Die jüngste Mahnung an die Mitarbeiter der Europäischen Zentralbank (EZB) war unmissverständlich. Man solle doch darauf achten, keine privaten USB-Sticks zu benutzen, weil diese Massenspeicher mit gefährlichen Computerviren infiziert sein könnten, heißt es in einem Schreiben im EZB-Intranet, das der Süddeutschen Zeitung vorliegt. Mit einer rhetorischen Frage an die Belegschaft wollte man die Dringlichkeit verdeutlichen: "Gibt es EZB-Mitarbeiter, die unberechtigte Datenträger in ihren Arbeitscomputer stecken?" Die unbefriedigende Antwort gab die hauseigene IT-Abteilung gleich mit: "Ja, im Durchschnitt entfernen wir von USB-Steckern 7000 infizierte Dateien pro Jahr."
Die EZB ist für internationale Cyber-Kriminelle ein ständiges Angriffsziel. Bei der Zentralbank lagern als verantwortlicher Bankenaufsichtsbehörde geheime Informationen zu den größten Banken in Europa, die dort auch ein Konto führen. Gleichzeitig kauft die EZB an den Börsen Anleihen im Wert von 1,7 Billionen Euro. In keinen dieser sensiblen Bereiche sollten Hacker eindringen können. Die EZB gibt Europas Banken konkrete Anweisungen, wie die Institute ihren Kampf gegen Cyber-Angriffe verstärken sollen. Gleichzeitig geht die EZB fast schon fahrlässig mit dem eigenen Schutz um. "Grundsätzlich ist es aus IT-Sicherheitssicht unverantwortlich, private USB-Sticks an firmeninterne Computer anzuschließen", sagt Götz Schartner, Geschäftsführer der IT-Sicherheitsfirma 8-com.
Viele EZB-Mitarbeiter nehmen ihre Arbeit mit nach Hause und laden dazu Dokumente auf ihren privaten USB-Stecker, und das obwohl die Zentralbank verschlüsselte Datenträger zur Verfügung stellt. Man müsste sie sich nur abholen. Doch auch diese Datenträger sind nicht hundertprozentig sicher. Die Verschlüsselung dient nur dazu, dass andere Personen den Inhalt nicht auslesen können, wenn der Mitarbeiter den Datenträger verliert. Auch die USB-Sticks der EZB können infiziert werden, wenn man diese zu Hause am eigenen, potenziell virenverseuchten PC anschließt. Das passiert immer noch viel zu häufig. "Das beste Sicherheitssystem hilft wenig, wenn es durch Mitarbeiter umgangen wird. Dies beginnt bereits bei der Nutzung offener USB-Ports mit privaten Geräten", sagt Roger Halbheer, IT-Sicherheitsexperte bei Accenture. Ein Sprecher der EZB teilte mit, dass "die Nutzung privater USB-Sticks an Computern der EZB verboten ist". Zusätzlich gebe es technische Kontrollen, um auf Bedrohungen zu reagieren, die vom Gebrauch unautorisierter USB-Stecker ausgingen.
Die Nutzung privater USB-Stecker sei aus IT-Sicherheitssicht unverantwortlich, so ein Experte
Zahlreiche Hacker-Attacken auf Großbanken und der erfolgreiche Cyber-Angriff auf die Zentralbank Bangladeschs haben die Finanzbranche weltweit aufgeschreckt. In Bangladesch erbeuteten Angreifer über das internationale Zahlungsverkehrssystem Swift 81 Millionen Dollar.
Die EZB weiß, wie es sich anfühlt, wenn ein "IT-Desaster" passiert.
Im Jahr 2013 gingen nach einem Brandalarm im Raum, wo die Notfall-Server der EZB stehen, große Datenmengen verloren. Die Festplatten seien durch den starken Druck von Löschgas zerstört worden. Die EZB wollte diesen Vorfall nicht kommentieren.
Eigentlich müsste die EZB den Computerzugang für firmenfremde Datenträger sperren. Das wäre technisch kein Problem, und ist in vielen Geschäftsbanken und Industrieunternehmen Standard, um die Cyber- Risiken zu minimieren. Doch die Zentralbank ziert sich. Dabei gibt es in Unternehmen immer wieder Fälle, in denen Kriminelle USB-Sticks gezielt auf dem Firmengelände liegen lassen, in der Hoffnung, dass sie ein Mitarbeiter einsteckt und die Hacker dadurch Zugriff auf das Datennetzwerk bekommen.
Daher werden EZB-Mitarbeiter auch in Zukunft via Intranet gute Ratschläge erhalten, etwa wie diesen: "Nutze den gesunden Menschenverstand. Wenn du einen USB-Stick findest, gib ihn zur Überprüfung an die IT-Abteilung."