Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Herr Dr. Finkler, für das Jahr 2020 sind weltweit rund 50 massive und konzentrierte Hackerangriffe auf Finanzunternehmen bekannt geworden. Wie schätzt das BSI die allgemeine Bedrohungslage für Banken in Deutschland durch Cyberangriffe ein?

Wolfgang Finkler: Die IT-Sicherheitslage ist auf einem hohen Niveau angespannt, wie es der Bericht „Die Lage der IT-Sicherheit in Deutschland 2020“ des BSI darstellt. Schwachstellen in Softwareanwendungen und Hardwarekomponenten, aber auch IT-Sicherheitsvorfälle im Betrieb und zusätzlich noch Cyber-Angriffe in zunehmender Qualität sind leider ein Fakt.
 

Was heißt das konkret?

Finkler: Die stärkere Vernetzung der Unternehmen bis zum Endkunden bedeutet zusätzliche Einfallstore für Angreifer und eine Zunahme potenzieller Gefahren und Risiken. Die Informationssicherheit ist bei allen Digitalisierungsvorhaben von Beginn an zu berücksichtigen. Darüber hinaus können die zunehmende Vernetzung der Wertschöpfungsketten sowie die Abhängigkeiten der Institute untereinander zu systemischen Risiken der Branche führen. Auch das gilt es zu beachten.

„Breite Schadsoftware-Kampagnen können prinzipiell jeden treffen.“

Betreffen die Cyber-Angriffe vor allem Großbanken, oder stehen auch regionale Kreditinstitute im Visier von Hackern?

Finkler: Sowohl Privatbanken als auch Sparkassen oder Kreditgenossenschaften und damit auch viele regionale Institute können bei Angriffen auf zentrale Infrastrukturen ihrer Dienstleister betroffen sein. Je nach Beeinträchtigung oder Ausfall von Teilen der kritischen Infrastruktur kann ein Vorfall gleich eine ganze Reihe von Instituten betreffen. Zudem beobachten wir weiterhin den Trend, dass Angreifer Schadprogramme für ungezielte cyberkriminelle Massenangriffe auf Unternehmen, Institutionen und Privatpersonen nutzen. Solche breiten Schadsoftware-Kampagnen können prinzipiell jeden treffen.
 

Wo sehen Sie aktuell die größte Cyber-Bedrohung für Banken?

Finkler: Eine große Bedrohung ging bis zum 26. Januar 2021 vom Schadprogramm „Emotet" aus, das vom BSI bereits im Dezember 2018 als gefährlichste Schadsoftware der Welt bezeichnet wurde. Das Schadprogramm wurde in der Regel als schädlicher Anhang einer E-Mail verbreitet, die als vermeintliche Antwort auf eine zuvor ausgespähte tatsächlich versandte E-Mail getarnt ist. So erscheint die Mail für Empfänger oftmals authentisch. Es wird also auch der Faktor Mensch als Einfallstor für Angriffe verwendet. Bei erfolgreichen Angriffen waren öfter Kaskaden weiterer gezielter Angriffe auch mit Verschlüsselung von Daten und Lösegeldforderungen zu verzeichnen. Dabei sind erhebliche Schäden entstanden. Auch wenn jetzt der Schlag gegen Emotet gelungen ist, ist Schadsoftware janusköpfig. Cyber-Kriminelle werden stets neue Angriffsformen entwickeln.

Mit welchen weiteren Methoden attackieren Hacker Kreditinstitute?

Finkler: Sehr sichtbar sind die sogenannten Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe), also Überlastungsangriffe auf Dienste, auf die im Internet zugegriffen werden kann. Ist beispielsweise kein geregeltes Online-Banking mehr möglich oder sind andere kritische Geschäftsprozesse wegen Überlastung blockiert, so wird das schnell öffentlich und kann unter Umständen mittelfristig einen größeren wirtschaftlichen Schaden verursachen. In diesem Zusammenhang sind auch Erpressungsversuche unter Androhung noch größerer Angriffe bekannt geworden. Auch das Ausnutzen von Schwachstellen in Soft- und Hardware mittels Schadprogrammen ist als gängige Methode zu nennen. Hier agieren die Angreifer mit zeitlichem Vorsprung, wenn unzureichend geschützte Produkte im Einsatz sind, etwa eine eingesetzte Software im Institut nicht zeitnah genug mit einer neueren Version aktualisiert wurde, beziehungsweise im Falle von sogenannten Zero-Day-Schwachstellen, für die es noch keine direkte Bereinigung des Problems gibt. Schließlich sind noch Social-Engineering bei Mitarbeitern sowie der Identitätsdiebstahl durch Phishing bei Kunden zu erwähnen. Angreifer, die sich als eine legitime Gegenpartei ausgeben, versuchen hierbei, ihre Opfer zur Herausgabe sensibler Informationen zu bewegen. Im Erfolgsfall werden diese später in betrügerischer Absicht eingesetzt.
 

Was sind die häufigsten Täterprofile?

