Mit Cyber-Security verhält es sich wie mit Bergsteigen: Eine absolute Sicherheit gibt es nicht. Daher ist ein professionelles Management der Risiken entscheidend für den Erfolg.
Früher war Cyber-Security ein Thema, das vor allem in informierten Fachkreisen debattiert wurde. Das hat sich verändert und es ist wichtig, dass das Thema bei allen im Bewusstsein ist.
Bei Cyber-Attacken …
- Handelt es sich um vorsätzliche, zielgerichtete und IT-gestützte Angriffe auf Daten und IT-Systeme, die besonders heikle Punkte verletzen können, nämlich die Vertraulichkeit, Integrität oder Verfügbarkeit.
- Erfolgt eine missbräuchliche Nutzung der Eigenschaften des Internet, Informationen sehr schnell, in großer Menge und weitreichend zu verbreiten.
- Werden persönliche Informationen mittels „Social Engineering“ erlangt.
Die Angreifer können dabei entweder die breite Masse im Fokus haben, also die starke Verbreitung ihres Angriffes, oder ein spezielles, besonders heikles Angriffsziel.
Hohe wirtschaftliche Bedeutung von Cyber-Security
Alle bisherigen Cyber-Angriffe zeigen, wie verwundbar Unternehmen und Institutionen sind, sobald sich ein Angreifer im internen Netzwerk festsetzen kann. Profitorientierte Angreifer haben ihre Taktiken, Techniken und Prozesse erheblich weiterentwickelt. Die Angreifer versuchen, innerhalb kurzer Zeit maximalen Schaden zu verursachen. Cyber-Security als Schutz vor Cyber-Kriminalität und den damit verbundenen Risiken ist damit immer bedeutender geworden.
Weltweit gab es zuletzt eine ganze Reihe von Vorfällen im Bereich Cyber-Security:
- Der Zentralbank von Bangladesch wurden im Februar 2016 rund 81 Millionen US-Dollar entwendet.
- Hacker wollten bei einem Angriff auf die taiwanische Far Eastern International Bank im Oktober 2017 rund 60 Millionen Dollar stehlen.
- Über einen kompromittierten SWIFT-Server der NIC Asia Bank sollten kürzlich in Nepal Zahlungen in Höhe von umgerechnet ca. 4 Millionen Dollar initiiert werden.
- Die britische digitale Überwachungsagentur GCHQ befürchtet, dass der russische Geheimdienst einen „Trojaner“ in eine Anti-Virensoftware des führenden Anbieters Kaspersky Lab programmiert haben könnte.
Laut dem jüngsten Verfassungsschutzbericht verursachen Cyber-Attacken weltweit jährlich Schäden in Höhe von etwa 400 Milliarden Euro. Mehr als die Hälfte der Unternehmen in Deutschland sind in den vergangenen beiden Jahren Opfer von Cyber-Angriffen geworden.
Cyber-Security im Finanzsystem und in Zentralbanken
In der Finanzbranche ist Cyber-Security von besonderer Bedeutung. Während Banken in der Lage sind, den Kreditausfall eines durchschnittlichen Kreditnehmers zu kompensieren, kann schon eine einzige erfolgreiche Cyber-Attacke die Aktivitäten einer Bank komplett stilllegen. Der damit entstehende Reputationsschaden wäre immens.
Die Stilllegung einer Bank kann wiederum zu Störungen des gesamten Sektors führen, da die Finanzbranche so stark vernetzt ist. Fällt zum Beispiel eine Börse oder ein Zahlungsverkehrssystem aus, sind davon sofort tausende Teilnehmer betroffen.
Auch für die Infrastrukturen und Anwendungen des Eurosystems stellen Cyber-Attacken ein Risiko dar, das nicht zu unterschätzen ist. Zentralbanken sind aus vier Gründen ein besonders lukratives Ziel für Cyber-Spionage und Cyber-Attacken:
- wegen ihrer wirtschaftlichen und politischen Aufgabe.
- infolge der damit verbundenen frühzeitig verfügbaren Informationen.
- aufgrund der Verantwortung für den baren und unbaren Zahlungsverkehr.
- Kraft der für das Finanzsystem des jeweiligen Landes prominenten Rolle.
Im vergangenen Jahr wurde die Deutsche Bundesbank vereinzelt mit sogenannten Distributed Denial of Service-Attacken angegriffen. Dabei sollen Systeme mit einer großen Zahl an Anfragen überhäuft und dadurch zum Stillstand gebracht werden. Mit ihren Schutzmechanismen konnten die Angriffe bis heute erfolgreich abgewehrt werden. Allein im vergangenen Jahr wurden rund 10.000 mit Schadsoftware verseuchte E-Mails abgefangen sowie hunderttausend nicht legitimierte Zugriffsversuche unterbunden. Der IT-Bereich arbeitet längst nicht mehr nur als Support-Einheit, sondern ist zentral beteiligt an der Cyber-Security der internen Systeme und damit an der Sicherheit des gesamten Finanzsystems.
