SECURITY18. September 2018

Reale Bedrohung der IT- und Cyber-Sicherheit der Banken

Anja Thamm, Bankenforen LeipzigBankenforen Leipzig

Die Digitalisierung hat unsere Welt offener, schneller und vielseitiger gemacht. Banken und Finanz­dienstleister profitieren von den neuen Möglichkeiten und Kosten­ein­sparungs­potenzialen, die die digitale Transformation mit sich bringt. Doch während die Chancen dieses Wandels nicht zu negieren sind, sehen sich Finanzinstitute neuen Risiken gegenüber. Der Bankräuber mit gezogener Schusswaffe und Sturmmaske wird fast schon zum Relikt vergangener Zeiten – die neue Gefahr lauert im Netz und bedroht die Cyber-Sicherheit.

von Anja Thamm & Annika Runge, Bankenforen

Cyber-Angriffe sind die Bedrohung unseres Zeitalters. Dabei haben es die Hacker bei weitem nicht nur auf das Geld der Institute abgesehen. Es geht vor allem um Daten. Kaum eine andere Branche verfügt über eine solche Vielzahl hochsensibler Kundendaten.

Dabei hat sich die Qualität der Angriffe verändert. Wo vorher Einzeltäter mit geringer technischer Ausstattung agierten, sehen sich die Institute nun hochentwickelten, finanziell gut ausgestatteten und organisierten Netzwerken gegenüber.”

Angriffe durch Staaten, Hacktivisten und Cyber-Terroristen sind in der Vergangenheit nicht nur zahlenmäßig angestiegen, der Schaden, der durch sie entsteht, hat ebenfalls neue Dimensionen angenommen.[1][2]

Dies ist ein Resultat der größeren Abhängigkeit von digitaler Infrastruktur und einer hohen Technisierung der Prozesse. Ein Angriff auf das IT-System einer Bank stellt insofern ein hohes operationelles Risiko dar.

Die von der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers veröffentlichte Global CEO Survey 2018 zeigt, dass 54 % der Befragten aus dem Bereich Banking & Capital Markets extrem besorgt hinsichtlich der Bedrohung durch Cyber-Gefahren sind.”

Damit liegt das Thema Cyber-Sicherheit sogar vor der Sorge der Befragten hinsichtlich einer Überregulierung (51 %). Auch im Branchenvergleich zeigt sich die Finanzwelt deutlich besorgter als der Durchschnitt der Befragten. Branchenübergreifend gaben nur 40 % der Befragten Cyber-Gefahren als Hauptsorge an.[3]

Security hat hohe Priorität, dennoch 28 erfolgreiche Angriffe pro Jahr pro Bank

Trotz der wahrgenommen Priorität des Themas sind viele Institute auf die Bedrohungen aus dem Netz scheinbar dennoch nicht eingestellt. Eine Studie von Accenture Security aus dem Jahr 2016 legt offen, dass viele Banken ihre Kompetenzen im Bereich Cyber-Sicherheit systematisch überschätzen. Zwar gaben 4 von 5 Banken an, sich für gut abgesichert zu halten, die Realität zeichnet jedoch ein dramatisch anderes Bild. Die Anzahl der versuchten Attacken pro Institut beläuft sich nach Ermittlungen Accentures auf durchschnittlich 85 Angriffe pro Jahr. Dabei wird geschätzt, dass circa jeder dritte Angriff erfolgreich ist.[4] Schenkt man diesen Zahlen Glauben, würde dies circa 28 erfolgreiche Angriffe pro Institut pro Jahr bedeuten.

Konferenz 'IT- und Cybersicherheit'
Am 8./9.11.2018 startet in Frankfurt am Main die Fachkonferenz „IT- und Cybersicherheit“

Die Konferenz für IT- und Cybersicherheit bei BankenMit der Kon­fe­renz möch­ten die Bank­fo­ren Leip­zig Ban­ken, Spar­kas­sen und wei­te­ren Un­ter­neh­men der Fi­nanz­wirt­schaft ei­ne Platt­form bie­ten, sich über die­se The­men zu in­for­mie­ren, aus­zu­tau­schen und neue Im­pul­se für die ei­ge­ne Ar­beit zu sam­meln. Teil­neh­mer er­war­te ei­ne Agen­da mit vie­len Pra­xis­vor­trä­gen, die sich in­ten­siv mit dem The­ma IT-Si­cher­heits­ma­nage­ment beschäftigen. Mehr hier.

Dabei bedeutet ein erfolgreicher Angriff aus dem Netz für das betreffende Institut nicht nur einen enormen wirtschaftlichen Schaden, sondern auch einen extremen Vertrauens- und Reputationsverlust. Insofern liegt es zunächst im ureigenen Interesse der Institute, sich bestmöglich abzusichern.

