Vertrauen ist Trumpf

Im Zuge einer digitalen Globalisierung sind Banken nicht nur einer fortschreitenden Vernetzung unterworfen, sondern auch neuen Risiken, denen sich die Branche stellen muss, damit das wertvollste Kapital – das Vertrauen – nicht verloren geht.

Cyberattacken bedrohen Banken bereits seit geraumer Zeit, doch hat in den letzten Jahren der Umfang deutlich zugenommen. Die Risiken und Bedrohungen sind dabei zum einen auf die Institute selbst und zum anderen auf deren Kunden verteilt. Bei letzteren führt die Abnahme von Filialen vor allem in ländlichen Gegenden quasi zwangsweise zu einer Zunahme des Online-Bankings, womit bestimmte Risiken bei der Nutzung nicht auszuschließen sind. Laut einer Studie von PwC und dem Centre for the Study of Financial Innovation (CSFI) von 2015 sehen die Geldhäuser in virtuellen Attacken mittlerweile die zweitgrößte Gefahr für das „Geschäftsmodell Bank“ überhaupt. Laut der Umfrage gehen die Schäden, die in der Regel nicht offen kommuniziert werden, weltweit in die Milliarden.

In einem global vernetzten Geflecht, in dem die Banken agieren, ist zudem eine ungleiche Sicherheitslage festzustellen. Nicht überall gelten die gleichen Bestimmungen oder werden dieselben Schutzmaßnahmen ergriffen, und oft werden Sicherheitslücken nicht rechtzeitig entdeckt. 2014 konnten Kriminelle mit der Schadsoftware Carbanak bei Angriffen auf bis zu 100 Banken, E-Payment-Systeme und andere Finanzinstitute zwischen 300 Millionen und einer Milliarde US-Dollar erbeuten. Letztes Jahr wurde die Society for Worldwide Interbank Financial Telecommunication (Swift) Opfer eines Hackerangriffs, der auf die Zentralbank von Bangladesch ausgeübt worden war. Swift wickelt in mehr als 200 Staaten für 11.000 Banken den Geldverkehr ab, die Sicherheit des Systems ist daher von immanenter Bedeutung für den internationalen Zahlungsverkehr.

Für die Geld- und Kreditinstitute ist zunächst einmal eine Risikoabschätzung relevant, mit welchen Folgen bei einem Ausfall der angebotenen Versorgungsdienstleistung zu rechnen ist. Hier gibt es durchaus unterschiedliche Szenarien. Die Schadenskategorien können nach Staat, Gesellschaft und Wirtschaft unterschieden werden, hinsichtlich der Handlungsfähigkeit, der Sicherheit und Ordnung, monetären und psychologischen Auswirkungen sowie dem Image und möglichen Personenschäden. Ereignisse können geringe bis mittlere, große oder sehr große Auswirkungen haben, beispielsweise Massenhysterien bei der Bevölkerung als psychologische Folge eines schwerwiegenden Ereignisses. Zu den Dienstleistungen, deren starke Beeinträchtigung oder Ausfall keine oder nur geringe Folgen hätten, zählen unter anderem das Pfandbrief-, Diskont- und Kreditgeschäft.

Bei Ausfällen beim Depot- und Finanzkommissionsgeschäft ist vor allem die Wirtschaft in ihrem Ansehen schwer getroffen, je nach Dauer der Problemlage. Dagegen haben Ausfälle im Bereich der Zahlungsverkehrsgeschäfte wie der Bargeldversorgung ganz erhebliche Auswirkungen auf allen Ebenen. Sicherheit und Ordnung staatlicherseits können gefährdet sein, die Wirtschaft würde einen andauernden Imageverlust verzeichnen und in der Gesellschaft wären Personenschäden als Ergebnis von Unruhen nicht auszuschließen und eine große Verunsicherung eine sehr wahrscheinliche Folge. Ähnliches gilt für die Abwicklung des Zahlungsverkehrs, also die Ausführung von Überweisungen und Lastschriften. Hier käme aber noch ein hoher finanzieller Schaden größer als zehn Milliarden Euro auf die Wirtschaft hinzu.

Die Angriffsmöglichkeiten, denen sich Banken ausgesetzt sehen, sind vielfältig. Das Ziel ist entweder die Bank selbst oder der Kunde, wobei letzterer auch Mittel zum Zweck sein kann, also zur Ausspähung weiterer Daten, die als Einfallstor dienen können. Gegen Banken, deren Mitarbeiter und Kunden werden daher verschiedene Angriffsformen eingesetzt, immer häufiger sogenannte Advanced-Persistent-Threat- Attacken (APT). Mittels Social Engineering soll etwa versucht werden, möglichst viele Informationen über eine Person in Erfahrung zu bringen, um sie dann gezielt zu adressieren und zu scheinbar harmlosen Aktivitäten zu verleiten. Das kann etwa das Anklicken bestimmter Inhalte in E- Mails sein oder die Herausgabe von Daten bei Anruf durch einen vermeintlichen Techniker.

