BaFin sieht bei Banken hohes Risiko für Cyberattacken
Im Gespräch: Jens Obermöller
„Im Bankensektor herrscht eine hohe Bedrohungslage“
Gefahr für Banken durch Cyberattacken ist laut BaFin groß – Die meisten IT-Vorfälle gehen auf Fehler zurück
fir Frankfurt
Vor allem hausgemachte Fehler sind schuld daran, dass es in Banken zu schwerwiegenden IT-Vorfällen kommt. Zwar sind nur in jedem 20. Fall Cyberattacken der Grund dafür, dass sich Finanzinstitute zu einer Meldung an die Finanzaufsicht genötigt sehen, geht aus einer erstmals dazu veröffentlichten Analyse der BaFin hervor. Die Bedrohung bleibe dennoch sehr hoch, so die Aufseher. Insgesamt sind demnach im vergangenen Jahr 235 Meldungen von Banken über schwerwiegende IT-Fehler und Cyberangriffe bei der Aufsicht eingegangen, 17,5% mehr als im Jahr zuvor.
Auffällig ist, dass sogenannte Sicherheitsvorfälle, in erster Linie Cyberattacken, die aus Hackersicht erfolgreich waren, nur 5% der gesamten gemeldeten Vorfälle ausmachen. 95% gehen auf das Konto von IT-Fehlern und menschlichem Versagen.
Hoher IT-Reifegrad
Dass dem so ist, führt Jens Obermöller, Leiter der Gruppe IT-Aufsicht/Cybersicherheit bei der Finanzaufsicht BaFin, darauf zurück, dass Banken in puncto IT-Sicherheit relativ gut aufgestellt seien. „Im Vergleich mit Unternehmen aus anderen Sektoren haben ihre Systeme häufig einen höheren Reifegrad, zum Beispiel im IT-Risikomanagement, im Business-Continuity-Management und auch in der Implementierung von Angriffsabwehrmechanismen.“
Das liege auch daran, dass es sich um einen regulierten Sektor handele, in dem das Thema IT-Sicherheit eine vergleichsweise lange Historie habe. „Nach unserer Beobachtung sind auch zunehmend nicht die Banken direkt, sondern Dienstleister in der Wertschöpfungskette das Einfallstor für Cyberkriminelle“, verdeutlicht Obermöller gegenüber der Börsen-Zeitung. „Dennoch herrscht im Bankensektor eine hohe Bedrohungslage“, führt er weiter aus. „Schon wegen seiner Vernetztheit. Und dann kommen noch Drittdienstleister mit ins Spiel, bei denen wir das Resilienzniveau sehr ernst vorantreiben müssen.“ Gemeint sind Auslagerungen von immer mehr IT-Dienstleistungen an externe Dienstleister jedweder Art und Größe, sei es an als eher gut geschützt geltende Cloud-Anbieter wie Amazon oder Google, sei es an kleinere, mitunter anfälligere Dienstleister, beispielsweise für Kontowechseldienste. So war etwa im vergangenen Jahr der Dienstleister Majorel Opfer eines Hackerangriffs geworden. Datensätze etwa von ING Deutschland, Deutscher Bank und Postbank, darunter Kundennamen und Kontonummern, wurden gestohlen und tauchten später im Darknet auf.
Jens Obermöller, BaFinNach unserer Beobachtung sind auch zunehmend nicht die Banken direkt, sondern Dienstleister in der Wertschöpfungskette das Einfallstor für Cyberkriminelle.
Klumpenrisiken
Die Ursachen für die im Jahr 2023 gemeldeten Zahlungsvorfälle lagen zu 40% bei Auslagerungsunternehmen und nicht bei Banken, schreibt Benedikt Queng, Referent in der Gruppe IT-Aufsicht/Cybersicherheit, in einem Artikel im BaFin-Journal über die IT-Vorfälle des vergangenen Jahres.
Wer wann IT-Vorfälle zu melden hat, gibt ein BaFin-Rundschreiben vor, das die entsprechenden Anforderungen der zweiten Zahlungsdiensterichtlinie PSD2 in nationales Recht umgesetzt hat. Dabei gelten bestimmte Schwellenwerte. Erst wenn sie erreicht werden, ist ein Vorfall an die BaFin zu berichten.
