Nehmen wir als fiktives Datum den 23. März 2016 – ein Tag vor Gründonnerstag. Es ist 16:05 Uhr und bei den Banken A und B herrscht Wochenendstimmung.*
Die schlecht vorbereitete Bank A verdeutlicht das negative Szenario A:
Der Mitarbeiter V. ist gedanklich schon mit seiner Freizeit beschäftigt. Eilig bearbeitet er die letzten Mails und klickt auf eine angehängte Word-Datei mit dem Namen Rechnung.Von ihm unbemerkt nistet sich hierbei ein bis dato unbekannter und auf Banksysteme spezialisierter Trojaner in das Netzwerk des Geldhauses ein.
Zu den Autoren
Christian Einhaus ist verantwortlich für das OpRisk-Management der IKB Deutsche Industriebank AG in Düsseldorf.
Christian Endreß ist verantwortlich für das Notfall- und Krisenmanagement der IKB Deutsche Industriebank AG in Düsseldorf.
Durch die Ausnutzung von Software-Schwachstellen, so genannten zero-day-exploits, und einen unzureichenden Aktualisierungstand des Bankenkernsystems erlangt die Schadsoftware Zugriff auf Kundenkonten und ist in der Lage, internationale Überweisungen durchzuführen. Kurz vor dem Annahmeschluss für Aufträge werden insgesamt mehrere Millionen Euro von zahlreichen Konten über das EURO-Land Zypern auf die Britischen Jungferninseln überwiesen. Der weitere Weg des Geldes ist mangels Kooperation der internationalen Banken und Behörden nicht mehr nachzuvollziehen.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Mitarbeiter M. bemerkt kurz vor Feierabend eine Auffälligkeit im IT-System der Bank und versucht die IT-Hotline zu erreichen, was jedoch zu keinem Erfolg führt. Auch die Vorgesetzten des Mitarbeiters befinden sich bereits auf dem Weg ins lange Wochenende. M. geht nach Hause und denkt sich: „Es wird schon nicht so schlimm sein. Bislang ist ja auch nichts passiert in der Bank.“
Am 29. März häufen sich die Gerüchte, dass ein Computervirus das System der Bank infiltriert hat. Die IT-Abteilung hat zwischenzeitlich ebenfalls mehrere Indizien für ein Ereignis.
Nach einer anfänglichen Ratlosigkeit erkennt man nun Handlungsbedarf. Doch was ist zu tun? Welche Meldewege gibt es? Ist der Vorstand zu informieren? Ein einheitliches Meldesystem sieht die Bank A nicht vor. Notfallpläne sind schon lange nicht mehr auf den aktuellen Stand gebracht worden. Für ein Krisenmanagement wurde bislang kein Bedarf gesehen.
Es wird ein provisorischer Krisenstab gebildet. Das Krisenmanagement funktioniert nicht, da die Abläufe und das Zusammenspiel nicht bekannt sind. Parallel tauchen vor dem Hintergrund der gerade überwundenen Finanzmarktkrise am Markt Gerüchte auf, dass die betroffene Bank durch den massiven Mittelabfluss in eine Liquiditätsklemme geraten sein könnte.
Kunden und sonstige Stakeholder sind durch die mediale Berichterstattung und „Horrorgeschichten“ in den Sozialen Medien verunsichert. Viele Kunden, die selbst nicht betroffen sind, kündigen ihr Vertragsverhältnis. Der Reputationsschaden für das Bankhaus ist massiv.
Die gut vorbereitete Bank B verfügt über ein angemessenes Notfall- und Krisenmanagement und verdeutlicht das positive Szenario B:
Auch hier herrscht Vorfreude auf das lange Wochenende. Allerdings konnte der Computervirus bei dieser Bank ebenfalls erfolgreich in das System eingebracht werden. Frau L., die im Zahlungsverkehr tätig ist, stellt eine Auffälligkeit fest und informiert die IT. Die IT ist zunächst ratlos, eskaliert das Ereignis aber vorsorglich an das Notfallmanagement. Problematik und Brisanz des Ereignisses werden zügig erkannt.
Bedingt durch den monetären Schaden sowie den drohenden Reputationsschaden aktiviert das Notfallmanagement den Krisenstab. Auf die wesentlichen Maßnahmen ist die Bank vorbereitet. Eine Strategie für die Krisenkommunikation ist vorhanden.
Häufige Trainings machen sich nun bezahlt: Die Abläufe des Krisenmanagements funktionieren einwandfrei. Das Management informiert die betroffenen Kunden und weitere wesentliche Stakeholder wie Aufsichtsbehörden und Refinanzierungspartner adressatengerecht.
Insbesondere die zur Zahlungsfähigkeit der Bank zur Verfügung gestellten Informationen sind so überzeugend, dass keine Marktgerüchte entstehen. Durch die offene und vertrauensvolle Zusammenarbeit mit den Sicherheitsbehörden verläuft die Kooperation auch in diesem Fall reibungslos. Das gute Krisenmanagement dieser Bank hat dazu geführt, dass kein Vertrauensverlust beziehungsweise Reputationsschaden entstanden ist.
