Ab diesem Sommer müssen Banken, die direkt von der EZB beaufsichtigt werden, „alle wichtigen Cybersicherheitsvorfälle melden“, erklärte Sabine Lautenschläger, Mitglied des EZB-Vorstands vor wenigen Tagen. Bei einer Rede in Frankfurt sagte sie: „Dies wird uns helfen, objektiv zu beurteilen, wie viele Zwischenfälle es gibt und wie sich Cyberbedrohungen entwickeln. Es wird uns auch helfen, Schwachstellen und häufige Stolpersteine zu identifizieren.“
Die EZB wird zudem weiterhin regelmäßige „thematische Überprüfungen“ zu Cybersicherheit und Outsourcing-Beziehungen durchführen, eine gängige Schwachstelle, die bei großen Cyberangriffen ausgenutzt wird. Nach Meinung von Palo Alto Networks ist nicht nur technologische Neuerungen sondern vielerorts auch ein grundsätzliches Umdenken nötig. „Angriffe auf die Informationstechnologie sind rasch aufgestiegen in der Bedeutung für die Aufsichtsbehörden und Chefetagen der Banken“, so Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. „Dabei hat dennoch nur weniger als die Hälfte der Banken die Cybersicherheit als Top-3-Thema eingestuft, wie EY und das Institute of International Finance in ihrem Bericht vom Januar dargestellt haben.“
Cyberangriffe und Computerbetrug zählen nach wie vor zu den wichtigsten Problemen der Banken. Da das Geld digital vorgehalten wird und die Transaktionen digital abgewickelt werden, nutzen die modernen Bankräuber das Cyberumfeld, um ihre Arbeit zu erledigen. Die Cybervariante ist ganz klar die attraktivere Option für sie, da es unwahrscheinlicher ist, erwischt zu werden.
Die neueste Ankündigung des EZB-Gremiums deutet darauf hin, dass die EU-Regulierungsbehörden das Problem der Cyberbedrohungen für Banken nun energischer angehen wollen. Ähnlich wie bei der kommenden Meldepflicht von Datenschutzverletzungen im Rahmen der Datenschutz-Grundverordnung (EU-DSGVO) zeigt sich: Mehr Transparenz bei Cyberangriffen, die Finanzinstitutionen betreffen, ist vielleicht der wichtigste Schritt für bessere Cybersicherheit, bei dem es im Kern um Risikomanagement geht. „Wenn wir uns auf die Prävention konzentrieren und die Branche dazu bringen, umzudenken, können wir es schaffen, dieses Risiko auf ein akzeptables Niveau zu bringen“, ist Henning überzeugt.
Die Banken hätten bereits mit Finanzindustrieforen wie dem FS-ISAC (Financial Services Information Sharing and Analysis Center) zusammengearbeitet, um die Auswirkungen der Cyberkriminalität auf ihre Branche zu diskutieren. Auch die jüngsten EZB-Anforderungen böten entsprechendes Potenzial. Dieses bestehe in der Möglichkeit, aus den gewonnenen Erkenntnissen zu lernen und die gängigen Komponenten zu identifizieren, die einen Teil des „Drehbuchs“ der Angreifer während der Vorfälle bilden.
„Datensicherheit ist der Grundstein für die Erfüllung der Ziele der EZB“, so Henning. Ein zu großer Teil der Cybersicherheit basiere heute noch auf herkömmlicher, veralteter Legacy-Technologie. Diese Systeme seien aber einfach nicht dazu geeignet, die EZB-Ziele zu erfüllen. „Legacy betrifft aber nicht nur die Technologie, sondern beginnt mit der Mentalität. Die IT-Welt entwickelt sich in einem rasanten Tempo, was ein Umdenken hinsichtlich der grundlegenden Ziele erfordert.“
Die EU-DSGVO und die EZB-Ankündigung böten die Gelegenheit, einen Schritt zurückzugehen und erneut zu prüfen, ob die Prozesse, Verfahren und Technologien für die aktuellen und zukünftigen Anforderungen geeignet sind. „Was benötigt wird, ist ein System, das sensible Finanzdaten auf sichere Weise verarbeitet und in der Lage ist, zu handeln, bevor ein Sicherheitsvorfall aufgetreten ist“, betont Henníng. „Daher müssen Institute, die von der EZB reguliert werden, sich mehr zu modernen Technologien und Praktiken hin orientieren, wenn es darum geht, wie sie die mit den sensiblen Daten verbundenen Risiken verringern können.“
Interview mit Claudia Zimmermann
