fir Frankfurt – Verantwortliche für den Schutz der IT-Systeme in Banken sind sich ihrer Sache zu sicher. Die Beratungsfirma Accenture schreibt in ihrem Report “Cybersecurity and Banking Industry”, der auf Aussagen von 275 Sicherheitsbeauftragten in Banken weltweit beruht, dass 78 % der Befragten in ihre Cybersicherheitsstrategien vertrauen. Allerdings, so Accenture, stellt sich die Realität anders dar, als die Umfrage vermuten lässt. Demnach klafft zwischen Selbstwahrnehmung und tatsächlicher Gefahr eine deutliche Lücke. Entdeckung dauert MonateDie Sicherheitsverantwortlichen in Finanzinstituten sind zwar stärker überzeugt von ihren Fähigkeiten, Cyberattacken abzuwehren als ihre Pendants in anderen Wirtschaftszweigen. In Wirklichkeit aber, so die Autoren der Studie, sehen sich die Banken einem hohen Risiko ausgesetzt. 85 gezielte Angriffe verzeichnet jedes Finanzinstitut im Schnitt pro Jahr, wobei jeder dritte Eindringversuch von Erfolg gekrönt ist. Gleichzeitig stimmen 68 % der Aussage zu, dass Cyberangriffe einer Blackbox ähnelten. Vieles bleibt hiernach im Dunkeln. Jedem zweiten Befragten zufolge dauert es Monate, bis ein erfolgreicher Angriff überhaupt entdeckt wird. Weitere 14 % benötigen bis zu ein Jahr, bis sie Hackern auf die Schliche kommen.Entdeckungen gehen der Erhebung zufolge zu 64 % auf das Konto der firmeneigenen Sicherheitsleute. In gut jedem dritten Fall werden andere Mitarbeiter oder aber Behörden oder sogenannte White Hats, ethisch motivierte Hacker also, die Sicherheitslücken offenbaren wollen, der Eindringlinge gewahr. Zugang verschaffen diese sich häufig über gezielte Personenattacken, etwa per Phishing-Mail. Über gefälschte Links greifen sie die Passwörter von Mitarbeitern ab. Einmal im Netzwerk, können die virtuellen Einbrecher meist sehr lange unerkannt bleiben, um sich an das Ziel der Begierde – Kundendaten etwa oder Geldtransaktionen – heranzupirschen und dann zuzuschlagen. “Passwörter allein entsprechen einem Schutzniveau aus der Vergangenheit”, sagt Thomas Schumacher, der bei Accenture Security für IT-Sicherheit im Finanzsektor verantwortlich zeichnet. Regulatoren gehen ihm zufolge deshalb dazu über, verstärkt die Zwei-Faktor-Authentifizierung insbesondere für kritische Systeme einzufordern, eine Kombination von mehreren Komponenten der Identifizierung bei der Anmeldung.Doch nicht alle Attacken erfolgen von außen. Um sich möglicher interner Angreifer besser zu erwehren, richtet sich der Blick von Finanzinstituten und Aufsicht mehr und mehr auf privilegierte Anwender, also beispielsweise Mitarbeiter, die über Zugang zu sensiblen Daten und Systemen verfügen. Geld allein hilft nicht”Man muss sich von der Vorstellung verabschieden, alles schützen zu können”, sagt IT-Fachmann Schumacher. Banken müssten dauerhaft und zielgerichtet investieren und sich mit dem Thema Sicherheit auseinandersetzen, um auf neue Entwicklungen reagieren zu können. Sie könnten zwar “unendlich viel Geld” zum Schutz ihrer Systeme ausgeben, doch reiche eine Schwachstelle aus, um Hackern Zugang zu verschaffen.Den Instituten empfiehlt Schumacher deshalb eine Bestandsaufnahme in Sachen Cybersicherheit und die Klärung der Fragen, wer privilegierter Anwender sein soll und welche Bereiche kritisch und in jedem Falle zu schützen seien – Kundendaten zum Beispiel. Zudem hält Accenture Angriffssimulationen von externen Firmen für hilfreich, die Rückschlüsse auf die Verteidigungsfähigkeit der Banken zuließen.