Die Cyberbedrohung für die Finanzbranche wie für Wirtschaft und Gesellschaft im Allgemeinen nimmt angesichts der geopolitischen Spannungen weiter zu. Der von Russland am 24. Februar begonnene Krieg gegen die Ukraine hat eine ohnehin hohe Bedrohungslage verschärft, auch wenn Experten bislang noch keinen unmittelbar mit dem Konflikt in Zusammenhang stehenden außergewöhnlichen Anstieg von Cyberattacken erkennen.

„Wir bemerken eine generell erhöhte Spannungssituation“, berichtet die Leiterin des sogenannten Tiber Cyber Teams der Deutschen Bundesbank, Miriam Sinn, der Börsen-Zeitung. Im anfänglichen Schock wegen des Überfalls auf die Ukraine habe erst einmal Alarmstufe Rot geherrscht, erinnert sich Sinn, mittlerweile habe sich die Lage aber auf einem Niveau sehr hoher Aufmerksamkeit eingependelt. Aufseher wie Banken schauten noch genauer hin.

Mit ihren sechs Kolleginnen und Kollegen begleitet Sinn pro Jahr rund acht bis zehn Tiber-Tests, das sind unter Aufsicht stehende testweise Cyberangriffe auf bedeutende Banken, Versicherungen, Börsen oder IT-Dienstleister, um entsprechende Schwachstellen ausfindig zu machen. Tiber steht für „Threat Intelligence-Based Ethical Red Teaming“ und gibt auf EU-Ebene harmonisierte Spielregeln für kontrollierte Cyberangriffe auf Finanzdienstleister vor. So ein Testprozess in einem Institut kann sich bis zu ein Jahr hinziehen.

Auf die Arbeit des Tiber Cyber Teams, bei dem national die Fäden für derlei Tests zusammenlaufen, wirke sich der Ukraine-Krieg bisher nicht wesentlich aus, sagt Burkhard Balz, Vorstandsmitglied der Deutschen Bundesbank: „Wir haben die geopolitische Lage immer im Blick und führen Tiber-Tests nur dann durch, wenn keine Gefahr für das getestete Unternehmen entsteht. Bis jetzt konnten wir weitgehend testen wie zuvor, allerdings imitieren wir in unseren Szenarien etwas häufiger russische Angreifer als noch vor etwa einem Jahr.“ In jedem Tiber-Prozess werden typische Vorgehensweisen von realen Angreifern nachgeahmt. Für jedes getestete Unternehmen werden entsprechende Angriffsszenarien entwickelt, die auf Überlegungen basieren, wer ein gesteigertes Interesse haben könnte, genau dieses Finanzinstitut angreifen zu wollen. Die Wahrscheinlichkeit, dass eine Hackergruppe aus Russland darunter ist, hat sich durch den Krieg etwas erhöht. „Jeder Angreifer hat eine eigene Vorgehensweise“, erklärt Sinn. „Wir stellen pro Test in der Regel mindestens drei Angreifertypen nach. Das können dann beispielsweise ein Unternehmensinsider, ein Ransomware-Erpresser und eine russische Hackergruppe sein.“

Solche simulierten Cyberangriffe werden von externen Dienstleistern, Red Teams genannt, im Auftrag der Finanzunternehmen ausgeführt, die ihre IT-Resilienz und Cyberabwehrfähigkeit durchleuchten lassen wollen. Ein komplexes Unterfangen sei das für die Getesteten, sagt Balz, in dem alles stimmen muss. „Die Menschen, die Technik und die Prozesse, sie alle müssen ineinandergreifen. Ist das nicht der Fall, werden Angreifer erfolgreich sein.“

Tiber-Tests bleiben Sinn zufolge noch bis voraussichtlich 2025 freiwillig. Dann greift das Regulierungswerk „Digital Operational Resilience Act (Dora)“, das den Finanzsektor widerstandsfähiger gegen IT-Risiken machen soll und als bedeutend eingeordnete Finanzunternehmen zu simulierten Hackerangriffen verpflichtet. „Tiber-Tests sollen in Dora aufgehen“, sagt Sinn. „Ziel ist, dass wir unsere Arbeit unter diesem neuen Mantel weiterführen.“ Welche Institute im Einzelnen zu den Cybertests verpflichtet werden, sei aber noch nicht festgelegt. Jetzt werde erst einmal damit begonnen, die technischen Regulierungsstandards (RTS) zu verfassen, berichtet Sinn. An dieser Arbeit sind auch sie und ihre Kollegen aus Bundesbank, Bundesanstalt für Finanzdienstleistungsaufsicht und anderen europäischen Aufsichtsbehörden beteiligt. Im Laufe des kommenden Jahres 2023 werde sich dann herauskristallisieren, wer sich unter Dora Cybertests unterziehen müsse.

