Von Tobias Fischer, Frankfurt

Ein gutes halbes Dutzend bedeutender Finanzinstitutionen in Deutschland unterzieht sich aktuell unter Aufsicht Hackerangriffen, teilt die Bundesbank auf Anfrage mit. Das ist nicht gerade viel angesichts von allein gut 1600 Kreditinstituten, doch ist zu erwarten, dass sich eine Vielzahl von Banken, Versicherern, Börsenbetreibern und ihren bedeutenden Dienstleistern künftig simulierten Cyberangriffen wird unterziehen müssen. Bislang sind solche Tiber-Tests freiwillig, mit denen externe Dienstleister, sogenannte Red Teams, IT und Cyberabwehr auf Schwachstellen abklopfen.

Die Bundesbank, bei der in Deutschland die Fäden für Organisation und Koordination solcher Verfahren zusammenlaufen, berichtet von einer hohen Nachfrage aus dem Finanzsektor nach den Tests, so dass momentan kein Grund bestehe, eine Verpflichtung anzustreben. „Eine freiwillige Teilnahme ist einer erzwungenen in unseren Augen immer vorzuziehen“, sagt ein Sprecher, der zugleich auf Brüssel verweist, wo das Thema bedrohungsgeleitete Penetrationstest regelmäßig erörtert werde. „Eine Verpflichtung könnte daher – wenn überhaupt – wohl eher aus Brüssel kommen. Dies wird zum Beispiel im Zusammenhang mit dem Digital Operational Resilience Act immer wieder diskutiert.“

Dieser kurz „Dora“ genannte Rechtsakt zur digitalen Betriebsstabilität ist Teil eines Pakets zur Digitalisierung des Finanzsektors, den die Europäische Kommission im September vorgelegt hat. Dora soll gewährleisten, dass die Akteure des Finanzsystems ausreichend für etwaige Hackerattacken und andere IT-Risiken gewappnet sind, und soll zudem die Harmonisierung der unterschiedlichen Regulierungsansätze in Europa vorantreiben. Laut EZB legt der Digital Operational Resilience Act dem Finanzsektor implizit oder explizit dar, welche Erwartungen die Aufsicht bezüglich der Cyberresilienz hat und wie sie sich durch simulierte Hackerangriffe im Zuge von Tiber verbessern lässt. Außerdem regelt Dora den Austausch von Informationen zu Cybervorfällen.

Auch Experten wie Burkhard Eckes, Leiter Banking & Capital Markets für die Region Europa, Naher Osten und Afrika bei PwC Deutschland, erwarten, dass die Dora-Vorgaben Tiber-Prozesse vorantreiben: Noch seien die Anforderungen freiwillig, doch dürften die Vorgaben für Kreditinstitute „eher früher als später“ auf Grundlage von EU-Regeln verpflichtend sein, wie er sagt.

Eckes erwartet zudem, dass sich Bundesbank und EZB in Sonderprüfungen nach §44 Kreditwesengesetz dem Thema Tiber widmen dürften, zumal die EZB im Rahmen ihrer Erläuterungen zu den aufsichtlichen Prioritäten für 2021 auch das IT- und Cyberrisikomanagement aufführe. „Vor dem Hintergrund der gestiegenen Cyberattacken – auch aufgrund der verstärkten Heimarbeit wegen Covid-19 – ist davon auszugehen, dass verstärkt Sonderprüfungen in diesem Bereich unter Einbeziehung der Penetrationstests und Berücksichtigung der Tiber-Anforderungen durchgeführt werden.“

Solche Sonderprüfungen erfolgten beispielsweise bereits in den Rechenzentren der Verbünde der Sparkassen und Genossenschaftsbanken, ist aus Finanzkreisen zu erfahren. Die IT-Dienstleister Fiducia&GAD der Kreditgenossenschaften sowie Finanz Informatik der Sparkassen dürften es auch sein, die sich Tiber-Tests unterziehen müssen. Damit dürften sich derlei simulierte Attacken zur Prüfung der Cybersicherheit – anders als bei Privatbanken, Versicherungen, Börsen und weiteren Finanzdienstleistern – in der Sparkassen-Finanzgruppe und der genossenschaftlichen Finanzgruppe auf die zentralen IT-Dienstleister beschränken und nicht die einzelnen Institute betreffen.

Bundesbank und Bundesfinanzministerium hatten bereits in einer gemeinsamen Mitteilung im September 2019 verdeutlicht, dass in Sachen Penetrationstests künftig mehr zu erwarten sein wird. „In Deutschland ist die Teilnahme an Tiber-Tests zunächst zwar nicht verpflichtend“, hieß es damals. „Banken, Versicherungen, Finanzmarktinfrastrukturen und deren wichtigste Dienstleister sollten aber schon aus Eigeninteresse einen Tiber-Test durchführen, um ihre Cyberabwehr auszubauen und kontinuierlich zu verbessern.“

Schon vor Dora ist die Erwartungshaltung an und der Druck auf die Finanzbranche dezent gestiegen. So erklärte die Leiterin des Tiber Cyber Teams bei der Bundesbank, Miriam Sinn, Mitte vergangenen Jahres, dass die Notenbank systemrelevante Kandidaten gegebenenfalls gezielt kontaktiert, um sie zu einem Tiber-Test zu bitten, sollten sie noch keinen Teilnahmewunsch bekundet haben. Bislang sei ein knappes Dutzend Unternehmen angesprochen worden, berichtete der Bundesbank-Sprecher nun.

Sofern sich Banken, Versicherer und kritische IT-Dienstleister aus dem Finanzsektor einem Tiber-Test unterziehen, so seien damit die Kapazitäten des Tiber-Teams für dieses Jahr bereits gut ausgelastet, wie er ausführt. So nehme ein Test neun bis zwölf Monate in Anspruch, im Idealfall ein halbes Jahr (siehe Grafik), und müsse eng betreut werden. Deshalb würden bereits jetzt weitere Tests für 2022 terminiert. Damit zeichnen sich schon jetzt Beschränkungen ab, zumal nicht nur die Kapazität der Aufseher, sondern auch die Zahl veritabler Red Teams begrenzt ist. Im Markt ist zu hören, dass deshalb entsprechende Kapazität aufgebaut oder auf die Unterstützung externer Anbieter zurückgegriffen werden soll.

Zu den Erkenntnissen aus den bisherigen Tests hält sich die Bundesbank bedeckt – abgesehen von der Feststellung, dass „keine singulären Schwachstellen“ entdeckt worden seien, die auf eine systemische Gefährdung der Finanzstabilität hinweisen. Die bisherigen Tests seien ohne größere Überraschungen, aber dennoch mit einigem Erkenntnisgewinn für die getesteten Unternehmen und auch für die Bundesbank abgelaufen, verlautbart sie angesichts der Sensibilität des Themas knapp.

Wie im Tiber-Rahmenwerk vorgesehen, würden auch Sicherheitsbehörden in den Prozess eingebunden, die der Bundesbank Rückmeldungen zu Bedrohungsinformationen gäben. „Zur weiteren Kooperation sind wir derzeit in intensiven Gesprächen mit den Sicherheitsbehörden“, teilt die Notenbank mit.