Es gibt kaum eine Branche, in der Sicherheit einen derart hohen Stellenwert hat wie im Bankensektor. Trotzdem gelingt es Hacker:innen immer wieder mit raffinierten Methoden an vertrauliche Daten zu gelangen. Und das betrifft längst nicht nur leichtfertige Kund:innen, die durch Phishing-Mails dazu verleitet werden, ihre Zugangsdaten weiterzugeben oder Echtzeitüberweisungen zu tätigen. Auch die Sicherheitssysteme der Banken selbst werden von Cyberkriminellen gezielt attackiert und immer häufiger durchbrochen. Zum Vergleich: 2016 gelang es lediglich 14% der Attacken die Perimeter der angegriffenen Bank zu überwinden. 2022 waren bereits 30% der Angriffe erfolgreich.

Aufsehen erregte 2020 zum Beispiel ein Cyber-Angriff auf die DKB, Deutschlands zweitgrösste Direktbank. Hacker:innen hatten die Systeme eines externen IT-Dienstleisters attackiert und so die Homepage der Bank lahmgelegt. Daten wurden zwar nicht entwendet. Aber einen ganzen Tag lang waren die Online-Services der Bank nicht nutzbar. Ein grosses Ärgernis für die Kundschaft und ein massiver Schaden für die Reputation der Bank.

Fälle wie diese sind nur die sprichwörtliche Spitze des Eisbergs. Eine Studie der Carnegie Stiftung belegt, dass Cyber-Angriffe auf Banken keine Seltenheit sind. Doch längst nicht alle Vorfälle gelangen an das Licht der Öffentlichkeit. Die Verfasser:innen der Studie gehen von einer grundsätzlich hohen Dunkelziffer in diesem Bereich aus. Außerdem wird ihrer Meinung nach die Finanzbranche in den kommenden Jahren ein bevorzugtes Ziel von Cyber-Attacken bleiben.

Aktuelle Cyber-Risiken in der Finanzbranche
Ob Großbank, Regionalbank oder Genossenschaftsbank – sie alle haben in den letzten Jahren erlebt, wie sich durch veränderte Geschäftsmodelle, technologische Weiterentwicklung und hybride Arbeitsweisen die Angriffsflächen auf sensible und/oder vertrauliche Bankdaten vervielfältigt haben. Das sind einige der relevantesten Bedrohungsvektoren:

• DDoS-Angriffe: Nicht immer hat eine Attacke das Ziel, den Perimeter einer Bank zu durchbrechen. Oft reicht es den Angreifenden, die Verfügbarkeit von Services zu unterbrechen. Neben Ransomware spielen hier vor allem Distributed Denial-of-Service-Attacken eine zentrale Rolle. Bei einem solchen Angriff wird versucht, die Online-Dienste einer Bank lahmzulegen, indem diese mit einer grossen Anzahl von Anfragen überlastet werden.

• Insider-Bedrohungen: Insbesondere im Bereich Investment und Retail Banking können Bedrohungen auch von internen Mitarbeitenden ausgehen. Einerseits durch unbeabsichtigtes Fehlverhalten, wie der Installation eines schadhaften Software-Updates. Andererseits können Details zu Geschäftsbeziehungen oder interne Geschäftsstrategien auch durch explizit böswillige Absichten geleakt werden.

• Unsichere Drittanbieter: Ob Cloud-Lösungen oder Managed Services Provider – oft arbeiten Banken mit externen Dienstleistern zusammen. Eine Schwachstelle bei einem dieser Drittanbieter kann sich auch negativ auf die Sicherheit einer Bank auswirken. Ein prominentes Beispiel für dieses Szenario ist der Solar Winds Hack, bei dem u.a. zahlreiche Banken und Finanzaufsichtsbehörden betroffen waren.

• Hybride Arbeitsweisen: Mit der Pandemie wurde in vielen Banken möglich, was bisher undenkbar schien: Bankmitarbeitende beraten Kund:innen vom Homeoffice aus. Dafür ist in der Regel ein Zugriff auf Kundendaten bzw. andere privilegierte Daten nötig. In einem solchen Szenario ist Data Leakage ein zentrales Thema.

Wie Banken Cyber-Resilienz managen können
Cyber-Security ist für Banken definitiv kein Neuland. Allerdings werden die Angriffe immer raffinierter, z.B. wenn Kriminelle KI einsetzen, um Angriffs-Skripte schneller verfassen zu können. Solche innovativen Angriffsszenarien erfordern auf Seite der Banken ebenso moderne wie agile Abwehrmechanismen. Daher ist die Finanzbranche gut beraten, Cyber-Resilienz bei allen Projekten gleich von Beginn an mitzudenken und dabei stets diesen drei Ebenen zu berücksichtigen: Technologie, Prozesse und Personen.

Mit Blick auf die Ebene der Technologie bietet vor allem die Cloud Finanzinstituten attraktive Möglichkeiten, um Governance und Compliance aktiv zu managen. Im Zusammenspiel mit KI kann Schwarmintelligenz dabei helfen, komplexe Attacken und Angriffsmuster frühzeitig zu erkennen. Gleichzeitig können auch Massnahmen zur Real Time Fraud Detection ergriffen werden z.B. die Überweisung von Geldbeträgen auf Überseekonten an zusätzliche Authentifizierungsverfahren zu koppeln. Dabei lohnt es sich für Banken, auf die Sicherheitslösungen eines Cloud-Providers zuzugreifen. Denn hier können sie auf moderne Sicherheitsfeatures zugreifen, ohne eigenes Budget für den Aufbau von Sicherheitsstandards und Updates in die Hand nehmen zu müssen. Microsoft Cloud for Financial Services z.B. bietet einen sehr hohen Industriestandard und eine erprobte End-to-End-Lösung für Banken, die alle relevanten Security-Bereiche abdeckt – vom Identity Management, über Zwei-Faktor-Authentisierung bis hin zu Policy-Themen.

Was viele Banken beim Thema Cyber-Resilienz vernachlässigen ist die Ebene der Mitarbeitenden. Ein gravierender Fehler. Denn in der Regel sind Menschen einfacher zu manipulieren als eine Firewall. Einer Studie zufolge gehen 74% aller Sicherheitsverletzungen auf menschliche Schwächen zurück. Darum ist es für jede Form von Cyber-Resilienz elementar, innerhalb der Belegschaft eine Aufmerksamkeit für das Thema zu erzeugen z.B. durch Awarness-Schulungen und Unterlagen. Aber auch bei der Implementierung von Sicherheitstechnologie ist es wichtig, den menschlichen Faktor im Auge zu behalten. Banken müssen hier eine Balance finden zwischen einer strengen Zugangsmassnahmen auf der einen Seite und andererseits einer User Experience, die auf Akzeptanz stösst.

Auf der letzten Ebene ist es wichtig zu beachten, dass Cyber-Resilienz ein ständiger Prozess ist, da sich Angriffs- und Bedrohungsszenarien immerzu ändern. Daher muss es im Unternehmen klare Strukturen geben, die dafür sorgen, dass Entwicklungen im Bereich Cyber-Crime gesehen, Sicherheitslücken erkannt und Anpassungsbedarf mit dem Management Board regelmässig besprochen werden. Ausserdem benötigen Unternehmen auch klare Strategien für den Ernstfall – denn dann kommt es vor allem auf Schnelligkeit an.

Sie möchten mehr zum Thema erfahren? Dann nehmen Sie gerne mit mir über LinkedIN oder per E-Mail Kontakt auf.