Wie sich Deutschlands Banken gegen Cyberkriminalität rüsten

Neben zahlreichen Maßnahmen innerhalb der einzelnen Institute sei gegen die weltweiten Cyberangriffe auch branchenweite Solidarität gefordert, konstatiert der Bundesverband deutscher Banken. Der Austausch von Informationen sei jedoch aufgrund regulatorischer Vorgaben gefährdet. Überhaupt müsse die Aufsicht stärker harmonisiert werden, fordert der Verband.

 

Mehrere Erhebungen von Security-Experten belegen, dass die Finanzbranche derzeit im Fokus von Cyberkriminellen steht. Auch der Bundesverband deutscher Banken (BdB) kommt zu dem Schluss: Es ist absehbar, dass die Banken im Jahr 2020 mit deutlich raffinierteren und womöglich größeren Cyber-Angriffen rechnen müssen als in der Vergangenheit.

Hauptgeschäftssführer Andreas Krautscheid sowie André Nash, Abteilungsdirektor der Themengruppe Banktechnologie und Sicherheit des BdB nahmen dies zum Anlass, die aktuelle Situation zu analysieren und Forderungen an die eigenen Mitglieder wie auch die Politik aufzustellen.

Ausgangslage

Erheblich zugenommen hat die Gefahr von Cyber-Attacken auf Deutschlands Wirtschaft und damit auch auf den Finanzsektor. Mehr Digitalisierung sowie die stärkere Vernetzung haben neue Risiken für Angriffe geschaffen. Zugleich schafft die Digitalisierung auch neue Angriffsszenarien, wie etwa Deep fakes, also die Manipulation von Audio und Video, um Angestellten beispielsweise eine Anweisung des Vorgesetzten per Telefon oder Video-Call vorzugaukeln.

Krautscheid und Nash verweisen darauf, dass die Cyber-Kriminalität selbst heute noch zu einem wesentlichen Teil menschliche Intelligenz benötigten, etwa um Sicherheitslücken zu finden, Angriffsszenarien zu entwerfen und Attacken tatsächlich durchzuführen.

Bei der Abwehr dagegen könnten autonome KI-Systeme eine große Hilfe sein. Sie liefern ein Beispiel von einer DARPA Hacker-Konferenz, wo ein System den Angriff auf ein anderes System beobachtete, einen bislang unbekannten Bug als Einfallstor ausmachte und selbstständig einen Patch entwickelte, um sich gegen Angriffe dieser Art zu wappnen.

Eine weitere Gefahr sehen die beiden BdB-Manager in der Konzentration des globalen Outsourcings auf wenige IT-Dienstleister und Cloud-Anbieter. Dies schaffe enorme Risiken für systemische Schäden des gesamten Finanzsektors. Aus diesem Grund sei das gesamte System gefordert, die Bedrohungslage laufend zu analysieren und Maßnahmen koordiniert zu ergreifen.

Insgesamt sei die Branche auf einem guten Weg. In den vergangenen 40 Jahren seien erhebliche Anstrengungen unternommen worden, die Ausgaben für Cybersecurity seien weltweit führend im Branchenvergleich. Und auch der Aufwand zur Sensibilisierung von Mitarbeitern und Kunden für Sicherheitsmaßnahmen sei – zurecht – enorm.

Informationsaustausch unentbehrlich

Eine solidarische Zusammenarbeit sehen Krautscheid und Nash als unerlässliche Voraussetzung, um gemeinsam die Sicherheit zu erhöhen. Inzwischen sei die unternehmens- und sektorübergreifende Vernetzung der Cybersicherheitsverantwortlichen genauso wichtig wie ihre IT-Kompetenz. Das Information Sharing sehen die beiden als ein wesentliches Instrument bei der Abwehr und Bekämpfung von Cyber-Kriminalität.

So werde bei aktuell stattfindenden Angriffswellen die Branche durch kurzfristige Benachrichtigungen der Community in Alarmbereitschaft versetzt. Dies ermögliche, die Abwehrsysteme sehr schnell auf die konkreten Angriffsvektoren einzustellen. Darüber hinaus sei auch der Austausch über ausgewertete Vorfälle für Banken unerlässlich, um den bestmöglichen Schutz sicherzustellen. Der freiwillige, regelmäßige Austausch von Informationen sollte Banken, Sicherheits- und Strafverfolgungsbehörden einschließen.

