Der Schutz von Daten spielt vor allem für Banken bzw. Finanzdienstleistungsunternehmen eine wesentliche Rolle. Vor allem der Cyberschutz hat für die Unternehmensleitungen höchste Priorität. Was versteht man unter Cyberschutz und inwiefern ist er für Banken wichtig?
Was ist Cyberschutz?
Als Cyberschutz bzw. Cybersicherheit werden alle Maßnahmen verstanden, die dazu dienen, Server, Computer, Mobilgeräte wie Laptops oder Tablet-PCs, elektronische Systeme, interne Netzwerke und vor allem vorhandene Daten vor unberechtigtem Zugriff bzw. vor böswilligen Angriffen zu schützen. Es geht also um die Verteidigung der gesamten IT-Infrastruktur gegen nicht genehmigte Zugriffe jeder Art.
In diesem Zusammenhang spielt auch die Informationssicherheit eine wesentliche Rolle, denn ein effizienter Cyberschutz ist in der Lage, die Privatsphäre sowie die Unverletzlichkeit von Daten zu gewährleisten, sowohl beim Speichern in entsprechenden Medien als auch beim Versenden über das Internet oder ein VPN (Virtual Private Network).
Hackerangriffe auf IT-Netzwerke von Banken können hohe Schäden verursachen
Ein sehr großer Teil der Geschäftsprozesse von Banken finden heute bereits online statt und die Digitalisierung von Geldinstituten hat dafür gesorgt, dass vom Anmeldeprozess bis zur Abwicklung von Geldtransaktionen kaum noch ein Bankschalter, sondern nur noch ein Computer benötigt wird. Mit diesem Umstand geht aber auch das Risiko einher, als Bank (oder auch Kunde) Opfer von Hackern zu werden.
Mit immer raffinierteren Methoden gelingt es Cyber-Kriminellen inzwischen, an sensible Daten, z. B. PIN-Nummern, Passwörter, Kontonummern oder Kontaktdaten zu gelangen. Mit diesen können sie dann Zugriff auf das Konto der digital ausspionierten Person nehmen und (meist längere Zeit unbemerkt) Geld transferieren oder online Einkäufe tätigen.
Es gibt auf IT-Sicherheitsüberprüfungen spezialisierte Unternehmen, die mit sogenannten Penetrationstests Schwachstellen in IT-Infrastrukturen von Banken oder sonstigen Finanzdienstleistern identifizieren. Auf diese Weise erhalten die Auftraggeber wichtige Hinweise auf Gefahrenpotenziale und können auf Basis der Pentests angemessene Gegenmaßnahmen einleiten.
Schritt für Schritt kann jedes Unternehmen die eigene Cyber-Sicherheit optimieren. Bild: Unsplash, Sigmund
Zunahme von Cyber-Attacken auf Banken nehmen zu
Vor allem während der Corona-Pandemie ist eine starke Zunahme der Hackerangriffe auf Bankautomaten und die dazugehörigen IT-Infrastrukturen von Banken zu verzeichnen. Alleine von 2019 bis 2020 stieg die Zahl sogenannter Jackpotting- bzw. Black-Box-Attacken um 269 Prozent. Die damit verbundenen finanziellen Einbußen stiegen auf mehr als eine Million Euro.
Die Cyberkriminellen gehen davon aus, dass vermehrte Arbeit im Homeoffice bzw. Remote Zugriffe zu stark belasteten Servern und eine dadurch geschwächte Cybersicherheit führen, womit sie nicht selten Recht haben. Aus diesem Grund ist es für Banken und Finanzdienstleister zwingend, eine umfassende, die Effizienz erhöhende und als Prozess verstandene IT-Sicherheitsstrategie zu entwickeln. Nur so können Geldinstitute ihre Technik, das von ihnen verwaltete Kapital und damit letztlich ihre Kunden schützen.
Penetrationstests sorgen für Identifizierung von Schwachstellen
Unter Pentesting versteht man den mit einem beauftragenden Unternehmen abgesprochenen Versuch eines IT-Sicherheitsexperten, auf Basis von Hackerwissen in die digitale Infrastruktur einer Bank oder eines Finanzinstituts einzudringen. Dafür testet der Experte vor allem die immer wieder gerne angegriffenen, inzwischen bekannten Schwachstellen. Das sind hauptsächlich Fehlkonfigurationen, fehlerhafte Programmierungen, mangelhafte Verschlüsselungen oder schwache Passwörter sowie ein mangelndes Sessions-Management.
Ein Penetrationstest ist in der Lage, schon vorhandene Schwachstellen zu identifizieren sowie theoretisch mögliche Gefahrenstellen zu benennen. Je nach Beauftragung kann der Test als externer oder interner Pentest durchgeführt werden. Hinsichtlich seines Umfangs lässt sich das gesamte Netzwerk des Geldinstituts testen oder auch nur bestimmte Einzelsegmente wie die Web Applications, die APIs oder die Cloud. Eine Schwachstelle stellt auch der Mensch dar, weshalb es möglich ist, einen Social Engineering Pentest durchzuführen. Der Auftraggeber kann auch entscheiden, ob der Penetrationstest angekündigt oder unangekündigt stattfinden soll. Bei einem unangekündigten Pentest kann die beauftragende Bank die im geschützten Raum stattfindende Attacke sozusagen in „Echtzeit“ verfolgen und erlangt Erkenntnisse hinsichtlich der Effizienz bereits vorhandener Schutzmaßnahmen sowie der Reaktionen der für den Cyberschutz der Bank Verantwortlichen.
Rechtliches zum Thema Cyberschutz bei Banken
In der Bundesrepublik Deutschland (und auch in der Europäischen Union) regeln umfangreiche Gesetze und Verordnungen die täglichen Aktivitäten von Banken. Sie sind nicht nur verpflichtet, die Maßgaben zu berücksichtigen, die das Wertpapierhandelsgesetz sowie die Datenschutzgrundverordnung vorgeben. Auch gegen Bedrohungen wie Terrorismus oder Geldwäsche müssen sie sich wappnen und absichern. Im § 25a und b Kreditwesengesetz (kurz KWG) sind die grundlegenden Anforderungen für Institute und ihre Dienstleister schriftlich fixiert.
Zu diesen Anforderungen gehören unter anderem eine den Vorgaben entsprechende Geschäftsorganisation sowie ein adäquates Risikomanagement. Letzteres muss das Vorhandensein entsprechender, technischer wie personeller Ressourcen gewährleisten. Darüber hinaus hat das Risikomanagement einen Notfallplan zu entwickeln. Die technischen Systeme sind auf dem aktuellen Stand der Technik zu halten und haben laut Vorgabe den Standards des Bankenbereichs zu entsprechen.
Autor: Christian Schultze, Freelancer