Jeden Tag ein IT-Vorfall
bn Frankfurt
Die für IT-Störungen im deutschen Zahlungs- und Finanzdienstleistersektor zuständigen Behörden erreicht im Mittel jeden Tag eine Meldung eines relevanten IT-Vorfalls. Dies lässt sich aus der Antwort des Bundesfinanzministeriums auf eine Kleine Anfrage des FDP-Obmanns im Bundestags-Finanzausschuss, Markus Herbrand, schließen. Seit Anfang 2018 registriert demnach die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Zahlungsdienstleistern „jährlich einen etwa gleichbleibenden Eingang von Meldungen im niedrigen bis mittleren dreistelligen Bereich“ und das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterdessen „im mittleren zweistelligen Bereich aus den Branchen Banken, Börsen und Finanzdienstleister“. Die Zahlen geben Einblick in die Frequenz von Störungen in einem Bereich des Bankings, in dem Pannen in der Regel nur publik werden, wenn dies nicht zu verhindern ist, weil etwa ein Dienst ausfällt.
Habe sich die Zahl der BaFin und BSI gemeldeten Cybervorfälle 2018 und 2019 auf vergleichbarem Niveau bewegt, so sei 2020 „eine leichte Erhöhung“ erkennbar gewesen, teilt das Ministerium mit. Diese setze sich bisherigen Zahlen für 2021 zufolge im laufenden Jahr nicht fort. Der im Zuge der Pandemie zu beobachtende Digitalisierungsschub hat sich dem der Börsen-Zeitung vorliegenden Schreiben zufolge nicht in einer höheren Zahl von Störungsmeldungen niedergeschlagen.
Herbrand zeigt sich mit der Antwort des Ministeriums nicht zufrieden: „Obwohl ich explizit nach der konkreten Anzahl der Cyberangriffe gefragt habe, informiert das Finanzministerium den Finanzausschuss nicht offen über die aktuelle Situation“, erklärt er. „Hierdurch wird auch unterstrichen, dass die Bundesregierung das Thema nicht ernst genug nimmt, das muss sich dringend ändern, da die Kreditwirtschaft dringend politische Unterstützung gegen Cyberangriffe benötigt.“
Den Angaben zufolge dominieren derzeit Distributed-Denial-of-Service-Attacken, bei denen Angreifer IT-Systeme mit einer Flut von Anfragen in die Knie zwingen. „Nur in einzelnen Fällen sind andere Angriffskategorien zu verzeichnen gewesen“, heißt es. Einer wahren Flut von Attacken muss sich offenbar die Deutsche Bundesbank erwehren. Den Angaben nach werden „mehrere tausend unerlaubte Zugriffsversuche auf die Bundesbankinfrastruktur aus dem Internet täglich unterbunden“. Zudem blockierten die Schutzmechanismen der Zentralbank „täglich mehrere tausend mit Schadcode behaftete Internetaufrufe und E-Mails“. Was die KfW angeht, so liegen dem Ministerium für die Zeit seit 2017 keine Hinweise auf zielgerichtete Attacken vor. Die Förderbank sei gleichwohl breit angelegten, nicht gezielten Malware-Angriffen ausgesetzt, die sie bisher habe abwehren können.
Die Antwort dokumentiert, wie die Zahl der aufsichtlichen Vor-Ort-Prüfungen in Banken mit Schwerpunkt auf der IT in der Pandemie zurückgegangen ist (siehe Tabelle). In der Regel liegt der Personaleinsatz dabei bei bis zu zwölf Prüfern und die maximale Prüfdauer bei etwa acht Wochen, wie das Bundesfinanzministerium mitteilt.
| Anzahl von Vor-Ort-Prüfungen in Banken mit einem Schwerpunkt auf IT | |||||
| Bundesland | 2017 | 2018 | 2019 | 2020 * | Gesamt |
| Baden-Württemberg | 5 | 2 | 3 | − | 10 |
| Bayern | 2 | 3 | 4 | − | 9 |
| Berlin | 1 | 2 | 1 | 1 | 5 |
| Brandenburg | − | 1 | − | 1 | 2 |
| Bremen | − | 1 | − | − | 1 |
| Hamburg | 2 | 2 | 2 | 1 | 7 |
| Hessen | 8 | 10 | 6 | 7 | 31 |
| Niedersachsen | 2 | 5 | − | 1 | 8 |
| Nordrhein-Westfalen | 3 | 3 | 4 | 3 | 13 |
| Rheinland-Pfalz | − | 1 | 1 | − | 2 |
| Saarland | − | 1 | − | 1 | 2 |
| Sachsen | 1 | 2 | − | − | 3 |
| Thüringen | − | 1 | − | − | 1 |
| Gesamt | 24 | 34 | 21 | 15 | 94 |
| *) Durch die während der Sars-CoV-2-Pandemie bestehenden Einschränkungen konnten nicht alle Vor-Ort-Prüfungen wie geplant durchgeführt werden. Quelle: Bundesfinanzministerium Börsen-Zeitung | |||||
