WiWo App 1 Monat für nur 0,99 €
Anzeigen

Cyberkriminalität Die Finanzbranche muss vor Hackern zittern

Nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich die Gefährdung durch Cyberkriminalität für Finanzdienstleister erhöht. Quelle: dpa

Die Gefährdung durch Cyberkriminalität hat sich für Finanzdienstleister erhöht, weltweit beläuft sich der Schaden auf geschätzte 600 Milliarden Dollar. Reicht da ein Leitfaden des Fondsverbands zum Schutz vor Hackern?

  • Artikel teilen per:
  • Artikel teilen per:

Das „Security Center of Excellence“ des Telekommunikationskonzerns NTT Group hat es bereits in seinem Report über globale Bedrohungen (Global Threat Intelligence Report) im Frühjahr 2019 dokumentiert: der Finanzsektor ist die im Wirtschaftsraum Europa, Naher Osten und Afrika am häufigsten angegriffene Branche. Kai Grunwitz, Topmanager bei NTT Security, erklärt: „Die Finanzbranche ist wieder einmal an der Spitze, wenn es um gezielte Angriffe geht. Diese Tatsache sollte genügen, um das Management davon zu überzeugen, dass Investitionen in die Cyber-Sicherheit ein absolutes Muss sind. Viele Finanzunternehmen bewegen sich zwar mit der digitalen Transformation vorwärts, leider aber ohne integrierte Sicherheit.“

Der BVI reagiert mit einem Leitfaden für Fondsgesellschaften

Dass die Risiken durch Hackerangriffe für Finanzdienstleister zunehmen, dürfte auch dem Bundesverband für Investmentfonds (BVI) nicht neu sein, denn ohne Grund wird die Standesvereinigung der Fondgesellschaften in Deutschland seinen Mitgliedern nicht gleich ein ganzes Bündel an Empfehlungen an die Hand gegeben haben, wie sich diese gegen Cyberkriminalität zur Wehr setzen können. Das BVI hat dabei festgestellt: „Cyberkriminalität verursacht immer größere Schäden in der globalen Volkswirtschaft. Schätzungen gehen von weltweit jährlich 600 Milliarden US-Dollar aus."

600 Milliarden – Geld, das eigentlich auch Kunden und Anlegern zugute kommen könnte. Und das Risiko, dass die Schäden weiter steigen, nimmt zu. "Die Angreifer werden immer professioneller, sowohl was die Organisationsstruktur als auch die Qualität der Angriffe betrifft“, konstatiert der BVI.

Nun soll ein Leitfaden die Fondsgesellschaften bei der Formulierung und Umsetzung ihrer Cyber-Sicherheitsstrategie unterstützen. Der BVI empfiehlt:

- den Cyberrisiko-Informationsaustausch optimieren

- die Cybersicherheits-IT-Standards und deren Umsetzung im Asset Management voranbringen

- Cybersicherheits-Lösungen für Aus- und Weiterbildung und Reporting gemeinsam organisieren

- abgestimmte Cyber-Abwehrmaßnahmen zwischen Kapitalverwaltungsgesellschaften, Aufsicht und Dienstleistern unterstützen

Gefährdungslage hat neues Niveau erreicht

Auf Anfrage der WirtschaftWoche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), das seit einigen Jahren Daten über Hacker-Angriffe sammelt, darauf hingewiesen, dass die Gefährdungslage im Bereich der Cyber-Sicherheit in Deutschland in den vergangenen Monaten generell „vielschichtiger" geworden sei. Dies gelte auch für die Finanzbranche. Bekannte Angriffe mit sprechenden Namen wie WannaCry, NotPetya, Efail oder Spectre/Meltdown seien Ausdruck einer neuen Qualität von Cyber-Angriffen und IT-Sicherheitsvorfällen. Gleichzeitig schreite die Digitalisierung und Vernetzung von IT-Systemen voran, wodurch sich die potenzielle Angriffsfläche und auch die Abhängigkeit von funktionierenden IT-Systemen täglich vergrößere.

