Cyberkriminelle schlagen immer häufiger zu, gehen einfallsreicher vor und inszenieren sich mitunter gar als Whistleblower: Diese Beobachtungen macht Thomas Schumacher, Leiter IT-Security der Beratungsgesellschaft Accenture in Deutschland, Österreich und der Schweiz. „Die Cybergefahr ist tendenziell für Banken größer geworden“, sagt er im Gespräch mit der Börsen-Zeitung. Er erlebe eine Professionalisierung und Industrialisierung. Cyberkriminelle würden Prozesse auslagern und gingen arbeitsteilig vor, bis hin zum Hotline-Service.  

Zwar habe Regulierung dazu geführt, dass Banken in der Cybersicherheit höheren Standards entsprechen müssten als Unternehmen anderer Branchen und Banken im Grunde genommen gut aufgestellt seien, doch reiche das nicht aus. „Es handelt sich nur um eine trügerische Sicherheit, denn 100-prozentige Sicherheit gibt es nicht.“

Die Täter gingen immer dreister vor. So weiß Schumacher von einem sehr speziellen Kriminalfall in den USA zu berichten, der sich im November abspielte. Nachdem eine Hackerbande namens AlphV in das Computersystem des kalifornischen Finanzdienstleisters Meridian Link eingedrungen war und Daten gestohlen hatte, drohte sie damit, diese zu veröffentlichen, sollte das Unternehmen keine Geldzahlung leisten.

Sind derlei Erpressungen gang und gäbe, so war das weitere Vorgehen der Gruppe ungewöhnlich. Meridian Link verweigerte die Zahlung und wurde kurzerhand von den Hackern bei der Aufsicht angeschwärzt, weil sie angeblich Meldepflichten bei Cybervorfällen nicht nachgekommen sei. Die Täter reichten ihre Beschwerde über ihr Opfer bei der Whistleblower-Stelle der Securities and Exchange Commission (SEC) ein, heißt es von der New Yorker Wirtschaftskanzlei Debevoise & Plimpton. Wie die SEC damit umgeht und ob die Methode Schule macht, wird sich zeigen.

Debevoise & Plimpton hat nach eigenem Bekunden jedenfalls ein immer aggressiveres Vorgehen von Cyberkriminellen ausgemacht, was auch darauf zurückzuführen sei, dass in den USA weniger gehackte Unternehmen willens gewesen seien, Lösegeld zu zahlen.

Um den Druck zu erhöhen, hätten Täter deshalb in der Vergangenheit immer wieder damit gedroht, Aufsichtsbehörden zu alarmieren, oder sie hätten sich über Soziale Medien an die Öffentlichkeit gewandt. „Der Bedrohungsakteur versucht, die SEC-Regulierung zu seinem Vorteil zu nutzen, indem er die Kosten für sein Ziel erhöht, wenn es sich weigert, Lösegeld zu zahlen“, schreibt Debevoise & Plimpton über das Vorgehen von AlphV.

Die Kriminellen machten sich die Scheu vor dem Aufwand zunutze, der mit aufsichtlichen Überprüfungen eines Cybervorfalls einhergehe. Solche Untersuchungen könnten äußerst kostspielig, zeitaufwendig sowie ruf- und geschäftsschädigend für ein Unternehmen sein, geben die Juristen zu bedenken.

„Kriminelle bauen großen Druck gegenüber attackierten Banken auf“, sagt Schumacher. „Ich habe deine Daten, willst du sie wiederbekommen, zahle Lösegeld. Hilft das nicht, melde ich dich beim Regulator, weil du den Vorfall nicht gemeldet hast.“ Wer erpresst werde, stehe vor ganz schwierigen Entscheidungen, sagt er. Seiner Erfahrung nach zahlt rund die Hälfte der bedrängten Unternehmen und Banken schließlich Lösegeld, in der Hoffnung, so schlimmere Reputationsschäden abzuwenden.

Schumacher konstatiert einen Wettlauf gegen die Angreifer und gegen die Zeit. Gerade Ransomware-Angreifer, die Daten erbeuten oder verschlüsseln und im Gegenzug ein Lösegeld fordern, haben seines Erachtens dazugelernt. Einst hätten sie eine unspezifische Mail an möglichst viele Adressaten geschickt und sofort angegriffen, sobald jemand darauf hereinfiel.

Inzwischen würden die Eindringliche jedoch eine Zeit lang unerkannt im Netzwerk warten, um Schutzmechanismen wie Back-up-Systeme abzuschalten oder unbrauchbar zu machen und zu überlegen, wann sie wo zuschlagen. „Ransomware-Angriffe sind einfach ausführbar und oftmals erfolgreich“, resümiert der Accenture-IT-Experte. „Auch in den nächsten zwei bis fünf Jahren werden wir solche Attacken erleben, und sie werden besser, gezielter und häufiger.“

Dass Täter wie im Fall Majorel erbeutete Kundendaten ins Darknet stellen, sei laut Schumacher gängige Praxis. Der in Luxemburg ansässige Kontowechsel-Dienstleister, zu dem die deutsche Kontowechsel24 gehört, war im vergangenen Jahr Opfer eines Hackerangriffs geworden, bei dem 144.000 Datensätze, darunter Kundennamen und Kontonummern, gestohlen wurden und später im Darknet aufgetaucht waren. Gut 60.000 Datensätze betrafen laut „Handelsblatt“ die Postbank, mehr als 17.000 ING Deutschland, 13.000 die Deutsche Bank. Hinzu kamen über 5.000 ihrer Tochter Norisbank.

„Cyberkriminelle prahlen oft mit ihren Taten im Darknet“, hat Schumacher beobachtet. So gäben sie beispielsweise Screenshots heraus, die Datenkompromittierungen zeigen. „Von der attackierten Bank fordern sie dann Lösegeld und drohen bei Nichtzahlung mit der Veröffentlichung der erbeuteten Daten.“  

Da sich Banken in den vergangenen Jahren Drittanbietern geöffnet haben und diese über Programmierschnittstellen (API) Zugang zu Kundenkonten erhalten mussten, sei auch die Verteidigung der eigenen IT-Systeme schwieriger geworden, sagt Schumacher. „Die Zeiten, in denen Banken Festungen waren, sind vorbei.“ Angriffe auf Drittanbieter wie Majorel als Teil der eigenen Wertschöpfungskette stellten die Finanzinstitute vor zusätzliche Sicherheitsprobleme.

„Wenn Banken Lieferanten einbinden, müssen sie sicherstellen, dass der Weg des Lieferanten zur Bank genauso sicher ist wie die eigene Verteidigung“, verdeutlicht der Accenture-Experte. Die Absicherung der eigenen Wertschöpfungskette verlange auch die neue Verordnung zur IT-Sicherheit im Finanzsektor – der Digital Operational Resilience Act (DORA). Er soll für Banken ab dem 17. Januar 2025 Anwendung finden. Schumacher schätzt daran nach eigenem Bekunden insbesondere, dass die Banken das Thema Cyberresilienz strategisch angehen müssten.