6 Minuten Lesezeit 10 März 2021
Frau mit Kreditkarte in der Hand vor ihrem Laptop

Cyberangriffe: Wie sich Banken effektiv schützen können

Von Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.

6 Minuten Lesezeit 10 März 2021

Beschleunigte Digitalisierung und veränderte Kundenwünsche: Cybersicherheit und Resilienz werden für Banken immer wichtiger.

Überblick
  • Kunden nutzen digitale Angebote der Banken, Mitarbeiter arbeiten aus dem Homeoffice: Die Corona-Pandemie beschleunigt die Digitalisierung.
  • Auch die Gefahr von Cyberangriffen im Bankenumfeld wächst.
  • Maßnahmen zur Sicherung der Systeme werden immer wichtiger für die Institute.

Das Social Distancing der vergangenen Monate ist unbestritten einer der Katalysatoren für die Digitalisierung. Doch mit der zunehmenden Digitalisierung wächst auch die Gefahr für Banken durch Cyberangriffe. Deshalb reicht es nicht mehr, dass Banken allein auf ihre Sicherheitssysteme schauen, sie müssen auch die Erwartungen und den Schutz ihrer Kunden berücksichtigen.

Es ist unstrittig, dass 2020 ein Schlüsseljahr für die Digitalisierung im Bankenumfeld war. Denn die Pandemie und die notwendigen Maßnahmen zur Eindämmung des Coronavirus schicken einen großen Teil der Mitarbeiter ins Homeoffice, lassen das Onlinegeschäft vieler Banken rasant wachsen und die Anzahl digitaler Zahlungen steigen.

COVID-19: Veränderte Anforderungen und Erwartungen der Bankkunden

Aufgrund von Kontaktbeschränkungen und Abstandsgeboten blieben auch viele Bankkunden den Filialen fern. Stattdessen nutzten sie zunehmend digitale Angebote der Banken, zum Beispiel:

  • die kontaktlose Bezahlung per NFC (Karte oder Smartphone) anstelle der Nutzung von Bargeld,
  • das vermehrte Einkaufen und Bezahlen im Internet oder
  • die vollständig digitale Kredit- / Kartenbeantragung und Online-Kontoeröffnung.

Bankkunden möchten zu jeder Zeit und möglichst einfach auf Onlinedienste zugreifen, Transaktionen in Echtzeit ausführen, eine zentrale Übersicht über ihre Vermögenswerte und Konten haben und ihre Daten in sicheren Händen wissen – all das, ohne viel Aufwand. Die Services der Banken sollten von verschiedenen Endgeräten und von jeder beliebigen Plattform aus erreichbar sein. Die „User Experience“, also die positive Erfahrung der Kunden bei der Nutzung der Dienste, spielt eine herausragende Rolle für die Kundenbindung und sollte kontinuierlich optimiert werden.

Die Banken reagieren auf die veränderten Kundenwünsche und die Corona-Pandemie mit weiteren Digitalisierungsmaßnahmen, indem sie 

  • ihre Produkte und internen Abläufe weiter digitalisieren und automatisieren,
  • massiv in neue Technologien zur Virtualisierung von Meetings und Zugriffsmöglichkeiten auf zentrale Anwendungen und Systeme investieren und
  • zunehmend auf Cloud-Dienste und die Zusammenarbeit mit Partnern setzen.

Wenn Banken nur Mechanismen in den Blick nehmen, die vorrangig ihre eigenen Systeme optimieren und schützen, lassen sie häufig den Faktor Mensch, der als Kunde und Mitarbeiter im Zentrum der veränderten Erwartungen und Anforderungen steht, außen vor.

Onlineangebote werden immer wichtiger für Unternehmen und Banken. Gleichzeitig steigt ihre Abhängigkeit vom Cyberraum und Cyberrisiken bedrohen ihr Geschäft zunehmend. Besonders im Privatkundengeschäft kommt der Cybersicherheit aufgrund der großen Anzahl an potenziell geschädigten Kunden eine hohe Bedeutung zu.

Schutz vor Cyberangriffen

Die Digitalisierung und damit einhergehende neue Methoden und Technologien wie „Speed-to-Market“ (Agilität und Continuous Deployment), „Ökosystem“ (Auslagerung und Supply Chain) und „Virtualisierung“ (Cloud) erleichtern den Schutz vor Cybervorfällen nicht per se. Wenn Banken nur Mechanismen in den Blick nehmen, die vorrangig ihre eigenen Systeme optimieren und schützen, lassen sie häufig den Faktor Mensch, der als Kunde und Mitarbeiter im Zentrum der veränderten Erwartungen und Anforderungen steht, außen vor.

Zudem sind die enge Vernetzung und der Datenaustausch im Ökosystem der Finanzinstitute ein erhöhtes und oft zu wenig betrachtetes Risiko. Solche Risiken werden durch allgemeine vertragliche Regelungen häufig als ausreichend „geklärt“ betrachtet, wobei die Verantwortung für den Fall eines Cyberangriffs letztendlich bei den Banken verbleibt, die noch nicht über ausreichende Kontrollmechanismen verfügen.

Wie sich die Bedrohungslage der Banken ändert: Aktuelle Beispiele

  • Die Manipulation einer Netzwerk-Management-Software im Jahr 2020 ermöglichte es den Tätern, auf die IT-Systeme und Daten von geschätzten 32.000 Unternehmen und Behörden weltweit unautorisiert und unentdeckt zuzugreifen. Selbst wenn das eigene Institut diese Software nicht im Einsatz hatte, bestand das Risiko, dass Banken durch angebundene Dienstleister betroffen sein könnten. Die möglichen Folgen: finanzielle Schäden für Ausfälle, Datenschutzvorfälle und Reputationsschäden.

