Das BSI geht davon aus, dass sich die Angriffsmethoden auf das Finanzwesen grundsätzlich nicht von den Hackerattacken auf andere Branchen unterscheiden. Aber Unternehmen aus dem Finanzwesen würden als sehr lukrative Ziele angesehen, so dass diese verstärkt im Fokus der Angreifer lägen. „Eine gängige Methode ist etwa der sogenannte „CEO-Fraud“, bei dem vorrangig Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen adressiert werden, die berechtigt sind, Finanztransaktionen für das Unternehmen durchzuführen.“
„Diese Mitarbeiter werden vermeintlich vom Vorstand, Geschäftsführer oder einer sonstigen Führungskraft des eigenen Unternehmens telefonisch oder per E-Mail angewiesen, eine größere Summe von einem Geschäftskonto auf ein fremdes Konto zu überweisen. Dabei wird das Opfer oft unter Zeitdruck gesetzt und zur Verschwiegenheit angewiesen, da es sich vorgeblich um ein geheimes oder vertrauliches Projekt handelt. Die Anzahl der Finanztransaktionen und die Anzahl der Mitarbeiter, die Transaktionen durchführen dürfen, ist im Finanzsektor besonders hoch.“
Einen typischen Verlauf eines Hackerangriffs gebe es indessen nicht. Das Bundesamt ist dabei sogar selbst in der Opferrolle: Im eigenen Lagebericht 2018 des BSI heißt es: „Dem BSI wurde Anfang 2018 gemeldet, dass sich gefälschte E-Mails mit BSI-Absender im Umlauf befänden. Sie enthielten Informationen zum Thema „Spectre/Meltdown“ sowie einen Link zu einer Nachbildung der 'BSI für Bürger'-Webseite. Die URL wies Ähnlichkeit zu offiziellen BSI-URLs auf. Auf der gefälschten Webseite wurde dem Benutzer eine als Update-Tool getarnte Schadsoftware angeboten. ... Die Webseite selbst war eine Kopie der 'BSI für Bürger'-Webseite inklusive eines gültigen SSL-Zertifikates (für eine verschlüsselte Übertragung, Anm. d. Red.), welches für diese Betrugsseite selbst ausgestellt war.“
Das Mobile Banking per Smartphone sei Stand der Dinge bei der aktuellen Cybersicherheit in der Finanzbranche (zum Beispiel für Banken, Online-Broker, Roboter-Adviser) und laut BSI eine vergleichsweise sichere Technologie. Der vorherrschende technische Standard NFC (Nearfield Communication) – also die kontaktlose Kommunikation im Nahfeldbereich – sei standardisiert. Zusätzlich würden die Daten zwischen Smartphone und Datenterminal am Verkaufsort nicht eins zu eins übertragen, sondern als Token, also einem Code, der nur für diesen einen, aktuellen Bezahlvorgang gelte.
Über den Leitfaden für die Fondsbranche bricht beim BSI allerdings kaum Begeisterung aus. So beurteilt das BSI die vorgeschlagenen Maßnahmen des BVI-Leitfadens: „Viele der im Papier genannten Maßnahmen decken sich mit Empfehlungen, die das BSI zum Teil bereits seit vielen Jahren im Rahmen des IT-Grundschutz thematisiert und veröffentlicht hat.“
Die Empfehlungen also nichts Neues. Woran es in der Finanzbranche offenbar noch mangelt, sind der Wille und die nötigen personellen und finanziellen Ressourcen, um den Hackern eine entsprechend sichere Infrastruktur und Kontrollmechanismen entgegenzusetzen. Sich auf die Behörden zu verlassen, dürfte jedenfalls zu wenig sein. Zu Fragen in Bezug auf mehr oder weniger erfolgreiche Zugriffe von Sicherheitsbehörden auf die Angreifer konnte oder wollte das Bundesamt leider keine Angaben machen.
