Finanzdienstleister kämpfen mit vielen Gefahren. Doch zu den größten gehören Cyber-Attacken und IT-Risiken. Sie können das gesamte System bedrohen, so ein aktueller Bafin-Bericht. Das fordert Aufseher wie Unternehmen.
Auf Geld und wertvolle Daten haben es Hacker abgesehen. Vor allem mit Mal- und Ransomware greifen sie Finanzdienstleister an. Daher rückt die Cyber-Sicherheit immer stärker in den Fokus der nationalen wie europäischen Aufsicht.
Blue Planet Studio / Getty Images / iStock
Insbesondere der Einsatz von Künstlicher Intelligenz (KI) durch Cyber-Kriminelle und eine verstärkte Automatisierung in den Unternehmen sorgen für eine wachsende Bedrohung des Finanzsektors. In seinem "Crimeware-Report" prognostiziert das IT-Sicherheitsunternehmern Kaspersky für 2024 auch mehr Hacker-Attacken in Direct-Pay-Systemen sowie eine Zunahme von mit Backdoor versehenen Paketen in Open-Source-Software. Cyber-Kriminelle nutzen in dieser Schwachstellen aus und verursachen so unter anderem Datenpannen oder sogar finanzielle Verluste.
Banken, Versicherer und Bafin als Hacker-Opfer
Anfang 2023 wurde die dänische Zentralbank gehackt und im Mai war die französische Axa Opfer einer Cyber-Attacke, nennt IT-Sicherheitsexperte Sebastian Brabetz im "Bankmagazin" (November-Ausgabe) zwei Beispiele aus der Finanzbranche. "Doch nicht nur Banken und Versicherer sind betroffen, sondern jüngst auch die Deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). Bei einem "Distributed Denial of Service"-Angriff (DDoS) wurde die öffentliche Website lahmgelegt", so Brabetz.
Dabei nutzen Kriminelle immer häufiger falsch konfigurierte Geräte und Dienste, die ihnen unbefugten Zugang verschaffen, führen die Kaspersky-Experten in ihrer Studie aus. Sie arbeiteten gerne mit flexibleren Strukturen. Mitglieder wechseln die Tätergruppen oder sind sogar in mehreren gleichzeitig aktiv. Dieses Vorgehen erschwere den Strafverfolgungsbehörden, Angreifer und ihre Hintermänner aufzuspüren und zu bekämpfen.
Bedrohung so hoch wie nie
Deshalb wertet die Finanzaufsicht Bafin die zunehmenden Cyber-Attacken, aber auch mögliche IT-Pannen, als zentrale Risikofaktoren für den Finanzsektor.
In Deutschland ist die Bedrohung nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) so hoch wie nie. Dies gilt auch für den Finanzsektor, da die Unternehmen dort mit zwei besonders attraktiven Gütern arbeiten: Geld und sensiblen Daten", heißt es Bericht "Risiken im Fokus der Bafin 2024", den die Behörde Mitte Januar veröffentlicht hat.
Immer neue Malware-Varianten
Während der Angriff auf die Bafin Ende 2023 nur deren öffentliche Website betraf, "kann der Schaden bei Banken und Versicherern die wirtschaftliche Handlungsfähigkeit beeinträchtigen", so Fachmann Brabetz. Daher zähle der Finanzsektor zur Kritischen Infrastruktur (KRITIS). Cyber-Attacken bergen dabei ein besonders hohes Schadenspotenzial für die betroffenen Unternehmen.
Sie können laut Bafin sogar die Funktionsfähigkeit des Finanzsystems "wesentlich beeinträchtigen und die Finanzstabilität gefährden". Dabei müssten die Störungen nicht zwangsläufig bei Banken oder Versicherern selbst auftreten. Auch plötzliche Probleme bei von ihnen beauftragten Dienstleistern haben das Potenzial, das ganze System zu beeinträchtigen, warnen die Aufseher. Vor allem immer wieder neue Schadsoftware-Varianten, die sogenannte Malware, bereitet der Behörde Sorgen:
Durchschnittlicher täglicher Zuwachs neuer Schadprogramm-Varianten
Bafin / Bundesamt für Sicherheit in der Informationstechnik (BSI)
Cyber-Angriff auf ICBC-Tochter zieht große Kreise
Welches Ausmaß ein Hacker-Angriff annehmen kann, zeigt das Beispiel der Industrial and Commercial Bank of China (ICBC). Die Täter hatten bei der New Yorker Tochtergesellschaft ICBC Financial Services im November 2023 mit Ransomware dafür gesorgt, dass eine Vielzahl von Handelsgeschäften mit US-Treasuries nicht mehr regulär abgewickelt werden konnten.
