Cyberangriffe: Wie sich Banken effektiv schützen können

Onlineangebote werden immer wichtiger für Unternehmen und Banken. Gleichzeitig steigt ihre Abhängigkeit vom Cyberraum und Cyberrisiken bedrohen ihr Geschäft zunehmend. Besonders im Privatkundengeschäft kommt der Cybersicherheit aufgrund der großen Anzahl an potenziell geschädigten Kunden eine hohe Bedeutung zu.

Schutz vor Cyberangriffen

Die Digitalisierung und damit einhergehende neue Methoden und Technologien wie „Speed-to-Market“ (Agilität und Continuous Deployment), „Ökosystem“ (Auslagerung und Supply Chain) und „Virtualisierung“ (Cloud) erleichtern den Schutz vor Cybervorfällen nicht per se. Wenn Banken nur Mechanismen in den Blick nehmen, die vorrangig ihre eigenen Systeme optimieren und schützen, lassen sie häufig den Faktor Mensch, der als Kunde und Mitarbeiter im Zentrum der veränderten Erwartungen und Anforderungen steht, außen vor.

Zudem sind die enge Vernetzung und der Datenaustausch im Ökosystem der Finanzinstitute ein erhöhtes und oft zu wenig betrachtetes Risiko. Solche Risiken werden durch allgemeine vertragliche Regelungen häufig als ausreichend „geklärt“ betrachtet, wobei die Verantwortung für den Fall eines Cyberangriffs letztendlich bei den Banken verbleibt, die noch nicht über ausreichende Kontrollmechanismen verfügen.

Wie sich die Bedrohungslage der Banken ändert: Aktuelle Beispiele

• Die Manipulation einer Netzwerk-Management-Software im Jahr 2020 ermöglichte es den Tätern, auf die IT-Systeme und Daten von geschätzten 32.000 Unternehmen und Behörden weltweit unautorisiert und unentdeckt zuzugreifen. Selbst wenn das eigene Institut diese Software nicht im Einsatz hatte, bestand das Risiko, dass Banken durch angebundene Dienstleister betroffen sein könnten. Die möglichen Folgen: finanzielle Schäden für Ausfälle, Datenschutzvorfälle und Reputationsschäden.
  
  
• 2020 war zudem erneut ein Jahr der Ransomware: Es wurden mehrere Vorfälle bekannt, bei denen große Unternehmen durch Verschlüsselungstrojaner getroffen wurden. In der Folge mussten sie für mehrere Wochen oder Monate ihren Geschäftsbetrieb einstellen oder konnten diesen nur sehr rudimentär und mit großem Aufwand aufrechterhalten. Befeuert wird der Einsatz von Ransomware durch die professionelle Bereitstellung solcher Dienstleistungen (Ransomware-as-a-Service) im Darkweb, die von (fast) jedem einfach zu beziehen sind. Auch wenn sich die Finanzinstitute gut gewappnet sehen, wird der Aufwand steigen, um sich umfassend auf die sich ändernde Bedrohungslage einzustellen.
  
  
• Auch die Endkunden selbst können direkt von Schadsoftware betroffen sein. Zwar steigt die Vielfalt der mobilen Endgeräte, die meisten Nutzer verlassen sich jedoch auf zwei Betriebssysteme mit den dazugehörigen App Stores: Apple iOS oder Google Android. Die Komplexität der Software ist so groß, dass sich immer wieder Schwachstellen und Sicherheitslücken einschleichen oder aktiv eingebracht und ausgenutzt werden. Die Sicherheit der Endgeräte ist dann nicht mehr gewährleistet. Damit sinkt auch die Sicherheit der verwendeten Authentisierungs- und Autorisierungsverfahren von Banktransaktionen. Ein Beispiel ist die Schadsoftware „Cerberus V2“ aus dem Jahr 2019, die noch bis Ende des Jahres 2020 Schaden anrichtete.

Es ist an der Zeit, über einen Paradigmenwechsel in der Cybersicherheitsstrategie der Banken nachzudenken: weg vom Prinzip der starren Perimeter-Sicherheit (Castle & Moat Modell) hin zu einem zeitgemäßen „Zero Trust“-Ansatz. Anstatt einen starken, aber unflexiblen Sicherheitsring zu errichten, gilt es, die individuellen Bausteine der Dienstleistungen verstärkt zu schützen – inklusive derer, die bei den Kunden liegen. Das trägt der notwendigen Flexibilität bei der Anpassung von Geschäftsprozessen, Anwendungen und Infrastruktur Rechnung.

Dass Sicherheit und Resilienz gegenüber Cyberattacken und Cybersicherheitsvorfällen bei der Erbringung eines sicheren Geschäftsbetriebs eine besondere Bedeutung haben, wird auch durch den in der Konsultation befindlichen „Digital Operational Resilience Act“ (DORA) der Europäischen Kommission deutlich. Er wird große Auswirkungen auf alle am europäischen Finanzsystem beteiligten Unternehmen haben.

Schutz vor Cybersicherheit: Was können die Bankkunden tun?

Leider betrachten immer noch einige Institute Cybersicherheit als nachrangig. Doch wenn die Vorgaben für Cybersicherheit nur unwillig oder unzureichend umgesetzt werden, lassen sich Cybersicherheitsvorfälle nicht verhindern oder werden sogar noch weiter zunehmen.

Es reicht nicht aus, dass Banken nur auf sich selbst, ihre eigenen Prozesse und ihre eigene Infrastruktur schauen. Sie sollten auch die Kunden und deren Schutz einbeziehen, da diese auf eine einfache Nutzung der Dienste setzen und sich nicht selbst mit zu viel Aufwand um den Schutz ihrer Finanzen und Daten kümmern möchten. Im Schadensfall ist eine gut vorbereitete, schnell einsetzbare, transparente und offene Kommunikation notwendig. Die Erfahrung zeigt, dass – solange den Kunden Schäden ersetzt werden – die Kundenbindung hoch bleibt. Es kann jedoch passieren, dass die Schäden steigen und nicht mehr ersetzt werden (können). Spätestens dann wird deutlich, dass Resilienz gegenüber Cybersicherheitsvorfällen wichtig ist, um langfristige Reputationsschäden gering zu halten.

Wollen sich die Finanzinstitute gut gegen Cyberangriffe wappnen, sind steigende Investitionen in Cybersicherheit notwendig. In Zukunft wird immer wichtiger werden, welche Banken und Unternehmen über ein (Früh-)Erkennungssystem für Cyberbedrohungen (Cyber Threat Intelligence) für sich und ihre Kunden verfügen, welche Institute in der Lage sind, Cybersicherheitsvorfälle zu erkennen und zu behandeln und welche die aktive Risikosteuerung in all ihren Belangen abdecken können.

Dieser Artikel erschien zuerst auf „Der Bank Blog“.