Der Hackerangriff auf den Deutschen Bundestag hat die IT-Sicherheit der Banken in den Fokus gerückt. Auch in der deutschen Kreditwirtschaft sind Attacken auf Systeme in “begrenzten Fällen” erfolgreich gewesen und Daten verschlüsselt worden. Die bei Angriffen eingesetzten Datenmengen nehmen zu. Von Bernd Neubacher, FrankfurtMit dem Hackerangriff auf den Bundestag ist das Thema IT-Sicherheit erneut in den Fokus der Öffentlichkeit gerückt. Als ein beliebtes Ziel von Cyberangreifern gelten Finanzdienstleister. Wie die Börsen-Zeitung in Marktkreisen erfahren hat, sind Angriffe auf Banken mit Ransomware in begrenztem Umfang sowie Hackerangriffe auch in Deutschland bereits geglückt. In Kreisen der Aufsicht geht derweil die Sorge um, dass Hacker eine ganze Bank lahmlegen könnten.Die gute Nachricht: Bislang ist es Hackern noch nicht gelungen, einen Finanzdienstleister zu paralysieren. Die schlechte Nachricht: Niemand kann garantieren, dass dies so bleibt. Wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf Anfrage der Börsen-Zeitung schon zu Monatsbeginn mitteilte, sind den Aufsehern Erpressungsversuche durch sogenannte Ransomware bisher nicht gemeldet worden. Das muss aber offenbar nicht bedeuten, dass diese nicht stattgefunden hätten. Wie es in Finanzkreisen ohne Nennung von Instituten heißt, ist es Tätern auch in Deutschland sehr wohl gelungen, Daten zu verschlüsseln, auch wenn dies “begrenzte Fällen” gewesen seien. Dies sei die “normale Ransomware-Thematik”. Atlanta soll zahlen Erst vor dem Wochenende haben die Behörden der US-Metropole Atlanta mitgeteilt, dass es Hackern gelungen sei, Teile der Daten im Netz der Verwaltung zu verschlüsseln und sowohl interne als auch externe Anwendungen zu blockieren. Betroffen seien demnach auch Apps, mit denen Anwohner Rechnungen zahlen können. Die Stadt soll nun Lösegeld in der Kryptowährung Bitcoin zahlen. Dass Banken bereits für eine Entschlüsselung von Daten gezahlt haben, dürfte eher die Ausnahme sein, wie es in der Branche heißt. Verwiesen wird etwa darauf, dass der Finanzsektor etwa mit Hilfe von Back-up-Lösungen über eine bessere Prävention verfüge als andere Sektoren. Ins selbe Horn stößt Thomas Schuhmacher, der bei Accenture den Bereich Security für Finanzdienstleister in Deutschland, Österreich und der Schweiz leitet: “Es würde mich wundern, wären Lösegeldzahlungen für die Entsperrung einer verschlüsselten Festplatte eine Strategie, die deutsche Banken verfolgen”, sagt er. Vielleicht aber erfährt es das Management einer Bank auch gar nicht, wenn gezahlt wird. Schuhmacher: “Eher würde ich es für möglich halten, dass einzelne Mitarbeiter auf Erpressungen eingehen und Lösegeld zahlen, womöglich aus privater Tasche.”Es wäre nicht das erste Mal, dass zwischen dem Selbstentwurf des Managements und der Realität offenbar eine Lücke klafft. In einer Befragung von rund 300 Führungskräften aus dem Bankensektor hatte Accenture schon 2016 festgestellt, dass zwar 78 % der Befragten davon ausgingen, dass Cyberangriffe durch vorhandene Technologien, Prozesse und Mitarbeiter wirksam verhindert werden könnten, zugleich aber jeder dritte zielgerichtete Angriffsversuch auf ein Finanzinstitut von Erfolg gekrönt war. Im Markt wird denn auch bestätigt, dass es auch schon vorgekommen ist, dass Hacker in eine Bank eingedrungen sind. Wie eine neuerliche Erhebung von Accenture im laufenden Jahr zutage gefördert hat, liegt die Zahl der Sicherheitsverstöße in Banken derzeit im Durchschnitt bei nicht weniger als 125 pro Jahr. Damit steht der Sektor nur unwesentlich besser da als andere Branchen, die im Mittel auf 130 kommen. Kleine Häuser im FokusIn Aufsichtskreisen geht derweil ein Horrorszenario um: dass es professionellen Hackern gelingt, ein ganzes Institut niederzustrecken. Dickschiffen wie der Deutschen Bank, die kraft schierer Größe über umfangreiche IT-Budgets verfügen, gilt dabei nicht ihre größte Sorge. Vielmehr geht der Blick in Richtung kleinerer Häuser, die nicht so viel Geld in den Schutz ihrer IT investieren können. Läge ein solches Institut lahm, könnte dies bundesweit Bankkunden demnach so weit verunsichern, dass ein Run auch auf größere Häuser zu befürchten ist. Wie steht es dort um die IT-Sicherheit?Kleinere Institute aus dem genossenschaftlichen sowie dem Sparkassensektor können darauf setzen, dass ihre IT-Dienstleister im Verbund, Fiducia