Banküberfälle machen Schlagzeilen und bewegen die Gemüter - seien sie, was den materiellen Schaden angeht, wirtschaftlich auch noch so unbedeutend. Das allgemeine Interesse am spektakulären Bankraub der Carbanak Gang Anfang des Jahres, bei dem in etlichen Geldinstituten rund um den Globus insgesamt bis zu einer Milliarde Euro erbeutet wurde, hatte sich dagegen schon bald verflüchtigt. Denn es handelte sich um einen internetbasierten Raubzug, der für die menschliche Intuition kaum fassbar ist: keine Schusswaffen, keinerlei rohe Gewalt - die über Monate laufende Plünderung blieb physisch nahezu unsichtbar.
Für die Finanzbranche allerdings ist der Fall ein beängstigendes Beispiel organisierter Cyberkriminalität: Computer ausgesuchter Bankmitarbeiter wurden infiziert und Verhaltensweisen der Angestellten über lange Zeiträume hinweg ausspioniert. Mit diesem Wissen wurden schließlich die Systeme manipuliert: Geld wurde auf andere Bankkonten überwiesen und Geldautomaten zahlten auf einmal hohe Beträge aus.
Als Aufseher der Finanzbranche alarmieren uns solche Fälle zunehmend. Traditionell richtet die Aufsicht ihren Blick auf Solvenz und Liquidität der Kreditinstitute, doch auch Gefahren aus dem Internet können das Onlinebanking oder den Zahlungsverkehr von Banken und Sparkassen technisch zum Erliegen bringen. Mangelnde Cybersicherheit halten einige Branchenkenner sogar für eine mögliche Ursache einer nächsten Finanzkrise. Finanzinstitute stehen daher bei der Cybersicherheit besonders in der Pflicht.
Angreifer haben es vergleichsweise leicht im Netz
In diesem Jahr stellt die IT-Sicherheit deshalb bei bankaufsichtlichen Prüfungen in Deutschland und in europäischen Großbanken einen besonderen Schwerpunkt dar. Die Aufseher von Bundesbank und Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) prüfen dabei konkrete Schutzmaßnahmen wie sorgfältige Planung und Überwachung von IT-Systemen, Zugriffsrechte und das Notfallmanagement. Sie nehmen dieses Sicherheitsrisiko sehr ernst.
Leider hat das Problem noch nicht bei allen Betroffenen eine gebührende Priorität gewonnen. Gewiss müssen einige Widerstände überwunden werden, um über Jahrzehnte gewachsene, oft fragmentierte IT-Strukturen zu modernisieren. Wer aber meint, dass die Risiken der vernetzten Welt das eigene Unternehmen nicht substanziell betreffen, hat ein veraltetes Weltbild. Denn die Banktresore des 21. Jahrhunderts befinden sich auf Festplatten und Servern. Nicht nur der direkte Zugang zu Geld lagert in diesen Tresoren. Kundendaten, die zuletzt in zweistelliger Millionenhöhe bei einer US-Großbank gestohlen wurden, werden auf Schwarzmärkten für viel Geld verkauft. Auch die Verfügbarkeit von IT-basierten Bankdienstleistungen und das Vertrauen der Kunden haben einen Wert für Gesellschaft und Unternehmen.
Angreifer haben es vergleichsweise leicht im Netz. Sie können gezielte Angriffe auf IT-Systeme von überall in der Welt aus starten. Am Laptop bei einer Latte macchiato. Bei einem derart verlockenden Verhältnis von Ertrag und Aufwand wird Cyberkriminalität keine Modeerscheinung bleiben.
Wir müssen uns außerdem auf ständig neue Bedrohungsszenarien einrichten. Die Angriffe sind alles andere als berechenbar. Auf der einen Seite haben sich mit der Digitalisierungswelle im Finanzwesen die Datenmengen sowie die Komplexität und Vernetzung von IT-Systemen potenziert. Auf der anderen Seite entwickeln sich Angriffsmethoden ständig weiter und erfolgreiche Attacken werden sofort weltweit kopiert. Angesichts der großen Innovationskraft bei digitalen Finanzdienstleistungen und immer neuer Technologien bilden sich dauernd neue Angriffsflächen.
Mehr noch: Mit technischen Weiterentwicklungen allein wird man eine Bank nicht umfassend schützen können. Denn der Mensch ist und bleibt eine ständige Herausforderung der IT-Sicherheit. Ob Trojaner, Phishing-Mails oder falsche Eingabemasken - Menschen können prinzipiell getäuscht werden, und das geschieht mit großem Einfallsreichtum. Im Umkehrschluss können Bankmitarbeiter oder externe Dienstleister mit Zugriff auf die IT selbst Systeme manipulieren. Gefragt sind also Lösungen, die vor menschlichen Fehlern und Fehlanreizen schützen.
Banken sind nur ein Glied in der Kette
Cyberrisiken und IT-Sicherheit sind zu einer Managementaufgabe für die Geschäftsführung von Banken geworden. Um risikoadäquat handeln und entscheiden zu können, muss die Geschäftsleitung der Bank zuerst wissen, welches die besonders wertvollen und kritischen Elemente in ihren IT-Systemen sind. Auch das IT-Ökosystem der Bank muss verstanden werden. Hier gibt es keine Strategie-Blaupause für die Unternehmensführung, das richtige Vorgehen muss sich an der jeweiligen Gesamtstrategie ausrichten.
Banken sind aber nur ein Glied in der Kette der digitalisierten Finanzbranche. Auch andere digitale Anbieter von Finanzdienstleitungen wie Internet-Zahlungsdienstleister oder Anlage- und Kreditplattformen sind ebenfalls ein denkbares Einfallstor für Cyberangriffe. Beim digitalen Banking genügt womöglich ein schwaches Glied in der Kette innovativer Anwendungen, um die Sicherheitsbemühungen einer Bank zu konterkarieren. In der zunehmend vernetzten und von gegenseitigen Abhängigkeiten geprägten IT-Welt wird Kooperation wichtiger, um die Verteidigungslinien zu stärken.
Fragmentierte Finanzdienstleistungen könnten den Wettbewerb schüren
Zu begrüßen sind daher beispielsweise Austauschplattformen zwischen der Finanzbranche und dem öffentlichen Sektor - damit nicht jeder jede unangenehme Erfahrung selbst durchmachen muss. Die fragmentierten Finanzdienstleistungsangebote könnten indes auch einen neuen Trend im Wettbewerb schüren, wenn Nachfrage nach sicheren Lösungen aus einer Hand stärker gefragt sein wird.
Hier könnte ein vielversprechendes Tätigkeitsfeld für Banken liegen: Sie haben sich über Jahre das Vertrauen von Kunden bei der Sicherheit und beim Datenschutz erarbeitet. Für Bankenaufseher und Regulierer gilt es sicherzustellen, dass Innovationen nicht im Konflikt mit der Sicherheit der Bankdienstleistungen stehen. Daher müssen auch wir mit den Entwicklungen Schritt halten und immer auf die neuesten Bedrohungsszenarien vorbereitet bleiben.
Zuvorderst gilt aber, dass die Ernsthaftigkeit von Cyberrisiken bis zu den Geschäftsführern aller Banken, zu anderen Finanzdienstleistern und Verbrauchern durchdringt. Der Fall der Carbanak Gang zeigt, dass die Gefahren zwar schwer erkennbar und intuitiv kaum erfassbar sein mögen. Nichtsdestotrotz können sie enorme, möglicherweise systemrelevante Schäden verursachen. Auch ohne Explosion und quietschende Reifen.