So verhindern Sie Cyber-Angriffe

Das BSI weiter: „Diese Kombination aus neuer Angriffsqualität und zunehmender Digitalisierung hebt die Gefährdungslage auf ein neues Niveau, mit der sich auch Finanzdienstleister auseinandersetzen und sich entsprechend aufstellen müssen. Aufgrund der Regelungen des IT-Sicherheitsgesetzes sind bestimmte Betreiber kritischer Infrastrukturen verpflichtet, IT-Sicherheitsvorfälle dem BSI zu melden.“ In den vergangenen zwölf Monaten (Juli 2018 bis Juni 2019) entfielen laut BSI demnach 28 Prozent aller Pflichtmeldungen auf den Sektor Finanzwesen. „Das Meldeaufkommen in diesem Sektor ist damit am höchsten“, so das BSI.

Wenn der vermeintliche Chef Überweisungen anordnet

Das BSI geht davon aus, dass sich die Angriffsmethoden auf das Finanzwesen grundsätzlich nicht von den Hackerattacken auf andere Branchen unterscheiden. Aber Unternehmen aus dem Finanzwesen würden als sehr lukrative Ziele angesehen, so dass diese verstärkt im Fokus der Angreifer lägen. „Eine gängige Methode ist etwa der sogenannte „CEO-Fraud“, bei dem vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert werden, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen.“

„Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Die Anzahl der Finanztransaktionen und die Anzahl der Mitarbeiter, die Transaktionen durchführen dürfen, ist im Finanzsektor besonders hoch.“

Einen typischen Verlauf eines Hackerangriffs gebe es indessen nicht. Das Bundesamt ist dabei sogar selbst in der Opferrolle: Im eigenen Lagebericht 2018 des BSI heißt es: „Dem BSI wurde Anfang 2018 gemeldet, dass sich gefälschte E-Mails mit BSI-Absender im Umlauf befänden. Sie enthielten Informationen zum Thema „Spectre/Meltdown“ sowie einen Link zu einer Nachbildung der 'BSI für Bürger'-Webseite. Die URL wies Ähnlichkeit zu offiziellen BSI-URLs auf. Auf der gefälschten Webseite wurde dem Benutzer eine als Update-Tool getarnte Schadsoftware angeboten. ... Die Webseite selbst war eine Kopie der 'BSI für Bürger'-Webseite inklusive eines gültigen SSL-Zertifikates (für eine verschlüsselte Übertragung, Anm. d. Red.), welches für diese Betrugsseite selbst ausgestellt war.“

Das Mobile Banking per Smartphone sei Stand der Dinge bei der aktuellen Cybersicherheit in der Finanzbranche (zum Beispiel für Banken, Online-Broker, Roboter-Adviser) und laut BSI eine vergleichsweise sichere Technologie. Der vorherrschende technische Standard NFC (Nearfield Communication) – also die kontaktlose Kommunikation im Nahfeldbereich – sei standardisiert. Zusätzlich würden die Daten zwischen Smartphone und Datenterminal am Verkaufsort nicht eins zu eins übertragen, sondern als Token, also einem Code, der nur für diesen einen, aktuellen Bezahlvorgang gelte.

Über den Leitfaden für die Fondsbranche bricht beim BSI allerdings kaum Begeisterung aus. So beurteilt das BSI die vorgeschlagenen Maßnahmen des BVI-Leitfadens: „Viele der im Papier genannten Maßnahmen decken sich mit Empfehlungen, die das BSI zum Teil bereits seit vielen Jahren im Rahmen des IT-Grundschutz thematisiert und veröffentlicht hat.“

Die Empfehlungen also nichts Neues. Woran es in der Finanzbranche offenbar noch mangelt, sind der Wille und die nötigen personellen und finanziellen Ressourcen, um den Hackern eine entsprechend sichere Infrastruktur und Kontrollmechanismen entgegenzusetzen. Sich auf die Behörden zu verlassen, dürfte jedenfalls zu wenig sein. Zu Fragen in Bezug auf mehr oder weniger erfolgreiche Zugriffe von Sicherheitsbehörden auf die Angreifer konnte oder wollte das Bundesamt leider keine Angaben machen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%