Zusätzlich befinden sich Bank- und Finanzdienstleister mit zunehmender Größe in einer besonderen gesellschaftlichen Funktion. Wie sich bereits während der Finanzkrise 2008 zeigte, handelt es sich um eine der Branchen, die über das Potenzial verfügt, ganze Volkswirtschaften in den Abgrund zu ziehen.

Die Reaktion des Gesetzgebers

Auf diese gesellschaftliche und wirtschaftliche Relevanz der Cyber-Sicherheit reagiert auch der Gesetzgeber. Er sieht Banken und Finanzdienstleistungsunternehmen als besonders gefährdet an. So werden Institute einer bestimmten Größenordnung vom Gesetzgeber als sogenannte Kritische Infrastrukturen (KRITIS) eingeordnet: Ihre uneingeschränkte Verfügbarkeit bildet die Grundlage für das Funktionieren des Wirtschaftskreislaufs und eine (wenn auch nur vorübergehende) Beschädigung könnte zu nachhaltigen Versorgungsengpässen oder Bedrohungen für die innere Sicherheit führen, so die Argumentation.

In den letzten Jahren haben die regulatorischen Anforderungen an die Institute, besonders vor dem Erfahrungshintergrund der letzten Jahre, dramatisch zugenommen. Die IT-Sicherheit der Branche ist dabei ebenfalls mehr und mehr in den Fokus gerückt.

BAIT zur Cyber-Sicherheit: Informationsrisiko unter Kontrolle bringen

Mit den Bankaufsichtsrechtlichen Anforderungen an die IT, kurz BAIT, welche Anfang November 2017 von der BaFin veröffentlicht wurden, konkretisiert die Aufsicht die Anforderungen an die Institute in Bezug auf das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit. Es handelt sich um eine Konkretisierung der bereits bestehenden Anforderungen aus den MaRisk. Einen eindeutigen Anforderungskatalog gibt es nicht, vielmehr geht es um „Angemessenheit“, wie z. B. den Aufbau einer angemessenen technisch-organisatorischen Ausstattung des IT-Systems oder eines angemessenen Notfallplans. Es ist der Versuch, das Spannungsfeld zwischen konkreten, notwendigen Mindestanforderungen und ausreichender Flexibilität offen zu halten.
Denn auch das ist eine der Lehren aus zahlreichen Studien: Die Institute müssen sich der Mentalität des Netzes anpassen und dies bedeutet permanente Veränderung. Einmalige Investitionen reichen nicht aus und der Stand der Technik veraltet in kaum einem anderen Bereich so schnell wie hier.[5]

Für die Unternehmen wird der Ausgleich zwischen Praktikabilität, ökonomischer Rentabilität und aufsichtsrechtlichen Anforderungen zum Drahtseilakt.

So heißt es im Schreiben der BaFin 15.01.2018:

Ein zentrales Ziel der BAIT ist, das IT-Risikobewusstsein in den Instituten und insbesondere in den Führungsebenen zu schärfen. Im Hinblick auf die Ergebnisse der Studie von Accentures Security ein möglicherweise trivial wirkendes aber scheinbar höchst notwendiges Vorhaben.”[6]

PSD2 erhöht das Risiko weiter

Tanaonte / BigStock

Doch während einerseits die Anforderungen für eine Absicherung nach außen steigen, fordern Richtlinien wie die PSD2, die Umsetzung der zweiten Zahlungsdienstrichtlinie der EU, eine Öffnung nach außen. Sie verpflichtet die Institute, eine Schnittstelle zu schaffen, über die Dritte, zum Beispiel FinTechs oder andere Institute, Kontoinformationen auslesen können, sofern dies vom Kunden für die Nutzung eines Services gewünscht wird. Die Richtlinie soll zu mehr Innovation und Wettbewerb im Zahlungsverkehr führen. Neben dem Verlust des Informationsmonopols über spezifische Kundendaten stellt die PSD2 eine weitere Risikoerhöhung dar. Denn jede neue Schnittstelle verringert die Cyber-Sicherheit und stellt einen zusätzlichen potenziellen Angriffspunkt dar.

Auch aus wirtschaftlicher Sicht sind die Institute zur Zusammenarbeit und Auslagerung mit und an Drittanbieter wie etwa Auslagerungen an Cloud-Services gezwungen. Auch diese werden von der BAIT durch Bezugnahme auf die MaRisk eingebunden.

