Herr Krämer, inwieweit hat sich die Bedeutung der IT-Risiken für Banken in den letzten Jahren verändert?
Beinahe wöchentliche, öffentlichkeitswirksame Vorfälle zeigen, dass der Anteil der IT-Risiken am Gesamtrisiko der Banken deutlich gewachsen ist. Dies haben auch die Aufsichten erkannt, was man an Regulierungen – wie zum Beispiel BAIT und EBA ICT Guidelines–  sowie den Prüfungsschwerpunkten in Vorort-Prüfung sehen kann.

Das klingt so, als könne man IT-Risiken wie andere Risikoarten steuern?
Ja, das ist korrekt. Wir raten unseren Kunden, IT-Risiken professionell zu steuern, wie also beispielsweise Kredit- oder Zinsrisiken. Auch bei diesen Risiken werden manche Aktionen nicht ausgeführt, wenn das Risiko in Relation zum Ertrag zu groß ist – im einen Fall schließt man Geschäfte nicht ab, im anderen Fall sollte man vielleicht Komfort reduzieren um Sicherheit zu erhöhen oder ein Release verschieben.

Warum sind Ihrer Meinung nach die Banken im Fokus von Cyber-Attacken?
Die Banken sind äußerst lukrative Ziele. Was wir hier erleben, sind quasi „virtuelle“ Banküberfälle. Zusätzlich können aus der kriminellen Manipulation durch Cyber-Attacken Gewinne erzielt werden – zum Beispiel im Handel. Da eine Aufdeckung der Täter oftmals nicht möglich ist, werden diese nur selten zur Rechenschaft gezogen. Dadurch ist das Risiko im Vergleich zu einem physischen Überfall für die Täter deutlich geringer. Natürlich wird im Finanzsektor mit der notwendigen Seriosität an dem Thema Cyber Security gearbeitet, um sich vor solchen Angriffen zu schützen. Aufgrund des technologischen Fortschritts ist dieses natürlich ein ständiger Wettlauf.

Warum werden die IT-Risiken scheinbar immer öfter schlagend?
Die Angreifer verwenden immer ausgefeiltere Methoden bei ihren Angriffen von außen und nutzen gezielt Schwächen von Mitarbeitern sowie in den Softwarekomponenten der Bank – etwa durch Social Engineering und Handel mit Zero Day Exploits. Wenn sie in die Systeme eingedrungen sind, nutzen sie dies nicht sofort aus, sondern „erforschen“ Datenströme und Verhalten der Mitarbeiter teilweise über Monate. So können sie ihre Attacken anschließend besser tarnen. Zusätzlich sind nach wie vor auch Bedrohungen innerhalb der Organisationen zu beobachten, also bewusster Datendiebstahl bis hin zu Fahrlässigkeit durch Verwendung einfacher Passwörter. Hinzu kommt, dass viele Banken über die Jahre relativ komplexe IT-Landschaften aufgebaut haben. Durch die Notwendigkeit, in immer kürzer werdenden Zeiträumen Anpassungen und Erweiterungen zu produzieren, erhöht sich das Risiko von menschlichen und technischen Fehlern.

Kann man sich überhaupt gegen solche Angriffe schützen?
Eine 100-Prozent-Absicherung gibt es nicht, aber man kann die Schwelle, ab der ein Schaden entsteht, erhöhen. Ein erster Schritt dafür ist es, die einzelnen Anwendungen und die Organisation mit einem flächendeckenden Management des Schutzbedarfs und einer laufenden Risikoanalyse zu versehen. Danach kann man dann in die risikoorientierte Umsetzung aktiver und prognostischer Abwehrmaßnahmen sowie reaktive Maßnahmen gehen. Zu den reaktiven Maßnahmen im Falle eines erfolgten, erfolgreichen Angriffs gehören hier zum Beispiel die forensische Absicherung, das Notfall- und Krisenmanagement und die Verhinderung von Folgeschäden

Was raten Sie Ihren Kunden, um die Abwehr zu verbessern?
Prinzipiell sind alle Abwehrmaßnahmen ständig auf den Prüfstand zu stellen, indem diese laufend erneuert und erweitert werden. Hierzu gehört insbesondere das „White Hat-Hacking“, welches bestehende Lücken erkennt und schließt. Weiterhin ist das sogenannte “Threat Hunting” – die Suche nach bereits infiltrierten Angreifern – auszubauen. Wenn ein Angriff erfolgt und erkannt ist, sind sogenannte Kapselungen der IT-Architektur oder Ausweichstrategien umzusetzen, um die Folgeschäden möglichst gering zu halten. Nicht zuletzt ist die Sensibilisierung der Mitarbeiter durch Training und die Förderung der Mitarbeiter durch Incentives wichtig, um Gefährdungen zu erkennen und Lücken zu schließen. Was die Bedrohungen von innen und die Stabilität des Betriebs anbelangt, ist das Bewusstsein zu schärfen, dass konsequentes Informationssicherheitsmanagement zwar manchmal “störend” erscheinen mag, aber ein wesentlicher Baustein ist, um den Vertrauensverlust in Banken zu stoppen. Für all diese Maßnahmen haben wir entsprechende Umsetzungspläne, die wir zusammen mit spezialisierten Partnern in einer sogenannten 360-Grad-Betreuung anbieten.