Meldepflicht ab bestimmten Schwellenwerten
Als Meldekriterien führt Queng unter anderen die Zahl der betroffenen Kunden und das Transaktionsvolumen auf, aber auch schlechte Presse und eine Häufung von Beschwerden in Social-Media-Kanälen. Die Kriterien sind in niedrige und hohe Auswirkungsstufen eingeteilt. „Eine Meldepflicht besteht, wenn von einem IT-Vorfall entweder drei Kriterien mit niedriger Auswirkungsstufe betroffen sind oder ein Kriterium mit hoher Stufe.“
Es fallen laut BaFin insgesamt rund 1.300 Institute unter die Meldepflicht für IT-Vorfälle. Darunter befinden sich etwa 1.040 Sparkassen und Genossenschaftsbanken, für die Finanz Informatik und Atruvia für die jeweilige Gruppe melden. Nicht berücksichtigt werden etwa Fondsgesellschaften, Wertpapierinstitute, Versicherungen oder Leasingunternehmen.
Angriffsversuche zählen nicht
Über Angriffsversuche gibt die Statistik ebenso wenig Auskunft wie über Pannen und Attacken, die unterhalb des BaFin-Radars liegen, also die Meldeschwellen nicht erreichen. „Man sieht wenige erfolgreiche Angriffe mit schwerwiegenden Auswirkungen auf Zahlungsdienste. Erfolgreiche Angriffe können jedoch gravierende Auswirkungen auf das betroffene Unternehmen und den Finanzmarkt haben. Was Unternehmen tagtäglich an Angriffen abwehren, das sehen wir in den Daten nicht“, hält Queng fest. „Doch das Risiko, angegriffen zu werden, ist enorm hoch.“
Dass sich hybride Aktivitäten Russlands gegen westliche Ziele im Gefolge des Angriffskriegs gegen die Ukraine bislang nicht in erhöhten Cyberangriffszahlen auf die Finanzbranche niederschlagen, erklären sich die Aufseher zum einen damit, dass die Meldeschwellen hoch sind und die Zahl der meldepflichtigen Finanzunternehmen nun mal begrenzt ist.
Versicherer außen vor
Der Hackerangriff auf die Deutsche Leasing – unerheblich, von wem er letztlich verübt wurde – fiel also ebenso wenig unter die Meldepflicht wie jener vor ziemlich genau einem Jahr auf die Provinzial Versicherung. Zum anderen, so Obermöller, sei es schwieriger für Cyberangreifer, bei Banken zu reüssieren, da diese verhältnismäßig gut geschützt seien.
Dora ante portas
Wenn ab 17. Januar 2025 das neue Regulierungswerk Digital Operational Resilience Act (Dora) Anwendung findet, wird sich die Meldepflicht auf nahezu alle Finanzunternehmen in der Europäischen Union erstrecken, so zum Beispiel auch auf Versicherungen, Kryptoverwahrer oder Börsen. Die Aufseher sind überzeugt, dass Dora die digitale Widerstandsfähigkeit des Finanzsektors weiter stärken wird.
Dora erweitert nicht nur den Kreis der Verpflichteten, sondern harmonisiert etwa die Anforderungen an das IT-Risikomanagement sowie an die Überwachung kritischer IT-Drittdienstleister und vereinheitlicht und strafft die Meldepflichten bei IT-Vorfällen. Mit der Umsetzung werde auch das PSD2-Vorfallmeldewesen durch eine Meldepflicht im Rahmen von Dora ersetzt, so die BaFin.
Als zunehmend bedeutsam, um der wachsenden Gefahr entgegenzuwirken, erachtet Obermöller auch Cyber-Krisenübungen, wie sie etwa von den großen westlichen Industriestaaten (G7) abgehalten werden. „Wichtiger wird das Thema Krisenreaktion. Hier kann die Aufsicht Mehrwert schaffen und dazu beitragen, Krisenmanagement in der Industrie weiter zu stärken.“ So hatte etwa die G7-Expertengruppe für Cybersicherheit zuletzt im April eine Koordinierungsübung abgehalten, die es Finanzinstitutionen in den G7-Staaten ermöglichen soll, sich im Fall von Cyberangriffen rasch abzusprechen und koordiniert zu reagieren. Von deutscher Seite waren BaFin, Bundesbank und das Bundesfinanzministerium vertreten.
95% der IT-Sicherheitsvorfälle bei Banken gehen laut BaFin auf das Konto von IT-Fehlern und menschlichem Versagen. Dennoch schätzt die Aufsicht die Bedrohung durch Cyberattacken als sehr hoch ein.