Zum Inhalt
Erweiterte Suche
Anmelden
Nach oben

Cybercrime verdrängt Kreditrisiken

Verfasst von
Angelika Breinich-Schilly
6 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …
insite
INHALT
print
DRUCKEN
insite
SUCHEN

Cybersecurity ist Top-Thema der Finanzbranche. Ransomware & Co. verursachen hohe Kosten und beschädigen das Image. Gefragt sind digitale Resilienz und IT-Sicherheitsstrategien.

Die Finanzbranche steht einer rasant gestiegenen Zahl von Cyber-Angriffen gegenüber.


Golden Bamboo Studio / Generated with AI / Stock.adobe.com

Banken und Versicherungskonzerne fürchten Angriffe aus dem Netz noch mehr als die digitale Transformation und faule Kredite. Fast zwei Drittel (64 Prozent) der Topmanager aus der Finanzbranche halten Cyber-Attacken für die größte Herausforderung der kommenden Jahre. Das offenbart eine aktuelle Umfrage des Beratungshauses PPI, für die insgesamt 50 Geldhäuser und 53 Versicherer per Telefoninterview Rede und Antwort standen. In der Vorgängeruntersuchung aus dem Jahr 2021 hatten lediglich 42 Prozent der Manager aus der Versicherungsbranche und nur 16 Prozent der Banker Cyber-Sicherheit als eine der drei größten Herausforderungen genannt.

Cybercrime-Schäden 2024 bei knapp 180 Milliarden

Dieser Wandel hat die gesamte Wirtschaft ergriffen und die Sicherheitslage grundlegend geändert, wie Moritz Anders, Leiter Cyber Security & Privacy bei PwC Deutschland, in der Zeitschrift "Bankmagazin" berichtet:

2024 wurden laut Bundeskriminalamt (BKA) in Deutschland jeden Tag zwei bis drei schwere Ransomware-Angriffe angezeigt. Insgesamt wandten sich im vergangenen Jahr 950 Unternehmen und öffentliche Institutionen an die Polizei, weil Kriminelle ihre Daten verschlüsselten und Lösegeld zu erpressen versuchten. Im Fokus: Großkonzerne, Mittelständler sowie Einrichtungen mit hoher Öffentlichkeitswirksamkeit. Dies sind nur die großen Ransomware-Fälle. Hinzu kommt eine Vielzahl weiterer Cyber-Attacken. Das Bundeslagebild Cybercrime zählt für 2024 insgesamt 131.391 in Deutschland verübte Cybercrime-Fälle sowie 201.877 Straftaten, die aus dem Ausland verübt wurden. Laut einer Schätzung des Branchenverbands Bitkom betrug der Schaden 178,6 Milliarden Euro - über 30 Milliarden mehr als 2023."

Bewusstsein für Cyber-Sicherheit in der Finanzbranche gestiegen

Die gesamte Finanzbranche beklagt eine rasant gestiegene Zahl von Cyber-Angriffen. "Gleichzeitig ist auch das Bewusstsein für dieses Thema gestiegen", erklärt Andreas Bruckner, Experte für IKT-Risikomanagement bei PPI. Als Teil der kritischen Infrastruktur steht die Finanzbranche besonders im Fokus der Täter. Finanzdienstleister benötigen daher "belastbare Strategien, um IKT-Risiken wirksam zu begegnen", heißt es in der Studienzusammenfassung.

DORA verpflichte die Branche als erster einheitlicher europäischer Regulierungsrahmen das Risikomanagement systematisch auszubauen und einen höheren Reifegrad zu erreichen. Noch vor vier Jahren bezeichneten die befragten Unternehmen ihre IT-Sicherheitsstrategie als State of the Art. Mittlerweile seien Banken und Versicherer selbstkritischer - auch wegen der neuen regulatorischen Anforderungen. Vor allem der Kampf gegen Cyber-Betrug und Geldwäsche (Anti Money Laundering, kurz AML) beherrschen derzeit die Weiterentwicklung technischer Schutzsysteme und Risikostrategien.

Täter nutzen am häufigsten Schadsoftware

Die Unternehmen bewerten die Angriffe als zunehmend komplexer. In der Regel zielen die Cyber-Attacken in Form einer Schadsoftware auf Schwachstellen in Systemen und Prozessen ab. 33 Prozent der befragten Banken und 21 Prozent der Versicherer geben dies als häufigste Angriffsart an. Auf Platz zwei steht die Unterbrechung der IT-Systeme (16 beziehungsweise 21 Prozent).

Die Bandbreite der Cyber-Bedrohungen, die Banken und Sparkassen heute gefährden, ist vielfältig und entwickelt sich ständig weiter. Phishing-Angriffe, Ransomware, Account Takeovers oder Malware: Die Auswirkungen derartiger Angriffe reichen von hohen finanziellen Verlusten bis hin zu nachhaltigen Schäden an der Reputation eines Geldhauses", fasst es der Sicherheitsexperte Stephan Schweizer, CEO von Nevis Security, im "Bankmagazin" zusammen.

