80 Cyberattacken pro Bank und Jahr
fir Frankfurt
Hacker stellen Banken vor immer größere Herausforderungen in der IT-Sicherheit – zusätzlich befeuert vom pandemiebedingten Drang zur Heimarbeit. Die Zahl der Cyberattacken nehme ebenso zu wie ihre Qualität, beobachtet Thomas Schumacher, Leiter IT-Security von Accenture in Deutschland, Österreich und der Schweiz. „Die Angriffe, Angriffsmuster und gewählten Waffen entwickeln sich immer weiter.“ Im Schnitt ist jede Bank seinen Erkenntnissen zufolge pro Jahr etwa 80 zielgerichteten Attacken ausgesetzt. „Und zwar solche, die den Verantwortlichen in den Banken wirklich Kopfzerbrechen bereiten.“ Aber nicht nur sie werden zur Zielscheibe, sondern auch ihre Regulierer, wie die jüngsten massenhaften Angriffe auf E-Mail-Programme von Microsoft veranschaulichen, welche die europäische Bankenregulierung EBA trafen (siehe eingeblockter Artikel).
Lösegeldforderungen beliebt
Er erlebe eine Renaissance von Ransomware-Attacken, also Erpressungsversuchen mit Schadsoftware, sagt Schumacher. Hacker verschlüsseln Unternehmensdaten und fordern Lösegeld, um sie wieder freizugeben. En vogue seien auch relativ simple DDoS-Attacken. Distributed Denial of Service bedeutet, dass Angreifer Webserver massenhaft mit Anfragen bombardieren, bis diese unter der Last zusammenbrechen. Auch hier fordern die Täter oft Geld, um von den Attacken abzulassen.
Die Bankenaufsicht der Europäischen Zentralbank bescheinigt den Instituten zwar eine hohe operative Widerstandsfähigkeit auch in der Pandemie. Der digitale Wandel im Allgemeinen und die in der Krise zunehmende Cyberbedrohung im Speziellen, die auf Kriminelle zurückzuführen ist, welche die massenhafte Remotearbeit auszunutzen versuchen, erfordere von den Banken aber verstärkte Anstrengungen. Auch im Hinblick darauf, dass in vielen Banken kritische Prozesse von IT-Altsystemen abhingen, seien hohe Ausgaben erforderlich, um die IT auf Vordermann zu bringen und gegen die zunehmenden Bedrohungen zu wappnen, sagen die Bankaufseher.
Die steigenden Kosten stellten Security-Verantwortliche vor ein Dilemma, macht Schumacher deutlich. Einerseits seien sie gezwungen, immer mehr und neuen Bedrohungen standzuhalten, andererseits werde nicht unbedingt mehr Geld lockergemacht. Obwohl Banken 15 bis 25% ihrer IT-Budgets für Sicherheit ausgäben, werde die Effizienz und Sinnhaftigkeit dieser Investitionen nicht selten intern von den höchsten Entscheidern angezweifelt. Der durchschnittliche Anteil von Cybersicherheits- an den gesamten IT-Kosten von aktuell 18% werde noch leicht steigen und sich schließlich bei 20% einpendeln, erwartet er.
Dabei ließe sich rund ein Viertel der Cybersecurity-Aufwendungen einsparen, glaubt Schumacher, indem stärker ausgesiebt und die Prioritäten anders gesetzt würden. Das hätten viele Institute erkannt, indem sie gemäß dem sogenannten Zero-Based-Ansatz vorgingen, mit dem die Kosten einer fundamentalen Neubewertung unterzogen würden. Denn nicht alles, wofür Banken Geld ausgäben, sei auch notwendig. Beispielsweise sei nicht immer Premium-Software nötig, um ein hohes Schutzniveau aufrechtzuerhalten, sondern es ließen sich mitunter genauso gut etwa Open-Source-Lösungen einsetzen. Auch lasse sich durch Automatisierung und eingekaufte statt im eigenen Hause erstellter Lösungen die Kostenbasis senken.
Dass der Zero-Based-Ansatz, der schon vor einem guten Jahrzehnt im Infrastruktur-Umfeld Verwendung gefunden habe, erst jetzt in puncto IT und Cybersicherheit zum Tragen komme, führt Schumacher darauf zurück, dass die Zeit noch nicht reif und der Leidensdruck noch nicht groß genug gewesen seien. „Die Bedrohung nimmt zu. Gleichzeitig sind viele Entscheider in Finanzinstituten aber desillusioniert, weil sie bereits hohe Beträge für Security ausgegeben haben und dennoch Opfer von Cybercrime geworden sind. Nun hinterfragen sie eher, wie viel Mehrwert ihnen die Investitionen bringen.“ Ein Übriges habe die Regulierung bewirkt. „Gerade die Banken waren in den vergangenen etwa fünf Jahren sehr stark damit beschäftigt, regulatorische Vorgaben zu klären. Nicht die Frage, wo gespart werden kann, stand im Fokus, sondern wie die Vorgaben umzusetzen sind.“
Blickfeld Seite 6