Ist erst einmal Malware, also schädliche Software, auf dem Zielrechner installiert, kann von dort aus der eigentliche Angriff beginnen. Das Vorgehen etwa der „Carbanak-Bande“ 2014 entsprach diesem Muster, die installierte Malware auf dem Rechner von Bankangestellten nutzte eine Microsoft- Schwachstelle auf dem System aus. Letztliches Ziel war die einfach Geld ausgaben, welches anschließend eingesammelt wurde. Doch der Angriff ermöglichte es auch, im internen Banknetzwerk die für die Videoüberwachung zuständigen Computer der Administratoren aufzuspüren und zu übernehmen. Diese APT-Attacken treten verstärkt auf und stellen aufgrund ihrer Komplexität eine ernstzunehmende Bedrohung dar. Andere Angriffsformen, wie Distributed-Denial-of-Service-Attacken (DDoS), bei denen Server mit Anfragen überlastet werden, dienen beispielsweise der Erpressung, da gedroht wird, Dienste wie Webseiten unerreichbar zu machen.

Allgemein kann festgestellt werden, dass der Finanzsektor „an vorderster Front“ steht, wenn es um das Thema IT-Sicherheit und Cyberkriminalität geht. Die Kreditwirtschaft ist zumeist die als erstes angegriffene Branche, erfolgreiche Aktionen dort werden von Kriminellen dann auch nicht selten auf andere Sektoren übertragen. Zudem kann bei Banken Geld direkt ohne Umwege über weitere Geschäfte wie Hehlerei beschafft werden und Angriffe lassen sich rein digital ohne Medienbruch durchführen. Experten schätzen, dass bis 2020 der Anteil digitaler Transaktionen bei Banken auf bis zu 95 Prozent steigen wird. Trotz dieser zunehmenden Digitalisierung aller Prozesse existiert nicht selten eine Lücke zwischen Kundenwunsch und IT-Sicherheit bei den Banken.

Digitale Service-Leistungen wie Online-Banking erfordern eine entsprechende Sicherheitsarchitektur, die oftmals erst auf einen aktuellen Stand gebracht werden muss. Hierfür müssen in den Geldhäusern die notwendigen Mittel bereitgestellt werden, um die IT für die Herausforderungen fit zu machen. „Für alle Wirtschaftsakteure auch in Deutschland ist die Prävention vor Cyberangriffen ein zunehmend wichtiges und herausforderndes Thema. Die Finanzbranche ist hier gut gerüstet und beschäftigt sich kontinuierlich präventiv mit dem Thema. Bislang musste die Branche in Deutschland daher keine die Geschäftsfortführung bedrohenden Attacken erleben“, erklärt Cornelia Schulz, Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e.V.

Ein ausreichender Schutz ist durch verschiedene vorbeugende Maßnahmen und Rahmenbedingungen gewährleistet, die im Bankensektor realisiert werden. Beispielsweise setzen die Banken und Sparkassen umfangreiche Schutzmaßnahmen, zum Beispiel Verschlüsselung, Virenschutz/ Firewalls, Patchmanagement sowie organisatorische Schutzmaßnahmen um. Kunden erhalten regelmäßig Informationen und Empfehlungen zum sicheren Umgang im Zuge von Bankgeschäften, beispielsweise beim Online-Banking. Bankmitarbeiter erhalten kontinuierlich IT-sicherheitsbezogene Weiterbildungen. Autorisierungsverfahren wie das TAN-System werden stetig weiterentwickelt. Ein Informationssicherheitsmanagement wird zudem von der Bankenaufsicht gefordert und ist Prüfungsgegenstand, zum Beispiel mit den Mindestanforderungen an die Sicherheit von Internetzahlungen (Masi) und den IT-Prüfungen nach §44 Kreditwesengesetz (KWG) sowie allgemein den Mindestanforderungen an das Risikomanagement (Marisk).

„Ein weiterer wichtiger Baustein, IT- Sicherheit bestmöglich zu gewährleisten, ist das gute Zusammenspiel von Prävention, Sicherheitsanalyse und Vorfallmanagement. Dazu gehört beispielsweise eine permanente Analyse von Angriffen beziehungsweise erkannten Angriffsversuchen sowie Fraud-Detection“, so Schulz. Darüber hinaus haben Banken ein genau definiertes Vorfall- und Notfallmanagement eingerichtet. Um die IT-Sicherheit auch fortwährend zu gewährleisten, findet ein kontinuierlicher Austausch zu IT- Sicherheitsfragen statt, und zwar banken- wie bankgruppenübergreifend. Dazu gehören beispielsweise Arbeitsgruppen der Spitzenverbände der Deutschen Kreditwirtschaft (DK), in denen sich Experten über Angriffsszenarien auf die Zahlungssysteme austauschen, oder der UP Kritis, wo ein Austausch zu Fragen der Cybersicherheit im Bankenarbeitskreis stattfindet. Letztendlich ist Sicherheit auch immer eine Sache der Verantwortlichkeit. Neben der Technik muss auch die Organisation und Führung eine Cyberabwehr unterstützen. Mitarbeiter müssen ein geschärftes Bewusstsein für Gefahren im Netz entwickeln und Entscheider sollten sich überlegen, ob die IT-Infrastruktur im Haus verbleiben sollte oder doch ausgelagert wird. Schließlich muss allen Akteuren bewusst sein, dass das Internet der Dinge sich auch auf die IT- Sicherheit auswirkt. Denn überall dort, wo Geräte vernetzt werden, bieten sich auch potenzielle Einfallstore.