Erschwerte Sicherheitsbedingungen: Banken bieten Angriffsflächen für Cyberkriminelle

Immer mehr Angriffe, neue Bestimmungen und findigere Cyberkriminelle: Banken fällt es heute immer schwerer, ihre gewohnten IT-Sicherheits-Standards zu halten.

Für Banken wird es immer schwerer, ihre gewohnten IT-Sicherheits-Standards zu hallten.
(Foto: Bacho Foto - Fotolia)

Für Banken in Deutschland wird es immer schwerer, die gewohnten IT-Sicherheits-Standards zu halten. Sechs von zehn Finanzhäuser klagen über komplexere Angriffsszenarien und neue Anforderungen an den Umgang mit IT-Risiken. Bei den Retailbanken sind es fast drei Viertel der Institute, bei denen Digitalisierung, neue Bedrohungsszenarien sowie Regulierungsvorschriften die Arbeit der Sicherheitsmanager erschweren. Zu diesem Ergebnis kommt eine aktuelle Studie von Sopra Steria Consulting und dem F.A.Z.-Institut.

Ein Grund für die gestiegenen Sicherheits-Herausforderungen an die Banken ist die zunehmende Zahl von Lieferanten digitaler Technologien. So sind acht von zehn Banken über digitale Plattformen oder Softwarelösungen mit Dienstleistern vernetzt. Viele Kreditinstitute nutzen zum Beispiel externe Datenbanken für eine schnelle Bonitätsprüfung bei Onlinekreditanträgen. Darüber hinaus gibt es beispielsweise Plattformen, auf denen Finanzierungsvorhaben von Unternehmen mit Finanzierungsangeboten von Banken zusammengeführt werden. Eine Wahl bleibt den Banken kaum, da sie durch die EU-Zahlungsdiensterichtlinie PSD2 verpflichtet sind, sich gegenüber Drittanbietern zu öffnen.

Außerdem werden Banken mit ihrem eigenen Online-Bezahldienst Paydirect künftig stärker mit Online-Händlern und dem Einzelhandel zusammenarbeiten müssen. Alle diese unterschiedlichen Lösungen und Anbieter sorgen dafür, dass Banken heute eine große Angriffsfläche für Cyberattacken bieten. Umso anspruchsvoller wird es, das nötige IT-Sicherheitslevel zu halten. »Die Institute müssen sicherstellen, dass auch diese Partner und ihre Lösungen die hohen Standards der Banken erfüllen. Das zu kontrollieren, wird bei einer wachsenden Zahl an Partnern immer aufwändiger«, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting. Die Institute reagieren, indem sie immer häufiger Dienstleister-Audits durchführen und vertraglich Mindeststandards vereinbaren. Mehr als jeder zweite Finanzdienstleister führt bereits einen derartigen Lieferanten-Check durch. Andere Institute fordern von ihren Partnern eine Sicherheitszertifizierung.

Mehr Sicherheits-Tempo gefragt

Damit Angriffe wie durch WannaCry und Petya effektiv bekämpft werden können, muss das IT-Sicherheitsmanagement der Banken künftig deutlich schneller reagieren als bisher. Denn Ransomware wie WannaCry unterscheidet sich von anderen Schädlingen und kann wie ein Wurm andere Rechner im gleichen Netz infizieren. Dem Opfer bleibt daher weniger Zeit, um eine Ausbreitung zu verhindern. Darüber hinaus lassen sich die Ausmaße von Angriffen immer schwerer einschätzen. So dauert ein Angriff heute oft deutlich länger und die Kriminellen greifen in verschiedenen Phasen an mehreren Stellen zu. Nur mit exzellenten Kenntnissen und ausreichenden Ressourcen lassen sich diese Risiken wirkungsvoll bekämpfen. Deshalb sucht jeder dritte Finanzdienstleiser sucht auf dem Arbeitsmarkt nach passenden Cybersecurity-Spezialisten, um sich den neuen Bedrohungsszenarien zu stellen.

Auch alternative Lösungen sollen dabei helfen, die Sicherheit zu stärken. Eine davon ist, das IT-Sicherheitsmanagement stärker zu automatisieren - beispielsweise über regelbasierte Prozeduren. »Die Institute sollten darüber hinaus das Thema IT-Sicherheit und Cybersecurity als Führungsinformation in ihre Ablauforganisation integrieren - als eine Art Lagebild für das Management - um Ressourcen besser zu steuern«, sagt Dr. Gerald Spiegel.

Für die Banken ist es zudem eine Herausforderung, strengeren Anforderungen der Bankenaufsicht an IT- und Informationssicherheit mit den Zielen einer effizienteren IT-Landschaft in Einklang zu bringen. Um Kosten zu sparen, nutzt zum Beispiel jede fünfte bank Cloud-Computing-Lösungen. Viele Institute verlagern zudem Arbeitsprozesse an Spezialisten. Risiken von Programmierfehlern und Sicherheitslücken sind dadurch schwerer zu kontrollieren als bisher. Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) reagiert auf die wachsenden IT-Risiken zum Beispiel mit den bankaufsichtlichen Anforderungen an die IT (BAIT). Banken müssen deshalb ihre IT-Sicherheitsprozesse so weiterentwickeln, dass sie den Anforderungen entsprechen. Das hat gleich zwei Folgen: Von Dienstleistern wird eine Compliance allerhöchster Güte abverlangt. Außerdem sind Banken generell vorsichtiger, wenn es um Outsourcing-Vorhaben geht.