1 Einleitung

Sehr geehrte Damen und Herren,

sicher haben viele von Ihnen schon mal Urlaub in den Bergen gemacht und dabei einen Bergsteiger kletternd am steilen, felsigen Hang gesehen. Das Bild vermittelt Gefahr und Sicherheit zugleich: Einerseits die Absturzgefahr, andererseits die professionelle Ausrüstung zur Sicherung.

Ähnlich verhält es sich mit Cybersecurity: Wir haben eine professionelle Ausrüstung gegen die Risiken, aber die Gefahr eines technischen "Absturzes" ist immer präsent. Absolute Sicherheit gibt es nicht.

Die gestern von der Financial Times veröffentlichte Befürchtung der britischen digitalen Überwachungsagentur GCHQ, dass der russische Geheimdienst einen "Trojaner" sogar in eine Anti-Virensoftware des führenden Anbieters Kaspersky Lab programmiert haben könnte, stellt nur den dramatischen Höhepunkt einer Reihe von Vorfällen im Bereich Cybersecurity in der jüngsten Zeit dar.

Für die Informationstechnik hat das der Sicherheitsexperte Gene Spafford wie folgt auf den Punkt gebracht: "Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein." Dass das nicht realistisch ist, ist uns allen klar.  

Insofern gelten die Kletterregeln des Deutschen Alpenvereins für das Bergsteigen gleichermaßen wie für Cybersecurity: "Vorsicht: Stürze sind immer möglich."

Die Beispiele für Cyber-Angriffe sind vielfältig: Denken Sie an den Vorfall bei der Zentralbank von Bangladesch, bei dem im Februar 2016 rund 81 Millionen US-Dollar entwendet wurden. Oder an den Angriff auf die taiwanische Far Eastern International Bank, als Hacker im Oktober dieses Jahres rund 60 Millionen Dollar stehlen wollten. Oder erst kürzlich der Versuch in Nepal, Zahlungen in Höhe von umgerechnet ca. 4 Millionen Dollar über einen kompromittierten SWIFT-Server der NIC Asia Bank zu initiieren. Adrian Nish von der britischen Cyber-Sicherheitsfirma BAE Systems fasst die Bedrohung durch Angreifer auf SWIFT-Transaktionen wie folgt zusammen: "Sie werden nicht einfach verschwinden. Sie haben die Mittel aufgebaut. Sie werden immer wieder zurückkehren." Die Risiken werden also immer präsent sein, wir haben keine absolute Sicherheit, wir können das Risiko nicht auf null setzen.

Und dennoch können wir – am Berg und in der digitalen Welt – für mehr Sicherheit sorgen. Der Klettersport kann sehr sicher sein, wenn Partner oder Seilschaft aufmerksam sind, zusammenarbeiten, sich an Verhaltensregeln halten und sich gegenseitig auf Gefahren und Schwachstellen, auch im eingesetzten Material, aufmerksam machen. Zusammenarbeit und Koordination – auch das ist beim Bergsteigen und bei der Cybersecurity gleichermaßen notwendig.

Lassen Sie mich in meiner Rede zunächst auf die grundlegende Bedeutung von Cybersecurity eingehen. Im zweiten Teil werde ich die Risiken von Cyber-Angriffen auf Zentralbanken und für das Finanzsystem darstellen. Im dritten Teil werde ich auf Maßnahmen eingehen, die wir ergreifen müssen, um noch besser zu werden in der Abwehr von Cyber-Angriffen.

2 Cybersecurity geht uns alle an

Früher war Cybersecurity ein Thema, das eher nur in informierten Fachkreisen debattiert wurde. Das hat sich verändert und es ist wichtig, dass das Thema bei allen im Bewusstsein ist. Denn laut dem jüngsten Verfassungsschutzbericht verursachen Cyber-Attacken weltweit jährlich Schäden in Höhe von etwa 400 Milliarden Euro. Mehr als die Hälfte der Unternehmen in Deutschland sind in den vergangenen beiden Jahren Opfer von Cyber-Angriffen geworden. Das verdeutlicht: Cybersecurity ist ein Wirtschaftsfaktor.

Weltweit zeigen die bisherigen Cyber-Angriffe, wie verwundbar alle Unternehmen sind, sobald sich ein Angreifer im internen Netzwerk festsetzen kann. Profitorientierte Angreifer haben ihre Taktiken, Techniken und Prozesse erheblich weiterentwickelt. Die Angreifer versuchen, innerhalb kurzer Zeit maximalen Schaden zu verursachen. Das US-Pharmaunternehmen Merck beispielsweise schätzt seinen Schaden durch die Cyber-Attacke NonPetya auf rund 375 Millionen Dollar.

