Navigation und Service

Deutsche Bundesbank (zur Startseite)

Moderner Banküberfall

Gastbeitrag von Dr. Andreas Dombret in der Süddeutschen Zeitung am 31.08.2015

Banküberfälle machen Schlagzeilen und bewegen die Gemüter – seien sie was den materiellen Schaden angeht, wirtschaftlich auch noch so unbedeutend. Das allgemeine Interesse am spektakulären Bankraub der Carbanak Gang Anfang des Jahres, bei dem in etlichen Geldinstituten rund um den Globus insgesamt bis zu einer Milliarde Euro erbeutet wurde, hatte sich dagegen schon bald verflüchtigt. Denn es handelte sich um einen internetbasierten Raubzug, der für die menschliche Intuition kaum fassbar ist: Keine Schusswaffen, keinerlei rohe Gewalt -  die über Monate laufende Plünderung blieb physisch nahezu unsichtbar. Für die Finanzbranche allerdings ist der Fall ein beängstigendes Beispiel organisierter Cyberkriminalität: Computer ausgesuchter Bankmitarbeiter wurden infiziert und Verhaltensweisen der Angestellten über lange Zeiträume hinweg ausspioniert. Mit diesem Wissen wurden schließlich die Systeme manipuliert: Geld wurde auf andere Bankkonten überwiesen und Geldautomaten zahlten auf einmal hohe Beträge aus.

Als Aufseher der Finanzbranche alarmieren uns solche Fälle zunehmend. Traditionell richtet die Aufsicht ihren Blick auf Solvenz und Liquidität der Kreditinstitute, doch Gefahren aus dem Internet können beispielsweise das Onlinebanking oder den Zahlungsverkehr von Banken und Sparkassen auch technisch zum Erliegen bringen. Mangelnde Cybersicherheit halten einige Branchenkenner sogar für eine mögliche Ursache einer nächsten Finanzkrise. Finanzinstitute stehen daher bei der Cybersicherheit besonders in der Pflicht. In diesem Jahr stellt die IT-Sicherheit deshalb bei bankaufsichtlichen Prüfungen in Deutschland und in europäischen Großbanken auch einen besonderen Schwerpunkt dar. Die Aufseher von Bundesbank und BaFin prüfen dabei konkrete Schutzmaßnahmen wie sorgfältige Planung und Überwachung von IT-Systemen, Zugriffsrechte und das Notfallmanagement. Wir nehmen dieses Sicherheitsrisiko sehr ernst.

Leider hat das Problem noch nicht bei allen Betroffenen eine gebührende Priorität gewonnen. Gewiss müssen einige Widerstände überwunden werden, um über Jahrzehnte gewachsene, oft fragmentierte IT-Strukturen zu modernisieren. Wer aber meint, dass die Risiken der vernetzten Welt  das eigene Unternehmen nicht substanziell betreffen, hat offenkundig ein veraltetes Weltbild vor Augen. Denn die Banktresore des 21. Jahrhunderts befinden sich auf Festplatten und Servern. Nicht nur der direkte Zugang zu Geld lagert in diesen Tresoren. Kundendaten, die zuletzt in zweistelliger Millionenhöhe bei einer amerikanischen Großbank gestohlen wurden, werden auf Schwarzmärkten für viel Geld verkauft. Auch die Verfügbarkeit von IT-basierten Bankdienstleistungen und das Vertrauen der Kunden haben einen Wert für die Gesellschaft und das Unternehmen. Angreifer haben es vergleichsweise leicht im Netz. Sie können gezielte Angriffe auf IT-Systeme heutzutage von überall in der Welt aus starten. Am Laptop bei einer Latte Macchiato. Bei einem derart verlockenden Verhältnis von Ertrag und Aufwand wird Cyberkriminalität keine Modeerscheinung bleiben. 

