In den vergangenen Monaten mehrten sich die virtuellen Angriffe auf den Finanzsektor. Oftmals waren aber nicht die Banken selbst das Ziel der Cyberattacken, sondern die dahinterliegenden Dienstleister, die den Zahlungsverkehr steuern.

Profi-Hacker nehmen kritische Finanzdienstleister ins Visier

Die Digitalisierung verhilft nicht nur Unternehmen zu immer effizienteren und leistungsfähigeren Geschäftsprozessen, auch Angreifer rüsten zunehmend auf und professionalisieren sich. Während in der Presse immer noch häufig das Bild des kriminellen Einzeltäters im Kapuzenpulli propagiert wird, sieht die Realität sehr viel bedrohlicher aus. Längst müssen sich Unternehmen gegen mafiös organisierte Gruppierungen von Hackern und staatlich unterstützte Angreifer zur Wehr setzen. Diese Profis streuen nicht etwa Schadsoftware nach dem Gießkannenprinzip ins Netz, sondern nehmen ein präzise definiertes Ziel ins Visier.

Kritische Finanzdienstleister unter Beschuss

Wie aus einer Studie der Boston Consulting Group (BCG) hervorgeht, zählt die Finanzindustrie zu den attraktivsten Zielen für Cyberkriminelle. Banken und Finanzdienstleister werden demnach 300 Mal häufiger attackiert als andere Firmen. Entsprechend höher müssen die Anstrengungen der Finanzindustrie ausfallen, um ihre IT-Systeme zuverlässig zu schützen – zumal der Finanzsektor zu den Kritischen Infrastrukturen (KRITIS) gehört, die es besonders abzusichern gilt.

Vor diesem Hintergrund sind speziell größere IT-Dienstleister der Finanzindustrie, die mit einer Vielzahl von Banken zusammenarbeiten, massiv gefährdet. In den vergangenen Monaten waren vermehrt Angriffe auf Zahlungsdienstleister und Finanz-IT-Dienstleister in Europa und den USA zu verzeichnen. Zu den eingesetzten Angriffsvektoren der Hacker zählen neben klassischer Malware auch DDoS-Angriffe, bei denen die Online-Dienste der betroffenen Unternehmen lahmgelegt werden.

Millionen von Bankkunden betroffen

Die Attraktivität der Finanz-IT-Dienstleister für Cyberattacken liegt auf der Hand – hier kann man mit einem strategischen Angriff ganze Firmencluster lahmlegen. Gelingt Angreifern ein schwerer Schlag, können im Zweifelsfall Millionen von Bankkunden nicht mehr auf ihre Konten zugreifen. Zieht sich ein solcher Ausfall über mehrere Stunden oder gar Tage hinweg, nehmen die Folgen für sämtliche Betroffene ein horrendes Ausmaß an. Löhne und Mieten können nicht mehr überwiesen, fällige Kredit- und Ratenzahlungen nicht beglichen werden – selbst der alltägliche Einkauf im Supermarkt scheitert am Kartenterminal. Das gesellschaftliche Wohlergehen ist also maßgeblich an die Stabilität und Verlässlichkeit von digitalen Finanzdienstleistungen geknüpft – IT Sicherheit ist hier oberste Priorität.

Vor diesem Hintergrund sind speziell größere IT-Dienstleister der Finanzindustrie, die mit einer Vielzahl von Banken zusammenarbeiten, massiv gefährdet. In den vergangenen Monaten waren vermehrt Angriffe auf Zahlungsdienstleister und Finanz-IT-Dienstleister in Europa und den USA zu verzeichnen. Zu den eingesetzten Angriffsvektoren der Hacker zählen neben klassischer Malware auch DDoS-Angriffe, bei denen die Online-Dienste der betroffenen Unternehmen lahmgelegt werden.

Regulatorische Auflagen einzuhalten wird schwieriger

Um einem solchen Super-GAU in den IT-Systemen der Finanzindustrie zuvorzukommen, haben Aufsichtsbehörden wie die EBA (European Banking Authority), die EZB (Europäische Zentralbank) und die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) ein strenges Regelwerk aufgesetzt, das die hohen Anforderungen an die IT-Sicherheit in der Branche vorgibt. Weitere Regularien ergeben sich darüber hinaus aus dem IT-Sicherheitsgesetz und der DSGVO, die auf den Schutz sensibler Kundendaten abzielt.

Diesen hohen Anforderungen gerecht zu werden, gestaltet sich zunehmend schwierig. Aktuell besteht bei vielen Banken und Dienstleistern noch viel Nachholbedarf. So bemängelt auch BaFin-Chef Raimund Röseler: „IT-Risiken haben das Potenzial, Banken in Schieflage zu bringen…Es gibt eigentlich keine Prüfung, die mit einem zufriedenstellenden Ergebnis endet.“

Finanzdienstleister schützen – Security by Design

Intelligente Sicherheitssysteme zur automatischen Abwehr von Bedrohungen sind ebenso erforderlich wie Cybersicherheits-Experten, die im Notfall augenblicklich mit Rat und Tat zur Verfügung stehen. Finanzunternehmen sollten neben den internen Systemen auch auf die Sicherheit von Partnern und Dienstleistern achten. Eine ganzheitliche IT-Sicherheitsstrategie, die Sicherheit von Anfang an in der Systemarchitektur verankert ist zwingend erforderlich. Wer die benötigte Expertise in der Cybersicherheit nicht inhouse bedienen kann, sollte spezialisierte Partner für IT-Sicherheit mit an Bord holen.

Myra Security bietet maßgeschneiderte Lösungen für den Finanz-Sektor sowie die Bereiche KRITIS und Government. Auf unsere smarten Produkte vertrauen unter anderem die Europäische Zentralbank (EZB), die Bundesregierung sowie Goldman Sachs.

Diesen Artikel teilen