Das betroffene Unternehmen hat der Bafin zufolge nur als eine von mehreren Clearing-Stellen für den US-Markt fungiert. Aber aufgrund der starken infrastrukturellen Vernetzung des Instituts mit anderen Marktteilnehmern war durch die Cyber-Attacke jedoch der gesamte Handel und das Clearing betroffener Kunden stark eingeschränkt.
"Nur durch aufwendige manuelle Alternativprozesse konnten größere Verwerfungen in betroffenen Handelssegmenten verhindert werden", so die Aufsicht. Die Gesellschaft musste die Daten auf USB-Sticks per Kurier durch Manhattan schicken, hieß es in Medienberichten. "Dies ist ein echter Schock für große Banken auf der ganzen Welt", so Marcus Murray, Gründer des schwedischen Sicherheitsunternehmens Truesec, gegenüber dem Nachrichtendienst Bloomberg. Der ICBC-Hack werde Institute rund um den Globus dazu bringen, "ihre Abwehrmaßnahmen zu verbessern".
DORA sorgt künftig für mehr Sicherheit
In Deutschland soll die Umsetzung der sektorübergreifenden EU-Regulierung DORA (Digital Operational Resilience Act) ab Mitte Januar für mehr Sicherheit sorgen. "Dazu gehören zum Beispiel die Überwachung von kritischen Drittdienstleistern aus der Informations- und Kommunikationstechnologie (IKT) und das Meldewesen zu IKT-Vertragsbeziehungen", erläutert die Bafin. Die Behörde wird dabei für den deutschen Finanzsektor als Melde-Hub für IKT-bezogene Vorfälle etabliert.
Ziel ist es, durch die daraus gewonnenen konzentrierten Informationen ein detaillierteres Bild der IT-Sicherheitslage auf dem deutschen Finanzmarkt zu erhalten und schlagkräftig auf IT-Vorfälle reagieren zu können", schreibt die Aufsicht in ihrem Bericht.
Breiter Austausch sichert Informationsfluss
Die Behörde erstellt künftig außerdem ein Cyber-Lagebild des Finanzsektors. Es soll zeigen, welche Bedrohungen es für die Finanzwirtschaft gibt, wie verwundbar die beaufsichtigten Unternehmen und deren IT-Dienstleister sind und welche - erfolgreichen - Hacker-Angriffe es gab.
Darüber hinaus ist die Bafin im Nationalen Cyber-Abwehrzentrum (NCAZ) aktiv und tauscht sich eng mit anderen nationalen und internationalen Behörden aus. Das soll sicherstellen, frühzeitig über Störungen und Gefahren informiert zu sein und diese an andere Behörden und beaufsichtigte Unternehmen weiterzugeben. Mit der Organisation nationaler Krisen- und Notfallübungen, die auch die Industrie umfasst, üben "alle Beteiligten im Ernstfall schnell und koordiniert zu reagieren".
IT-Dienstleister im Fokus der Aufsicht
Ein besonderes Augenmerk legt die Aufsicht 2024 auf die Risiken, die sich aus dem Einsatz von spezialisierten IT-Dienstleistern bei Kreditinstituten und Versicherern ergeben. In Deutschland bedienen in einigen Bereichen wenige dieser Anbieter einen Großteil der Banken und Versicherer. "Von solchen IT-Mehrmandanten-Dienstleistern gehen Konzentrationsrisiken aus", warnt die Bafin.
Sollten bei diesen Dienstleistern Störungen auftreten, "könnten plötzlich mehrere beaufsichtigte Unternehmen gleichzeitig nicht mehr auf ihre Dienstleistungen zugreifen". Das führe vor allem bei kritischen Prozessen, von denen die Funktionsfähigkeit der Finanzdienstleister abhängt, zu Problemen und könne im Extremfall den Finanzsektor insgesamt stark beeinträchtigen.
Dabei will die Bafin durch Stichproben Informationslücken schließen. Denn eine Anzeigepflicht besteht nur für neue Auslagerungen und Änderungen an bestehenden Verträgen, nicht aber für Bestandsfälle. Die Behörde wird hierzu auch die Auslagerungsdatenbank auswerten, um sich einen Überblick über Outsourcing-Beziehungen zu verschaffen sowie Verflechtungen und Konzentrationsrisiken am Finanzmarkt zu identifizieren. Kommt es zu schwerwiegenden Vorfällen bei einem Dienstleister, warnt die Aufsicht die Finanzunternehmen, die laut Datenbank diesen nutzen.
Erster Cyber-Stresstest der EZB angelaufen
Doch nicht nur in Deutschland steht das Thema Cyber-Security ganz oben auf der Agenda. Auch die Europäische Zentralbank (EZB) prüft in diesem Jahr erstmals die Widerstandsfähigkeit der von ihr beaufsichtigten Banken auf Herz und Nieren. In ihrem "Cyber Resilience Stress Test 2024" untersucht die Notenbank die Auswirkungen von Cyber- und IKT-Risiken auf das operationelle Risikomanagement.
