Thought Leadership
Wie steht es im Fall eines Angriffes wirklich um die Cybersicherheit von Banken? Wenn sich die Finanzbranche gegen russische Cyberattacken wirksam schützen will, muss sie über gesetzliche Vorgaben hinaus handeln.
Seit Beginn des Ukraine-Kriegs ist die Bedrohungslage im Cyberspace erheblich gewachsen. Von Russland gesteuerte Hacker-Attacken treffen beinahe täglich die westlichen Industrienationen.
Neben staatlichen und militärischen Institutionen und der Kritischen Infrastruktur richten sich die Angriffe auch gegen Unternehmen – das Ziel: die Destabilisierung unserer Wirtschaft, die Gefährdung des westlichen Wohlstands und damit mittelfristig die schwindende Unterstützung der NATO-Staaten für die Ukraine. Auch die Finanzbranche ist von den Angriffen betroffen. Cybersicherheit ist daher das Gebot der Stunde für den Finanzsektor.
Operative Ebene, Personalabteilung, Chief-IT-Officer (CIO) – das ist die interne Struktur der meisten Hacker-Kollektive und Cybercrime-Kartelle, die ihren Zielen in Sachen Spezialisierung und Professionalität oft in nichts nachstehen. Laut der Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ von KPMG in Deutschland und Lünendonk & Hossenfelder von 2023 sind Phishing-Attacken gegen Unternehmen seit dem Ukraine-Krieg um 50 Prozent gestiegen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht eine deutliche Zunahme professioneller Hacker-Angriffe und damit eine zugespitzte Bedrohungslage. Im Finanzsektor sind der KPMG-Studie zufolge Phishing- und „DDOS“-Attacken mit 73 und 71 Prozent die häufigsten Cyberrisiken, in der Gesamtheit der Unternehmen entfallen 68 Prozent auf Ransomware und Phishing, weitere Hauptthemen sind Trojaner und Kryptolocker. In den meisten Fällen haben diese präzise orchestrierten Angriffe das Ziel, die Institute operativ lahmzulegen oder deren Daten gar vollständig zu rauben. So können die Geschäftstätigkeit von Banken lahmgelegt oder horrende Lösegelder erpresst werden.
Der Feind in meinem Netz: Die richtige Risikoanalyse
Obwohl die Unternehmen über eigene IT- und Cybersicherheitsabteilungen verfügen, steigt die Zahl der betroffenen Institute. Und die Angriffe werden weiter zunehmen. Um auf die Bedrohung aus dem Netz angemessen reagieren zu können, sollten die Häuser daher drei Elemente implementieren: präzise Risikoanalyse, technische Schutzmaßnahmen und automatisierte Verteidigungsmechanismen, die im Falle eines Sicherheitslecks greifen.
Am Anfang dieses Prozesses steht die Definition des eigenen Risikoappetits, den der Vorstand erarbeitet und formuliert. Vergleichbar mit einer ISO-Standardisierung (Internationale Organisation für Normung), stehen in Form der Standardkataloge der Landesbanken geeignete Kriterien zur Risikobewertung zur Verfügung: Mit ihrer Hilfe gelingen die Analyse der relevanten Threat-Vektoren und das Reporting an die Bankenaufsicht, die beurteilt, ob die Risikoanalyse realistisch ist. Bevor Banken oder Versicherer dann einen konkreten Katalog technischer Maßnahmen entwickeln, müssen sie antizipieren, ob dieser im Einklang mit dem zuvor definierten Risikoappetit, Datenschutzbestimmungen und der Regulatorik steht. Dazu gehört etwa die Compliance mit gesetzlichen Vorgaben wie den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und den Bankaufsichtlichen Anforderungen an die IT (BAIT).
Regulatorische Vorgaben sollten allerdings stets als Mindestmaß verstanden werden, nicht aber als Gold-Standard, der weitergehende Maßnahmen überflüssig macht. Sind die Risiken vollständig identifiziert, angemessen bewertet und die Konformität der IT mit gesetzlichen Vorgaben gewährleistet, geht es an die konkrete Einbindung geeigneter Technologien.
Höhenflug oder Wolkenbruch – Cybersicherheit in der Cloud
Nahezu alle Institute sind in den vergangenen Jahren in die Public-Cloud migriert, viele setzen sogar auf Multi-Cloud-Strategien. Das ist für die Branche Segen und Fluch zugleich: Denn nicht nur in Sachen Performance, Skalierbarkeit und Effizienz ist die Cloudtransformation alternativlos – besonders die Hyperscaler haben derartig große Investitionen in die Cybersicherheit getätigt, dass On-premise-Systeme einzelner Institute nicht mithalten könnten. Weltweit verstreute redundante Rechenzentren, Kühlung unter dem Meer und automatische Tests gehören zum Portfolio der großen Drei, was die Cybersicherheit der Banken potenziell verbessert.