Arbeit mit Dienstleistern sicherer machen

Ein Problemfeld bilden laut PPI-Umfrage Auslagerungen. Die Institute verfügten zwar über "reife Primärbeziehungen", doch bei der Identifikation der Lieferkette sowie bei den Exit-Strategien gibt es Lücken. Das führe zu Auswirkungen im Third-Party-Risikomanagement.

Die Regulierung setzt hohe Standards für das Management von Drittanbietern und die Sicherheit digitaler Identitäten - zwei eng miteinander verknüpfte Bereiche. "Obwohl diese Partner für moderne Finanzdienstleistungen unverzichtbar sind, bergen mangelnde Kontrolle, Konzentrationsrisiken und IT-Sicherheitslücken erhebliche Schwachstellen", schreibt Auslagerungsexperte Peter Grausgruber in der März-Ausgabe.

Kreditinstitute haben dem Fchmann zufolge oft keinen vollständigen Einblick in die Sicherheitsmaßnahmen und Resilienzstrategien der Anbieter. Ein Ausfall eines gemeinsam genutzten Dienstleisters könne dann zu weitreichenden Auswirkungen auf den gesamten Finanzsektor führen und Schwachstellen zu Einfallstoren für Cyberangriffe machen. "Um Resilienz zu gewährleisten, müssen Banken ihre Abhängigkeiten klar verstehen und gezielt Maßnahmen umsetzen."

Beim Reifegrad der Prävention ist noch Luft nach oben

Bei den internen Kontrollsystemen (IKS) hilft den Unternehmen laut Umfrage bereits digitale Technik. Doch lassen viele eine durchgängige End-to-End-Automatisierung laut Studie vermissen.

"Der Reifegrad der Prävention und Erkennung von Cyber-Angriffen ist bei den Banken insgesamt höher als bei den Versicherungen", konstatiert Bruckner. Doch auch bei ihnen erachtet der IT-Experte mit Blick auf die Resilienz einen kontinuierlichen Optimierungsprozess als dringend notwendig. "Entscheidend ist, Prävention und Erkennung nicht isoliert, sondern als integrierte Managementaufgabe zu verstehen."

Mitarbeiter Cyber-Risiken bewusst machen

Dass die Cyber-Abwehr nach wie vor so herausfordernd ist, hat laut Studie auch mit einer mangelnden Sensibilisierung in der Organisation selbst zu tun. 49 Prozent der befragten Versicherer und sogar 68 Prozent der befragten Banken gaben an, dass es schwierig sei, bei den Mitarbeitenden ein Bewusstsein für Cyber-Risiken zu schaffen. 56 Prozent sagen zudem, dass ihnen die Echtzeiterkennung solcher Angriffe schwerfällt.

Wenn man davon ausgehen muss, dass es keinen perfekten Schutz gibt und IT-Infrastrukturen angreifbar sind, dann geht es für Organisationen darum, dass die für die operative Sicherheit Verantwortlichen die Angriffe entdecken und sie rechtzeitig vereiteln können, bevor Angreifer ihr Ziel erreicht haben", bringen es in der Zeitschrift "Datenschutz und Datensicherheit - DuD" auf den Punkt.

Sie beziehen sich dabei allerdings nicht auf den durchschnittlichen Anwender im Unternehmen, sondern auf Mitarbeiter mit ausgeprägten technischen Kompetenzen, die in der IT-Administration oder in einem Security Operation Center tätig sind. Um gegen die Angriffe vorzugehen, müssen diese Experten Spuren und Auffälligkeiten der einzelnen Angriffsschritte möglichst frühzeitig erkennen.

Praktisches Training in der Cyber Range

"Hierfür benötigen diese Personen Cyber-Trainings, also Situationen, in denen sie alleine oder mit anderen aus ihrer Abteilung lernen, realistische Cyber-Angriffe im operativen Betrieb zu entdecken und abzuwehren", erläutern Markus Schneider, Thomas Dexheimer, Elias Heftrig und Sinisa Dukanovic vom Fraunhofer SIT & Nationalem Forschungszentrum für Angewandte Cybersicherheit ATHENE.

Die sogenannte Cyber Rangestellt hierfür eine spezielle Trainingsumgebung bereit, in der die Mitarbeiter die Erkennung und Abwehr von Cyber-Attacken praktisch trainieren. Sie ist eine "interaktive Plattform, die Netzwerke, Systeme, Werkzeuge und Softwareanwendungen in einer virtuellen Umgebung simuliert". In dieser abgeschotteten Umgebung lassen sich zu Trainingszwecken auch echte Angriffe durchführen, "welche die Teilnehmer genauso wie in einem Produktivsystem wahrnehmen".