"Bisher haben sich die Banken im Euroraum als widerstandsfähig erwiesen. Die Angriffe waren nicht so schwerwiegend, dass sie einzelne Institute oder das Bankensystem destabilisiert hätten. Dennoch müssen wir vorbereitet sein. Eine erfolgreiche Attacke ist jederzeit möglich", äußerte sich EZB-Bankenaufseherin, Anneli Tuominen, gegenüber der "Börsen-Zeitung" im November 2023.
Notenbank simuliert Hacker-Angriff
Der Stresstest simuliert einen schweren Cyber-Angriff, der den Geschäftsbetrieb unterbricht. Die Banken müssen dessen Folgen für ihre Organisation identifizieren und an die Aufsicht weiterleiten. Zudem berichten die Unternehmen mit welchen bestehenden Maßnahmen sie im Ernstfall den Sicherheitsvorfall bekämpfen und ihre Services für Kunden und Partner sicherstellen.
Seit Anfang Januar liegen den Instituten die detaillierten Fragebögen vor, die sich mit den potenziellen Auswirkungen eines Angriffsszenarios sowie den dann greifenden Notfallplänen beschäftigen. Rund 20 Banken müssen zudem voraussichtlich ab März einen weiteren Test durchlaufen. Dieser erfordert deutlich mehr Detailinformationen. Die Ergebnisse des Stresstests fließen in den aufsichtlichen Überprüfungsprozess SREP ein und wirken sich so auf die Bewertungen der operationellen Risiken und qualitativen Anforderungen aus.
Gewinne auch in Resilienz investieren
"Finanzinstitute müssen ihre Cyber-Sicherheitsstrategien proaktiv anpassen und ihre Abwehrmaßnahmen verstärken, um Vermögenswerte und sensible Daten zu schützen", so Marc Rivero, leitender Sicherheitsforscher im Global Research and Analysis Team von Kaspersky. Der Schlüssel zum Erfolg liege in der Förderung der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor, "um gemeinsam Risiken zu adressieren".
Die Bafin erarbeitet zum Beispiel gemeinsam mit den G7-Partnern Orientierungshilfen für den Finanzsektor, um dessen Resilienz gegenüber potenziellen Angriffen weiter zu steigern. Hierzu gehören etwa die "G7 Fundamental Elements of Ransomware Resilience for the Financial Sector".
"Die Unternehmen des Finanzsektors müssen resilient sein - gegen finanzielle und operationelle Risiken", betont Bafin-Präsident Mark Branson anlässlich der Veröffentlichung des Berichts seiner Behörde. Die Finanzbranche verdiene aktuell gut oder sehr gut. Diese Gewinne sollten nicht nur den Aktionären zugute kommen, sondern auch in die Risikovorsorge investiert werden, fordert Branson. "Die Unternehmen müssen auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren."
DK sieht Finanzbranche gut aufgestellt
"Banken und Sparkassen setzen umfangreiche Maßnahmen zur Gewährleistung der Cyber-Sicherheit um, die aus den Säulen der Prävention, Detektion und Reaktion bestehen", betonte die Deutsche Kreditwirtschaft (DK) Ende 2023. "Für die IT-Systeme der Banken ist die automatisierte Überwachung und -analyse sicherheitsrelevanter Ereignisse sowie von Schwachstellen bereits etabliert." Allerdings weist die DK darauf hin, dass die Kunden selbst häufig eine Schwachstelle sind, über die die Kriminellen angreifen.
KI-gestützten Tools wie Chat GPT machen es Betrügern im Netz besonders leicht, wie das Beispiel Phishing zeigt: "Dadurch, dass der Bot natürliche Sprache (Natural Language Processing, kurz NLP) ohne erkennbare Grammatik- oder Rechtschreibfehler verarbeiten kann, sind betrügerische E-Mails oder Whatsapp-Nachrichten kaum noch als Fake erkennbar", erläutert Cyber-Experte Wiebe Fokma im "Bankmagazin" (September-Ausgabe).
Bankkunden als Schwachstelle im Blick behalten
Kriminelle, die sich als Bankmitarbeitende ausgeben und Kunden auffordern, ihre Kontodaten zur Verifizierung zu teilen, seien auf diese Weise immer häufiger erfolgreich. "Oft gelangen sie problemlos an persönliche Daten oder übernehmen sogar komplette Konten." Fokmat rät Banken,
- ihre Kunden umfassend über die Gefahren zu informieren,
- regelmäßige Sicherheits-Updates zu installieren,
- eine aktive Multi-Faktor-Authentifizierung implementieren und
- das Nutzerverhalten kontinuierlich zu überwachen.