Finkler: Je Absicht sind unterschiedlichste Täterprofile erkennbar. Ideologisch motivierte „Hacktivisten“ versuchen typischerweise Webpräsenzen durch Verändern oder Lahmlegen zu sabotieren. Hacker, die in krimineller Absicht handeln, sind oft der organisierten Kriminalität zuzurechnen. Sie zeigen einen hohen Grad an Professionalisierung. Sie setzen typischerweise Banktrojaner zum Diebstahl und späteren Verkauf von Informationen ein, aber auch Ransomware – also Schadprogramme, die durch Verschlüsselung den Zugang zu Daten oder Systemen einschränken, um anschließend ein Lösegeld zu fordern. Weiterhin gibt es auch technisch hochspezialisierte Hacker, beispielsweise staatliche Akteure, die unter anderem digitale Spionage betreiben. Nicht vergessen werden darf in dieser Aufzählung die Kategorie der sogenannten Innentäter, die üblicherweise Privilegien missbrauchen, um damit sensible Daten zu erlangen und weiterzugeben oder um IT-Störungen zu verursachen.

Wie können sich Banken gegen solche „Innentäter“ wehren?

Finkler: „Angriffe von innen“ können von nicht vertrauenswürdigen Personen, aber auch von verärgerten oder unzufriedenen Mitarbeitern ausgeübt werden. Deshalb sind zunächst Aspekte aus dem Bereich Organisation und Personal zu betrachten. Angefangen mit sorgfältiger Überprüfung von Kandidaten bei der Auswahl neuer Mitarbeiter, deren geregelter Einarbeitung, Schulung, wertschätzender Einsatz im Arbeitsalltag und Fairness im Umgang sind auch Aspekte der Sicherheitskultur und des positiven Betriebsklimas relevant. Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) hilft dabei, relevante Leitlinien, Regelungen und Vorgaben festzulegen und mit Leben zu füllen, die auch zur Eindämmung von Innentäter-Aktivitäten beitragen können. Die Behandlung der Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten, Prozessen und Informationen ist in diesem Zusammenhang wichtig. Audits, Rezertifizierungen von Benutzerberechtigungen, Auswertungen von Logdateien etwa bei hochprivilegierten Nutzern, sowie Anomalien-Erkennung in der Verwendung von Anwendungen sind einige der Möglichkeiten, Missbrauch von Privilegien und Betrug zu erkennen.
 

Welche Rolle spielen Mitarbeiter grundsätzlich für die Informationssicherheit einer Bank?

Finkler: Selbst wenn eine Bank aufwendigste technische und organisatorische Sicherheitsvorkehrungen erstellt hat, können diese ins Leere laufen, wenn sie im Arbeitsalltag vom Personal nicht gelebt werden. Mitarbeiter haben die wichtige Aufgabe, Informationssicherheit umzusetzen. Dazu müssen die geltenden Regelungen allen Mitarbeitern und insbesondere auch Funktionsträgern bekannt sein, und sie dürfen nicht durch sorglosen Umgang der Mitarbeiter – etwa der Zettel am Bildschirm mit Passwörtern für den Systemzugang – wieder ausgehebelt werden. Gewissenhaftigkeit und Aufmerksamkeit bei der Bearbeitung der Aufgaben sind essenziell. Und es ist ungleich besser, einmal mehr bei Kollegen nachzufragen beziehungsweise sich bei ungewöhnlichen Vorgängen zu vergewissern als auf Betrugs- und Manipulationsversuche wie beispielsweise einen CEO-Fraud hereinzufallen. Weitergehende Betrachtungen und Anforderungen sind beispielsweise im IT-Grundschutz-Kompendium des BSI im Baustein „ORP: Organisation und Personal“ sowie in der internationalen Norm ISO/IEC 27001:2013 im Anhang A.7 zu Vorgaben für die Personalsicherheit zu finden.

„Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung.“

Was können Banken unternehmen, um ihre Mitarbeiter zu sensibilisieren?

Finkler: Cyber-Sicherheit ist zuerst einmal Chefsache. Die Leitungsebene sollte sich bewusst machen, dass Digitalisierung und Informationssicherheit untrennbar zusammengehören. Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung. Wichtiger Teil der Maßnahmen ist die Sensibilisierung der Mitarbeiter. So sollte es in jeder Institution Ansprechpartner für Sicherheitsfragen geben. Wichtig sind Schulungen zum sicheren Umgang mit Informationstechnik und Anwendungen, die mit praktischen Übungen und Checklisten begleitet werden. Plastische Beispiele, etwa wie leicht das Schutzziel der Vertraulichkeit von Informationen durch Achtlosigkeit oder Missachtung von Regeln kompromittiert werden kann – man denke an Mobiltelefonate in öffentlichen Umgebungen – sind sehr eingängig.
 

Wie lassen sich die Mitarbeiter gezielt und sinnvoll schulen?