Auf der anderen Seite ist die Integration dieser Cloud-Services derzeit auch die größte Herausforderung für den Finanzsektor. Nach der DORA-Verordnung (Digital Operational Resilience Act) der EU sind Finanzunternehmen für jeden durch Cloud-Services entstandenen Schaden vollumfänglich verantwortlich – so als wäre er in ihrer eigenen IT-Abteilung entstanden. Daher gilt es, die Schnittstelle der eigenen operativen Abteilungen mit der Cloud sicher zu machen. Da Applikations- und Zugriffsdeck sich nicht ändern und die Häuser ihre Kernbankanwendungen weiterhin selbst betreiben, wächst die Komplexität der IT stetig. Nutzt ein Unternehmen etwa Azure als Datenbank, auf die einzelne Anwendungen wie E-Mail-Clients aufgebaut sind, müssen diese, aber auch Übertragung und Verschlüsselung sicher sein. Cloud-Security-Posture-Management-Plattformen können helfen bei der Analyse, welche Sicherheitsmaßnahmen in der durch ein Institut genutzten Cloud noch fehlen und wie die Härtung der Cloud-Services gelingen kann.
Nachdem bei 53 Prozent der Sicherheitslecks (meist unwissentlich) eigene Mitarbeiter involviert sind, gehört zur Gewährleistung der Datenübertragungssicherheit vor allem ein ganzheitliches Überwachungssystem. Das registriert, wer wann aufs Interface und damit auf die Cloud zugreift. Darüber hinaus muss eine sichere Landingzone definiert werden. Durch ein Backup des Mitarbeiter-Logins können Hacker diesen nicht lahmlegen, wodurch der Zugriff auf das eigene System auch in einem Angriffsfall gewährleistet ist.
Als Teil des Notfallmanagements verlangt der Gesetzgeber von den Unternehmen, für alle aktiven Cloudprovider eine Exitstrategie vorzuhalten. Wird ein Anbieter gehackt, braucht die Bank Ausweichmöglichkeiten, die das Weiterführen des Betriebs gewährleisten. Bei Governance-Frameworks für Regulatorik wie etwa den EU-Modelclauses (Standardvertragsklauseln) handelt es sich um Vertragsmuster, mit deren Hilfe europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart werden. Die Implementierung dieser Standards ist ein maßgeblicher Sicherheitsfaktor bei der Zusammenarbeit von Banken mit ausländischen, in aller Regeln US-amerikanischen Cloud-Providern.
SIEM, SOC und Sentinel: Big Brother für den Bankensektor
Geht es um konkrete Instrumente zur Gefahrenabwehr, spielen Verschlüsselungstechnologie und Data-Loss-Prevention (DLP) heute die zentrale Rolle. DLP umfasst eine Reihe von Verfahren und Tools, die Datenlecks durch vorsätzlichen und unbeabsichtigten Missbrauch verhindern. Simpel aber von großer Bedeutung: Ehemalige Mitarbeiter dürfen keinen Systemzugang, etwa zum Microsoft-365-Interface mitnehmen – auch nicht für kurze Zeit. Ein weiterer entscheidender Faktor ist das Access-Management: Wie integriert ein Unternehmen seine Cloud-Infrastruktur ins Security-Operations-Center (SOC)? Sentinel von Microsoft zum Beispiel, das die Public-Cloud überwacht, muss genauso in das zentrale SOC oder Monitoring System überführt werden wie das SIEM-Dashboard (Security Information and Event Management), das Zugriffsanomalien und Datenabflüsse registriert.
Für die Integration und Orchestrierung dieser Systeme existiert allerdings keine Schablone, denn je nach Portfolio, Kundenstamm, Risikoappetit und Bedrohungspotential sind unterschiedliche Sicherheitsmaßnahmen sinnvoll. Für ihre Messbarkeit existieren konkrete Key-Performance-Indicators (KPIs), die dem Vorstand als Entscheidungsgrundlage dienen.
Im Gegensatz zur Cybersicherheit, die vor Hacker-Angriffen schützen soll, hat Cyberresilienz das Ziel, für Schadensbegrenzung zu sorgen, wenn eine Infiltration nicht verhindert werden konnte. Hier ist Incident-Response (IR) das Thema unserer Zeit: Registriert das SOC ein Sicherheitsleck, können spezialisierte IT-Teams umgehend Gegenmaßnahmen einleiten – etwa die automatische Isolation von Systemen oder ganzen Netzwerken. Da ein Cyberangriff in der Regel nur wenige Minuten dauert, sind Daten ohne IR unwiederbringlich verloren oder die Bank ist verschlüsselt. Für einen wirksamen und vor allem unmittelbaren Incident-Response sind daher unbedingt Standardprotokolle notwendig, die auf C-Level definiert, in den jeweiligen Teams einstudiert und trainiert und zugunsten einer maximalen Reaktionsgeschwindigkeit automatisiert werden müssen. Nur wer seine Cybersicherheitsstrategie ganzheitlich ausrichtet, für eine effiziente Verzahnung der beteiligten Ressorts sorgt und seinen Automatisierungsgrad maximiert, ist auf die Sicherheitsrisiken der Zukunft vorbereitet.
