In den vergangenen Jahren wurden Banken zunehmend Opfer vom Bankraub 4.0

Cyberangriffe und Cybersicherheit

Omnikanal-Banking, bargeldloses Bezahlen, digitalisierte Beratung: Immer mehr Daten fließen über eine wachsende Anzahl von per Computer betriebenen Kanälen und Schnittstellen. Gleichzeitig werden „virtuelle Bankraube“ und die damit verbundenen Angriffe auf IT-Systeme immer professioneller ­– bis hin zur Unterstützung durch staatsnahe Akteure. Als Hort vertraulicher Kundendaten, Zahlungsanweisungen und Finanzmarkt-Transaktionen stehen Banken im Fokus von Angreifern aus dem Internet. Das Risiko von Cyberangriffen wächst rasant.

Während Angriffe früher eher von amateurhaften Hackern kurzfristig und opportunistisch durchgeführt wurden, sind sie heute durch professionelle Organisationen oft monatelang geplant. Schwachstellen sind nicht ausschließlich in IT-Systemen zu suchen, sondern in einer Kombination organisatorischer und technischer Schwachstellen. Weil die Beute virtueller Bankraube sehr hoch sein kann, werden Angriffe von innen unter Beteiligung eigener Mitarbeiter möglich. Die Bank allein durch eine Schutzwand nach außen abzusichern, reicht darum nicht mehr aus. 

Angreifer können Institute existentiell gefährden 
Angreifer können eine Firewall überwinden und dann in nur wenigen Sekunden bis Minuten gewaltigen Schaden anrichten. Neben dem Schutz nach außen müssen die Banken ihr Augenmerk deutlich mehr auf die Kombination interner Strukturen, Prozesse und Systeme richten. Oft sind nur eine geringe Anzahl an Prozessen mögliche Angriffsziele. Sollten diese aber erfolgreich gehackt werden, können sehr schnell Schäden in mehrstelliger Millionenhöhe entstehen. 

Cyberangriffe können Institute existentiell gefährden, etwa wenn Transaktionen manipulierbar oder Kundendaten frei verfügbar sein sollten. Der Gefahr wird allerdings weiterhin oft nicht angemessen Rechnung getragen. Ressourcen zur Erarbeitung entsprechender Gegenmaßnahmen sind oft knapp: Der Großteil von IT-Budgets wird weiterhin für Wartung, Anpassung oder Compliance statt für Informationssicherheit ausgegeben. 

Zu viel Vertrauen in die existierenden Systeme
Oft besteht ein trügerisches Grundvertrauen: Die eigenen Experten haben das Sicherheitsmanagement im Griff; das Institut kann deshalb kaum Opfer eines Angriffs werden. Allerdings werden im Sicherheitsmanagement meist primär die Bereiche Personal Safety, Business Continuity und Physical Security abgedeckt. Das Thema Information Security ist im Vergleich dagegen unterbelichtet.  
Finanzdienstleister konzentrieren sich häufig auf die Beseitigung bekannter Schwachstellen. Andere Risiken werden oft nur kursorisch behandelt. Doch diese Haltung steht zunehmend in der Kritik: Aufsichtsbehörden stellen vermehrt das Thema Information Security auf den Prüfstand; EU-Verordnungen verstärken diese Botschaft und drohen mit Sanktionen; Sorgen um Kriminalität erhöhen den Druck vonseiten der Kunden.

Mit Red Teaming Angriffe simulieren
Die Europäische Zentralbank (EZB) veröffentlichte im Mai 2018 das Framework für das Threat Intelligence-based Ethical Red Teaming (TIBER-EU). Es skizziert ein kontrolliertes und maßgeschneidertes Testvorgehen, um die Widerstandsfähigkeit von digitalen Netzen in Organisationen und dem gesamten Finanzsektor grenzübergreifend in der EU zu erhöhen. Wann TIBER-EU-Tests durchgeführt werden, sollen Behörden und Akteure gemeinsam entschieden. 

Finanzdienstleister haben seit Einführung des TIBER-EU-Rahmens im Jahr 2018 die Möglichkeit, die eigene Cybersicherheit durch sogenannte „Red Teaming“-Penetrationstests zu überprüfen. Statt herkömmlicher theoretischer Sicherheitsanalysen werden diese Tests von externen „Angreifern“ durchgeführt. Unter realen Bedingungen und mit professionellen Methoden legen sie offen, wie weit sie in die Infrastruktur einer Bank vordringen und in welchem Ausmaß sie die Organisation schädigen könnten.  

Erkenntnisgewinne stehen im Vordergrund 
Beim Red-Team-Test werden kritische Produktionssysteme mit realen Angriffstaktiken, -techniken und -prozeduren penetriert. Das soll einen praxisnahen Angriff auf kritische Funktionen und die darunterliegenden Systeme simulieren. Zum Schluss wird ein Red-Team-Testbericht verfasst, der einen Überblick über die einzelnen Angriffe und Folgen gibt. Für das Institut geht es nicht darum, ob es den Test bestanden hat oder nicht. Es geht um Erkenntnisgewinne bezüglich Stärken und Schwächen, aus denen Vorgesetzte und Mitarbeiter lernen und als Basis einer Weiterentwicklung der Cybersicherheit benutzen können. 

Trotz der Herausforderungen und etwaigen Investitionen ist Finanzdienstleistern das TIBER-EU-Framework zu empfehlen. Damit wird die Grundlage für eine flächendeckende Transparenz der nationalen und EU-weiten Cybersicherheit geschaffen. In Zeiten „virtueller Bankraube“ kann eine Bank Schwachstellen und Bedrohungen durch Angriffsszenarien realitätsnah prüfen. So lässt sich die Abwehr gegen Cyberangriffe verstärken, etwa durch effizienteres Ausrichten von Strategie, Organisation, Prozessen und IT. All das hilft, Folgeschäden besser zu bewerten und schneller einzudämmen.