Cyberkriminalität Hackerangriffe nehmen zu – Attacken sind für Banken und deren Kunden das größte Risiko
Viele Banken sehen noch großen Nachholbedarf beim Schutz gegen Cyberangriffe.
Frankfurt Finanzkonzerne werden immer häufiger Ziel von Hackern: Mitte September meldeten die Experten der Sicherheitsfirma Kaspersky einen Hackerangriff auf indische Geldautomaten. Hinter der professionellen Attacke vermuten die Experten eine nordkoreanische Gruppe, die unter dem Decknamen „Lazarus“ bekannt wurde.
Ein paar Tage zuvor hatte die Europäische Zentralbank (EZB) nach einer Cyberattacke eine ihrer Webseiten vom Netz nehmen müssen. Und Anfang September nahm die Polizei in Kathmandu eine chinesische Bande fest, die mit Schadsoftware 300.000 Dollar von nepalesischen Banken erbeutet hatte.
Die Liste ließe sich beliebig fortsetzen. Allein seit Anfang Januar hat die amerikanische Carnegie-Stiftung mehr als 20 große Hackerangriffe auf Finanzkonzerne in aller Welt gezählt – und das sind nur die Fälle, die öffentlich wurden. Die Dunkelziffer liegt sehr viel höher.
Eine Studie der Sicherheitsfirma EfficientIP zeigt, dass Finanzunternehmen so häufig attackiert werden wie Unternehmen keiner weiteren Branche.
Bei einer Umfrage der Experten antworteten 88 Prozent der Firmen, dass sie im vergangenen Jahr Opfer einer Hackerattacke waren.
Das Ausmaß der Gefahr zeigte bereits eine Statistik der britischen Finanzaufsicht FCA von 2017: Allein in den drei Jahren von 2014 bis 2016 schnellte die Zahl der bei der Behörde gemeldeten Angriffe von fünf auf 90 Vorfälle in die Höhe.
Kein Wunder, dass sich die Banken trotz Minuszinsen, steigender Kreditrisiken und wachsender geopolitischer Spannungen über nichts so viel Sorgen machen wie über Cyberrisiken. Das ist zumindest das Ergebnis einer neuen Studie der Beratung EY, die dem Handelsblatt exklusiv vorliegt.
67 Prozent der von EY befragten Risikomanager globaler Großbanken fürchten den Verlust von Kundendaten, 53 Prozent sehen die Gefahr, nach einer Attacke nicht mehr erreichbar und handlungsfähig zu sein. Die große Mehrheit der Banken – 77 Prozent – sieht die Notwendigkeit, zusätzliche Experten einzustellen, die helfen sollen, mögliche Attacken abzuwehren.
„In einer zunehmend vernetzten und digitalisierten Wirtschaft entwickeln sich Cyberrisiken zu einer immer größeren und potenziell existenziellen Gefahr“, warnt Max Weber, Partner bei EY. Gerade Banken seien verwundbar wegen der komplexen, teilweise fragmentierten und veralteten IT-Infrastruktur vieler Institute. „Mein größter Albtraum ist es, morgens aufzuwachen und plötzlich festzustellen, dass alle Systeme nicht mehr funktionieren“, sagt der Vorstand einer deutschen Großbank, der seinen Namen lieber nicht in den Medien lesen will.
Stresstest in Singapur
Wie groß die potenziellen Schäden durch Cyberattacken sind, zeigt ein Stresstest der Finanzaufsicht von Singapur. Das Ergebnis: Ein ausgewachsener Hackerangriff würde die Banken dort 20 bis 35 Prozent ihrer Quartalsgewinne kosten. Diese Kosten könnten auf bis zu 65 Prozent der Profite steigen, wenn die Banken nicht ausreichend vorbereitet und geschützt sind. Und genau das ist der Haken an der Sache.
Der EY-Studie zufolge sieht sich nicht einmal jede zweite der befragten Banken völlig oder weitgehend gewappnet, wenn es um Cyberrisiken geht. Eine knappe Mehrheit – 53 Prozent – konstatiert für das eigene Institut nur einen geringen oder mittleren Schutz im Umgang mit derartigen Herausforderungen, 13 Prozent der befragten Großbanken stehen bei diesem Thema nach eigener Einschätzung sogar noch am Anfang.
