– Finanzaufseher Rai­mund Rö­se­ler bescheinigt den deutschen Banken, der IT-Sicherheit eine wesentlich höhere Priorität und Schutzmaßnahmen beizumessen als noch vor einigen Jahren. Obwohl die Cyberbedrohungen während der Pandemie zugenommen hätten, weil mehr Menschen im Homeoffice arbeiten und Bankgeschäfte online abwickeln, hielten sich gravierende Vorfälle in Grenzen, sagte der Exekutivdirektor Bankenaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am Montag bei der virtuellen Veranstaltung „IT-Aufsicht bei Banken“. Hätten Banken und andere Zahlungsdienstleister 2018 und 2019 je rund 300 Betriebs- und Sicherheitsvorfälle an die Aufsicht gemeldet, so waren es Röseler zufolge im Pandemiejahr 2020 nur 240.

In der ersten Hälfte dieses Jahres wiesen die Zahlen allerdings wieder nach oben. Knapp 160 Meldungen seien eingegangen. Etwa 40% davon seien auf Systemfehler zurückzuführen, also hausgemachte Schwierigkeiten wie falsch konzipierte Systeme und fehlerhafte Komponenten, stellte Röseler fest. „Cyberkriminelle haben in der Pandemie schnell Witterung aufgenommen und neue Einfallstore für sich entdeckt“, sagte der Exekutivdirektor. Das habe die BaFin bewogen, die IT-Risiken der Banken noch stärker unter die Lupe zu nehmen und die Institute in der Hochphase der Pandemie besonders eng zu „begleiten“, wie das in den Worten eines Finanzaufsehers heißt.

Die Zahlen deckten allerdings nur einen Teil der tatsächlichen Entwicklung ab, gab Röseler zu bedenken. Das Risiko, Opfer von Cyberangriffen zu werden, hat nach Erkenntnissen der EU-Kommission deutlich zugenommen. Im Zeitraum zwischen dem Ausbruch der Pandemie im März und Herbst 2020 hat demnach die Zahl der Attacken auf den europäischen Finanzsektor um mehr als ein Drittel zugenommen.

Die Note 4 in IT-Sicherheit, die Röseler den Banken vor drei Jahren verpasst hatte, würde er nun nicht mehr flächendeckend vergeben, sagte er. Zwar liege noch einiges im Argen, doch stelle die BaFin zumindest ein deutlich höheres Risikobewusstsein fest als früher. „Die meisten Banken sind sich der Herausforderungen bewusst und investieren viel Geld und Manpower, um ihre IT sicher zu machen.“ Auch auf Vorstandsebene sei mehr IT-Sachverstand zu finden. Aus diesen Gründen sei der Bankensektor bisher weniger von erfolgreichen Cyberangriffen betroffen als manch andere Branche. Viel zu oft erlebe die Aufsicht in ihren Prüfungen jedoch noch böse Überraschungen. In der Bewertung fänden sich auch mal Institute mit der Note 5–, allerdings auch solche, die mit einer 2 glänzten. „Die Angreifer sind sehr kreativ, Banken dürfen sich also nicht auf guten Schulnoten ausruhen“, warnte er.

Cyberkriminelle fänden immer neue Einfallsmöglichkeiten, die sich auch mit im Darknet erhältlichen Cybertools ausnutzen ließen. Finanzinstitute müssten deshalb widerstandsfähiger sowie anpassungsfähiger werden und imstande sein, ihre digitalen operationellen Prozesse auch im Störfall aufrechtzuerhalten. „Wenn selbst jugendliche Nerds aus Langeweile das Netzwerk eines großen deutschen Instituts auf die Probe stellen können, dann müssen Banken ihre digitale Resilienz verbessern“, gab Röseler den IT-Verantwortlichen mit auf den Weg. Er erinnerte damit an einen Teenager und einen 20-Jährigen, die sogenannte Distributed-Denial-of-Service-(DDoS)-Angriffe unter anderem Anfang 2020 auf die DKB verübt hatten. Laut Polizei hatten Langeweile und Einsamkeit sie zu den Taten motiviert. Auch die Risiken der Auslagerung von IT-Prozessen etwa an Sicherheits- oder Clouddienstleister treiben die BaFin um. So hätten etwa in Indien die Pandemie und Unwetter zu Engpässen in Rechenzentren geführt. „Selbst das beste, teuerste Sicherheitssystem hilft einer Bank wenig, wenn die Netzwerke ihrer Dienstleister Sicherheitslücken aufweisen oder Opfer höherer Gewalt werden.“

Wertberichtigt Seite 6