IT-Experte Thomas Schumacher: „Attacken auf Finanzinstitute werden immer zielgerichteter“

In einer Studie haben die Berater von Accenture Security untersucht, wie Banken und andere Unternehmen aus der Finanzbranche ihre Systeme vor Attacken aus dem Internet schützen können. Thomas Schumacher, verantwortlich für den Finanzsektor, erklärt, wo die Risiken liegen und aus welcher Richtung die Angriffe kommen.

Herr Schumacher, Sie haben festgestellt, dass ein typisches Finanzinstitut im Schnitt 85-mal im Jahr mit einem ernsthaften Cyberangriff rechnen muss und dass etwa ein Drittel der Attacken erfolgreich sind. Schüren solche Zahlen nicht die Angst, dass es nur eine Frage der Zeit ist, bis wir mit einer größeren Katastrophe rechnen müssen?
Diesen Eindruck könnte man tatsächlich bekommen, zumal die Attacken immer zielgerichteter vorbereitet werden. Im Fall des Cyberangriffs auf das internationale Zahlungssystem Swift haben sich die Täter zum Beispiel monatelang Zeit genommen, um Prozesse auszuspähen und Kontrollen zu umgehen. Bis solche Eindringlinge entdeckt werden, kann es etliche Monate dauern, das gaben auch 59 Prozent der Befragten in unserer Studie an.

Wer steckt hinter den Angriffen? Stimmt das Klischee vom Computernerd als Hacker, wie man ihn aus Romanen und Hollywood-Filmen kennt?
Die gibt es sicher auch. Aber die größten Gefahren drohen der Finanzbranche wahrscheinlich aus einer anderen Richtung: durch hochspezialisierte institutionelle Angreifer, aber auch durch Nationalstaaten. Solche Angreifer haben das Budget und die Ressourcen, um groß angelegte Attacken zu organisieren und durchzuführen. Mitbewerber können ebenfalls zum Risiko werden. Hier geht es dann eher um das Thema Industriespionage. Gerade im Finanzsektor kann die Gefahr aber auch von politisch motivierten Aktivisten ausgehen.

Kommen die Attacken nur von außen?
Nein, auch die eigenen Mitarbeiter können zum Risiko werden. Das kann auch ganz ohne böse Absicht geschehen, indem sie zum Beispiel eigene Geräte an ihre Firmencomputer anschließen – und so Schadsoftware in die Systeme gerät. Oder die Mitarbeiter verwenden Passwörter, die einfach zu hacken sind. Aber auch gezielte Attacken auf den eigenen Arbeitgeber können zum ernsten Problem werden. In unserer Studie gaben 48 Prozent der Befragten an, dass von böswilligen Insidern die größte Gefahr ausgeht.

Tun die Banken denn genug, um sich gegen gefährliche Cyberattacken zu wehren?
Aktuell geben Banken im Durchschnitt 8,2 Prozent ihres IT-Budgets für Cybersicherheit aus, das ist schon eine ganze Menge. Allerdings kämpfen die Finanzfirmen mit einer gefährlichen Asymmetrie. Während die Angreifer genau wissen, was sie tun, können die Institute kaum ahnen, wann, wo und wie die nächste Attacke droht. Banken sollten daher ständig analysieren, welche Schwachstellen bestehen und welche Daten und Systeme für Angreifer besonders attraktiv sein könnten. Deshalb reicht es auch nicht aus, wenn sich nur die IT-Abteilung um das Thema Cybersicherheit kümmert. Das Thema muss integraler Bestandteil des täglichen Geschäfts und auch der Unternehmensstrategie werden.

Gehen die Banken transparent genug mit den Gefahren durch Cyberkriminalität um? Auf der einen Seite beunruhigt eine erfolgreiche Attacke die Kunden. Auf der anderen Seite könnte ein offener Umgang mit den Angriffen aus dem Netz helfen, den Rest der Branche auf mögliche Gefahren aufmerksam zu machen und so größeres Unheil zu verhindern.
Sie haben recht. Wenn ein solcher Angriff bekannt wird, bedeutet das einen ernsten Reputationsschaden für die Unternehmen – selbst wenn kein unmittelbarer finanzieller Verlust entstanden ist. Das könnte manche Firmen dazu bringen, eher restriktiv mit Informationen umzugehen. Vielleicht ist es an der Zeit, ernsthaft über eine zentrale Meldestelle für Cyberangriffe nachzudenken. Solche Überlegungen stellen die Aufseher ja auch schon an. Mit so einer schnellen Meldestelle könnte man eine Art Frühwarnsystem schaffen. Aber das würde auch nur funktionieren, wenn die Firmen schnell merken, dass sie angegriffen werden, und das kann ja, wie unsere Studie gezeigt hat, in vielen Fällen Monate dauern.

Herr Schumacher, vielen Dank für das Gespräch.