Accenture Banking Blog

Wenn ich Bankgeschäfte online tätige, bin ich dazu angehalten, Sicherheitsvorkehrungen zu treffen und meinen privaten PC oder Netzwerk mit Firewall, Virenscanner, sicheren Browsern und Passwörtern sowie Verschlüsselungssoftware zu schützen. Im Gegenzug vertraue ich darauf, dass meine Bank alle unzulässigen, kriminellen Transaktionen erkennt und unterbindet. Doch wie sicher sind die IT-Systeme der Banken wirklich?

Der spektakuläre digitale Bankraub bei der Zentralbank in Bangladesch im vergangenen Jahr, bei dem es Hackern gelang, 81 Millionen US-Dollar zu entwenden, war zumindest Anlass für die Society for Worldwide Interbank Financial Telecommunication (SWIFT) neue Spielregeln für ihr internationales Zahlungsverkehrsnetzwerk aufzustellen. Funktioniert hat der Angriff nur, weil sich die Hacker über eine Bank Zugang zum SWIFT-System verschaffen konnten. Um diese lokalen SWIFT-Infrastrukturen besser gegen betrügerische Cyberattacken zu schützen, wurde das SWIFT Customer Security Program (CSP) ins Leben gerufen. CSP hat das Ziel, eine einheitliche, hohe Sicherheit bei allen SWIFT-Nutzern zu gewährleisten. Das ist gut so, letztlich ist SWIFT nur so sicher wie das schwächste Glied in der Kette.

Zahlungsverkehr ist nur die Spitze des Eisbergs

Jeder weiß, dass der Zahlungsverkehr ein absolut kritischer Geschäftsprozess ist, dessen Ausfall oder Kompromittierung auch erhebliche globale Auswirkungen haben kann. Deshalb unterliegen die Banken besonderen Sicherheitsbestimmungen. Meiner Meinung nach ist das allerdings nur die Spitze des Eisbergs. Denn Banken haben heute viel mehr digitale Einfallstore als noch vor wenigen Jahren. Banken bieten zu Recht immer mehr digitale Services an, die nicht nur über die Banken direkt, sondern auch über Drittanbieter in Anspruch genommen werden können. Wir Nutzer profitieren etwa von Konto-Check- und Trading-Apps oder wickeln ganze Finanzierungen online via Drittanbieter ab. Services von FinTechs, Google & Co. (GAFA) machen unser Banking immer bequemer. Wenn die Banken in Zukunft ihre Systeme solchen Anbietern noch weiter öffnen müssen (wie durch PSD2 vorgeschrieben) und im Gegenzug eigene Plattformen aufbauen, wird das allerdings massiven Einfluss auf die Sicherheitsrisiken der Finanzhäuser nehmen. Genau diese neuen Einfallstore müssen für Hackerangriffe verstanden und angemessen abgesichert werden.

Security muss als proaktive Leistung der Banken verstanden werden

Gemessen am Bedrohungspotenzial, das sich durch die Öffnung der Banken ausweiten wird, investieren die Institute immer noch zu wenig in die Sicherheit ihrer Systeme. Die entscheidende Frage in Zeiten knapper Budgets ist hier, an welcher Stelle Investitionen den besten Einfluss auf die Risikoposition der Bank haben und wie man sicherstellen kann, dass Neuentwicklungen von vornherein mit den entsprechenden Sicherheitsvorkehrungen umgesetzt werden. Entscheidend ist hier neben der Eintrittswahrscheinlichkeit die Schadenshöhe pro Eintritt – während der Wert einer durchschnittlichen Online-Transaktion für die Bank sicher tragbar ist, kann der Schaden bei einem Angriff auf den Zahlungsverkehr schon bei einem einzigen Fall gigantisch sein. Schließlich wollten die Angreifer in Bangladesch ursprünglich eine Milliarde US-Dollar erbeuten und flogen nur zufällig durch einen kleinen Tippfehler auf. Um für solche Risiken künftig besser gewappnet zu sein, muss ein Umdenken stattfinden.

Banken müssen Mindeststandards und Regularien erfüllen

Natürlich passiert in dieser Richtung schon eine ganze Menge. SWIFT CSP unterstreicht noch einmal deutlich, dass für den Zahlungsverkehr eine „zero-tolerance“ für Hackerangriffe gelten muss. Noch bis zum Jahresende läuft die Frist der sogenannten Self-Attestation. Danach kann jede Bank, die nicht CSP-konform ist, theoretisch der Bankenaufsicht gemeldet und in letzter Konsequenz vom internationalen Zahlungsverkehr ausgeschlossen werden. Gerade deshalb müssen die Finanzhäuser jetzt ihre Hausaufgaben machen. Schließlich haben auch die Aufsichtsbehörden Security-Themen mit ähnlichen Schwerpunkten schon seit langem zum Gegenstand ihrer Prüfungskataloge gemacht und müssen im Falle eines Cyberangriffs von der betroffenen Bank informiert werden. Kann einer Bank etwa bei einem Datendiebstahl eine Schuldhaftigkeit nachgewiesen werden, führt dies zu empfindlichen Strafen. Hingegen sollten sich die Zusatzaufwände für CSP für Banken mit dauerhaft guten Prüfungsergebnissen in Grenzen halten. Die zügige Umsetzung der SWIFT CSP-Vorgaben ist in jedem Fall im Interesse der ganzen Branche, damit das SWIFT Netzwerk Cyberangriffe auch künftig abwehren kann – das schafft Vertrauen, die härteste Währung, die Banken heute haben können.

Erfahren Sie hier mehr zu SWIFT CSP und wie Accenture seine Kunden hinsichtlich der CSP-Vorgaben unterstützen kann.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.