Schattenseiten der geteilten Informationen

Neben den positiven Effekten gibt es jedoch auch problematische Entwicklungen. Da seien zum einen die Informationsfülle zu nennen, die aus einer ungefilterten Weitergabe aller Informationen resultiert. Wenn es nicht mehr gelinge, das Wesentliche in der Informationsflut zu entdecken, werde der Nutzen der gegenseitigen Offenheit in Frage gestellt. Die BdB-Vertreter plädierten deshalb dafür, besser gefilterte und bereits ausgewertete Informationen zu teilen, die es den Verantwortlichen erleichtern, zeitnah zu entscheiden, was für die eigenen Systeme relevant ist.

Ein weiteres Problem ergebe sich aus der zunehmend unübersichtlichen IT-Sicherheitsregulierung im Finanzsektor, die zu Unsicherheiten führt, welche Informationen (noch) mit wem geteilt werden dürfen. „Um die Möglichkeiten insbesondere auch für einen grenzüberschreitenden Austausch zu verbessern, wäre es hilfreich, Inkonsistenzen und Interpretationsspielräume – insbesondere, wenn es sich um personenbezogene Daten handelt – zu adressieren“, so eine der Forderungen des BdB an die Politik. Der Verband plädiert ausdrücklich für EU-weit einheitliche Rahmenbedingungen, die ausdrücklich den Austausch bestimmter Informationen und Erkenntnisse über Cyber-Kriminalität zwischen privaten Einrichtungen sowie zwischen dem privaten und dem öffentlichen Sektor erlauben.

Widersprüchliche und doppelte Anforderungen

Unter welch unterschiedlichen Regulierungen Banken und Finanzdienstleistern stehen, zeigen die Autoren in einer einfachen Aufzählung auf: Da gibt es die Europäische Zentralbank (EZB) und die Europäische Bankenaufsicht (EBA), die jeweils eigene Vorstellungen zur Erhöhung der Cyber-Widerstandsfähigkeit des Finanzsektors formuliert haben. Darüber hinaus steuern Europäischer Rat und Europäisches Parlament unter anderem die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie), die Zweite Zahlungsdiensterichtlinie (PSD2) und den Cyber Security Act bei.

Nach Ansicht des BdB deckten sich zwar die Anforderungen der unterschiedlichen Aufsichtsinstanzen weitgehend mit den Bestrebungen und Aktivitäten der Banken. Jedoch seien die Regulierungsvorgaben oft nicht aufeinander abgestimmt. So müssten Banken gegenüber verschiedenen Behörden nachweisen, dass sie die Anforderungen nachfüllen und deren Fragenkataloge abarbeiten. Genauso seien Vorfälle an mehrere Stellen zu melden, nicht selten auf jeweils unterschiedlichen Formularen – was Zeit und Ressourcen kostet, die besser in die Abwehr von Cyber-Kriminalität investiert wären.

Eine Harmonisierung der Vorgaben und eine organisierte Meldestruktur für die Nachweiserbringung und das Reporting würden zu einem insgesamt höheren Sicherheitsniveau, zu angemessenen Aufsichtspraktiken und zugleich zu einem niedrigeren Verwaltungsaufwand führen, so der BdB. Dies gelte im Übrigen auch für die Threat Intelligence-based Ethical Red Teamings, die TIBER-Tests. Eine Zertifizierung der Red-Teams und darauf aufbauend eine gegenseitige Anerkennung der Tests in den anderen EU-Mitgliedsstaaten könnte unnötige Mehraufwendungen vermeiden. Global agierende Häuser könnten zudem davon profitieren, wenn eine Vergleichbarkeit oder gar Anerkennung auch mit außereuropäischen Anforderungen erreicht werden könnte, wie etwa mit dem CBEST-Rahmenwerk der Bank of England.

Zentrale Forderungen

Die wachsende Zahl von Angriffen, die darüber hinaus immer raffinierter werden, erfordern nach Ansicht der BDB-Manager eine eindeutige Reaktion: „Da sich die Täter technologisch weiterentwickeln und inzwischen in etwa das Niveau der nationalen Sicherheitsbehörden erreicht haben, müssen alle Kräfte gebündelt werden. Nur wenn Wissen geteilt und Innovationen gefördert werden, wird es gelingen, den Kriminellen einen Schritt voraus zu sein.“

Dies sei eine globale Aufgabe, da Cyber-Angriffe auf Banken von überall auf der Welt aus gestartet werden können, und auch die Auswirkungen auf das Finanzsystem global sein können. Banken, Sicherheitsindustrie sowie die relevanten nationalen und supranationalen Behörden müssen daher international an einem Strang ziehen.

Die ausführliche Stellungnahme des Bundesverbandes deutscher Banken ist Teil der aktuellen BaFin-Perspektiven, die sich in Ausgabe 1/2020 ganz dem Thema Cyber-Sicherheit widmen. Sie können auf der BaFin-Website kostenlos heruntergeladen werden. hj