G7 fürchten Hacker: Stresstest für Banken-Security & “ethische Hacks” schon ab Juni

Das Risiko für Hackerangriffe auf Banken und Finanzinstitute steigt immer weiter. Anlässlich einer G7-Konferenz, die weltweit Cybersecurity-Bemühungen zum Schutz des Finanzsektors koordinieren soll, kündigten Regierungen und Nationalbanken einen simulierten Hacker-Angriff für Juni an.

Dramatisch klingen die Ergebnisse einer Studie, die im Auftrag des Sicherheitsunternehmens Trend Micro im europäischen Finanzsektor durchgeführt wurde. Von 1.000 Entscheidern für IT und IT-Sicherheit im Finanzwesen gaben 61 Prozent an, dass die Bedrohungen im vergangenen Jahr zugenommen haben. 45 Prozent räumten, mit der Entwicklung nicht Schritt halten zu können. Ein Drittel beklagte, dass das verfügbare Budget nicht für eine wirkungsvolle Cyber-Sicherheit ausreiche.

Damit nicht genug: Zwei Drittel (66 Prozent) der Befragten stufen die Angriffsmethode Business Process Compromise (BPC) als herausragende Bedrohung ein, 65 Prozent rechnen in einem solchen Fall mit signifikanten Auswirkungen auf den Geschäftsbetrieb. Doch 41 können dieses Risiko ihrer Geschäftsführung nicht adäquat vermitteln. Bei mehr als einem Drittel (34 Prozent) der befragten Unternehmen ist das Thema Cybersecurity auf Geschäftsführerebene überhaupt nicht vertreten.

Hacker-Alarm bei G7 und Nationalbanken

Dass der Finanzsektor immer stärker unter Beschuss der Hacker steht, ist unbestritten. Damit einher geht auch die Sorge, dass nicht nur einzelne Institute betroffen sein könnten, sondern die Funktionsfähigkeit des gesamten Finanzmarktes – und damit des gesamten globalen Wirtschaftssystems – gefährdet ist.

Um Erkenntnisse über Bedrohungen, mögliche Auswirkungen auf die gesamte Weltwirtschaft und effektive Maßnahmen zur Abwehr und Bekämpfung von Angriffen auszutauschen, trafen sich Vertreter von G7-Staaten und Nationalbanken in Paris zu der Konferenz „Cybersicherheit: Koordinierung der Bemühungen zum Schutz des Finanzsektors in der Weltwirtschaft“. Sabine Lautenschläger, Mitglied des Direktoriums der Europäischen Zentralbank (EZB), skizzierte vier grundsätzliche Trends, die den Finanzsektor angreifbar machen:

1. Die engere Verzahnung und steigende Komplexität des Finanzsystems schaffe zusätzliche Schwachstellen, die für Cyber-Angriffe ausgenützt werden können;
2. Die Angreifer scheinen ihr Verständnis des Finanzsystems weiterzuentwickeln und zu vertiefen, so dass sie Schwachstellen nicht nur schneller entdecken, sondern auch effektiver ausnützen zu können;
3. Banken und andere relevante Mitglieder des Finanzsystems haben zunehmend Probleme, erfahrenes Fachpersonal zu rekrutieren;
4. Nicht zuletzt entstünden Gefahren auch aus Innovationen, die in den Markt eingeführt werden, bevor die damit verbundenen Cyber-Risiken vollständig erfasst sind.

Es gehe jedoch nicht nur um technische Schutzmaßnahmen. Im Aufsichtsbereich der EZB habe man Mängel im Bereich Cyber Governance festgestellt, so Lautenschläger weiter. Zu häufig fehle es komplett an den solchen Strategien oder sie würden gar nicht oder nur mangelhaft umgesetzt. Hinzu kämen „gefährliche Defizite bei Menschen und Prozessen“, sprich: bei den Mitarbeitern fehlt oft das Bewusstsein für mögliche Angriffe und an Trainings, wie darauf angemessen reagiert werden kann.

Die EZB-Direktorin verwies in diesem Zusammenhang zum einen auf die vor zwei Jahren beschlossene Cyber-Resilienz-Strategie des Eurosystems für Finanzmarkt-Infrastrukturen (FMIs), die in Form von Grundsätzen im CPMI-IOSCO-Leitfaden abgelegt sind. Diese seien zwar wichtig, aber auch sehr anspruchsvoll und müssten insbesondere kleineren Marktteilnehmern intensiv vermittelt werden. Zum anderen habe man das European Threat Intelligence Based Ethical Red Team Testing Framework (TIBER-EU) entwickelt, das dazu dient, Behörden und Finanzinstitutionen bei der Durchführung von „ethischen Hacks“ anzuleiten. Weitere Initiativen sollen im zweiten Halbjahr folgen.

Stresstest für Banken-Security angekündigt

Nachdem die Bank of England und die Europäische Zentralbank bereits in der Vergangenheit simulierte Angriffe unternommen hatten, um die Cyber-Sicherheit in ihrem Einflussbereich auf die Probe zu stellen, soll es nun im Juni erstmals einen solchen Test auf Ebene der G7-Staaten (Frankreich, USA, Großbritannien, Deutschland, Japan, Italien und Kanada) geben. Dies sei nötig, da es angesichts der Risiken einer stärkeren länderübergreifenden Zusammenarbeit bedarf, erläuterte Nathalie Aufauvre, Generaldirektorin der französischen Zentralbank, anlässlich der Konferenz. Sie wird den dreitägigen Test leiten und koordinieren.

Gestartet wird die Simulation der großflächigen Cyber-Attacke am 7. Juni. Ihr liegt die Annahme zugrunde, dass eine häufig genutzte technische Komponente mit Malware infiziert wird. Beteiligt sind zum einen 24 Finanzinstitute aus sieben Ländern, darunter Aufsichtsbehörden, Finanzministerien und Zentralbanken. Zum anderen nehmen auch privatwirtschaftliche Institute teil. Vertreter aus Deutschland, Japan und Italien werden die Abläufe vor Ort verfolgen. Ziel ist es, die Widerstandsfähigkeit und Stabilität des Finanzsystems unter den Bedingungen eines solchen Angriffs zu prüfen.

Eine knapp neunstündige Videoaufzeichnung des öffentlichen Teils der englischsprachigen G7-Konferenz ist auf Youtube verfügbar.  Auf der Website der französischen Zentralbank finden Sie das Programm, aus dem die Sprecher und Panel-Teilnehmer hervorgehen.  hj