Vier zentrale Handlungsfelder der Finanzbranche

Insgesamt dokumentiert die Studie den Wandel von einer vergangenheitsorientierten Betrachtung traditioneller Finanzrisiken hin zu einem zukunftsgerichteten Management operationeller, regulatorischer und digitaler Risiken. Sie ermittelt vier Handlungsfelder, um die Resilienz in der Finanzbranche nachhaltig zu stärken:

  1. Cyber-Resilienz stärken (Technik, Awareness, KI-gestützte Erkennung, False-Positive-Reduktion),
  2. Regulatorische Anforderungen operativ verankern (Frameworks, Kennzahlen, Reporting),
  3. IKS und Business Continuity Management (BCM) automatisieren, um Effizienz, Nachweisbarkeit und Reaktionsgeschwindigkeit zu erhöhen sowie
  4. Third-Party-Steuerung professionalisieren (Lieferkette, Tests/Nachweise, Exit-Readiness).

"Cyber-Resilienz ist längst kein reines IT-Thema mehr, sondern ein strategischer Wettbewerbsfaktor. Wer Governance, IKS und Automatisierung konsequent ausbaut, schützt nicht nur Daten und Prozesse, sondern auch das Vertrauen von Kunden und Aufsicht", lautet das Fazit von IT-Fachmann Bruckner.

print
DRUCKEN

Die Hintergründe zu diesem Inhalt

Cyberkriminalität – Kriminalität im virtuellen Raum

Dieses einführende Kapitel erfüllt zweierlei Funktionen: Einerseits soll damit ein Überblick über das Kriminalitätsphänomen Cybercrime gegeben werden und zugleich grundlegendes Wissen zur Thematik vermitteln, welches für das fortlaufende …

Cyberresilienz muss neu gedacht werden

  • SPECIAL

Hackerangriffe treffen deutsche Unternehmen immer häufiger - oft völlig unvorbereitet. In einer Welt, in der geopolitische Spannungen und digitale Verwundbarkeit zusammenkommen, wächst der Druck, sich vor Attacken besser zu schützen. Aber wie …

Schattenseiten

Neben den zahlreichen Fortschritten und klaren Vorteilen von KI gibt es auch Nachteile und Schattenseiten. Amazons Kommunikationssystem Echo zaubert einerseits vielen Technik-Freunden ein Lächeln auf die Lippen und Google wirbt damit, dass so gut …

Meldepflichten für Sicherheitsvorfälle, Vorfälle und IKT-bezogene Vorfälle

  • Aufsätze

In diesem Beitrag werden Gemeinsamkeiten und Unterschiede in der Regulierung der Meldepflichten für Sicherheitsvorfälle in aktuellen Normen (DORA) sowie Gesetzesvorhaben (NIS-2-Umsetzungsgesetz, KRITIS-Dachgesetz) aufgezeigt und die Möglichkeit …

Starke Authentifizierung bringt Sicherheit

  • IT

Cyberbedrohungen und steigende Kundenerwartungen stellen Kreditinstitute vor neue Herausforderungen. Customer Identity and Access Management bietet eine Lösung, die sowohl Sicherheitsanforderungen erfüllt als auch den Zugang für Kundinnen und …

Den Härtetest der digitalen Resilienz bestehen

  • Strategie

Die Zahl der Cyber-Angriffe auf europäische Geldhäuser bleibt alarmierend hoch. Die Europäische Zentralbank rückt mit dem Digital Operational Resilience Act, kurz DORA, die digitale Resilienz ins Zentrum ihrer Aufsicht. Nach einem Cyber-Stresstest 2024, der teils erhebliche Lücken aufdeckte, fließen die Ergebnisse in den Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process, SREP) der Notenbank. Ziel ist, Banken durch strenge Anforderungen an IT-Sicherheit, Drittanbieter- und Identitätsmanagement widerstandsfähiger gegen Cyber-Attacken zu machen.

Cybertraining auf einer Cyber Range

  • Schwerpunkt

Wenn Organisationen heute Opfer eines Cyberangriffs werden, bemerken sie dies meist erst, wenn es zu spät ist – nämlich an den Auswirkungen: Die Angreifer haben ihr Ziel erreicht und die Opfer erhalten Lösegeldforderungen. Da Cyberangriffe …

Security-Systems-Engineering

Das Kapitel entwickelt ausgehend von einer Definition des Engineering-Begriffes tiefer gehende Erkenntnisse zur Ausprägung von Methoden, Prinzipien und Modellen. Hierdurch wird der Rahmen der Aufgaben des Security-System-Engineering gespannt und …

Premium Partner

    Bildnachweise
    Cybercrime IT-Sicherheit DORA KRITIS/© Golden Bamboo Studio / Generated with AI / Stock.adobe.com, Salesforce.com Germany GmbH/© Salesforce.com Germany GmbH, IDW Verlag GmbH/© IDW Verlag GmbH, Diebold Nixdorf/© Diebold Nixdorf, Ratiodata SE/© Ratiodata SE, msg for banking ag/© msg for banking ag, C.H. Beck oHG/© C.H. Beck oHG, OneTrust GmbH/© OneTrust GmbH, Governikus GmbH & Co. KG/© Governikus GmbH & Co. KG, Horn & Company GmbH/© Horn & Company GmbH, EURO Kartensysteme GmbH/© EURO Kartensysteme GmbH, Jabatix S.A./© Jabatix S.A.