Vom Corona- zum Cybervirus
Von Tobias Fischer, FrankfurtAls im coronabedingten Lockdown im März Abermillionen Beschäftigte in Deutschland in Unternehmen, Behörden und Banken von ihren Büros ins Homeoffice wechselten, machten sich das die Hacker dieser Welt zunutze. Eine “beträchtliche Zahl” von Cyberangriffen gegen Organisationen und Einzelpersonen hat Europol erkannt. “Die globale Pandemie von Covid-19 ist nicht nur ein ernstes Gesundheitsproblem, sondern auch ein Cybersicherheitsrisiko”, stellte die europäische Polizeibehörde fest.Rund 80 % der jüngst von der European Banking Authority (EBA) befragten Banker und Analysten sorgen sich zuvorderst wegen Cyberrisiken und Datensicherheit als wichtigste Treiber der ansteigenden operationellen Risiken. Die Pandemie beschleunige die technologische Transformation von Banken, befindet die EBA, die den Instituten bescheinigt, über weitgehend resiliente IT-Lösungen zu verfügen, wie das rasche Umschalten auf digitale Verfahren und Fernarbeit demonstriert habe. Die Finanzbranche investiert einer weltweiten Umfrage des Cybersicherheitsunternehmens Kaspersky zufolge mit durchschnittlich 1 436 Euro pro Mitarbeiter so viel in Cybersicherheit wie keine andere Branche (siehe Grafik).Dennoch gingen mit der für die zukünftige Wettbewerbsfähigkeit und Effizienz der Banken notwendigen technologischen Transformation, so die EBA, höhere Gefahren einher. “Insbesondere Cyberrisiken haben mit dem Ausbruch der Pandemie an Bedeutung gewonnen”, schreibt die EU-Bankenregulierungsbehörde in ihrer vor Kurzem veröffentlichten jährlichen Risikoeinschätzung des europäischen Bankensystems. Informations- und Kommunikationstechnik (IKT) und vertrauliche Daten würden immer öfter zum Ziel von Cyberkriminalität. “Es wird daher für Banken und ihre Dienstleister wichtig sein, ihre IKT- und Sicherheitsrisiken gründlich zu managen und die digitale operationelle Widerstandsfähigkeit zu gewährleisten”, so die EBA. “Sie sollten sicherstellen, dass geeignete Technologien und angemessene Ressourcen vorhanden sind, um die Datenintegrität und die Business Continuity zu schützen und den immer ausgefeilteren Cyberbedrohungen zu begegnen. Die Institute sollten auch ein besonderes Augenmerk haben auf eine wachsende Zahl und neue Formen der Finanzkriminalität in dieser Periode großer wirtschaftlicher Turbulenzen.”Zu Beginn der Krise, zwischen Februar und April, ist die Zahl der Cyberattacken auf Finanzinstitute Moody’s zufolge um 238 % gestiegen. “Die Zunahme der Fernarbeit hat auch die Risiken erfolgreicher Cyberangriffe erhöht”, erklärt die Ratingagentur in einer Analyse über pandemiebedingte Cyberrisiken.Unheil droht demnach auch aus dem Homeoffice. So stellten unsichere heimische Wifi-Netzwerke oder IT-Geräte der von zu Hause aus arbeitenden Bankmitarbeiter eine Gefahr dar, weil sie leichter mit Viren zu infizieren seien als im Büro, wo es um das Schutzniveau in der Regel besser bestellt ist.Zudem bestehe ein höheres Risiko, Opfer von E-Mail-Betrügern zu werden, gäben sich doch Hacker beispielsweise als Vorgesetzte aus, um Mitarbeiter zu Geldzahlungen zu verleiten. Unter den virtuellen Arbeitsbedingungen seien viele Angestellte weniger misstrauisch gegenüber solchen Anfragen. Auch sogenannte virtuelle private Netzwerke (VPN), über die Mitarbeiter via vermeintlich sichere, verschlüsselte Internetverbindung auf das Firmennetzwerk zugreifen, wiesen mitunter Schwachstellen auf, die sich Cyberkriminelle zunutze machten – fehlende Multifaktor-Authentifizierung etwa oder schwache Passwörter, die erraten oder mittels Phishing abgegriffen werden könnten.Gerade Phishing, das Ausspionieren persönlicher Daten wie Passwörter, habe in der Corona-Pandemie branchenübergreifend stark zugenommen, hat Marius von Spreti beobachtet. Dem Leiter des Bereichs Cyber bei Deloitte in Deutschland, dessen Team mehr als 250 Mitarbeiter umfasst, stellt sich eine ganze Reihe von Fragen, wenn es darum geht, wie geschützt Daten und Bankmitarbeiter im Homeoffice sind: Wer schaut ihnen auf den Bildschirm? Was passiert mit Unterlagen, die zu Hause gedruckt werden? Welchen Security-Status haben die Geräte, die möglicherweise auch für private Zwecke benutzt werden? Und generell, wie ist es um die IT-Performance bestellt? Cybervorfälle verursachen nach seinen Angaben in Deutschland pro Jahr einen mehr als dreistelligen Milliardenbetrag an Schäden. “Die Zahlen steigen, einhergehend mit der fortschreitenden digitalen Transformation, Jahr für Jahr.”Sein Kollege Malko Steinorth, Director bei Deloitte, hält den Banken zugute, über die Jahre einen hohen Reifegrad an Sicherheit erreicht zu haben: “Es ist sehr viel investiert worden, und es wird immer weiter investiert.” Durchschnittlich 10 % der IT-Ausgaben von Banken und Versicherungen würden für Cyber Security verwendet: “Dieser Anteil wächst tendenziell. Das geht auch auf einen gewissen regulatorischen Druck zurück.” Alles in allem macht Steinorth eine konstant hohe Bedrohung im Finanzsektor aus, sieht in der Pandemie aber keine komplett andere Gefahrenlage. Positives Zeugnis der BaFinHacker machten sich die Krise und den damit einhergehenden Trend zur Digitalisierung zweifellos zunutze, weiß Raimund Röseler, Exekutivdirektor Bankenaufsicht der BaFin. “Egal, ob Spam, Malware oder Phishing: Wir sehen, dass das Volumen deutlich angestiegen ist.” Obschon es flächendeckend mehr Angriffe auf Banken gebe, seien sie aber nicht immer von Erfolg gekrönt. Den Instituten stellt Röseler insgesamt ein positives Zeugnis aus: “Unsere Banken scheinen, was böswillige Cyberangriffe von außen angeht, vergleichsweise gut gerüstet zu sein. Und wenn es Kriminellen mal gelingt, die Schutzhülle zu durchdringen, funktioniert alles in allem das Krisenmanagement ganz gut.” Schwerwiegende Mängel seien hingegen eher in veralteter Hardware, in den IT-Prozessen sowie in menschlichem Versagen zu suchen.Im Großen und Ganzen vermöge es die Finanzindustrie, gut mit dem Cyberrisiko umzugehen, heißt es auf Anfrage auch von der Deutschen Kreditwirtschaft (DK). Insgesamt bewegten sich die Angriffsversuche auf Banken in der Pandemie “auf dem üblichen Niveau und konnten mit den gängigen Vorkehrungsmaßnahmen und Abwehrmechanismen gehandhabt werden”. Bankübergreifend finde ein kontinuierlicher Austausch zu IT-Sicherheitsfragen statt. So sprächen etwa Arbeitsgruppen der Verbände über Angriffsszenarien auf Zahlungssysteme, tauschten sich Banken regelmäßig zu akuten Modi Operandi sowie Schadsoftwareentwicklungen aus und kooperierten Finanzinstitute mit Strafverfolgungsbehörden.