Finkler: Mitarbeiter und Administratoren sollten entsprechend ihrer Aufgaben und Verantwortlichkeiten geschult werden. Sie sollten gezielt darin unterrichtet werden, Sicherheitsvorfälle frühzeitig zu erkennen und auf diese angemessen zu reagieren, damit wirksame Gegenmaßnahmen rechtzeitig ergriffen werden können. Wiederholt können Mitarbeiter in Form eines Quiz oder anderen regelmäßigen Befragungen zu Aspekten der Cyber-Sicherheit eingebunden werden. Rundschreiben und gut sichtbare Seiten im Unternehmens-Intranet, Wiki, Wissensmanagement und ähnlichen Plattformen sind ebenfalls hilfreich. Dort sollte insbesondere auf aktuelle Themen eingegangen werden, um die Nutzer nachhaltig gegen Social-Engineering und Phishing-Kampagnen zu sensibilisieren. Das verbessert auch den Schutz gegen Emotet. Zur weiteren Erhöhung der Cyber-Resilienz des Instituts sind Übungen zur Behandlung von Sicherheitsvorfällen im Bereich des Notfallmanagements durchzuführen.
 

Wegen der Corona-Pandemie arbeiten viele Mitarbeiter von Zuhause aus. Hat sich durch Mobile Office und Videokonferenzen die Bedrohungslage geändert?

Finkler: Wir sehen einen Zusammenhang, ja. Je mehr Mitarbeiter ins Home Office gehen, desto mehr Angriffsflächen gibt es, wenn die Unternehmen die technische Arbeitsumgebung nicht entsprechend sichern. Aktuelle Bezüge zur Pandemie werden zudem in Phishing-E-Mails berücksichtigt und für kriminelle Zwecke ausgenutzt. Opfer werden zur Preisgabe von Informationen verleitet. Kompromittierte Seiten zur Beantragung von Soforthilfe und Kurzarbeitergeld gehören hier zu den Beispielen. Das BSI hat mehrfach IT-Sicherheitsinformationen zu Auswirkungen von Corona auf die IT-Sicherheitslage veröffentlicht, in denen unterschiedliche Angriffsszenarien beschrieben sind. Zudem hat das BSI Hinweise zum sicheren mobilen Arbeiten gegeben und veränderte Verhaltensweisen der IT-Anwender thematisiert. Sonderregeln der Arbeitsorganisation im Notfallmanagement beziehungsweise Business-Continuity-Management-Systeme wurden auf den Prüfstand gestellt.
 

Wie können Mitarbeiter sicher von Zuhause aus arbeiten?

Finkler: Für ein sicheres mobiles Arbeiten ist eine abgesicherte IT-Ausstattung wichtig. Als BSI beschreiben wir in klaren Sicherheitsvorgaben die Trennung dienstlicher und privater Informationstechnik. Zudem empfehlen wir den Einsatz von VPN-Lösungen für den Zugriff auf berufliche Dokumente und Überlegungen zu Standards für Videokonferenzen.

Wie sehr ist aus Ihrer Sicht die Geschäftsführung von Banken beim Thema Cyber-Sicherheit gefragt?

Finkler: IT-Sicherheit liegt in der Verantwortung der Unternehmensführung. Der Informationssicherheitsbeauftragte sollte inhaltlich und organisatorisch weit oben in der Unternehmenshierarchie angesiedelt sein. Richtlinien für das Informationssicherheits-Management sind vollständig zu erstellen und durch die Geschäftsführung oder den Vorstand zu verabschieden. Digitalisierung sicher zu gestalten ist seit jeher eine der Kernforderungen des BSI an die Wirtschaft – auch bei schwierigem Wettbewerbsumfeld mit Margendruck und hohem Innovationstempo. Die Absicherung von Produkten und Unternehmensnetzwerken ist von vornherein mitzudenken, da effektive Sicherheitsvorkehrungen im digitalen Raum unabdingbar sind. Dies geht nicht ohne entsprechende Vorgaben und Unterstützung durch das Management.
 

Welche Anstrengungen unternimmt das BSI, um Schaden von Banken sowie allgemein von der Wirtschaft abzuhalten?

Finkler: Die Verbesserung der IT-Sicherheit und die Beherrschbarkeit von Risiken sind ein Prozess und eine immerwährende Herausforderung. Deshalb ist das BSI als Cyber-Sicherheitsbehörde des Bundes und als Kompetenzstelle für Informationssicherheit so wichtig wie nie zuvor. Cyber-Sicherheitsvorfälle und Störungen sind dem BSI schnell zu melden. Diese Informationen können dann in eine Cyber-Sicherheitswarnung münden, die das BSI an potenziell betroffene Branchen verschickt. In der Allianz für Cyber-Sicherheit kooperiert das BSI mit mehreren Tausend Unternehmen und Institutionen. Unter anderem durch gemeinsame Veranstaltungen, Umfragen oder Erfahrungskreise trägt das BSI dazu bei, die Widerstandsfähigkeit Deutschlands gegen Cybergefahren jeglicher Art zu erhöhen. Weiterführende Information zu aktuellen IT-Sicherheitsthemen und zu den Aufgaben des BSI gibt es etwa im bereits erwähnten Bericht des BSI zur Lage der Sicherheit in Deutschland 2020.
 

Vielen Dank für das Interview!

Artikel lesen
Topthema