Categories: Sicherheit

Cyber-Risiken im Finanzsektor: Wie sicher sind unsere Banken?

stock.adobe.com © weerapat1003

Und man muss nicht einmal moderne, kontaktlose Zahlungsverfahren per Handy heranziehen; es genügt bereits der tagtäglich millionenfache Einsatz von Karten an den Zahlterminals der Geschäfte und Unternehmen, um eines zu erkennen: Auch im deutschen Finanzsektor sind Digitalisierung und Vernetzung längst Standard. Damit gelten alle Cyber-Risiken durch Hacker und sonstige kriminelle Angreifer auch vollwertig für diese Branche und somit auch die meisten von uns.

Finanzdienstleister häufig von Cyber-Attacken betroffen

Es gibt wohl kaum eine andere Branche, die ein so aufreizendes Ziel für digitale Angriffe darstellt, wie der Finanzsektor. Der Grund dafür ist, dass es an fast keiner anderen Stelle so viel Wertvolles zu holen gibt:

– Enorme Geldmengen

– Umfassende Kundendaten

– Andere intime Daten – etwa über Verflechtungen der Institute, Unternehmen und dergleichen

Hierzu muss man verstehen, dass es bei solchen Attacken nicht nur um digitalen Bankraub, um Angriffe auf einzelne Kunden und deren Zahlungsverkehr geht. Viel mehr ist der Banken- und Finanzsektor einer der wichtigsten Eckpfeiler einer jeden Volkswirtschaft. Alles, was sich um das riesige monetäre Thema dreht, dazu auch Immobilien, Geschäftsinterna, Bonitätsinformationen und dergleichen, hat an irgendeinem Punkt eine Schnittmenge mit den Banken.

Geld ist zwar das vornehmliche Ziel der allermeisten Angreifer, aber einfach nur ein Konto leerzuräumen oder jemanden um seine Kreditkartendaten zu bringen, ist nur einer von zahlreichen möglichen Modi Operandi. Und wenn es Hackern gelingen würde, das Geschäft ernsthaft zu beeinträchtigen, könnten sie Teile eines ganzen Landes in Geiselhaft nehmen. Die BaFin in ihrer Eigenschaft als oberste Bankenaufsicht schreibt dazu ganz deutlich:

„Das Bankgeschäft muss funktionieren; Beeinträchtigungen oder gar
massive Störungen müssen unter allen Umständen verhindert werden.“

Dementsprechend rangiert das Bankenwesen in Deutschland auch unter der der gleichen KRITIS-Definition (Kritische Infrastrukturen) wie beispielsweise die Strom- und Trinkwasserversorgung. Just dieser Schutz ist aber auch ein schwieriges Daily Business. Denn nicht zuletzt im Zuge der Corona-Pandemie hat die sowieso schon hohe Zahl von Attacken auf die Systeme der Banken nochmals an Schärfe gewonnen. Einige Studien gehen davon aus, dass die Zahl von Angriffen anno 2020 in einigen Monaten um fast 250 Prozent über dem Vorjahreszeitraum lag. Auch dafür gibt es einen guten Grund:

stock.adobe.com © Jess_Ivanova

Die Digitalisierung schafft neue Angriffsflächen

Alle möglichen digitalen Angriffsvektoren für Cyber-Kriminelle auf den Bankensektor aufzulisten, würde den Rahmen dieses Artikels deutlich überschreiten. Während Corona kam jedoch hinzu, dass nochmals deutlich mehr Menschen und Unternehmen ihre Aktivitäten in den digitalen Raum verlagerten. Dazu gehört auch der zur Ausbreitungsverminderung ausgeübte, verstärkte Einsatz von digitalen Zahlungsmitteln anstelle von Scheinen und Münzen – Corona sorgte dafür, dass selbst die sonst so Bargeld-affinen Deutschen wesentlich häufiger zur Karte oder zum Handy griffen.

Dazu muss jedoch eines klar festgestellt werden: Banken wissen sehr genau um die Bedeutung ihrer Systeme als Angriffsziel. Sie waren deshalb nicht nur beim Thema IT-Sicherheit „early Adopter“ der allerersten Stunde, sondern sind auch beständig und mit großen Geldmengen bestrebt, ihr Risikomanagement jederzeit up to Date zu halten, um möglichst vielen Kriminellen immer voraus zu sein.

Jedoch schreibt abermals die BaFin:

„Schon heute sind die digitalen Systeme vieler Unternehmen,
nicht zuletzt der Kreditinstitute, so komplex, dass es schlicht
unmöglich ist, generell jeden Angriff zu verhindern.“

Hier muss nun unterschieden werden: Was den Schutz gegen Schadsoftware anbelangt, das Aufdecken von Bugs, den digitalen Datenschutz und dergleichen, sind die deutschen Banken sehr sicher. Die Institute leisten sich allesamt große Sicherheitsabteilungen, heuern enorm fähige Cyber-Security-Spezialisten an. Das können sie, denn die großen Geldmengen ermöglichen es ihnen, ein attraktiver Arbeitgeber für die Crème de la Crème der IT-Sicherheit zu sein – hier haben es andere Stellen, etwa staatliche, deutlich schwieriger. Tatsächlich gibt keine andere deutsche Branche pro Mitarbeiter so viel Geld für IT-Sicherheit aus wie die der Finanzdienstleistungen.

