"Wir haben die Funktion Human Risk Manager geschaffen"
Für Rémy Wenger, Chief Security Officer bei der Union Bancaire Privée, sind die zentralen Gefahren nicht in der Technologie zu suchen, sondern beim Menschen. Im Interview erklärt er, wie seine Bank damit umgeht.
Herr Wenger, wie werden sich die Informatikbedrohungen angesichts der Ereignisse von 2013 Ihrer Meinung nach entwickeln?
Ich sehe keine grundsätzlich neuen Bedrohungen. Einige davon sind einfach sichtbarer geworden. Nicht die NSA-Affäre selbst ist überraschend, sondern ihr Ausmass und die Institutionalisierung der Praktiken sind beachtlich. Darüber hinaus glaube ich, dass wir immer eine Antwort auf die technischen Bedrohungen haben werden, auch wenn wir diese manchmal erst zeitverzögert finden. Die echten Probleme betreffen Risiken, die vom Menschen ausgehen und im Zusammenhang mit der Kontrolle des Nutzerverhaltens stehen. Sie betreffen die Mitarbeiter und die Kunden gleichermassen. Auf Letztere haben wir jedoch nur wenig Einfluss, zum Beispiel wenn einem Kunden die Mailbox gehackt wird und der Hacker die Gelegenheit nutzt, um mit der Bank zu kommunizieren und Transfers zu beantragen. Als Privatbank versuchen wir die Kunden auf indirekte Weise zu beeinflussen, indem wir die Mitarbeiter mit Kundenkontakt sensibilisieren.
Die Vermögensverwalter kommunizieren mit ihren Kunden per Smartphone und E-Mail. Wie begleiten Sie diese Praktiken?
Wir haben Richtlinien, die sowohl sehr strikt als auch sehr deutlich sind. Sie verbieten oder beschränken gewisse Praktiken oder Werkzeuge und bestimmen die Spielregeln. Es liegt in der Verantwortung der Vermögensverwalter, sie zu respektieren und Vorsicht walten zu lassen, wenn sie mit dem Kunden kommunizieren. Was die Nutzung von Mobilgeräten betrifft, so stellen wir derzeit unseren Vermögensverwaltern keine Smartphones zur Verfügung. Wir tolerieren, dass sie ihre eigenen benutzen, auch wenn wir uns des Risikos durchaus bewusst sind. Wir bemühen uns vor allem, unsere Mitarbeiter mit Informationsveranstaltungen zu sensibilisieren. In diesen sprechen wir konkrete Fälle an, die vor Ort vorgefallen sind, wie beispielsweise Phishing-Versuche via E-Mail. Wir erklären dann den Mitarbeitern, worauf sie achten müssen, damit sie gewisse "Sicherheitsreflexe" entwickeln.
Wie sieht die Situation hinsichtlich interner Risiken und Mitarbeiter mit unlauteren Absichten aus?
Die Marktbedingungen sind viel härter geworden. Das hat die Finma letzten Herbst dazu veranlasst, Massnahmen gegen Datendiebstahl zu ergreifen. Wir untersuchen derzeit unsere Praktiken hinsichtlich dieser Anforderungen, besonders im Bereich des Mitarbeiterscreenings. Das Ziel ist nun, das Screening zu institutionalisieren und seine Häufigkeit und Tragweite zu erhöhen. Schliesslich obliegt es auch dem Manager, im Alltag darauf zu achten.. Um ein starkes Signal zu senden, hat die Bank kürzlich die Funktion Human Risk Manager geschaffen, die der Abteilung Human Resources angegliedert ist, mit der wir eng zusammenarbeiten. Die Banken waren bisher vor der Aussenwelt gut geschützt. In den Banken herrschte gegenseitiges Vertrauen, das grösstenteils auf dem Wohlbefinden der Mitarbeiter basierte. Das war eigentlich kein schlechtes Sicherheitskonzept.
Swiss Retail Federation reicht Anzeige gegen Twint ein
Ingram Micro wird Opfer eines Ransomwareangriffs
Microsoft GSA – eine neue Ära für sicheren Zugriff auf Firmenressourcen
Unternehmen der Glue-Gruppe fusionieren
Die "Eislutschka"-Saison kann kommen
KI stellt Googles Klimaschutzziel auf die Probe
Institutionelle Investoren und Krypto – wo stehen wir wirklich?
Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
Digital vernetzt, ganzheitlich gesichert: Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
