bn Frankfurt – Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mahnt Notfallpläne für den Fall von Cyberattacken auf Kreditinstitute an. Selbst wenn ein Institut in der Lage sein sollte, einen Angriff binnen dreier Tage zu beheben, könne sich dies als zu lang erweisen, gab BaFin-Präsident Felix Hufeld am Dienstag auf einer Podiumsdiskussion auf dem Frankfurt Finance Summit 2017 zu bedenken. Misstrauen könne im System derart rasch um sich greifen, dass ein Institut schon zuvor in arge Bedrängnis geraten könnte.In technischer Hinsicht hat die BaFin dabei keine Möglichkeit, von Cyberattacken betroffenen Instituten zu helfen, wie er erklärte. Dies sei vielmehr eine Angelegenheit für das Bundesamt für Sicherheit in der Informationstechnik. Die BaFin könne regulatorische Anstrengungen unternehmen, die allerdings nicht umfassend seien. Hufeld: “Deshalb sind Vorbeugung und Notfallpläne so wichtig.” 156 Tage unentdecktAndreas Dombret, Mitglied im Vorstand der Deutschen Bundesbank, ging noch einen Schritt weiter in der Darstellung der Gefahren von Cyberattacken und erklärte, er würde sich wünschen, Institute würden Attacken innerhalb von 72 Stunden auf die Spur kommen. Tatsächlich dauere es Studien zufolge durchschnittlich 156 Tage, bis eine Bank merke, dass jemand in ihr IT-System eingedrungen ist.Je kleiner die Beträge seien, welche dabei gestohlen würden, umso längerer dauere es dabei gewöhnlich, bis ein Angriff auffalle. Auch seien Angreifer inzwischen in der Lage, ihre Spuren zu verwischen, wenn sie sich aus Systemen einer Bank zurückziehen.In zwei von drei Fällen seien es dabei nicht die Banken selbst, die den Attacken auf die Spur kämen. Vielmehr müssten Außenstehende sie darauf hinweisen, erklärte Dombret, der sich zudem mit Blick auf andere Branchen, etwa den Börsensektor, besorgt hinsichtlich Spill-over-Effekten zeigte. Dombret räumte ein, dass auch die Deutsche Bundesbank ein potenzielles Ziel von Cyberkriminellen sei. Schließlich sei sie bundesweit der größte Zahlungsverkehrsdienstleister. In den zurückliegenden Jahren waren es seinen Angaben zufolge Banken und Zentralbanken, die am regesten Versicherungsschutz vor Cyberrisiken in Anspruch genommen haben.Wie Dombret ausführte, steht die Bundesbank in Sachen Cybercrime in regem Austausch nicht nur innerhalb der EU, sondern auch mit den Vereinigten Staaten. Er bestätigte Angaben des russischen Computervirenexperten Eugene Kaspersky, Leiter des IT-Sicherheitsunternehmens Kaspersky Lab, der zuvor die Attacke auf die Notenbank in Bangladesch im vergangenen Jahr als relativ einfachen Angriff beschrieben hatte. Dass die Attacke aufgeflogen und dabei nicht ein Vielfaches der erbeuteten 81 Mill. Dollar verschwunden war, hatte demnach allein an einem Tippfehler gelegen, in dessen Folge “Foundation” zu “Fandation” geworden war. Kaspersky berichtete von Hinweisen, die auf Nordkorea als Urheber des Angriffs auf die Zentralbank Bangladesch hindeuten. Bangladesch sei ein ziemlich einfacher Angriff mit großem Schaden gewesen, sagte Dombret.Kaspersky attestiert Deutschland einen Mangel an IT-Ressourcen und Fachkräften, um eine angemessene IT-Sicherheit aufzubauen. Er sehe sich in seiner vor Jahren gestellten Prognose bestätigt, der zufolge sich die Vergütung der IT-Spitzenkräfte bald jener von Fußball-Stars annähern wird, sagte er.