  • 2020 war zudem erneut ein Jahr der Ransomware: Es wurden mehrere Vorfälle bekannt, bei denen große Unternehmen durch Verschlüsselungstrojaner getroffen wurden. In der Folge mussten sie für mehrere Wochen oder Monate ihren Geschäftsbetrieb einstellen oder konnten diesen nur sehr rudimentär und mit großem Aufwand aufrechterhalten. Befeuert wird der Einsatz von Ransomware durch die professionelle Bereitstellung solcher Dienstleistungen (Ransomware-as-a-Service) im Darkweb, die von (fast) jedem einfach zu beziehen sind. Auch wenn sich die Finanzinstitute gut gewappnet sehen, wird der Aufwand steigen, um sich umfassend auf die sich ändernde Bedrohungslage einzustellen.

  • Auch die Endkunden selbst können direkt von Schadsoftware betroffen sein. Zwar steigt die Vielfalt der mobilen Endgeräte, die meisten Nutzer verlassen sich jedoch auf zwei Betriebssysteme mit den dazugehörigen App Stores: Apple iOS oder Google Android. Die Komplexität der Software ist so groß, dass sich immer wieder Schwachstellen und Sicherheitslücken einschleichen oder aktiv eingebracht und ausgenutzt werden. Die Sicherheit der Endgeräte ist dann nicht mehr gewährleistet. Damit sinkt auch die Sicherheit der verwendeten Authentisierungs- und Autorisierungsverfahren von Banktransaktionen. Ein Beispiel ist die Schadsoftware „Cerberus V2“ aus dem Jahr 2019, die noch bis Ende des Jahres 2020 Schaden anrichtete.

Es ist an der Zeit, über einen Paradigmenwechsel in der Cybersicherheitsstrategie der Banken nachzudenken: weg vom Prinzip der starren Perimeter-Sicherheit (Castle & Moat Modell) hin zu einem zeitgemäßen „Zero Trust“-Ansatz. Anstatt einen starken, aber unflexiblen Sicherheitsring zu errichten, gilt es, die individuellen Bausteine der Dienstleistungen verstärkt zu schützen – inklusive derer, die bei den Kunden liegen. Das trägt der notwendigen Flexibilität bei der Anpassung von Geschäftsprozessen, Anwendungen und Infrastruktur Rechnung.

Dass Sicherheit und Resilienz gegenüber Cyberattacken und Cybersicherheitsvorfällen bei der Erbringung eines sicheren Geschäftsbetriebs eine besondere Bedeutung haben, wird auch durch den in der Konsultation befindlichen „Digital Operational Resilience Act“ (DORA) der Europäischen Kommission deutlich. Er wird große Auswirkungen auf alle am europäischen Finanzsystem beteiligten Unternehmen haben.

Schutz vor Cybersicherheit: Was können die Bankkunden tun?

Leider betrachten immer noch einige Institute Cybersicherheit als nachrangig. Doch wenn die Vorgaben für Cybersicherheit nur unwillig oder unzureichend umgesetzt werden, lassen sich Cybersicherheitsvorfälle nicht verhindern oder werden sogar noch weiter zunehmen.

Es reicht nicht aus, dass Banken nur auf sich selbst, ihre eigenen Prozesse und ihre eigene Infrastruktur schauen. Sie sollten auch die Kunden und deren Schutz einbeziehen, da diese auf eine einfache Nutzung der Dienste setzen und sich nicht selbst mit zu viel Aufwand um den Schutz ihrer Finanzen und Daten kümmern möchten. Im Schadensfall ist eine gut vorbereitete, schnell einsetzbare, transparente und offene Kommunikation notwendig. Die Erfahrung zeigt, dass – solange den Kunden Schäden ersetzt werden – die Kundenbindung hoch bleibt. Es kann jedoch passieren, dass die Schäden steigen und nicht mehr ersetzt werden (können). Spätestens dann wird deutlich, dass Resilienz gegenüber Cybersicherheitsvorfällen wichtig ist, um langfristige Reputationsschäden gering zu halten.

Wollen sich die Finanzinstitute gut gegen Cyberangriffe wappnen, sind steigende Investitionen in Cybersicherheit notwendig. In Zukunft wird immer wichtiger werden, welche Banken und Unternehmen über ein (Früh-)Erkennungssystem für Cyberbedrohungen (Cyber Threat Intelligence) für sich und ihre Kunden verfügen, welche Institute in der Lage sind, Cybersicherheitsvorfälle zu erkennen und zu behandeln und welche die aktive Risikosteuerung in all ihren Belangen abdecken können.

Dieser Artikel erschien zuerst auf „Der Bank Blog“.

Fazit

2020 war ein Schlüsseljahr für die Digitalisierung der Banken. Die Corona-Pandemie beschleunigte die Entwicklung und Bereitstellung digitaler Services, viele Institute haben ihre Infrastruktur und Prozesse umgestellt. Doch mit der zunehmenden Digitalisierung wächst auch die Gefahr von Cyberangriffen. Manipulierte Software oder Viren sind nur zwei von vielen Gefahren, denen Banken und Endkunden ausgesetzt sind.

Banken sollten nicht nur ihre eigenen Systeme sicher gestalten. Sie sollten auch auf ihre Kunden und deren Schutz achten – das stärkt die Kundenbindung nachhaltig. 

Über diesen Artikel

Von Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.