Accenture Banking Blog

Die Attacke auf die IT des Bundestags ist derzeit das zentrale Thema. Durch einen gezielten Angriff sind hier zahlreiche Informationen aus den Systemen des Parlaments abgeflossen. Das enorme Ausmaß macht vor allem Eines deutlich: Cyberkriminalität ist eine der größten Bedrohungen – für den Staat ebenso wie für Unternehmen. Sie ist heute fast schon ein standardisiertes Geschäftsmodell, das von hochprofessionellen, kreativen und global organisierten Kriminellen ausgeführt wird. „Crime as a Service“: wie andere Lösungen, die als Dienstleistungspaket erworben werden können, ist es heute auch möglich, sämtliche Ressourcen für einen IT-Angriff zu kaufen – von der Hardware und Schadsoftware bis hin zu herausragenden Programmierern.

Insbesondere Banken sind aufgrund ihres Geschäftsmodells ein hochattraktives Angriffsziel. Das hat zuletzt auch der Fall Cabernak gezeigt. Die „Cybergang“ nutzte für ihren Angriff auf mehr als 100 Finanzinstitute in über 20 Ländern weltweit unter anderem eine Schwachstelle bei der Videoüberwachung aus, so dass in aller Ruhe die Passwörter und Gewohnheiten der Mitarbeiter ausgespäht werden konnten. Zwischen Infektion der Rechner und dem tatsächlichen Angriff lagen bis zu vier Monaten. Die Täter kamen bei der Attacke auf die Systeme der Banken quasi direkt durch den Haupteingang. Der Schaden dürfte in Milliardenhöhe liegen. Trotzt dieser bislang einmaligen Dimension wird es wohl kaum bei diesem Einzelfall bleiben. Eine neue Ära der Cyberkriminalität ist angebrochen, Angriffe richten sich nicht mehr nur gegen Bankkunden, sondern gegen die Institute selbst. Und durch die wachsende Bedeutung digitaler Geschäftsmodelle und mobiler Anwendungen im Bankgeschäft wird sich die Angriffsfläche in Zukunft ganz sicher noch weiter vergrößern.

Dies erfordert auch bei der IT-Sicherheit einen Paradigmenwechsel. Noch immer orientieren sich die Institute stark daran, die regulatorischen Vorgaben an den virtuellen Schutz einzuhalten – doch das sind meist nur die Mindestanforderungen. Zwischen dem regulatorisch notwendigen und dem Sicherheitsniveau, das eine Bank effektiv schützen würde, klafft eine erhebliche Lücke. Viele Finanzinstitute setzen weiterhin stark auf Prävention, dabei wäre es mindestens ebenso wichtig, parallel in eine dynamische und aktive Abwehr zu investieren. Diese Herausforderung ruft in inzwischen auch die Aufsicht auf den Plan. So sieht EZB-Generaldirektor Korbinian Ibel großen Nachholbedarf, wie er jüngst der Börsen-Zeitung sagte. Nicht umsonst steht IT-Sicherheit in diesem Jahr – und ganz sicher auch darüber hinaus – ganz oben auf der Agenda der Bankenaufseher.

PDF-Download
PDF-Download

Die Branche muss sich künftig weit stärker darauf konzentrieren, bereits erfolgte Attacken zu erkennen, zu bekämpfen, Folgeschäden möglichst klein zu halten und daraus zu lernen. Die Möglichkeiten dafür sind längst vorhanden: Moderne Sicherheitssysteme sind heute in der Lage, schon kleinste Änderungen in den Gewohnheiten der Mitarbeiter zu identifizieren. Bereits minimale Schwankungen, beispielsweise bei der Auslastung von Arbeitsspeichern werden erfasst. Aktive Sicherheit bedeutet aber auch ein permanentes Studium der Angreifer und ihrer Vorgehensweisen sowie eine fortlaufende Weiterentwicklung der eigenen Verteidigungsstrukturen. Und auch die Kooperation, ein intensiver Austausch mit anderen Unternehmen ist darüber hinaus ein wesentlicher Erfolgsfaktor.

Sicherheit ist für Banken eine Schlüsselkompetenz. Dies gilt auch für den virtuellen Raum. Ein aktives Verteidigungssystem gegen Cyberangriffe sollte daher mindestens die gleiche Aufmerksamkeit genießen, wie die Digitalisierung der Business Modelle. Das Ganze muss Hand in Hand gehen.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.