– Große Banken sind nicht automatisch besser gegen Cyberkriminalität gefeit als ihre kleineren Wettbewerber. Finanzielle Größe, abzulesen etwa an der Bilanzsumme oder dem Betriebsergebnis, tauge nicht besonders als Indikator für Cybersicherheit, schreibt die Ratingagentur Fitch in einer Analyse zum Cyber-Risikomanagement von Banken, die sie gemeinsam mit Security Scorecard erstellt hat. Das Unternehmen bewertet entsprechende Risiken anhand bestimmter Kriterien und vergibt Noten auf Basis eines Punktesystems – von „A“ für mindestens 90 von 100 möglichen Punkten bis „F“, wenn weniger als 60 Punkte erreicht werden.

„Größere Banken haben im Vergleich zu kleineren Banken eher eine komplexe und auch veraltete IT-In­frastruktur, die das Cybersecurity-Risiko erhöhen könnte, wenn es nicht richtig gemanagt wird“, erklärt Christopher Wolfe, Managing Director von Fitch Ratings. Untersucht wurden weltweit 484 Banken, die nach Unternehmens­angaben insgesamt 111 Bill. Dollar an Vermögenswerten oder 70% der weltweiten Bankaktiva repräsentieren.

Grundsätzlich zeige sich, dass Banken mit hoher Bonität tendenziell eine höhere Punktzahl in der Cyber­sicherheit erreichen. Zudem schnitten Institute in Industrieländern im Allgemeinen besser ab als Banken in Schwellenländern, wenngleich es in einigen Fällen umgekehrt sei.

In der Europäischen Union erreichen vor allem Kreditinstitute in Griechenland und Italien nur wenige Punkte. Das führen die Autoren auf eine besonders niedrige Profitabilität der Institute in diesen Ländern zurück, so dass weniger Geld für Investitionen in die Cybersicherheit übrig bleibe. „Banken, die denselben Vorschriften und derselben Aufsicht unterliegen, können deutlich unterschiedliche Cyberhygiene aufweisen, was uns zu der Annahme veranlasst, dass stärkere Regulierung eine notwendige, aber nicht hinreichende Bedingung für bessere Cyber­security-Bewertungen ist“, schreiben die Autoren.

Die positive Korrelation aus hohen Bonitätsratings und hohen Cyber­security-Bewertungen erklärt sich Fitch zum einen damit, dass die Fähigkeit zum Management operationeller Risiken Berücksichtigung in den Ratings findet und sich starke bankinterne Kontrollmechanismen auch positiv auf die Cybersicherheit auswirken. Zum anderen könnten auch Unterschiede im operativen Umfeld der Banken eine Rolle spielen, wie die Ratingagentur vermutet. Weil Banken mit einem höheren Rating tendenziell in hoch entwickelten Märkten tätig seien, die üblicherweise von strengerer Regulierung und Aufsicht gekennzeichnet seien, hätten die Kreditinstitute eher entsprechend strikte Rahmenwerke für das Cybersecurity-Risikomanagement eingeführt. Generell spielten internationale Regulierer und Aufseher wie der Baseler Ausschuss für Bankenaufsicht und der Finanzstabilitätsrat (FSB) eine immer bedeutendere Rolle, um Cybersicherheit zu gewährleisten und eine Harmonisierung von Standards herbeizuführen, hält der Bericht fest.

Cyberkriminalität hat im vergangenen Jahr weltweit Kosten von rund 1 Bill. Dollar verursacht, schätzt die IT-Sicherheitsfirma McAfee dem Bericht zufolge – eine Steigerung von 50% gegenüber 2018 (siehe auch Tabelle). Neben den direkt verursachten Schäden – etwa durch Diebstähle oder Lösegeldforderungen, um gesperrte Dateien wieder freizugeben, – fallen für die betroffenen Institute womöglich Geldstrafen an, es entgehen ihnen Geschäfte, weil Systeme ausfallen, und sie müssen investieren, um Risiken zu mindern.

Als Ursache der rasanten Zunahme der Kosten gelten gute Erfolgschancen für die Kriminellen, die einfache Verfügbarkeit von Tools, die beispielsweise im Darknet samt Dienstleistungen erworben werden können, sowie ein überschaubares Risiko, verfolgt und bestraft zu werden. „Die Angriffe werden immer raffinierter, nicht zuletzt aufgrund der Beteiligung von gut finanzierten Gruppen aus der organisierten Kriminalität und von nationalstaatlichen Akteuren“, schreibt Fitch. Meist bemerken attackierte Institute den Angriff nicht sofort. Im Schnitt dauert es laut IBM 177 Tage, bis ein gehacktes Finanzinstitut den digitalen Einbruch überhaupt wahrnehme. Weitere 56 Tage gingen ins Land, bis die Eindringlinge und die Folgen ihres zerstörerischen Werks eingedämmt seien.