Experten wie der CEO des Frankfurter IT-Sicherheitsdienstleisters Link11, Jens-Philipp Jung, sprechen von einer in diesem Jahr noch einmal deutlich gestiegenen digitalen Gefahr, die groß bleiben oder sich noch verstärken werde. „Obwohl bereits vor dem Angriff der russischen Truppen auf die Ukra­ine die Attacken im Cyberraum auf kritische Infrastrukturen in verschiedenen Ländern zugenommen haben, verschärfte der Konflikt die Bedrohungslage im Hinblick auf politisch motivierte Hackerangriffe massiv.“

Insbesondere die kritischen Infrastrukturen (Kritis) seien gefährdet, also Sektoren und Branchen, die für das Bestehen eines Gemeinwesens wesentliche Dienstleistungen anbieten. Dazu zählen beispielsweise Strom- und Gasversorger, Krankenhäuser und im Finanzsektor Dienstleister für Bargeldversorgung, Zahlungsverkehr und Clearing, sofern bestimmte Schwellenwerte überschritten werden. So weiß Jung von einer Zunahme der Cyberangriffe auf einzelne Kritis-Sektoren zu berichten. „Tatsächlich könnte ein längerer Ausfall von Banking-Diensten oder ein Angriff auf die Energieversorgung eine Versorgungskrise im Land hervorrufen“, warnt er. Link11 bietet Unternehmen cloudbasierte IT-Sicherheitslösungen, mit Schwerpunkt auf Schutz gegen Distributed-Denial-of-Service-Attacken (DDoS). Dabei setzen die Angreifer Server außer Gefecht, indem sie sie mit einer Unmenge an Anfragen überfluten und so überlasten.

Die Komplexität im Cybersecurity-Bereich und die Herausforderungen für die Beschäftigten steigen nach Jungs Beobachtung stetig. „Innerhalb kürzester Zeit können IT-Abteilungen von Finanzdienstleistern aufgrund politischer Veränderungen vor neuen, massiven Herausforderungen stehen.“ Zugleich nähmen Kosten und Aufwand für Cyberangriffe ab. Eine DDoS-Attacke lässt sich ihm zufolge schon ab 15 Dollar bestellen, und Cybercrime-as-a-Service-Angebote nähmen kontinuierlich zu. Cyberkriminelle haben ganze Schattenkonzerne im Netz aufgebaut und gehen arbeitsteilig vor.

Zunehmend liefen zwei oder drei Angriffe parallel, um zusätzlichen Druck aufzubauen: „DDoS-Angriffe zum Beispiel können verstärkt als sogenannte Double Extortion oder Triple Extortion auftauchen, um Ransom­ware-Angriffe zu flankieren und den Lösegeldforderungen weiteren Nachdruck zu verleihen“, berichtet der Link11-Vorstandschef. Zudem rückten bei DDoS-Angriffen auch Anwendungsschnittstellen (API) verstärkt in den Fokus. „Anders als bei Angriffen auf die Netze und Server reicht bei APIs ein Windhauch, um diese in die Knie zu zwingen. Selbst Angriffe mit kleinen Bandbreiten erfüllen bereits eine enorme Wirkung und können damit entsprechende Schäden anrichten.“

Eine verstärkte Hinwendung der Täter zur Manipulation von Menschen, dem Social Engineering, sieht Roy Prayikulam, Bereichsleiter Risk Fraud des Aachener IT-Dienstleisters Inform. Dabei nutzen sie Hilfsbereitschaft, Neugier oder Dankbarkeit von Menschen für ihre Zwecke aus und geben sich z. B. in gefälschten Nachrichten als Fa­milienmitglieder, Freunde oder Autoritäten aus, die um eine Überweisung oder die Übermittlung sensibler Daten bitten. „Gerade weil die Zwei-Faktor-Authentifizierung und andere technologische Verbesserungen viel zur Sicherheit beigetragen haben, wird mehr auf diese Art des Betrugs gesetzt, bei der der menschliche Faktor eine wichtige Rolle spielt“, bemerkt Prayikulam. „Dahingehend sehen wir auch im kommenden Jahr einen Trend, welcher noch stärker werden wird.“

Auch wenn die geopolitischen Spannungen die Bedrohung etwa durch russische Hacker erhöhen, die politische Motive antreibt, so wird die weit überwiegende Zahl der Angriffe nach wie vor auf den Finanzsektor von Kriminellen aus finanziellen Gründen ausgeführt, wie die EZB im Finanzstabilitätsbericht ausführt (s. Grafik). „Am Ende geht es um Daten. Daten, die man zu Geld machen kann“, sagt Thomas Schumacher. Der Leiter IT-Security von Accenture in Deutschland, Österreich und der Schweiz erlebt eine deutliche Verschlechterung der Situation. „Die Präsenz von Cyberangriffen ist allgegenwärtig. Wir sind wahrscheinlich in einer neuen Welt angekommen.“ Vor allem Ransomware-Attacken, also mit Erpressungssoftware, die Daten verschlüsselt und für deren Freigabe die Täter Lösegeld fordern, haben Schumacher zufolge im Jahr 2022 stark zugenommen. „Es werden künftig sicherlich nicht weniger.“ Erstaunlich findet er, dass die Methoden seit Jahren mehr oder minder unverändert und nicht sonderlich ausgefeilt, aber dennoch so wirksam seien. „Ransomware-Angriffe ähneln eher Streubomben, sind also nicht sehr gezielt.“

Banken hätten sich als vergleichsweise gut geschützt erwiesen, wenngleich es auch sie angesichts einer Vielzahl von Angriffen treffe. Zurückführen lasse sich das auch auf die erhöhte Regulierung des Sektors, die für die Einhaltung von Grundstandards sorge. Schumacher gibt aber zu bedenken, dass das nicht ausreicht: „Wer es nur den Regulatoren und Aufsehern recht macht, ist noch längst nicht sicher vor Cyberangriffen. Wichtig ist, dass Unternehmen außerdem ihre eigenen Strategien gegen Cyberbedrohung finden.“ Sie müssten ihre „Kronjuwelen“ definieren, also die wichtigsten Systeme und Applikationen, die nach einem Angriff schnellstmöglich wieder laufen müssen. „Und da sind immer noch Hausaufgaben zu erledigen.“