Cyberattacken Viele Banken sind schlecht geschützt

Bildzeile xxxxxxxxxxxx  Ikon Images Getty Images
Bildzeile xxxxxxxxxxxx Ikon Images Getty Images © Foto: Ikon Images Getty Images
Frankfurt / Rolf Obertreis 02.10.2018

Deutsche Banken bleiben anfällig für Attacken auf ihre IT und damit auf Gelder ihrer Kunden. Es gebe zwar Fortschritte beim Schutz gegen solche Cyberrisiken sagte Raimund Röseler, Exekutiv-Direktor der Finanzaufsicht Bafin am Rande einer Tagung seines Hauses zur IT-Sicherheit der Institute. Aber mehr als die Schulnote vier will er für die Schutzmaßnahmen der Geldhäuser gegen Angriffe auf ihre Rechner nicht geben. „Ich sehe Verbesserungen, aber die Systeme sind noch komplexer geworden.“

Angesichts einer Vielzahl von Angriffen seien die Institute zwar besser aufgestellt als Banken in anderen europäischen Ländern und als die Industrie, bei der es im Schnitt 240 Tage dauert bis eine Cyberattacke entdeckt wird. Aber die Mängel seien noch nicht beseitigt. „Irgendwann wird es auch zum Schaden kommen. Dann geht es darum: Wie schnell reagieren die Banken“, so Röseler. Ohnehin habe man noch nicht alle Institute überprüfen können. Bei der Bafin gibt es zwar mittlerweile 50 Stellen für den Bereich IT-Sicherheit bei Banken. Aber nicht für alle Stellen konnten bislang Experten gefunden werden.

Wegen der Mängel in den Systemen vieler Häuser – Namen nennt Röseler nicht – hat die Bank bislang in mehreren Fällen Sonderprüfungen veranlasst und  Kapitalaufschläge von bis zu 50 Prozent verordnet. „Aber Geschäftsleiter haben wir noch nicht abberufen müssen.“ Nach Angaben von Röseler gibt es täglich Attacken auf die Rechner der Banken und Versuche, etwa an die Einlagen von Kunden zu kommen oder Überweisungen abzuzweigen. „Aber die wenigsten sind erfolgreich“. Welche Summen in Einzelfällen von Kriminellen abgezogen werden konnten, sagt die Bafin nicht. Sie seien aber überschaubar gewesen und hätten keine Bank in Existenznöte gebracht.

Im Februar 2016 hatten Hacker die Zentralbank von Bangladesch attackiert und rund 80 Mio. Dollar (knapp 70 Mio. €) erbeutet. Dass der Schaden nicht noch deutlich größer ausfiel, ist der US-Notenbank zu verdanken, die die Cyber-Attacke damals aufdeckte.

Röseler betont, dass auch hierzulande der Erfolg von Cyberattacken auf Rechner der Geldhäuser nicht ausgeschlossen werden kann, wenn es Täter auf Einlagen, Überweisungen und Konten abgesehen hätten oder die Kriminellen über die IT Geldautomaten manipulieren, um dort problemlos Geld abzuheben. Wichtig sei in solchen Fällen die Reaktion einer Bank und ein effektives Krisenmanagement. Auch dies schaue sich die Bafin sehr genau an. Röseler betonte im Übrigen, dass die Ursache für Sicherheitsprobleme in den Banken in der Mehrzahl durch Soft- und Hardware-Störungen oder auch durch Eingabefehler auftreten würden und nicht durch Cyberattacken.

Die IT vieler Banken gilt in den Augen von Experten als veraltet. Auch die Deutsche Bank und die Commerzbank müssen sich immer wieder Vorhaltungen machen lassen. Ex-Deutsche Bank-Chef John Cryan hatte die IT des Instituts kurz nach seinem Amtsantritt Mitte 2015 als „lausig“ bezeichnet. Seitdem ist zwar einiges passiert, aber nach den Worten des heutigen Vorstandschefs Christian Sewing ist die Bank in Sachen IT und auch bei internen Kontrollen immer noch nicht da, wo sie hinwolle.

Hacker könnten Finanzkrise auslösen

Die Europäische Zentralbank (EZB) befürchtet, dass eine erneute Finanzkrise durch eine Cyberattacke ausgelöst werden könnte. „Derzeit konzentrieren wir uns bei der EZB stark auf das Thema Cybersicherheit“, sagte EZB-Direktor Benoît Coeuré dem „Tagesspiegel“. „Schließlich wollen wir nicht, dass die nächste Krise von einem Hacker ausgelöst wird.“ Die Finanzbranche müsse daher deutlich in die Sicherheit ihrer Systeme investieren.

Zuletzt hat die EZB ein Rahmenwerk für die Simulation von Hackerangriffen auf Finanzinstitute entwickelt. „Auch für die EZB-Bankenaufsicht wird Cybersicherheit wichtiger“, sagte Coeuré.

Neben der Cybersicherheit sieht die EZB auch bei der Regulierung Nachholbedarf. „Es gibt noch immer Teile des Finanzsystems, die längst nicht so gut reguliert sind, wie wir uns das wünschen würden.“ Das gelte vor allem für Schattenbanken, also Finanzinstitute, die bank­ähnliche Geschäfte machen, ohne tatsächlich eine Banklizenz zu haben. „Die Regulierer haben immer noch nicht die Mittel, um die Risiken dieser Finanzinstitute angemessen zu überwachen und zu kontrollieren“, sagte Coeuré. afp

Zurück zur Startseite Zum nächsten Artikel