Einheitliches Sicherheitsniveau und Koordination für mehr Cyber-Security
Durch die Vernetzung der Finanzbranche ist klar: Wenn ein Finanzmarkt-Teilnehmer von einer Attacke betroffen ist, werden viele weitere mitinfiziert. Bei Cyber-Security ist das schwächste Glied der Kette entscheidend, da dies ein Einfallstor sein kann. Daher ist es erstrebenswert, ein einheitliches Sicherheitsniveau bei den Finanzmarktteilnehmern zu erreichen. Zunächst einmal wäre es hierbei wichtig, etablierte Standards der Abwehrmaßnahmen in der Breite zu verankern. Solche sind zum Beispiel:
- Der internationale Leitfaden für Informationssicherheitsmaßnahmen (ISO 27002).
- Das amerikanische Cyber-Security Framework des National Institute of Standards and Technology (NIST).
- Der deutsche Grundschutz des Bundesamts für Sicherheit in der Informationstechnik.
Die Einhaltung dieser Standards ist wichtig und gewährleistet ein mittleres Schutzniveau. Doch die Angreifer interessieren sich im Allgemeinen nicht für die Schutzwälle, sondern für deren Schwachstellen. Es ist daher wichtig, dass Unternehmen ihre eigenen Schwachstellen kennen und diese mit Hilfe von standardisierten Verfahren erheben.
Der Mensch als Schwachstelle
Auch bei etablierten Standards bleibt aber die „Schwachstelle Mensch“ im Fokus der Angreifer, wie dies bei den uns bekannten Cyber-Angriffen immer der Fall war. Daher ist es unabdingbar, dass ein sicherheitsbewusstes Verhalten im Umgang mit Daten und IT-Systemen vorangetrieben wird.
Bei allen, die sich in der IT des Finanzsystems bewegen, muss:
- ein Verständnis über die Bedrohungslage geschaffen,
- die permanente Veränderung dieser Bedrohungslage erläutert und
- die Möglichkeiten des Schutzes jederzeit aktuell gehalten werden.
Bewusstsein, Zusammenarbeit und Koordinierung sind auch zwischen Institutionen und Unternehmen notwendig, national und international. Auch hier greift der Vergleich zum Bergsteigen: Die Sicherung am Berg funktioniert schlecht, wenn man sich als Einzelkämpfer abmüht. Zusammen ist die Sicherung einfacher. Alle Institutionen sollten daher ihr Wissen austauschen und sich national und international mit ihren kritischen Infrastrukturen abstimmen. Nur so kann sichergestellt werden, dass alle Einfallstore gegen Cyberrisiken bestmöglich geschützt sind und dass die Sicherung funktioniert.
Absolute Sicherheit gibt es nicht
Der Sicherheitsexperte Gene Spafford hat es auf den Punkt gebracht:
„Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.“
Dass dies nicht realistisch ist, ist allen klar. Insofern gelten die Kletterregeln des Deutschen Alpenvereins für das Bergsteigen gleichermaßen wie für Cyber-Security: „Vorsicht: Abstürze sind immer möglich.“
Und dennoch kann – am Berg und in der digitalen Welt – für mehr Sicherheit gesorgt werden. Der Bergsport kann sehr sicher sein, wenn Partner oder Seilschaft aufmerksam sind, zusammenarbeiten, sich an Verhaltensregeln halten und sich gegenseitig auf Gefahren und Schwachstellen, auch im eingesetzten Material, aufmerksam machen. Zusammenarbeit und Koordination sind beim Bergsteigen wie bei der Cyber-Security gleichermaßen wichtig und notwendig.
Die Bundesbank beobachtet daher zusammen mit den Cyber-Security-Experten der anderen Zentralbanken kontinuierlich die aktuelle weltweite Bedrohungslage. Es erfolgen regelmäßige Abstimmungen, um etwaige Gegenmaßnahmen einzuleiten. Die Systeme zur Verwaltung der Währungsreserven haben ein hohes IT-Sicherheitsniveau und können sehr zeitnah mit den notwendigen Absicherungsmaßnahmen versehen werden. Die Erkennungs- und Abwehrmethoden werden stetig optimiert und jeder Angriff wird sehr ernst genommen.
IT- und Cyber-Sicherheit zum Thema machen
Der Fels beim Bergsteigen und die Cyber-Welt sind voller Tücken und Überraschungen. Es gilt, sich vor Gefahren zu hüten und Sicherheit zum Thema zu machen. Dazu gehören:
- Etablierung einer unternehmensweiten Sicherheitskultur.
- Anpassung an die Veränderungen und Weiterentwicklungen der Bedrohungslage.
- Suchen und Finden der Sicherheitsschwachstellen im eigenen Unternehmen.
- Stetige Optimierung des Risikomanagements.
- Aufstellen von Notfallplänen und Zuständigkeitsregeln für den Krisenfall.
- Häufiger Austausch und regelmäßige Abstimmung über Sicherheitslage und Gefährdung.
IT-Sicherheit ist kein Produkt, das man kaufen kann. Es ist ein Prozess, der gelebt werden muss. Wie der Weg auf den Gipfel ist sie stetig und manchmal auch mühselig. Absolute Sicherheit gibt es nicht! Es ist Aufgabe aller Beteiligten, nach besten Kräften auf mögliche Bedrohungen vorbereitet zu sein, Risiken zu minimieren und die Gipfeltour dadurch sicher und erfolgreich zu machen.