„Die Angriffe werden immer professioneller und kommen aus verschiedenen Richtungen. Angesichts der potenziell katastrophalen Folgen eines längerfristigen IT-Ausfalls bei einer Bank schaut auch die Bankenaufsicht bei IT-Mängeln immer genauer hin“, meint EY-Partner Weber.
In Aufsichtskreisen heißt es, dass sich die deutschen Banken im Kampf gegen Hackerangriffe bislang vergleichsweise wacker geschlagen haben. Wenn Schäden auftreten würden, dann meist kleinere. Aber auch in Deutschland kam es bereits zu dem ein oder anderen spektakulären Banküberfall aus dem Netz. Ende August erleichterten beispielsweise Cyberkriminelle aus Brasilien rund 2.000 Kunden um insgesamt 1,5 Millionen Euro.
Spätestens seit einer spektakulären Attacke in Bangladesch im Jahr 2016 steht das Thema Cybersicherheit bei Zentralbanken und Finanzaufsehern ganz oben auf der Agenda. Bei dem Beutezug hatten Kriminelle damals der Notenbank des asiatischen Landes etwa 81 Millionen Dollar gestohlen.
„IT-Risiken haben das Potenzial, Banken in Schieflage zu bringen“, warnte Raimund Röseler, der oberste Bankenaufseher der Finanzaufsicht Bafin, kürzlich bei einer Konferenz des Handelsblatts. Wenn die Behörde Institute durchleuchte, gebe es eigentlich keine Prüfung, die mit einem zufriedenstellenden Ergebnis ende.
Bundesbank-Abteilungsleiter Christian Denk fürchtet, dass die zunehmende Komplexität und die Vernetzung zwischen etablierten Instituten und neuartigen Wettbewerbern und Dienstleistern zu Gefahren führen: „Natürlich nehmen die Risiken, die aus dem Cyberraum kommen, zu – hier sehen wir bei einigen Instituten Nachholbedarf.“
Die Banken sprechen nicht gerne über das Problem, zu heikel ist das Thema Cyberattacken, zu groß die Gefahr, die eigenen Kunden zu erschrecken. „Cyberattacken gehören für uns längst zum Alltag, erzählt ein Frankfurter Banker. „Wir leben in einem ständigen Wettlauf mit den Kriminellen. Wir hoffen, dass wir einen technologischen Vorsprung halten können, aber der Gegner rüstet schnell auf.“
„Die böswilligen Kräfte passen sich sehr schnell an“
Vor dieser Gefahr warnen auch die Betreiber des globalen Zahlungssystems Swift. Einem Swift-Bericht aus dem Frühjahr zufolge nehmen sich die Angreifer immer mehr Zeit, um die Systeme einer Bank zu erkunden. Nachdem sie die Sicherheitsvorkehrungen eines Geldhauses überwunden und die IT infiltriert haben, operieren sie oft Wochen oder sogar Monate im Verborgenen, um Verhaltensmuster auszukundschaften, bevor sie einen Angriff starten.
Auch den Zeitpunkt ihrer Angriffe haben die Hacker laut dem Report verändert. Früher bevorzugten Cyberkriminelle demnach betrügerische Zahlungen außerhalb der Geschäftszeiten, um eine Aufdeckung zu vermeiden. Inzwischen hat Swift einen genau entgegengesetzten Trend ausgemacht: Die Täter starten ihre Operationen während der normalen Geschäftszeiten, um sich mit dem legitimen Datenverkehr zu vermischen.
„Wir müssen uns bewusst sein, dass sich die böswilligen Kräfte sehr schnell anpassen, deshalb muss die Branche ihre Abwehrsysteme ständig verbessern und verbreitern“, meint Dries Watteyne, Chef des Cyber Security Incident Response Teams von Swift. Der Experte fordert die Banken auf, für mehr Transparenz zu sorgen und Informationen über Hackerangriffe zu teilen.
Zu diesem Zweck hat die Branche das Financial Services Information Sharing and Analysis Center (FS-ISAC) gegründet, eine Informationsplattform, die sich dem Kampf gegen Cyberrisiken verschrieben hat und an der mittlerweile 7.000 Finanzfirmen aus aller Welt beteiligt sind. „Eine Initiative, die sicherlich sehr lobenswert ist, die aber nicht darüber hinwegtäuschen darf, dass es beim Kampf gegen Hackerangriffe noch immer sehr viele blinde Flecken gibt“, warnt ein europäischer Bankenaufseher.
Das Kommentieren dieses Artikels wurde deaktiviert.