Finanzwesen

„Banken wähnen sich in trügerischer Sicherheit“

IT-Angriffe: Das Thema Cyber-Security wird von vielen Banken und Finanzdienstleistern unterschätzt. Eine Studie von Accenture Security zeigt ein gefährliches Selbstvertrauen. Worauf IT-Angriffe zielen und was Berater empfehlen.

.Immer mehr Unternehmen sind Zielscheibe von Cyberkriminellen.

© Reuters (Foto)
 

Frankfurt. Thomas Schumacher ist bei Accenture Security für den Bereich IT-Sicherheit im Finanzsektor verantwortlich. Die Unternehmensberatung hat für ihren Security Report untersucht, wie Banken und andere Finanzdienstleister ihr Vermögen und ihre Kundendaten vor Betrügern aus dem Internet und Angriffen auf ihre IT-Systeme schützen.

Herr Schumacher, Sie haben gerade eine Studie erstellt, die zeigt, dass Banken ihre Kompetenz im Bereich IT-Sicherheit überschätzen. Wie kommt es dazu?
Von den befragten Bank-Managern vertrauen 78 Prozent auf ihre bestehenden Schutzmaßnahmen. Sie verkennen aber, dass die Angreifer ihre Methoden ständig weiterentwickeln und ihre Attacken immer ausgeklügelter werden. IT-Sicherheit ist keine Einmalinvestition. Die Schutzmechanismen müssen laufend weiterentwickelt werden.

Ist die Bankbranche besonders gefährdet?
Banken sind ein extrem attraktives Ziel. Hacker haben es nicht nur auf Geld, sondern auch auf Kundendaten abgesehen. Ein typisches Finanzinstitut wird 85 Mal im Jahr angegriffen, dabei ist jeder dritte Angriff erfolgreich. Die Zahl der versuchten Angriffe unterscheidet sich in einzelnen Branchen kaum. Bemerkenswert ist aber tatsächlich das im Branchenvergleich überdurchschnittliche Selbstvertrauen der Banken. Sie wähnen sich damit in trügerischer Sicherheit.

Wer sind die Angreifer?
Das Problem sind in der Regel nicht einzelne Computer-Nerds, die ihre Hacker-Fähigkeiten testen wollen. Vielmehr handelt es sich meist um großangelegte und spezialisierte Aktionen, hinter denen Staaten oder sehr professionelle institutionelle Angreifer stehen.

Welche Ziele haben solche Angriffe?
Häufig hacken sie sich in die Firmennetzwerke ein, können dort Prozesse ausspähen und Kontrollmechanismen abstellen, um später eine zielgerichtete Attacke zu starten. Bis solche Eindringlinge entdeckt werden, kann es etliche Monate dauern, das gaben auch 59 Prozent der Befragten an. 14 Prozent sagten sogar, dass es ein Jahr oder länger dauere.

Welche Folgen hat das für die Unternehmen?
Die Eingriffe ins Netzwerk können dazu dienen, finanzielle Ziele zu erreichen, Daten abzugreifen oder Fehlfunktionen in Systemen herbeizuführen. Wenn ein solcher Angriff bekannt wird, bedeutet das auch einen immensen Reputationsschaden – selbst wenn kein unmittelbarer finanzieller Verlust entstanden ist.

„Auch von Mitarbeitern geht eine Gefahr aus“

Kommen die Attacken nur von außen?
Nein, auch von den Mitarbeitern geht eine Gefahr aus. Das kann indirekt und ohne böse Absicht geschehen, indem sie an ihre Computer eigene Geräte anschließen, die von Schadsoftware befallen sind, oder Passwörter verwenden, die einfach zu hacken sind. Es kann aber auch aktives Handeln geben. Dass Kundendaten nach außen dringen können, haben ja mehrfach die Steuer-CDs gezeigt, die Behörden zugespielt wurden. In unserer Studie gaben 48 Prozent der Befragten an, dass von böswilligen Insidern die größte Gefahr ausgehe. Deshalb reicht es nicht aus, quasi eine Mauer um die Bank herum zu bauen, Gefahren lauern auch im Inneren.

Wird das Problem des externen Zugriffs durch die Zahlungsdiensterichtlinie (PSD2) und die darin vorgeschriebenen Schnittstellen verschärft?
Jeder zusätzliche externe Zugriff und jede Schnittstelle birgt zunächst einen neuen möglichen Angriffspunkt. Diese müssen natürlich abgesichert werden.

Was sollten Banken nun tun, mehr Geld in ihre Sicherheitssysteme investieren?

Aktuell geben Banken im Durchschnitt 8,2 Prozent ihres IT-Budgets für Cybersicherheit aus. Das ist längst nicht genug. Allein nach dem Motto „viel hilft viel“ zu handeln, funktioniert aber nicht. Das Geld muss auch zielgerichtet eingesetzt werden. Banken sollten daher zunächst analysieren, welche Schwachstellen bestehen und welche Daten und Systeme für Angreifer besonders attraktiv sein könnten.

Verantwortlich ist also die jeweilige IT-Abteilung?

Nein, das reicht nicht aus. IT-Sicherheit muss integraler Bestandteil des täglichen Geschäfts und auch der Unternehmensstrategie werden. Wann immer es Neuerungen in Geschäftsabläufen oder in Technologien gibt, sollten auch die Sicherheitsvorkehrungen überprüft und bei Bedarf angepasst werden.

Wie müssen Sicherheitssysteme konkret gestaltet sein?
Das ist ähnlich wie beim Schutz vor Einbrechern in einem Haus: Es gibt keine hundertprozentige Sicherheit, aber man muss es den Eindringlingen möglichst schwer machen. Je länger der Einbruch in ein Wohnhaus dauert, desto größer ist die Wahrscheinlichkeit, dass die Nachbarn aufmerksam werden und der Einbrecher von seinem Ziel ablässt. Auch ein IT-System ist umso sicherer, je mehr Hürden die Angreifer überwinden müssen. Die Ressourcen der Angreifer sind ebenfalls nicht unbegrenzt. Durch den höheren Zeitaufwand steigt die Entdeckungswahrscheinlichkeit.

Herr Schumacher, vielen Dank für das Interview.

Sponsored / © Handelsblatt Online / WirtschaftsWoche

Passende Veranstaltungen für Sie

Finanzwesen

Insolvenzverfahren aus Gläubigersicht

Seminar / Präsenz
22.02.2024 Frankfurt/M
24.09.2024 Düsseldorf

Inhouse-Seminar anfragen