Wir müssen uns außerdem auf ständig neue Bedrohungsszenarien einrichten. Die Angriffe sind alles andere als berechenbar. Auf der einen Seite haben sich mit der Digitalisierungswelle im Finanzwesen die Datenmengen sowie die Komplexität und Vernetzung von IT-Systemen potenziert. Auf der anderen Seite entwickeln sich Angriffsmethoden ständig weiter und erfolgreiche Attacken werden sofort weltweit kopiert. Angesichts der großen Innovationskraft bei digitalen Finanzdienstleistungen und immer neuer Technologien bilden sich auch dauernd neue Angriffsflächen. 

Mehr noch: Mit technischen Weiterentwicklungen allein wird man eine Bank nicht umfassend schützen können. Denn der Mensch ist und bleibt eine ständige Herausforderung  der IT-Sicherheit. Ob Trojaner, Phishing-Mails oder falsche Eingabemasken – Menschen können prinzipiell getäuscht werden, und das geschieht mittlerweile mit großem Einfallsreichtum. Im Umkehrschluss können Bankmitarbeiter oder externe Dienstleister mit Zugriff auf die IT selbst Systeme manipulieren oder sabotieren. Gefragt sind also Lösungen, die vor menschlichen Fehlern und Fehlanreizen schützen.

Cyberrisiken und IT-Sicherheit insgesamt sind daher mittlerweile zu einer Managementaufgabe für die Geschäftsführung von Banken  geworden. Um risiko-adäquat handeln und entscheiden zu können, muss die Geschäftsleitung der Bank zuerst wissen, welches die besonders wertvollen und kritischen Elemente in ihren IT-Systemen sind. Auch das IT-Ökosystem der Bank muss verstanden werden. Hier gibt es keine Strategie-Blaupause für die Unternehmensführung, das richtige Vorgehen muss sich an der jeweiligen Gesamtstrategie ausrichten.

Banken sind aber nur ein Glied in der Kette der digitalisierten Finanzbranche. Auch andere digitale Anbieter von Finanzdienstleitungen wie Internet-Zahlungsdienstleister oder Anlage- und Kreditplattformen sind natürlich ebenfalls ein denkbares Einfallstor für Cyberangriffe. Beim digitalen Banking genügt womöglich ein schwaches Glied in der Kette innovativer Anwendungen, um die Sicherheitsbemühungen einer Bank zu konterkarieren. In der zunehmend vernetzten und von gegenseitigen Abhängigkeiten geprägten IT-Welt wird Kooperation wichtiger, um die Verteidigungslinien zu stärken. Zu begrüßen sind daher beispielsweise Austauschplattformen zwischen der Finanzbranche und dem öffentlichen Sektor – damit nicht jeder jede unangenehme Erfahrung selbst durchmachen muss. Die fragmentierten Finanzdienstleistungsangebote könnten indes auch einen neuen Trend im Wettbewerb schüren, wenn Nachfrage nach sicheren Lösungen aus einer einzelnen Hand gefragter wird. Hier könnte ein vielversprechendes Tätigkeitsfeld für Banken liegen: Sie haben sich über lange Jahre das Vertrauen von Kunden bei der Sicherheit und beim Datenschutz erarbeitet. Für uns Bankenaufseher und Regulierer gilt es sicherzustellen, dass Innovationen nicht im Konflikt mit der Sicherheit der Bankdienstleistungen stehen. Daher müssen auch wir mit den Entwicklungen Schritt halten und immer auf die neuesten Bedrohungsszenarien vorbereitet bleiben.

Zuvorderst gilt aber, dass die Ernsthaftigkeit von Cyberrisiken bis zu den Geschäftsführern aller Banken, zu anderen Finanzdienstleistern und Verbrauchern durchdringt. Der Fall der Carbanak Gang zeigt, dass die Gefahren zwar schwer erkennbar und intuitiv kaum erfassbar sein mögen. Nichtsdestotrotz können sie enorme, möglicherweise systemrelevante Schäden verursachen. Auch ohne Explosion und quietschende Reifen.

 

Zusatzinformationen

Adresse

Deutsche Bundesbank
Wilhelm-Epstein-Straße 14
60431 Frankfurt am Main

Kontakt

Pressestelle

069 9566-3511

069 9566-3077

presse@bundesbank.de