Die BaFin warnte kürzlich öffentlich vor einem „virtuellen Bankraub“ – gemeint sind Cyberangriffe auf Finanzinstitute oder ihre Dienstleister. Diese bedrohen nicht nur einzelne Banken, sondern können das gesamte Finanzsystem in Gefahr bringen.
Während Angriffe auf die IT von Unternehmen und Finanzinfrastrukturen weltweit zunehmen, ist auch für deutsche Finanzinstitute die Gefahr so hoch wie nie, Opfer von Cyberattacken zu werden. Das ist nicht verwunderlich, denn die Institute verwalten nicht nur Geld, sondern verfügen auch über eines der wertvollsten Güter der digitalen Welt: sensible Daten.
Längst hat auch die Bankenaufsicht erkannt, welcher Gefahr die Finanz- und Versicherungsbranche durch mangelnde Cybersicherheit und die gleichzeitig zunehmenden Cyberattacken ausgesetzt ist. Schon seit einigen Jahren ist das Thema daher fester Regulierungsschwerpunkt der EZB. Sie unterzieht die von ihr beaufsichtigten Banken derzeit einem „Cyber Resilience Stresstest“, um ihre Widerstandsfähigkeit auf den Prüfstand zu stellen. Und auch die BaFin erklärte Cyber und IT-Risiken zu einem Prüfungsschwerpunkt und führt dazu sogar anlassbezogene Schnellumfragen durch.
Wachsende Gefahr durch Cyberattacken
Laut einer aktuellen Umfrage des IT-Sicherheitsexperten Orange Cyberdefense haben sich die Cyberangriffe auf die Finanz- und Versicherungsbranche im vergangenen Jahr mehr als verdoppelt. Am häufigsten handelt es sich um Erpressungsversuche, bei denen Kriminelle Infrastruktursysteme, vertrauliche Daten oder geistiges Eigentum gefährden und Lösegelder erzwingen.
Besonders große Institute werden Opfer dieser Attacken, aber auch kleinere und mittelständische Unternehmen rücken vermehrt in den Fokus der Kriminellen. Zum einen lässt die zunehmende Digitalisierung hier die Angriffsfläche wachsen, zum anderen tragen die aktuellen geopolitischen Spannungen dazu bei, dass auch das Risiko politisch motivierter Attacken wächst.
DORA soll Schwachstellen bei der Cybersicherheit schließen
Ein umfangreiches Regulierungspaket soll nun die Resilienz der Institute gegen Cyberangriffe erhöhen. In dessen Zentrum steht DORA, der Digital Operations Resilience Act. DORA soll die Priorität der Cybersicherheit bei allen Finanzunternehmen erhöhen und den diesbezüglichen Regulierungsrahmen in der EU bis 2025 harmonisieren. Das Ziel ist es, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.
Dabei lässt die Aufsicht kaum Raum für Proportionalität und regulatorische Kompromisse, denn: Wer DORA nicht erfüllt, ist aus ihrer Sicht der derzeitigen Bedrohungslage nicht gewachsen und gilt daher als dauerhaft nicht überlebensfähig. Es ist für die deutschen Finanzinstitute also höchste Zeit, sich auf die aktuellen Herausforderungen vorzubereiten und die eigene Cyber Resilience zu stärken – nicht nur im eigenen Interesse und aufgrund des regulatorischen Risikos, sondern vor allem auch im Interesse der Kunden.
Das sind die nächsten wichtigen Schritte
Spätestens jetzt sollten die Institute daher damit beginnen, alle kritischen Funktionen und Prozesse im eigenen Haus und bei IT-Dienstleistern zu identifizieren und die relevanten IKT-Systeme und Werkzeuge zu definieren. Ziel muss es dabei sein, für eine durchgehende Überwachung aller potenziellen IKT-Gefahrenquellen Sorge zu tragen. Schnell wird dabei klar, dass es sich keinesfalls um ein reines IT-Thema handelt, sondern dass sich der erforderliche Change-Prozess bereichsübergreifend durch das gesamte Institut ziehen muss.
Die IT wird dabei aktiv eingebunden und bindet selbst aktiv ein, denn nur dann kann die Umsetzung der komplexen Themen gelingen. Dies gilt von der Strategieentwicklung bis hin zur operativen Umsetzung konsequent auf allen Ebenen. Flankiert werden muss das Vorgehen von einheitlichen, aufeinander abgestimmten Prozessen, klaren Kommunikationswegen und fest definierten Schnittstellen und Projekten.
So gelingt die Umsetzung
Eine der größten Herausforderungen bei der Umsetzung der IT-Risiko- und Sicherheitsstrategie ist der steigende Personalmangel im IT-Bereich. Nach Analysen des Beratungshauses McKinsey fehlen in Deutschland bis 2030 rund 140.000 IT-Fachkräfte. Es ist daher essenziell, frühzeitig eigene Personalkapazitäten aufzubauen und bei Bedarf neue Wege bei Neueinstellungen und der Ausbildung von Fachkräften zu gehen.
Externe Managed Security Service Provider (MSSP) können beim Betrieb des Security Information and Event Management (SIEM) und des Security Operations Center (SOC) unterstützen. Auch der Aufbau einer automatisierten Unterstützung, beispielsweise in Form von Security Orchestration Automation Response-Systemen (SOAR) bietet sich an.
Cyber Resilience betrifft alle Mitarbeiter
Wichtig ist aber immer: Das Risikomanagement von IT-Risiken funktioniert nur, wenn alle Mitarbeiter mit dem Thema vertraut sind. Daher ist es unumgänglich, das notwendige Fachwissen in Form von regelmäßigen Schulungen zu vermitteln, um die Mitarbeiter für das Thema zu sensibilisieren. Und das nicht nur in der IT, denn für das Gelingen des Prozesses müssen alle Fachbereiche zusammenarbeiten und an einem Strang ziehen.
Nach BAIT bzw. VAIT stellt DORA die deutschen Finanzinstitute beim Thema IT-Risikomanagement und Cybersicherheit erneut vor große Herausforderungen. Letztlich handelt es sich bei der Umsetzung aber nicht um eine reine Pflichtaufgabe, um der Regulatorik zu entsprechen. Ganz im Gegenteil: Es liegt im Interesse eines jeden Instituts, die Gefahren aus einer mangelnden Cyber Resilience spätestens jetzt ernst zu nehmen und alles Erforderliche einzuleiten, um sich gegen Cyberattacken wirksam zu schützen.