Anzeige
| Kriminalitätsprävention

Britische Aufsicht testet Cyber-Abwehrkräfte

Sind Großbritanniens Geldhäuser hinreichend gegen Hacker-Angriffe geschützt? Die britische Finanzaufsicht will das jetzt genauer wissen. Die Europäische Zentralbank auch.

Anzeige

Die britische Finanzaufsicht will ab Sommer mit Cyber-Stresstests die Widerstandsfähigkeit von Banken gegen Hacker-Angriffe und deren mögliche Folgen für die Finanzstabilität ermitteln. Geprüft wird, wie schnell sich die Institute von Cyber-Angriffen erholen und sie ihren Zahlungsverkehr wieder aufnehmen können. Das soll den Banken dabei helfen, längere Systemausfälle zu vermeiden. Die Standards für die Tests ermittelte der Finanzstabilitätsausschuss FPC der britischen Notenbank. Die Ergebnisse sollen nicht veröffentlicht werden.

Im vergangenen Jahr legten Cyber-Kriminelle bei mehreren Instituten, darunter Santander UK, Royal Bank of Scotland (RBS) und Barclays, vorübergehend die IT-Systeme lahm. Im Oktober verhängte die Finanzaufsicht FCA gegen die Tesco Bank eine Strafe von 16, 4 Millionen Pfund wegen mangelhafter Schutzvorkehrungen gegen Cyber-Angriffe. Hacker hatten sich 48 Stunden lang Zugriff auf die Systeme des Instituts verschafft und von Girokonten 2,3 Millionen Pfund erbeutet.

Nach Angaben der FCA verfünffachte sich die Zahl der Cyber-Angriffe auf die britische Finanzbranche 2018 im Vergleich zum Vorjahr. Der Behörde wurden 145 Vorfälle gemeldet, nach 25 Attacken im Jahr 2017. Der deutliche Anstieg lässt sich auch auf die EU-Datenschutzgrundverordnung zurückführen, nach welcher die Institute seit Mai entdeckte Vorfälle innerhalb von 72 Stunden melden müssen.

Die Bank of England wertet Cyber-Gefahren mittlerweile als systemische Risiken mit Top-Priorität – nicht nur für einzelne Institute, sondern für das britische Finanzsystem. Cyber-Attacken seien nach politischen Unsicherheiten das zweitgrößte Risiko, heißt es im jüngsten Bericht der Notenbank zu systemischen Risiken.

Angesichts der wachsenden und sich wandelnden Bedrohungslage baut der britische Bankenverband UK Finance gerade mit der Bank of England und dem 2016 als neue Geheimdienstbehörde aus der Taufe gehobenen National Cyber Security Centre (NCSC) ein Informations- und Datennetzwerk zur Bekämpfung von Cyber-Gefahren für die Finanzbranche auf. Die Initiative wird von mehr als 20 Banken, Versicherern und Wertpapierbörsen unterstützt. Cheryl Martin, EY-Partnerin im Bereich Financial Services, erklärte, knapp 60 Prozent der Finanzdienstleister verfügten bereits über ein Security Operation Centre (SOC). Die Initiative sei ein wichtiger nächster Schritt bei der Bekämpfung von Cyber-Crime.

„Tiber-EU“ soll IT-Sicherheit von Europas Banken verbessern

Für die Europäische Zentralbank (EZB) zählen Abwehr von Cyber-Kriminalität und IT-Sicherheit zu den Prioritäten in diesem Jahr. Beide stellten ein immer größeres Problem für Banken dar und verdeutlichten die Notwendigkeit, zusätzlich in IT-Systeme zu investieren, erklärte die Zentralbank. Das internationale Zahlungssystem Swift, das 2016 von Hackern angegriffen wurde, verschärfte angesichts der wachsenden Bedrohungslage gerade die Sicherheitsanforderungen für seine Teilnehmer.

