in der realen Welt übereinstimmt. Dazu kommt, dass die Angst bei Bürgern vor Identitätsdiebstahl durch die zunehmende Cyberkriminalität größer wird und andererseits die daraus entstehenden wirtschaftlichen Schäden anwachsen. Sichere digitale Identitäten mit verschiedenen Merkmalen und entsprechenden Vertrauensniveaus sind daher unerlässlich.

oder als Zugang zu Portalen“, erläutert Governikus-Geschäftsführer Dr. Stephan Klein. Weiter betont er, dass durch die zunehmende Vernetzung der digitalen Welt der Schutzbedarf der IT-Systeme insbesondere auch bei Behörden, öffentlichen Verwaltungen und Unternehmen, steige. „Folglich wird die sichere Identifikation im Netz zu einer zentralen Herausforderung bei sämtlichen Digitalisierungsvorhaben“, weiß Dr. Stephan Klein. Die Governikus eID-Lösungen sichern hierfür den Umgang mit verschiedenen Identitätstoken: vom Online-Ausweis über eIDAS-notifizierte Systeme unserer europäischen Nachbarn bis hin zum Umgang mit Identitäten sogenannter Identitätsprovider. Im Kontext Registerdatenaustausch ist die Zustimmung zu diesem ein elementares Element – damit Bürger das Recht zur informationellen Selbstbestimmung einerseits ausführen, andererseits aber aus UsabilityGesichtspunkten der Austausch von Daten „Behörde-zu-Behörde“ ermöglicht wird. Grundsätzlich gilt: Je nach Bedarf und Anforderung an verlässlichem und vertrauenswürdigem Handeln unterscheidet sich das „digitale Ich“, das zudem meist mit unterschiedlichen persönlichen Daten gekoppelt ist. Vor diesem Hintergrund ist es für die Spezialisten von Governikus unerlässlich, die Entwicklung und Festigung von Ver-

Governikus steht wie kein zweites Unternehmen in Deutschland für Sicherheit und Vertraulichkeit in der digitalen Kommunikation. Das in Bremen gegründete Unternehmen, welches über Niederlassungen in Berlin, Köln und Erfurt verfügt, beschäftigt sich seit vielen Jahren mit sicheren elektronischen Identitäten. „Denn sie sind die Basis verbindlicher und schützenswerter Kommunikation – ob als Zugang zu Kommunikationsinfrastrukturen

Weitere Infos unter: www.governikus.de oder telefonisch unter 0421 204 95-0

Governikus-Geschäftsführer: Holger Mohrmann und Dr. Stephan Klein

trauen in öffentlichen IT-Systemen langfristig zu ermöglichen und so Vertrauen aufzubauen. Die Produkte aus dem Governikus eID-Universum bieten hierfür die passenden Lösungen. Sie lassen sich flexibel in unterschiedliche Anwendungsszenarien einbinden und gewährleisten sowohl Interoperabilität als auch die Einhaltung nationaler und internationaler Gesetzgebungen. Mit den serviceorientierten Standardbausteinen des Governikus-Portfolios können darüber hinaus die sogenannten Nutzerkonten umgesetzt beziehungsweise deren Interoperabilität gewährleistet werden.

DAS EINSATZFAHRZEUG 2.0 Viel zu häufig werden Einsatzkräfte im mobilen Arbeitsalltag von ungeeignetem Equipment und analogen Prozessen ausgebremst. Das nachträgliche Digitalisieren und Verbinden von vor Ort erfassten Daten ist fehleranfällig und kostet zusätzlichen Zeitaufwand. Das moderne Einsatzfahrzeug 2.0 unterstützt mobile Teams rundum digital: ausfallsichere Endgeräte – wie das TOUGHBOOK G2 mit Intel Core™ i5 Prozessor – reduzieren den Arbeitsaufwand und bieten EchtzeitKommunikation mit BSI-zugelassener IT-Sicherheit. Für sichere Teamarbeit im effizienten Einsatz. Weitere Informationen: https://toughbook.panasonic.eu/Einsatzfahrzeuge

Mit gebündelter Expertise von vier Partnern wird die Einsatzwelt digital und zukunftsfähig: Sonderfahrzeugbau & Digitalfunk von B&T Solutions Zentrale Steuerungseinheit von polaris (TONFUNK GRUPPE) Proaktive IT-Sicherheit von Rohde & Schwarz Cybersecurity Zuverlässige mobile Endgeräte von Panasonic TOUGHBOOK

TOUGHBOOK G2 (mit Tastatur-Option)

Intel, das Intel Logo, Intel Core und Intel vPro sind Marken der Intel Corporation oder ihrer Tochergesellschaften.

PAN_Anzeige Einsatz LF_248x370_WELT.indd 1

01.12.21 09:22