Wie resilient die Systeme deutscher Finanzunternehmen bei Cyber-Angriffen sind, hat die Bafin Mitte September untersucht. Denn Verordnungen wie DORA hängen die regulatorischen Anforderungen für die Bank-IT hoch.
Banken verfügen in der Regel über eine komplexe Netzwerkinfrastruktur, die aus vielen Endpunkten, miteinander verbundenen Systemen sowie hybrider IT besteht. Das stellt die Schutzmechanismen gegen Hacker-Angriffe vor großen Herausforderungen.
Sergey Nivens | stock.adobe.com
Mit einer zweitägigen Simulation eines Hacker-Angriffs Mitte September haben die Aufsichtsbehörde Bafin, die Deutsche Bundesbank, das Bundesfinanzministerium, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie elf Finanzunternehmen und IT-Dienstleister, darunter Banken und Versicherer, die Wehrhaftigkeit der IT-Systeme von Finanzunternehmen getestet. "Im Ernstfall ist der Handlungsdruck hoch und alle Beteiligten müssen schnell und vor allem koordiniert entscheiden", erläutert Raimund Röseler. Der Experte ist im Direktorium der Bafin zuständig für die Bankenaufsicht.
IKT-Management regelmäßig auf dem Prüfstand
Mit den regelmäßigen Testläufen überprüft die Aufsichtsbehörde deshalb, ob die Finanzunternehmen und ihrer Dienstleister ihre IT und Kommunikation entsprechend der regulatorischen Vorgaben abgesichert haben. Die Branche gehört zu den sogenannten Kritischen Inftrastrukturen (KRITIS), für die besondere Sicherheitsregularien gelten. Vor allem die Vorgaben des Digital Operational Resilience Act, kurz DORA, setzen einen einheitlichen Rahmen für ein umfassendes Management von Risiken und den Gefahren für Informations- und Kommunikationstechnologien (IKT).
Laut eines Lünendonk-Reports von Juli 2023 spielt die Verordnung, die für alle Mitgliedsstaaten der EU gilt, bereits bei der Softwareentwicklung eine zentrale Rolle. So macht DORA schon in der Entwicklungsphase Security-Vorgaben. Im deutschen Finanzsektor wird die Regulierung für mehr als 3.500 Unternehmen ab 2025 verbindlich, so die Bafin.
IT und kommunikative Infrastruktur im Test
Ziel der von der Aufsicht verantworteten Übung war es, die Fähigkeiten zur Bewältigung eines schwerwiegenden Cyber-Angriffs zu untersuchen. In dem Szenario sind wichtige Komponenten der IT- und kommunikativen Infrastruktur der Finanzunternehmen kompromittiert und funktionsuntauglich. Getestet wurden geeignete Gegenmaßnahmen in der IT der beteiligten Finanzdienstleister, die Abstimmung der Unternehmen untereinander und mit den Aufsichtsbehörden sowie die Kommunikation mit der Öffentlichkeit.
Erst Anfang September waren die Server der Bafin selbst Ziel eines sogenannten DDoS-Angriffs geworden. Die Abkürzung DDoS steht für Distributed Denial of Service. Dabei handelt es sich meist um Attacken von Internet-Tätern oder kompromittierten IT-Systemen mit Malware,
die von Angreifern dazu genutzt werden, ausgesuchte Ziel-IT-Systeme koordiniert mit einer großen Last spezieller Anfragen durch Erschöpfung der verfügbaren Ressourcen lahmzulegen", berichtet Springer-Autor Norbert Pohlmann.
Bafin selbst Hacker-Opfer
Eine solche Attacke sorgte dafür, dass die Webseite der Behörde vorübergehend nicht mehr oder nur noch eingeschränkt erreichbar war. Die Bafin habe "Sicherheitsvorkehrungen getroffen und unmittelbar nach Einsetzen des Angriffs Abwehrmaßnahmen in Gang gesetzt, die auch greifen", betonte ein Sprecher der Aufsicht gegenüber dem Fernsehsender ARD.