GAD sowie Finanz Informatik, sich um das Problem kümmern. Für die rund 190 kleineren der insgesamt über 200 deutschen Privatbanken gilt dies nicht. Sie kaufen sich die IT-Sicherheit jedoch vielfach als Dienstleistung hinzu, etwa beim Kölner Bank-Verlag, einer hundertprozentigen Tochter des Bundesverbandes deutscher Banken (BdB), aber auch bei den Verbunddienstleistern wie Fiducia GAD. Dem Bankenverband liegen eigenen Angaben zufolge keine Informationen vor, dass dies nicht funktioniert. Man gehe davon aus, dass die Bankaufsichtlichen Anforderungen an die IT (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erfüllt werden und habe keine Anhaltspunkte für Probleme, heißt es dort. Steter AustauschÜber Bedrohungen der IT-Sicherheit etwa durch Malware tauschen sich Institute aus den drei Lagern der Kreditwirtschaft sowie dem gesamten deutschsprachigen Raum schon seit längerem aus. Auch stünden die europäischen Bankenverbände mit Strafverfolgern sowie mit der 2004 gegründeten Europäischen Agentur für Netz- und Informationssicherheit und dem global aktiven Financial Services Information Sharing and Analysis Center mit Sitz im US-Bundesstaat Texas in Kontakt, heißt es im Markt. Während Aufseher wie die Europäische Zentralbank (EZB) und die BaFin eigene Meldestellen für Cyberattacken unterhielten, um ein Lagebild über die Sicherheit des Systems zu erhalten, gehe es beim brancheninternen Austausch darum, sich jenseits von Konkurrenzdenken gegenseitig auf dem Laufenden zu halten. Auch dank dieses Austausches habe die Kreditwirtschaft etwa die Verbreitung des Malware-Programms Wannacry gut überstanden, wird argumentiert. Der Kontrast dieses Befunds zu der hohen Zahl der bei Beratern ermittelten Sicherheitsverstöße wird in der Branche unterdessen damit erklärt, dass in Fällen, in denen Angreifer wie im Fall der Zentralbank Bangladeschs (siehe Tabelle) mit Hilfe ausgespähter Passwörter eindringen, die Systeme eben nicht im engeren Sinne einem Hack zum Opfer fielen, sondern vielmehr funktionierten wie vorgesehen. Die Aufsicht macht DruckZu einer besseren technischen Vorbereitung der Banken hat beigetragen, dass die Aufsicht seit einiger Zeit schwer Druck auf die Banken macht, ihre IT zu verbessern. Im Zuge von 2016 initiierten Sonderprüfungen hatten BaFin und Deutsche Bundesbank in der deutschen Kreditwirtschaft zuvor umfangreiche Mängellisten erstellt, unter anderem, was das Management von Berechtigungen angeht.Erst Ende Januar herrschte wieder erhöhter Koordinationsbedarf: Die niederländischen Großbanken ING und ABN Amro waren Ziele von Distributed-Denial-of-Service-Attacken (DDoS), in deren Zuge Angreifer von verschiedenen infizierten Geräten aus beide Häuser mit Datenpaketen überfluteten. Das Volumen war dabei ungewöhnlich hoch, so dass Kunden tatsächlich über Stunden von ihrem Mobile und Online-Banking abgeschnitten wurden. So musste die im Besitz der ABN Amro befindliche Online-Bank Moneyou ihre Kunden über Probleme im Betrieb informieren. Aktuell sei das Internet-Banking nur eingeschränkt möglich, wurde Nutzern des Telefon-Bankings mitgeteilt (BZ vom 1. Februar). Auf der Website hieß es, momentan griffen sehr viele Benutzer gleichzeitig auf das Online-Banking zu: “Bitte versuchen Sie zu einem späteren Zeitpunkt erneut, sich auf Ihrer persönlichen Seite einzuloggen.” Hebel für ErpressungenDDoS-Attacken werden als Hebel für Erpressungen genutzt, die Opfer sollen Lösegeld in Bitcoin zahlen. Eigentlich hatte die Branche, geglaubt, DDoS-Attacken in den Griff bekommen zu haben, auch weil sie die Daten mit Hilfe von Dienstleistern zunächst umleiteten und Falschanfragen filterten – als die dabei eingesetzten Datenmengen noch niedriger lagen. Inzwischen aber werden die Datenmengen in DDoS-Attacken nicht mehr in Giga-, sondern in Terabyte gezählt, wie es heißt. Das Volumen erhöhe sich, weil Angreifer sich des Internets der Dinge bedienten und vom Rauchmelder über Kameras alles in ihr Bot-Netz integrierten, dessen sie habhaft werden könnten. Ruhiger geworden ist es demnach dagegen zuletzt um Pishing-Attacken geworden, mit denen Angreifer Passwörter ausspähen. Spannender sei es inzwischen vielmehr, ganze Rechner zu übernehmen, um dort auf eigene Rechnung, aber mit Hilfe der Kapazität anderer Rechner Bitcoin zu schürfen. Dies sei auch risikoärmer, als Geld von fremden Konten abzubuchen.