Cybersecurity als Schutz vor Cyber-Kriminalität und den damit verbundenen Risiken ist damit auch aus wirtschaftlichen Gründen immer bedeutender geworden.

In der Bundesbank definieren wir Cyber-Kriminalität wie folgt:

• Es handelt sich um einen vorsätzlich zielgerichteten und IT-gestützten Angriff auf Daten und IT-Systeme, die besonders heikle Punkte verletzen können, nämlich die Vertraulichkeit, Integrität oder Verfügbarkeit.
• Weiterhin sehen wir Cyber-Kriminalität als die missbräuchliche Nutzung der Eigenschaften des Internet, Informationen sehr schnell, in großer Menge und weitreichend zu verbreiten.
• Schließlich sehen wir einen Fall von Cyber-Kriminalität, wenn persönliche Informationen mittels "Social Engineering" erlangt werden.

Die Angreifer können bei Cyber-Kriminalität entweder die breite Masse im Fokus haben, also die starke Verbreitung ihres Angriffes, oder ein spezielles, besonders heikles Angriffsziel.

3 Cybersecurity im Finanzsystem und in Zentralbanken

Cybersecurity ist in der Finanzbranche von besonderer Bedeutung. Während Banken in der Lage sind, den Kreditausfall eines durchschnittlichen Kreditnehmers zu kompensieren, kann schon eine einzige erfolgreiche Cyber-Attacke die Aktivitäten einer Bank komplett stilllegen. Der damit entstehende Reputationsschaden wäre immens.

Die Stilllegung einer Bank kann wiederum zu Störungen des gesamten Sektors führen, da die Finanzbranche so stark vernetzt ist. Fällt zum Beispiel eine Börse oder ein Zahlungsverkehrssystem aus, sind davon sofort tausende Teilnehmer betroffen.

Auch für die Infrastrukturen und Anwendungen der europäischen Zentralbanken stellen Cyber-Attacken ein Risiko dar, das nicht zu unterschätzen ist.

Zentralbanken sind aus vier Gründen ein besonders lukratives Ziel für Cyber-Spionage und Cyber-Attacken:

1. wegen ihrer wirtschaftlichen und politischen Aufgabe,

2. infolge der damit verbundenen frühzeitig verfügbaren Informationen,

3. aufgrund der Verantwortung für den baren und unbaren Zahlungsverkehr und

4. Kraft der für das Finanzsystem des jeweiligen Landes prominenten Rolle.

Wir als Bundesbank intensivieren daher mit Blick auf Cyber-Kriminalität unsere Anstrengungen zur Sicherung unserer eigenen Systeme. Die Bedeutung unserer Infrastruktur für das gesamte Finanzsystem in Deutschland und im Euroraum wird zum Beispiel bei TARGET 2 deutlich: Das von der Deutschen Bundesbank gemeinsam mit der Banca d'Italia und der Banque de France betriebene Zahlungsverkehrssystem verbindet mehr als 1.000 Banken in ganz Europa direkt miteinander. Jeden Geschäftstag werden darüber rund 350.000 Zahlungen mit einem Gesamtwert von rund 1,7 Billionen Euro verarbeitet. Oder denken Sie an die geldpolitischen Aufgaben der Bundesbank. Wir versorgen das Bankensystem mit Liquidität. Ein reibungsloses Funktionieren der beteiligten IT-Systeme ist für die Stabilität unseres Finanzsystems von entscheidender Wichtigkeit.

Im vergangenen Jahr wurde die Bundesbank vereinzelt mit sogenannten Distributed Denial of Service-Attacken angegriffen. Dabei werden Systeme mit einer großen Zahl an Anfragen überhäuft und dadurch zum Stillstand gebracht.

Mit ihren Schutzmechanismen hat die Bundesbank die gegen sie gerichteten Angriffe bis heute erfolgreich abgewehrt. Allein im vergangenen Jahr konnten wir rund 10.000 mit Schadsoftware verseuchte E-Mails abfangen sowie hunderttausend nicht legitimierte Zugriffsversuche unterbinden. Unsere IT arbeitet damit längst nicht mehr nur als Support-Einheit unseres Hauses, sondern ist zentral beteiligt an der Cybersecurity unserer Systeme und damit an der Cybersecurity des gesamten Finanzsystems.

