Beim Retail-Bankentag der Börsen-Zeitung diskutierten Tobias Kasch (BDO) und Dirk Koch (ByteLaw) in einem Panel über neue Ansätze im Umgang mit Cyberrisiken. Ihr Fazit: IT-Sicherheit ist keine Frage einzelner Tools, sondern eine strategische Daueraufgabe.

„Wir sehen eine trügerische Sicherheit in vielen Unternehmen“, eröffnete Tobias Kasch von der Wirtschaftsprüfungsgesellschaft BDO die Diskussion. Damit wurde schnell deutlich: Zwar existieren in Banken und Unternehmen umfassende Compliance-Strukturen – doch echte IT-Sicherheit bleibe oft eine Illusion.

Gemeinsam mit Dirk Koch, Partner der spezialisierten Kanzlei ByteLaw, diskutierte Kasch, warum Technik allein nicht genügt, wo menschliche Fehler systematisch unterschätzt werden und wie Recht und Technik sinnvoll zusammenspielen können.

Kasch betonte, dass BDO nicht nur technische Beratung für die Branche anbietet, sondern Kreditinstitute bei der ganzheitlichen Verankerung von Sicherheitsstrategien unterstützt. Dabei gehe es nicht um Checklisten, sondern um die Entwicklung einer Sicherheitskultur, in der jeder im Unternehmen eine Rolle spielt. „Sicherheit ist kein IT-Thema. Sie beginnt im Bewusstsein jedes Einzelnen“, so Kasch. Besonders in Banken, wo Risikomanagement traditionell stark verankert ist, mangele es oft am letzten Schritt – der konsequenten Umsetzung im Alltag.

Jurist Dirk Koch machte deutlich: „Compliance ist wichtig, aber kein Selbstzweck.“ Viele Organisationen verließen sich auf wohlformulierte Regelwerke und verkannten dabei die Realität menschlicher Fehler. Laut Koch versagen etwa 15% der Mitarbeitenden regelmäßig – ein Risiko, das nur durch wirksame technische Kontrollen gemindert werden könne.

Systeme wie Endpoint Detection & Response (EDR) oder verhaltensbasierte Anomalieerkennung seien hier unverzichtbar. Doch auch sie nützen nichts, wenn Warnungen übersehen oder ignoriert werden – besonders außerhalb regulärer Arbeitszeiten.

Beide Experten beleuchteten das Potenzial von KI-gestützten Sicherheitssystemen wie KANI (Künstliche Anomalieerkennung). Kasch lobte die Fähigkeit solcher Systeme, untypisches Verhalten – etwa unerwartete Nutzung von Skriptsprachen – zu erkennen. Doch er warnte auch vor überzogenen Erwartungen: „KI ist ein Werkzeug, keine Lösung.“ Ohne Einbindung in Prozesse und menschliche Kontrolle bliebe der Nutzen begrenzt. Koch ergänzte, dass auch juristische Rahmenbedingungen bei KI-Anwendungen klar geregelt sein müssten – ein Aspekt, der vielen Unternehmen noch Kopfzerbrechen bereitet.

Ein zentrales Problem: Viele Banken wissen nicht genau, wo ihre sensiblen Daten liegen oder welche Systeme besonders schützenswert sind. Diese Unklarheit erschwert gezielten Schutz und führt zu ineffizientem Ressourceneinsatz. Hinzu kommt, dass häufig nur technische Lösungen beschafft werden, ohne passende Reaktionsprozesse zu etablieren – etwa für den Ernstfall am Wochenende. Kasch und Koch plädierten hier für realistische Szenarien, ständige Überprüfung und gegebenenfalls den Einsatz externer Dienstleister.

Der Konsens des Panels war eindeutig: Wer IT-Sicherheit als Projekt versteht, verliert. „Es geht nicht um einzelne Tools, sondern um ein strategisches Zusammenspiel von Technik, Organisation und Recht“, so Koch. Kasch ergänzte: „Sicher ist, wer weiß, was er schützen muss – und wer auch am Sonntag auf eine Bedrohung reagieren kann.“ Für Banken bedeutet das: weg von reaktiven Lösungen, hin zu integrierten, proaktiven Sicherheitsstrategien. Nur so lassen sich digitale Risiken dauerhaft beherrschen.