Kehrtwende bei der deutschen Finanzaufsicht: Die Bafin rückt Cyberattacken und IT-Pannen als die größten Risiken für den Finanzsektor in den Mittelpunkt. "Wir haben das Gefühl, diese Attacken kommen immer näher ans Herz des Finanzsystems, wir müssen alles tun, um das abzuwehren", sagte Bafin-Präsident Mark Branson am Dienstag auf der Jahrespressekonferenz der Aufsicht. "Wir werden neu eine Cyberlage für die Finanzwirtschaft erstellen und noch häufiger Hacker-Attacken simulieren."
Vor Jahresfrist hatte sich Branson noch vor allem um die allgemeine Finanzstabilität in Deutschland gesorgt - kein Wunder nach der Regionalbankenkrise in den USA und der Notübernahme der Credit Suisse. Doch inzwischen, so scheint es, sind die Gefahren der hohen Leitzinsen und des Immobilienmarkts fürs Erste gebannt. Jetzt steht die Sicherheit der technischen Systeme im Fokus. "Die Unternehmen des Finanzsektors müssen resilient sein - gegen finanzielle und operationelle Risiken", forderte er.
Als ein Beispiel nannte er den Angriff der Hackergruppe Clop im vergangenen Sommer. "Sie nutzte eine Schwachstelle im Datentransferprogramm Move-IT", sagte Branson. Weltweit seien Tausende Unternehmen und deren Kundinnen und Kunden von Datenlecks betroffen gewesen. "Darunter auch zahlreiche deutsche Finanzinstitute und Versicherer, die mit Dienstleistern im Kundenservice zusammenarbeiten, die dieses Programm nutzen." In diesem Fall landeten auch die Kontodaten tausender Kunden von ING, Postbank, Deutscher Bank und anderen Instituten im Darknet, die einen bestimmten Kontowechsel-Service genutzt hatten - ein ziemlicher Schock für viele Bankkunden.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gerade vor einer nie dagewesenen Bedrohungslage bei Cyberangriffen gewarnt. Betroffen seien Behörden und Unternehmen - auch der Finanzsektor. "Wir sehen eine steigende Zahl an Schwachstellen in Software-Produkten, die Cyber-Angriffe erst möglich machen", sagte Bundesamtschefin Claudia Plattner. Kriminelle nutzen diese Schwächen auch hierzulande gnadenlos aus, dazu kämen politisch motivierte Attacken von Hackern aus Russland, als Reaktion auf die Militärhilfen für die Ukraine.
Leere Konten bei Commerzbank-Kunden
Sorgen bereitet der Bafin auch die Auslagerung von Dienstleistungen an externe Anbieter. Bei der Commerzbank hatten zuletzt Kriminelle wegen des Fehlers eines Dienstleisters die Konten von mehr als hundert Kunden geräumt und einen zweistelligen Millionenbetrag abgehoben. Die Commerzbank hat die Kunden entschädigt, prüft aber seither, ob sie zusätzliche Sicherheitsmaßnahmen im Umgang mit externen Dienstleistern ergreifen müsse. Solche Vorkehrungen fordert die Bafin künftig vom gesamten Bankensektor.
Banken sollten daher Investitionen
in die Cyber-Abwehr nicht vernachlässigen, so Branson. Geld genug ist wohl da: Zuletzt dürften Deutschlands Großbanken den höchsten Gewinn seit 25 Jahren eingefahren haben, so das Analysehaus Barkow Consulting. "Von den Gewinnen sollten nicht nur Aktionäre profitieren. Die Unternehmen müssen auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren", sagte Branson. Banken sollten sicherstellen, dass die Systeme vor Angriffen geschützt sind.
Damit dürfte er vor allem Commerzbank und Deutsche Bank ansprechen, die beide eine höhere Dividende in Aussicht gestellt haben und auch im großen Stil Aktien zurückkaufen. Die hohen Gewinne der Banken stammen derzeit weniger aus florierendem Kunden-Kreditgeschäft oder Absatzrekorden mit Wertpapieren, sondern speisen sich stark aus leistungslosen Milliardengewinnen, Branson sprach von einer Sonderkonjunktur. Der Grund: Die Zinswende bringt es mit sich, dass die Notenbanken viele Milliarden Zinsen an die Banken zahlen. Diese "Übergewinne" schütten die Institute zwar weitgehend an die Aktionäre aus. Im Zweifel aber könne die Bafin einschreiten, sagte Branson, denn Aktienrückkäufe müssen genehmigt werden.
Zuletzt häuften sich auch IT-Pannen, bei denen es gar keinen Hacker brauchte. Allen voran die Deutsche-Bank-Tochter Postbank kämpft seit einer IT-Migration im vergangenen Jahr mit massiven Problemen. Die Bankführung wollte die lange geplante Migration der Postbank-Daten in einer Art Billigvariante durchziehen und hatte ausgerechnet an Personal in den Callcentern gespart. In der Praxis hieß das, dass tausende Kunden zum Teil wochenlang nicht an ihre Konten herankamen. Und weil sich irgendwann auch derart viele Kunden bei der Bafin beschwert hatten, musste die Aufsicht sogar einen Sonderaufpasser zur Deutschen Bank schicken. Noch immer sind die Probleme dort nicht vollständig gelöst.
