Von Tobias Fischer, Frankfurt

Kaum ein Tag vergeht, an dem keine mehr oder minder spektakuläre Cyberattacke ruchbar wird. Auch wenn es jüngst den IT-Dienstleister der Genossenschaftsbanken, Fiducia & GAD, erwischt hat, ist die Finanzindustrie vergleichsweise selten betroffen. Im Lichte der Öffentlichkeit stehen zuvorderst Firmen und öffentliche Institutionen, die wie der Pipelinebetreiber Colonial, der Fleischkonzern JBS oder eine Vielzahl von US-Behörden­, die via gehackte Software des Dienstleisters Solarwinds kompromittiert wurden, den aus Angreifersicht Inbegriff geglückter Cyberoffensiven darstellen. Hinzu gesellt sich eine zuletzt kaum überschaubare Zahl an Attacken auf Impfstoffhersteller, Videospielanbieter, Microsoft, McDonald’s, Stromproduzenten oder Hospitäler.

Die Bedrohungen sind zwar auch in der Finanzbranche hoch und angesichts massenweiser Remotearbeit und generell zunehmender digitaler Prozesse inmitten der Pandemie gestiegen, heißt es aus Aufsichtskreisen. Im Großen und Ganzen seien sie aber beherrschbar, und die Finanzindustrie sei vergleichsweise moderat betroffen. Erfolgreiche Angriffe via Distributed Denial of Service (DDoS), in denen Server mit massenhaften Anfragen bombardiert und lahmgelegt werden, trafen zwar nun wiederholt Fiducia & GAD und An­fang vergangenen Jahres den Sparkassen-IT-Dienstleister Finanz Informatik (FI) mit nachfolgenden Ausfällen bei Helaba und DKB, gelten nach Aufsehersicht aber eher als Ausreißer. Dabei gibt kaum ein Wirtschaftszweig ein lohnenderes Ziel ab als die Finanzbranche, winkt  Angreifern doch ein monetärer sowie Datenschatz. Diesen zu schützen, ist ureigenste Aufgabe der Banken. Ernstzunehmende Initiativen zur Cybersicherheit seien deshalb stets aus dem Finanzsektor vorangetrieben worden, so ein Aufseher, der unter anderem das German Competence Centre against Cyber Crime und die Allianz für Cybersicherheit nennt.

Dass die Finanzbranche vergleichsweise gut wegkommt, führen Experten vor allem auf die strenge Regulierung samt Meldewesen zurück. Die Finanzbranche gehört zu den am stärksten eingenordeten Wirtschaftszweigen. Die Aufseher stehen im Dialog mit den Entscheidern in den Banken und schauen sich in regulären sowie in Sonderprüfungen an, wie es um die IT bestellt ist. Im Fall des Falles verfügen sie über einen breiten Instrumentenkasten, um dem Management auf die Sprünge zu helfen – von unangenehmen Fragen zur Eignung von Vorständen über die Auferlegung abzuarbeitender Hausaufgaben oder von Bußgeldern bis hin zu Kapitalaufschlägen.

Kommen regulatorisch bislang unter anderem die bankaufsichtlichen Anforderungen an die IT (BAIT) und ihre Pendants für Versicherungen (VAIT) und Kapitalverwaltungsgesellschaften (KAIT) zum Tragen, so stehen alsbald auch Zahlungsinstitute (ZAIT) im Fokus. Weitere Verschärfungen stehen mit dem Digital Operational Resilience Act (Dora) ante portas, einem in Brüssel geschnürten, umfassenden Paket zur Digitalisierung des Finanzsektors, das Cybersicherheit und die Harmonisierung entsprechender Regulierungsansätze in Europa vorantreiben und auch den Informationsaustausch zu Cybervorfällen regeln soll. Dora soll im nächsten Jahr in Kraft treten.

Der Blickwinkel der Aufseher hat sich in jüngster Zeit verändert. Sie setzen nicht mehr in erster Linie nur auf Prävention, sondern schauen darüber hinaus genauer hin, wie es um die Reaktionsfähigkeit der Banken bestellt ist. Systemrelevante Banken, Zahlungsdienstleister und Börsen sind im Rahmen des Threat Intelligence-Based Ethical Red Teaming (Tiber) europaweit angehalten, sich kontrollierten Hackerattacken auszusetzen. Dieses in Deutschland unter Federführung der Deutschen Bundesbank ablaufende Verfahren habe sich bewährt und werde als ein Instrument erhalten bleiben, prophezeit der Aufseher, gibt aber zu bedenken, dass ein gewisser IT-Reifegrad erreicht sein müsse, um sich Testattacken der ethischen Hacker aussetzen zu können. Vielfach mangelt es nämlich an den Grundlagen, sind IT-Architekturen von Banken zu alt, zu zusammengestoppelt, was wiederum die Fehleranfälligkeit erhöht. In weniger bedeutenden Instituten haben die meisten Cybervorfälle, das sind auf menschliches oder technisches Versagen oder auf Cyberattacken zurückzuführende Schäden, ihren Ursprung in Pannen, machen die Finanzaufsicht BaFin und das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich.

Finanzinstitutionen sind verpflichtet, Cybervorfälle an EZB-Bankenaufsicht oder BaFin zu melden. Rund 90 unterliegen zusätzlich der BSI-Regulierung, die in verschiedenen Branchen für sogenannte kritische Infrastruktur zuständig ist. Im Finanzsektor zählen Dienstleistungen wie Bargeldversorgung, Zahlungsverkehr und Clearing dazu, wenn sie bestimmte Größenordnungen erreichen. Im Zeitraum 30. Juni 2019 bis Mitte 2020 standen laut BSI  insbesondere Stromversorger im Visier von Hackern (siehe Grafik). Auch die Gesundheitsbranche meldete eine Vielzahl an Attacken, wenngleich der Großteil der Cybervorfälle auf technisches Versagen zurückzuführen sei. Letzteres gelte auch für drei von vier Meldungen im Finanzsektor. Nur 5% gingen hier auf einen Angriff zurück.