Das Beispiel zeigt, warum die Erfüllung der gesetzlichen Vorgaben und die Stärkung der IT-Sicherheit in Banken eine entscheidende Rolle spielen. In der Praxis ergeben sich dabei allerdings viele Herausforderungen, wie Alex Goller, Experte beim Netzwerksicherheitsunternehmen Illumio, und Steffen Nagel, Leiter IT Infrastruktur & Security bei der Frankfurter Volksbank, berichten.
Die größte Herausforderung für Geldhäuser ist dabei oft die Visibilität. Finanzunternehmen haben häufig eine komplexe Netzwerkinfrastruktur, die aus vielen Endpunkten, miteinander verbundenen Systemen sowie hybrider IT besteht. Das macht es schwierig, den Überblick über das gesamte Netzwerk zu behalten", schreiben die Experten in der Juli-August-Ausgabe von "Bankmagazin".
Frankfurter Volksbank setzt auf Zero Trust
Doch was man nicht sieht, kann man nicht sichern. Deshalb hat sich die Frankfurter Volksbank für eine Zero-Trust-Segmentierungslösung entschieden. Das Informationssicherheitsmodell verweigert den Zugriff auf Ressourcen, Anwendungen und Daten standardmäßig. Auf diese Weise soll die Ausbreitung von Cyber-Attacken und Ransomware eingedämmt werden.
Hierfür wird die Kommunikation von Workloads und Systemen kontinuierlich visualisiert, granularer Regeln, die nur die gewünschte und notwendige Kommunikation zulassen, werden erstellt und so die automatische Isolierung von Attacken durch die Einschränkung der lateralen Bewegungen ermöglicht.
Mit den durch die neue Lösung erzeugten Policies hat das Institut die ISO-2700x-Compliance-Anforderungen für die Segmentierung erfüllt. Gleichzeitig wurden auch die BAITund MaRisk-Spezifikationen adressiert, von der Trennung der Bereiche Entwicklung, Test und Produktion bis hin zur Abschottung von Applikationen.
Illumio / Bankmagazin (Ausgabe 7-8 | 2023)
Echtzeit-Daten verbessern die Visibilität
Die Lösung habe die Visibilität aufgrund der Echtzeit-Informationen erheblich verbessert, heißt es im Beitrag der beiden IT-Fachleute. "Die umfassende Übersicht über den Anwendungs-Traffic und die Kommunikation ist dort jetzt integraler Bestandteil bei der Implementierung der IT- Sicherheit und der Definition von Policies."
Zudem wurden Funktionen der Plattform mit Informationen aus dem technischen Schwachstellenmanagement angereichert. Auf diese Weise gewinne das Institut Einblicke in die am stärksten gefährdeten Systeme und Kommunikationsbeziehungen, die Angreifer möglicherweise ausnutzen.
Optimierung von Identitäten und Daten
Optimierungsbedarf gibt es aber auch bei Identitäten und Daten. Laut eines Cyber-Reports, den das Beratungshaus KPMG gemeinsam mit Lünendonk im Frühjahr 2023 veröffentlicht hat, gelten diese als ein zentrales Einfallstor für Kriminelle. Die Studienautoren empfehlen ein sogenanntes Privilegiertes Access Management (PAM). Als Teilbereich des Identity & Access Managements (IAM) diene es dazu, hoch privilegierte Benutzerkonten wie beispielsweise Systemadministratoren und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten.
Für Banken, aber auch andere Unternehmen und Einrichtungen, bietet das BSI eine kostenlose Plattform zum Thema Cyber-Sicherheit an. Mitglieder der Allianz für Cyber-Sicherheit (ACS) können hier Informationen und Erfahrungen austauschen, die im Angriffsfall als Hilfestellung dienen. Mehr als 7.250 Mitglieder gehören dem Netzwerk bereits an.