Die jährlich erscheinende Studie „The Human Factor“ der Firma Proofpoint kommt 2018 zu dem Ergebnis, dass 25 % aller verdächtigen Login-Versuche auf Cloud-Services erfolgreich waren. Gleichzeitig wurde festgestellt, dass circa 60 % der Nutzer (inkl. 37 % besonders gefährdeter Personen mit umfänglichen Zugangsrechten) von Cloud-Services nicht über eine Passwortstrategie oder Mehrfachautoverifizierung verfügten.[7]

Periphere Verteidigung reicht schon lange nicht mehr

Quelle: kgtoh/bigstock.com
Quelle: kgtoh/bigstock.com

Hört man auf Experten und den Gesetzgeber, erstrecken sich die notwendigen Handlungsempfehlungen auf sämtliche Bereiche des Unternehmens. Eine IT-Strategie beginnt und endet heutzutage nicht mehr mit der Einrichtung einer Firewall und einer funktionierenden IT-Infrastruktur. Denn gerade die Sicherheitslücke Mitarbeiter, das Social-Engineering hat zugenommen. Die Zahl der Attacken, die auf soziale Interaktion setzen anstatt auf Sicherheitslücken in der Software, hat in den letzten Jahren rasant zugenommen. Zu diesem Ergebnis kommt die Studie von Proofpoint ebenfalls. Die Kriminellen senden bei dieser Form der Attacke Mails ohne Malware an Mitarbeiter. Diese sollen so verleitet werden, Daten weiterzugeben oder beispielsweise Geld zu überweisen. Dabei muss Social-Engineering nicht ausschließlich auf den Online-Weg begrenzt sein auch direkte Interaktion oder telefonischer Kontakt können genutzt werden.[8]

Autorin Anja Thamm und Annika Runge, Bankenforen Leipzig
Anja Thamm war als IT-Systemkauffrau tätig und studierte anschließend Betriebswirtschaft (M.Sc.) an der Universität Leipzig. Sie ist Projektleiterin bei den Bankenforen Leipzig und beschäftigt sich mit Trends und Innovationsthemen in der Finanzwelt.
Sowohl bei Betrachtung der gesetzlichen Anforderungen als auch der privatwirtschaftlichen Notwendigkeit zeigt sich, dass die IT-Sicherheit längst kein Randthema für Bank- und Finanzdienstleister ist und sein sollte. Die operationellen Risiken und dramatischen wirtschaftlichen Auswirkungen können schnell existenzentscheidend werden.

Mitarbeiter, die Schnelligkeit und Effizienz heutiger Cyber-Attacken aber auch die wirtschaftlichen Chancen und Potenziale im Hinblick auf Kosteneinsparungspotenziale, Effizienz und neue Geschäftsmodelle erfordern einen allumfassenden Blick. In einer digitalen Welt wird die IT-Strategie zum allumspannenden Netz, das sowohl schützt als auch zusammenhält. Um in diesem veränderten und sich rasant weiterentwickelnden digitalen Zeitalter zu bestehen, müssen sich die Institute kontinuierlich neuen gesetzlichen Anforderungen, ökonomischen Notwendigkeiten und technischen Innovationen anpassen.

Das Thema Cybersecurity ist längst kein Randthema mehr, sondern sollte mit einem Höchstmaß der Aufmerksamkeit der Finanzbranche betrachtet werden.”Anja Thamm

Quellen

BaFin (2018): IT-Sicherheit: Aufsicht konkretisiert Anforderungen an die Kreditwirtschaft, Rundschreiben vom 15.01.2018.

FAZ (2017) : IT-Sicherheit – Wie Banken mit Angriffen aus dem Netz kämpfen, 31. August 2017, http://www.faz.net/aktuell/wirtschaft/unternehmen/it-sicherheit-wie-banken-gegen-netz-angriffe-kaempfen-15176733.html, abgerufen am 22.8.2018.

Proofpoint (2018): The Human Factor – People-centered threats define the landscape, 2018,

PwC (2018): 21st PwC Global CEO Survey 2018 – The Anxious Optimist in the Corner Office, 2018, https://www.pwc.de/de/ceosurvey2018.html, abgerufen am 22.8.2018.

PwC (2016): Cyber Security – Herausforderung für Finanzdienstleister, 12. Juni 2016, https://www.pwc.de/de/finanzdienstleistungen/digital/cyber-security-herausforderung-fuer-finanzdienstleister.html, abgerufen am 22.8.2018.

Schneider, Katharina (2017): IT-Angriffe – „Banken wähnen sich in trügerischer Sicherheit“, 15. März 2017, https://www.handelsblatt.com/technik/it-internet/cebit2017/it-angriffe-banken-waehnen-sich-in-truegerischer-sicherheit/19511106-all.html?ticket=ST-405530-LBPrLAbg17W33vg3eiQQ-ap5,abgerufen am 22.8.2018.

[1] PwC (2016)
[2] Schneider (2017)
[3] PwC (2018)
[4] Accenture Security (2016)
[5] FAZ (2017)
[6] BaFin (2018)
[7] Proofpoint (2018)
[8] Proofpoint (2018)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert