Im Gespräch:Thomas Schumacher, Accenture

Hacker schwärzen Banken bei der Aufsicht an

Banken sehen sich immer mehr und professionelleren Cyberattacken ausgesetzt, stellt IT-Experte Thomas Schumacher fest. Auch die Dreistigkeit der Täter nimmt zu. In den USA schwärzte jüngst eine Hackergruppe ein von ihr angegriffenes Institut bei der SEC an, weil es den Vorfall angeblich nicht meldete.

Hacker schwärzen Banken bei der Aufsicht an

Im Gespräch: Thomas Schumacher

Hacker schwärzen Banken bei der Aufsicht an

Cyberkriminelle schlagen häufiger zu, gehen raffinierter vor und treten dreister auf, beobachtet der Deutschlandchef IT-Security von Accenture

Von Tobias Fischer, Frankfurt

Banken sehen sich immer mehr und professionelleren Cyberattacken ausgesetzt, stellt IT-Experte Thomas Schumacher fest. Auch die Dreistigkeit der Täter nimmt zu. In den USA schwärzte jüngst eine Hackergruppe ein von ihr angegriffenes Institut bei der SEC an, weil es den Vorfall angeblich nicht gemeldet hatte.

Cyberkriminelle schlagen immer häufiger zu, gehen einfallsreicher vor und inszenieren sich mitunter gar als Whistleblower: Diese Beobachtungen macht Thomas Schumacher, Leiter IT-Security der Beratungsgesellschaft Accenture in Deutschland, Österreich und der Schweiz. „Die Cybergefahr ist tendenziell für Banken größer geworden“, sagt er im Gespräch mit der Börsen-Zeitung. Er erlebe eine Professionalisierung und Industrialisierung. Cyberkriminelle würden Prozesse auslagern und gingen arbeitsteilig vor, bis hin zum Hotline-Service.  

Zwar habe Regulierung dazu geführt, dass Banken in der Cybersicherheit höheren Standards entsprechen müssten als Unternehmen anderer Branchen und Banken im Grunde genommen gut aufgestellt seien, doch reiche das nicht aus. „Es handelt sich nur um eine trügerische Sicherheit, denn 100-prozentige Sicherheit gibt es nicht.“

Dreiste Cyberkriminelle

Die Täter gingen immer dreister vor. So weiß Schumacher von einem sehr speziellen Kriminalfall in den USA zu berichten, der sich im November abspielte. Nachdem eine Hackerbande namens AlphV in das Computersystem des kalifornischen Finanzdienstleisters Meridian Link eingedrungen war und Daten gestohlen hatte, drohte sie damit, diese zu veröffentlichen, sollte das Unternehmen keine Geldzahlung leisten.

Sind derlei Erpressungen gang und gäbe, so war das weitere Vorgehen der Gruppe ungewöhnlich. Meridian Link verweigerte die Zahlung und wurde kurzerhand von den Hackern bei der Aufsicht angeschwärzt, weil sie angeblich Meldepflichten bei Cybervorfällen nicht nachgekommen sei. Die Täter reichten ihre Beschwerde über ihr Opfer bei der Whistleblower-Stelle der Securities and Exchange Commission (SEC) ein, heißt es von der New Yorker Wirtschaftskanzlei Debevoise & Plimpton. Wie die SEC damit umgeht und ob die Methode Schule macht, wird sich zeigen.

Regulierung missbraucht

Debevoise & Plimpton hat nach eigenem Bekunden jedenfalls ein immer aggressiveres Vorgehen von Cyberkriminellen ausgemacht, was auch darauf zurückzuführen sei, dass in den USA weniger gehackte Unternehmen willens gewesen seien, Lösegeld zu zahlen.

Um den Druck zu erhöhen, hätten Täter deshalb in der Vergangenheit immer wieder damit gedroht, Aufsichtsbehörden zu alarmieren, oder sie hätten sich über Soziale Medien an die Öffentlichkeit gewandt. „Der Bedrohungsakteur versucht, die SEC-Regulierung zu seinem Vorteil zu nutzen, indem er die Kosten für sein Ziel erhöht, wenn es sich weigert, Lösegeld zu zahlen“, schreibt Debevoise & Plimpton über das Vorgehen von AlphV.

Die Kriminellen machten sich die Scheu vor dem Aufwand zunutze, der mit aufsichtlichen Überprüfungen eines Cybervorfalls einhergehe. Solche Untersuchungen könnten äußerst kostspielig, zeitaufwendig sowie ruf- und geschäftsschädigend für ein Unternehmen sein, geben die Juristen zu bedenken.

Jedes zweite Unternehmen zahlt

„Kriminelle bauen großen Druck gegenüber attackierten Banken auf“, sagt Schumacher. „Ich habe deine Daten, willst du sie wiederbekommen, zahle Lösegeld. Hilft das nicht, melde ich dich beim Regulator, weil du den Vorfall nicht gemeldet hast.“ Wer erpresst werde, stehe vor ganz schwierigen Entscheidungen, sagt er. Seiner Erfahrung nach zahlt rund die Hälfte der bedrängten Unternehmen und Banken schließlich Lösegeld, in der Hoffnung, so schlimmere Reputationsschäden abzuwenden.

Schumacher konstatiert einen Wettlauf gegen die Angreifer und gegen die Zeit. Gerade Ransomware-Angreifer, die Daten erbeuten oder verschlüsseln und im Gegenzug ein Lösegeld fordern, haben seines Erachtens dazugelernt. Einst hätten sie eine unspezifische Mail an möglichst viele Adressaten geschickt und sofort angegriffen, sobald jemand darauf hereinfiel.

Eindringlinge warten im IT-System

Inzwischen würden die Eindringliche jedoch eine Zeit lang unerkannt im Netzwerk warten, um Schutzmechanismen wie Back-up-Systeme abzuschalten oder unbrauchbar zu machen und zu überlegen, wann sie wo zuschlagen. „Ransomware-Angriffe sind einfach ausführbar und oftmals erfolgreich“, resümiert der Accenture-IT-Experte. „Auch in den nächsten zwei bis fünf Jahren werden wir solche Attacken erleben, und sie werden besser, gezielter und häufiger.“

Auch in den nächsten zwei bis fünf Jahren werden wir solche Attacken erleben, und sie werden besser, gezielter und häufiger.

Thomas Schumacher, Leiter IT-Security, Accenture

Dass Täter wie im Fall Majorel erbeutete Kundendaten ins Darknet stellen, sei laut Schumacher gängige Praxis. Der in Luxemburg ansässige Kontowechsel-Dienstleister, zu dem die deutsche Kontowechsel24 gehört, war im vergangenen Jahr Opfer eines Hackerangriffs geworden, bei dem 144.000 Datensätze, darunter Kundennamen und Kontonummern, gestohlen wurden und später im Darknet aufgetaucht waren. Gut 60.000 Datensätze betrafen laut „Handelsblatt“ die Postbank, mehr als 17.000 ING Deutschland, 13.000 die Deutsche Bank. Hinzu kamen über 5.000 ihrer Tochter Norisbank.

Cyberkriminelle prahlen mit Taten

„Cyberkriminelle prahlen oft mit ihren Taten im Darknet“, hat Schumacher beobachtet. So gäben sie beispielsweise Screenshots heraus, die Datenkompromittierungen zeigen. „Von der attackierten Bank fordern sie dann Lösegeld und drohen bei Nichtzahlung mit der Veröffentlichung der erbeuteten Daten.“  

Die Zeiten, in denen Banken Festungen waren, sind vorbei.

Thomas Schumacher, Leiter IT-Security, Accenture

Da sich Banken in den vergangenen Jahren Drittanbietern geöffnet haben und diese über Programmierschnittstellen (API) Zugang zu Kundenkonten erhalten mussten, sei auch die Verteidigung der eigenen IT-Systeme schwieriger geworden, sagt Schumacher. „Die Zeiten, in denen Banken Festungen waren, sind vorbei.“ Angriffe auf Drittanbieter wie Majorel als Teil der eigenen Wertschöpfungskette stellten die Finanzinstitute vor zusätzliche Sicherheitsprobleme.

Banken müssen Cyberresilienz strategischer angehen

„Wenn Banken Lieferanten einbinden, müssen sie sicherstellen, dass der Weg des Lieferanten zur Bank genauso sicher ist wie die eigene Verteidigung“, verdeutlicht der Accenture-Experte. Die Absicherung der eigenen Wertschöpfungskette verlange auch die neue Verordnung zur IT-Sicherheit im Finanzsektor – der Digital Operational Resilience Act (DORA). Er soll für Banken ab dem 17. Januar 2025 Anwendung finden. Schumacher schätzt daran nach eigenem Bekunden insbesondere, dass die Banken das Thema Cyberresilienz strategisch angehen müssten.

Zudem schreibe DORA ein permanentes Monitoring vor, was wichtig sei, um Schaden nach einem aus Hackersicht geglückten Angriff von der Bank abzuwenden. „Monitoring ist wesentlich. Denn wenn ich Cyberattacken schon nicht verhindern kann, muss ich so schnell wie möglich erkennen, wenn jemand eingedrungen ist, und gegensteuern“, so Schumacher.

Zur Person

Thomas Schumacher leitet bei Accenture den Bereich Security in Deutschland, Österreich und der Schweiz. Seit 2001 arbeitet er bei der Beratungsgesellschaft und unterstützt Unternehmen und Banken in Fragen der IT-Sicherheit. Der gelernte Bankkaufmann hat sein Studium in Wirtschaftswissenschaften an der Universität Siegen absolviert.

BZ+
Jetzt weiterlesen mit BZ+
4 Wochen für nur 1 € testen
Zugang zu allen Premium-Artikeln
Flexible Laufzeit, monatlich kündbar.