Von Bernd Neubacher, FrankfurtVier Wochen ist es her, dass die Europäische Zentralbank (EZB) ihre Website “BIRD” nach einem erfolgreichen Hacker-Angriff vom Netz genommen hat. Bislang ist der Online-Auftritt des Meldewesen-Vorhabens Banks` Integrated Reporting Dictionary (BIRD) nicht wieder ans Netz gegangen, und es sieht auch nicht danach aus, dass es so bald dazu kommen wird, zumindest nicht in der alten Form und unter der bisherigen Domain “https://banks-integrated-reporting-dictionary.eu”. Die EZB räumt aufTatsächlich ist die Attacke für die EZB ein Grund, auf breiterer Front mit ihren von einem externen Anbieter bereitgestellten, jedoch von der Notenbank betriebenen und verantworteten Websites aufzuräumen. Dieser Vorfall sei ein Anlass, die Sicherheitsvorkehrungen für die externen Websites zu überarbeiten, heißt es auf Anfrage.Nach der Panne hat die EZB demnach ein Arbeitsprogramm aufgelegt, um neben der BIRD-Website auch alle anderen externen Websites “zu überprüfen”, wie mitgeteilt wird. Unter Verantwortung von EZB-Leuten stünden dabei auf der Agenda nicht nur technische, vertragliche und operationelle Fragen, sondern auch Aspekte der Governance.Das bedeutet Arbeit. Denn wer sich im Netz umtut, stellt rasch fest, dass die EZB mehr als 20 solcher externen Websites wie den BIRD-Auftritt verantwortet. Dazu gehören etwa Seiten zu der im portugiesischen Sintra jährlich stattfindenden Notenbank-Konferenz. Die EZB beziffert die Zahl nicht und spricht von “verschiedenen” externen Websites. Peinliches KapitelFür die EZB ist der Cyber-Angriff auf die BIRD-Website eines der peinlichsten Kapitel in ihrer noch jungen Geschichte: Denn auf der einen Seite triezen die der Notenbank angegliederten Bankenaufseher unter Leitung von Andrea Enria die Institute in Euroland mit peinlich genauen Vorgaben zur Cyber-Sicherheit sowie entsprechenden Vor-Ort-Inspektionen.Auf der anderen Seite aber hat sie es zugelassen, dass Unbekannte in die von ihr betriebene Website zu BIRD eingedrungen sind und, wie die Notenbank im August mitteilte, “es möglich war”, dass die Kontaktdaten von rund 500 Abonnenten des BIRD-Newsletters entwendet wurden. Darunter waren E-Mail-Adressen, Namen und Funktionen, nicht aber Passwörter.Pikant: Die Attacke war bereits im Dezember geglückt und erst neun Monate später im Zuge von Wartungsarbeiten entdeckt worden. Laut EZB hatten “unbefugte Parteien” Malware auf den externen Server geladen, um Phishing-Aktivitäten zu ermöglichen.BIRD ist vom Europäischen System der Zentralbanken (ESZB) mit rund 30 Geschäftsbanken ins Leben gerufen worden, um das Meldewesen zu vereinheitlichen. In Deutschlands Kreditwirtschaft haben sich die Deutsche Bank, die DZ Bank sowie die zum Sparkassenverbund gehörende S-Rating und Risikosysteme GmbH entschlossen, an dem bislang freiwilligen Vorhaben mitzuwirken.Nach Informationen der Börsen-Zeitung hat die Panne insbesondere in der IT-Abteilung der EZB den Blutdruck steigen lassen, denn die Episode fällt auf die Informationstechniker der Notenbank zurück, obwohl diese am Aufbau der BIRD-Website überhaupt nicht beteiligt gewesen waren. Vielmehr hatte, wie es heißt, die Statistik-Abteilung der EZB den entsprechenden Auftrag extern vergeben, offenbar ohne dabei sicherzustellen, dass die Website gegen Hacker-Attacken gefeit ist. “Bald” wieder am NetzDass die vom Netz genommene BIRD-Website in ihrer alten Form nochmals ans Netz gehen wird, dürfte vor diesem Hintergrund zu bezweifeln sein. Vielmehr dürfte die EZB das Angebot unter einer anderen und vor allem mit anderen Sicherheitsvorkehrungen neu starten. Dies lässt sich auch aus Äußerungen der Notenbank herauslesen, bei der es auf Anfrage heißt, die EZB unternehme nun “die nötigen Schritte, um sicherzustellen, dass der Service sicher wieder aktiviert werden kann”. Dies solle “bald” geschehen.Unabhängig vom Vorfall sei digitale Sicherheit für die EZB ein ernstes Thema, und sie arbeite ständig an der Verbesserung der Sicherheit ihrer Systeme, lässt die Notenbank wissen. Im Falle marktrelevanter Daten wende sie die höchsten Schutzstandards an.Darüber hinaus würden Sicherheitskontrollen ständig neu bewertet und angepasst, um neuen und entstehenden Bedrohungen zu begegnen. Ausgehend von einer gemeinsamen Sicherheitsbasis werde das Schutzniveau dabei proportional zur Sensibilität der jeweiligen Information verstärkt, heißt es.