Die EZB veröffentlichte im Mai 2018 ein auf EU-Ebene abgestimmtes, europaweites Rahmenwerk, wie Hacker-Angriffe auf dem Finanzmarkt kontrolliert simuliert werden sollen (Tiber-EU). Solche Tests sollen Banken dabei helfen, zu bewerten, wie gut sensible Daten und Prozesse gegen unberechtigte Zugriffe geschützt sind, wie rasch Cyber-Angriffe erkannt werden und ob ein Institut solche Attacken wirksam abwehren kann.

Einer Studie der Beratungsgesellschaft Accenture zufolge werden deutsche Banken jährlich im Schnitt 85 Mal gezielt aus dem Cyber-Raum angegriffen. Ein Drittel dieser Attacken ist erfolgreich, das entspricht zwei bis drei Vorfällen pro Monat. Der Erhebung zufolge vertrauen knapp 80 Prozent der befragten Sicherheitsentscheider großer Finanzinstitute auf ihre Cyber-Security-Strategien.

Die Finanzaufsicht Bafin mahnt indes schon seit Längerem, dass Banken und Sparkassen mehr für die IT-Sicherheit tun müssen. Nach Angaben des für Bankenaufsicht zuständigen Exekutivdirektors Raimund Röseler prüfen die Bafin und die Deutsche Bundesbank verstärkt die IT-Sicherheit bei Banken. Allerdings gebe es keine Bank, bei der die Aufseher vollständig zufrieden seien. Die Bafin soll zusammen mit der Bundesbank das Rahmenwerk von Tiber-EU umsetzen.

 
Zuständig für die Umsetzung des Rahmenwerks Tiber-EU zur IT-Sicherheit von Banken: Bafin-Exekutivdirektor Raimund Röseler. © dpa

Florian Schleicher, Pressesprecher der Finanz Informatik (FI), erklärte, die FI verfolge die Diskussionen und Überlegungen hinsichtlich Tiber-EU sehr genau und warte die konkreten nationalen Umsetzungsanforderungen der Aufsicht an die Institute ab. Die Bedrohung durch Cyber-Angriffe sei hoch und nehme tendenziell weiter zu.

Laut einer Standortbestimmung des DSGV zur Digitalisierung der Sparkassen zählen die Internet-Filiale der Sparkassen, das Onlinebanking und die Sparkassen-Apps wegen ihrer hohen Kundenakzeptanz und Nutzungsintensität zu den attraktivsten Hacker-Angriffszielen in Deutschland. Den Angaben zufolge wurden im ersten Halbjahr 2018 rund 12.000 Meldungen zu Cyber-Attacken registriert, mitunter 1000 pro Woche. Für 2019 geht die Sparkassen-Finanzgruppe von einer vergleichbaren hohen Zahl von Cyber-Angriffen aus.

Schleicher betonte, die FI trage der Sicherheitslage und den Bedrohungsszenarien Rechnung und betreibe eine weitreichende Vorsorge und umfassende Sicherheitsmaßnahmen, um die Daten der Sparkassen und ihrer Kunden zu schützen. „Hierbei greifen technische, personelle und strukturelle Sicherheitskonzepte eng ineinander. Dazu gehören neben IT-Lösungen auch unser Security Operation Center, die strikte Definition von Rollen und Zugriffsrechten und die regelmäßige Schulung unserer Mitarbeiter.“

Zudem unterstützt die FI die Institute der Sparkassen-Finanzgruppe dabei, ihre Mitarbeiter und ihre Kunden über Cyber-Sicherheitsrisiken aufzuklären und ihnen aktiv bei der Verbesserung ihrer Sicherheitsmaßnahmen zu helfen. Denn insbesondere die digitalen Geräte von Endkunden wie PCs oder Smartphones und das Kundenverhalten im digitalen Umfeld seien nach wie vor die schwächsten Glieder in der Sicherheitskette beim Banking und Hauptangriffspunkte von Cyber-Kriminellen.