Europas bedeutende Banken haben im Urteil der EZB-Aufsicht in der Corona-Pandemie bewiesen, dass ihre IT- und Cyberabwehrsysteme robust sind. Das geht aus der Antwort auf Fragen des FDP-Bundestagsabgeordneten Markus Herbrand an den Chef der EZB-Bankenaufsicht, Andrea Enria, hervor. Die unter die europäische Bankenaufsicht fallenden Banken hätten gezeigt, „dass sie operationell widerstandsfähig sind, selbst als immer mehr Mitarbeiter von zu Hause arbeiteten“, heißt es in dem Antwortschreiben Enrias.

Die Pandemie habe allerdings die Notwendigkeit verstärkter digitaler Lösungen im Finanzwesen mehr denn je vor Augen geführt, da sich durch das massenhafte Arbeiten der Bankangestellten von zu Hause aus die Angriffsfläche und Fehleranfälligkeit vergrößert habe. Und da die Banken ihre Prozesse in Notfallumgebungen verlagerten, sind sie der Aufsicht zufolge nicht nur größeren Cyberrisiken ausgesetzt, sondern auch die Risiken und Folgen von IT-Pan­nen nähmen zu.

Den Instituten müsse gewahr sein, auf welche Methoden Cyberkriminelle zurückgreifen, um die im Homeoffice tätigen Bankmitarbeiter ins Visier zu nehmen. „Die Banken müssen ihre IT- und Cyberrisikostrategien kontinuierlich anpassen und sicherstellen, dass ihre Mitarbeiter die Risiken im Zusammenhang mit Telearbeitsregelungen kennen und entsprechend geschult sind“, mahnt Enria. Er verweist auf ein entsprechendes Schreiben, das die Bankenaufsicht im März vergangenen Jahres, also kurz nachdem die Weltgesundheitsorganisation WHO die Verbreitung des Coronavirus als Pandemie einstufte, an die bedeutenden Finanzinstitute Europas schickte. Darin forderte sie die Banken auf, das erhöhte Risiko, Opfer von Cyberbetrug zu werden, in ihren Notfallplänen zu berücksichtigen.

Die EZB-Bankenaufsicht verfolge die Entwicklungen weiter im Rahmen der laufenden Aufsicht und überwache sie durch regelmäßige Telefongespräche mit den Banken, heißt es in dem Schreiben. Die Zahl der Cybervorfälle, zu deren Meldung die Institute verpflichtet sind, sei zwar in der Pandemie gestiegen. Im dritten Quartal 2020 seien „die Institute aber nicht stark betroffen“ gewesen, heißt es weiter. Aus dem Finanzstabilitätsbericht der EZB von November geht hervor, dass keine größeren Vorfälle im Zusammenhang mit Cyberangriffen auf die Finanzmarktinfrastrukturen des Euroraums gemeldet worden seien. Als verbesserungswürdig erachtet sie aber komplexe IT-Strukturen und zunehmend veraltete IT-Systeme in vielen Instituten.

Die EZB wurde nach eigenen Angaben ein Mal Opfer eines erfolgreichen Cyberangriffs. Vor knapp zwei Jahren attackierten Hacker die für das Meldewesen Banks’ Integrated Reporting Dictionary (BIRD) eingerichtete Internetseite (vgl. BZ vom 16.8.2019). „Die geschäftlichen Auswirkungen beschränkten sich auf die mögliche Exfiltration von E-Mail-Adressen der Abonnenten des Newsletters, der regelmäßig über diese Website herausgegeben wird“, schreibt Enria. Die Täter seien nie ausfindig gemacht worden.

Herbrand, der sich das Recht eines jeden Abgeordneten der nationalen Parlamente der Mitgliedstaaten der Bankenunion zunutze gemacht hat, Fragen an die EZB zu richten, sieht nun die Politik in der Pflicht. Diese müsse darauf achten, dass sich die in der Pandemie zu beobachtende beschleunigte Digitalisierung nicht zu einem Sicherheitsproblem für Banken entwickelt. „Der Finanzausschuss des Bundestages muss sich viel stärker mit dem Zustand der deutschen Kreditwirtschaft bezüglich der IT-Sicherheit beschäftigen, damit die Institute dauerhaft auf Cyber-, Hacker- und Trojanerangriffe vorbereitet sind“, fordert er.

Der EZB hält er zugute, sich in Sachen IT-Sicherheit zwar engagiert zu zeigen, kritisiert aber, dass sie entscheidende Fragen zur Cybersicherheit deutscher Finanzinstitute nicht beantworten könne. „Die Daueraufgabe IT-Sicherheit ist ein Standortfaktor im international hart umkämpften Finanzwesen, weshalb der Austausch zwischen Aufsicht und Kreditinstituten noch weiter ausgebaut werden müsste.“