4 Maßnahmen für mehr Cybersecurity: Einheitliches Sicherheitsniveau und Koordination

Durch die Vernetzung der Finanzbranche ist klar: Wenn ein Finanzmarkt-Teilnehmer von einer Attacke betroffen ist, werden viele weitere mitinfiziert. Bei Cybersecurity ist das schwächste Glied der Kette entscheidend, da dies ein Einfallstor sein kann. Daher ist es aus unserer Sicht erstrebenswert, ein einheitliches Sicherheitsniveau bei den Finanzmarktteilnehmern zu erreichen. So weit sind wir derzeit leider noch nicht.

Zunächst einmal wäre es hierbei wichtig, etablierte Standards der Abwehrmaßnahmen in der Breite zu verankern. Solche sind zum Beispiel

• der internationale Leitfaden für Informationssicherheitsmaßnahmen (ISO 27002),

• das amerikanische Cybersecurity Framework des National Institute of Standards and Technology (NIST) oder

• der deutsche Grundschutz des Bundesamts für Sicherheit in der Informationstechnik.

Die Einhaltung dieser Standards ist wichtig und gewährleistet ein mittleres Schutzniveau. Doch die Angreifer interessieren sich im Allgemeinen nicht für die Schutzwälle, sondern für deren Schwachstellen. Es ist daher wichtig, das Unternehmen ihre eigenen Schwachstellen kennen und diese mit Hilfe von standardisierten Verfahren erheben.

Auch bei etablierten Standards bleibt aber die "Schwachstelle Mensch" im Fokus der Angreifer, wie dies bei den uns bekannten Cyber-Angriffen immer der Fall war. Daher ist es unabdingbar, dass wir ein sicherheitsbewusstes Verhalten im Umgang mit Daten und IT-Systemen vorantreiben.

Wir müssen bei allen, die sich in der IT des Finanzsystems bewegen, ein Verständnis über die Bedrohungslage schaffen, die permanente Veränderung dieser Bedrohungslage erläutern und die Möglichkeiten des Schutzes jederzeit aktuell halten.

Bewusstsein, Zusammenarbeit und Koordinierung sind auch zwischen Institutionen und Unternehmen notwendig, national und international. Lassen Sie mich noch einmal den Vergleich zum Bergsteigen ziehen: Die Sicherung am Berg funktioniert schlecht, wenn man sich als Einzelkämpfer abmüht. Zusammen ist die Sicherung einfacher. Wir ermutigen daher andere Institutionen ausdrücklich dazu, ihr Wissen auszutauschen und sich national und international mit ihren kritischen Infrastrukturen abzustimmen. Nur so können wir sicherstellen, dass alle Einfallstore gegen Cyberrisiken bestmöglich geschützt sind, dass die Sicherung funktioniert.

Die Bundesbank beobachtet zusammen mit den Cybersecurity-Experten der anderen Zentralbanken kontinuierlich die aktuelle weltweite Bedrohungslage und stimmen uns regelmäßig ab, um etwaige Gegenmaßnahmen einzuleiten. Die Systeme, die unsere Währungsreserven verwalten, haben ein hohes IT-Sicherheitsniveau und können sehr zeitnah mit den notwendigen Absicherungsmaßnahmen versehen werden. Wir sind bemüht, unsere Erkennungs- und Abwehrmethoden stetig zu optimieren, und nehmen jeden auf uns gerichteten Angriff sehr ernst.

5 Schluss: Hüten Sie sich vor Gefahren

Meine Damen und Herren, der Fels beim Bergsteigen und die Cyber-Welt sind voller Tücken und Überraschungen. Hüten Sie sich vor Gefahren und machen Sie Sicherheit zu Ihrem Thema.

• Etablieren Sie eine unternehmensweite Sicherheitskultur.

• Passen Sie sich den Veränderungen und Weiterentwicklungen der Bedrohungslage an.

• Suchen und finden Sie Sicherheitsschwachstellen in Ihren Unternehmen.

• Optimieren Sie stets Ihr Risikomanagement.

• Halten Sie Notfallpläne und Zuständigkeitsregeln für den Krisenfall parat.

• Tauschen Sie sich untereinander aus und stimmen Sie sich ab.

Bitte denken Sie daran: IT-Sicherheit ist kein Produkt, das Sie kaufen können. Es ist ein Prozess, den Sie leben müssen. Es ist wie der Weg auf den Gipfel – stetig und manchmal auch mühselig.

Und trotzdem lautet der Weisheit letzter Schluss: Absolute Sicherheit gibt es nicht! Es ist unsere Aufgabe, nach besten Kräften auf mögliche Bedrohungen vorbereitet zu sein, Risiken zu minimieren und unsere Gipfeltour dadurch sicher und erfolgreich zu machen.

Vielen Dank für Ihre Aufmerksamkeit.