Das bedeutet im Klartext, dass in kaum einem anderen Sektor so viel hochkarätiges IT-Sicherheitspersonal zu finden ist wie im Bankenwesen. Was die direkten Attacken anbelangt, haben deshalb auch nur entsprechende Profis unter den Cyber-Kriminellen überhaupt eine Chance auf erfolgreiche Angriffe. Mit modernen TAN-Verfahren beispielsweise (etwa Chip- oder Foto-TAN) gibt es auf digitaler Ebene kaum eine realistische Wahrscheinlichkeit, diese „Mauer“ der Cyber Security zu durchbrechen; allenfalls für eine kleine Hacker-Elite, wobei diese sich typischerweise nicht darauf fokussiert, simple Banking-Transaktionen zu attackieren.

Was dennoch dafür verantwortlich ist, dass die Zahl der Angriffe in jüngster Zeit so stark gestiegen ist, ist, wie so häufig, der Faktor Mensch – oder teilweise seine Abwesenheit.

– Es ist der Privatmensch, der Online-Banking unterwegs über ein offenes WLAN betreibt.

– Es ist der Bankmitarbeiter, der vergisst, sich an seinem Terminal auszuloggen, bevor er in die Pause geht.

– Es ist der Kunde am Geldautomaten, der bei der Eingabe seine PIN nicht sorgfältig mit Körper und Händen abschirmt.

– Es ist der Handybesitzer, der sein voller Zahlungsdaten steckendes Gerät nicht anständig absichert und es gestohlen bekommt.

– Es sind die Manager von Banken, die durch Personaleinsparungen dafür sorgen, dass in vielen Filialen nur noch Geld- und Überweisungsautomaten werkeln, jedoch keine Menschen mehr – die beispielsweise bemerken würden, wenn Kriminelle den Kartenschacht und die Tastatur des Geldautomaten mit Auslesegeräten bestücken, über die sie sowohl Kartendaten wie PINs abgreifen können.

– Es ist der Geldabhebende, der hernach seine Kontoauszüge überprüft, sie jedoch nicht sorgfältig bei sich zuhause lagert oder durch Verbrennen bzw. Schreddern optimal vernichtet, sondern in irgendeinen Mülleimer wirft.

Diese Liste ließe sich noch lange weiterführen. All dies wird verstärkt dadurch, dass es allein im unternehmerischen Bereich so viele Verflechtungen mit den Banken gibt. Als Beispiel sei hier ein beliebiger Online-Händler genannt. In seinen Datensätzen finden sich typischerweise Zahlungsinformationen zahlreicher Kunden, beispielsweise Kontodaten. Sobald hier nicht dasselbe Sicherheitsniveau wie bei den Banken vorhanden ist, entsteht eine Schieflage, eine Lücke. Auch während dieser Artikel geschrieben wurde (Ende Mai 2021), gab es einen derartigen Fall, in dem Kriminelle eine Supermarktkette erpressten, indem sie unter anderem erbeutete Kundendaten öffentlich machten.

KI und Algorithmen: Beeinflussbare Ziele?

Zu all diesen Tatsachen kommt noch hinzu, dass komplexere Finanz-Digitaltechnik derzeit einen großen Roll-Out auch beim Verbraucher erlebt; konkret solche, die sich auf komplexe Algorithmen oder künstliche Intelligenz stützt. So setzen sich aktuell Robo-Advisors durch, welche bei Anlegern den klassischen Bankberater ersetzen und dabei durch nüchterne Technik völlig anders vorgehen, emotionslos, gerade dadurch aber auch unbestechlicher.

Nicht zuletzt deshalb, weil derartige Techniken aktuell in sehr kurzer Zeit und dennoch großer Masse aufkeimen, befürchten einige Mahner das Schlimmste. Tatsächlich jedoch ist es nötig, die Cyber-Risiken von KI und Algorithmen deutlich differenzierter zu betrachten:

stock.adobe.com © Daria

– Auf der negativen Seite steht, dass hierdurch neue Wege eröffnet werden, um Attacken günstiger und schneller zu machen. Etwa, weil Brute-Force-Angriffe einfacher werden. Auch hat gerade KI die Eigenschaft, Menschen um ein Vielfaches besser täuschen zu können, als es bei bisherigen Techniken der Fall war. Ganz speziell, was das Vorspiegeln falscher Tatsachen anbelangt.
Konkret seien hier die jüngst stark aufkeimenden Deep Fakes in Bewegtbild und/oder Ton genannt. Sie sind erwiesenermaßen in der Lage, selbst Vorsichtige zu täuschen – und so beispielsweise eine enorm perfide Form von Phishing zu ermöglichen, bei der der Betroffene einem täuschend echt wirkenden Videoanrufer intime Bankdaten anvertraut.

– Auf der positiven Seite steht jedoch, dass die Technik auch die Sicherheit deutlich verbessert. Muster, Unstimmigkeiten, Schadsoftware und dergleichen können von hochentwickelten Algorithmen und selbst schwacher KI um ein Vielfaches besser entdeckt werden als es jeder Mensch oder niedriger angesiedelte Digitaltechniken vermögen.

Letztlich bedeutet dies, dass KI und Algorithmen das „Spielfeld“ nur erweitern. Weder machen sie den Finanzsektor maßgeblich sicherer noch unsicherer. Denn auch unter dem Einsatz dieser Techniken wird immer eine Tatsache bestehen bleiben: Die Banksysteme mögen zutiefst digitalisiert und abgesichert sein. An jedem Ende findet sich jedoch der Mensch; sei es in der Bank, auf Kunden- oder Hacker-Seite. Damit wird dieses schwächste Glied automatisch immer erhalten bleiben.

Maria Jose Carrasco

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago