TTE: Banken läuft die Zeit davon

Eine große, beschädigte Uhr zeigt die Jahreszahl 2026 in leuchtendem Rot. Im Hintergrund sind schemenhafte Gestalten zu erkennen, die in Richtung der Uhr gehen. Diese Darstellung könnte die Dringlichkeit der TTE-Thematik symbolisieren. — KI, Mistral

Cyberangriffe bei Banken und Finanzdienstleistern sind nicht nur eine technische Krise. Sie müssen auch – oft binnen Stunden – den Aufsichtsbehörden gemeldet werden. Das Problem: Die „TTE” („Time to Exploit”) verkürzt sich stetig. Eine Infografik zeigt die dramatische Entwicklung.

Wie hart traf es den Finanzsektor durch schwerwiegende ICT-Vorfälle 2025? Ein gemeinsamer Bericht der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) sowie der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) gemäß der DORA-Verordnung liefert Antworten.

Demnach gab es insgesamt 3.383 Vorfälle, wobei Banken und Zahlungsdienstleister am stärksten betroffen waren. Bei Banken kam es zu über 60 Prozent aller Vorfälle, bei Zahlungsdienstleistern zu 16 Prozent. Andere Sektoren wie Versicherungen, Asset Management oder Krypto-Dienstleister waren deutlich seltener betroffen.

Der Bericht führt diese Vorfälle nicht unbedingt auf strukturelle Schwächen zurück, sondern auf den hohen Digitalisierungsgrad dieser Branchen sowie die Marktstruktur. Denn: Viele kleinere Institute nutzen dieselben IT-Drittanbieter. Schon ein einzelner Fehler bei einem Anbieter kann deshalb viele Meldungen in der gesamten Branche auslösen.

Wenige Probleme mit der Cybersicherheit sind kein Grund zum Ausruhen

Interessanterweise ist die Mehrzahl der gemeldeten, schwerwiegenden Vorfälle nicht direkt auf Probleme bei der Cybersicherheit zurückzuführen. Hier lag der Anteil bei 10 Prozent, während Systemausfälle und Fehlfunktionen mit 51 Prozent für das Gros aller gemeldeten Vorfälle verantwortlich waren. Es folgen externe Ereignisse mit 27 Prozent, zu denen etwa Stromausfälle gehören.

Die registrierten 10 Prozent bieten für Banken und Finanzdienstleister nun aber beileibe keinen Anlass, die Füße hochzulegen. Cyberangriffe bergen das größte Schadenspotenzial und stehen nicht umsonst im Fokus von Aufsicht und Regulierung.

Michael Theurer, Vorstandsmitglieder der Bundesband — Bundesbank

Wir beobachten eine neue Qualität von Angriffen. So haben sich Angreifer in den vergangenen Jahren stark professionalisiert. Die Evolution der Künstlichen Intelligenz verringert die Kosten und Einstiegshürden und wirkt als Beschleuniger.“

Michael Theurer, Mitglied des Vorstands der Bundesbank

Apropos Beschleunigung: Wenn sich Banken und Finanzdienstleister also spätestens jetzt mit einer Maßeinheit beschäftigen sollten, dann ist das „TTE”.

TTE als Abkürzung für „Time to Exploit” („Zeit bis zur Ausnutzung”) beschreibt den Zeitraum zwischen der Veröffentlichung einer Sicherheitslücke und dem ersten nachgewiesenen Angriff, der diese Lücke ausnutzt. Also:

Wie viel Zeit bleibt, um auf den Angriff adäquat zu reagieren?

Die Antwort auf diese Frage lässt sich zunächst neutral formulieren: Es bleibt immer weniger Zeit! Die Infografik im Anschluss zeigt das auf frappierende Weise. Dieser Umstand dürfte CSOs bei Banken und Finanzdienstleistern mittlerweile bekannt sein. Aber wie viel Zeit bleibt genau?

Liegt die TTE bald bei 0?

Infografik zum Zero-Day-Clock-Dashboard und zur TTE — Zero Day Clock

Gerade einmal acht Jahre ist es her, als die Zeitspanne zwischen dem Bekanntwerden einer CVE und der ersten bestätigten Ausnutzung 2,3 Jahre betrug. Heute sprechen wir von drei Stunden – Tendenz stetig fallend. Experten zufolge könnte die TTE bis 2028 auf eine Minute schrumpfen!

Ursprung dieser Daten ist der sogenannte „Zero Day Clock” – ein Echtzeit-Dashboard, das den immer schnelleren Zeitrahmen zwischen der Entdeckung einer Sicherheitslücke (CVE) und deren Ausnutzung durch Angreifer visualisiert. Die Website wurde von Sergej Epp von Sysdig ins Leben gerufen.

Das Dashboard beruht auf über 3.500 CVE-Exploit-Paaren aus Quellen wie der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) oder VulnCheck, einem kommerziellen Anbieter von Vulnerability Intelligence.

Die Zeit läuft. Damit sie Banken und Finanzdienstleistern nicht davonläuft, fordern Experten ein Umdenken. So etwa Patrick Münch, Chief Security Officer (CSO) beim Cybersecurity-Unternehmen Mondoo. Im Interview mit dem IT Finanzmagazin plädiert er unter anderem dafür, die Zeit vom Bekanntwerden bis zur Behebung eines Sicherheitsproblems als Schlüsselrisikoindikator („Key Risk Indicator”) zu messen.dw