Mit Cyber-Crime wird seit knapp 20 Jahren mehr Geld verdient als im internationalen Drogenhandel. Tendenz steigend – je weiter die Digitalisierung voranschreitet, umso größer wird die Gefahr, Opfer von Cyberkriminalität zu werden! Das Thema Cyber-Security ist eines der Top-Themen für Unternehmen weltweit, gleichzeitig lag die Aufklärungsquote von Cyber-Attacken in Deutschland in den letzten Jahren lediglich bei unter 30 Prozent. Im Allianz Risikobarometer 2024 wurden die Risiken aus Cyber-Attacken auf Platz eins der wichtigsten weltweiten Unternehmensrisiken genannt.
Bedeutung von Cyber-Security
In der Finanzbranche ist Cyber-Security von besonderer Bedeutung. Während Leasing- und Factoring-Institute in der Lage sind, den Ausfall eines durchschnittlichen Kreditnehmers zu kompensieren, kann schon eine einzige erfolgreiche Cyber-Attacke die Aktivitäten eines Instituts komplett stilllegen. Der damit entstehende Reputationsschaden wäre immens. Gemäß einer Umfrage der Boston Consulting Group aus dem Jahr 2019 treffen Cyber-Attacken Finanzdienstleistungsunternehmen 300-Mal häufiger als andere Unternehmen.
Einer Umfrage des Digitalverbands Bitkom unter rund eintausend Firmen ab zehn Mitarbeitern zufolge wurden drei von vier Unternehmen bereits Opfer von Cyber-Angriffen. Sabotage, Datendiebstahl und Spionage verursachen jährlich mehr als 100 Milliarden Euro Schaden durch Produktionsausfälle, Beschädigungen des Maschinenparks, Patentdiebstahl und Cyber-Erpressung. Tendenz steigend – denn Cyber-Sicherheitsexperten warnen, dass die Anzahl der Cyber-Attacken deutlich zunehmen wird.
Die Frage lautet deshalb schon lange nicht mehr, OB Sie angegriffen werden, sondern nur noch: WANN!
Im Fokus des Regulators
Die Stilllegung einer Bank kann wiederum zu Störungen des gesamten Sektors führen, da die Finanzbranche sehr stark vernetzt ist. Fällt zum Beispiel eine Börse oder ein Zahlungsverkehrssystem aus, sind davon sofort tausende Teilnehmer betroffen.
Es dürfte deshalb wenig verwundern, dass sich auf regulatorischer Ebene einiges bei diesem Thema bewegt. Als die Europäische Kommission Ende 2019 ihren Fahrplan für die kommenden Jahre präsentierte, lag das Augenmerk der breiten Öffentlichkeit vor allem auf dem prominent vorgestellten „European Green Deal“. Dass die Kommission im Rahmen ihrer Digitalisierungsstrategie aber zugleich bekanntgab, einen weiteren Schwerpunkt ihrer Arbeit auf das Thema Cyber Security legen zu wollen, wurde hingegen weniger zur Kenntnis genommen.
Mit Blick auf den Finanzsektor ist die Cyber-Sicherheit von existenzieller Bedeutung: Mittlerweile wird die Gefahr durch Cyber-Angriffe als eines der größten operationellen Risiken im Finanzsektor und auch als eine potenzielle Bedrohung für die Finanzstabilität eingeschätzt.
Finanzinstitute als häufige Opfer
Laut dem aktuellen Global DNS Threat Report für das Jahr 2021 von Efficient IP und International Data Corporation sind neun von zehn Finanzinstitute weltweit DNS-Attacken wie Phishing, DDoS-Angriffen oder DNS-basierter Malware zum Opfer gefallen. Und das nicht nur einmal: Im Laufe des Jahres 2020 sah sich jedes Finanzunternehmen mit durchschnittlich 8,3 Cyber-Attacken konfrontiert. Zur Abwehr eines Angriffs wurden im Schnitt 6,12 Stunden benötigt, spürbar mehr als bei Unternehmen aus anderen Branchen.
Höchste Zeit also, sich noch stärker als bislang um das Thema IT-Sicherheit zu kümmern. Da Finanzinstitute ein favorisiertes Angriffsziel der Kriminellen sind, müssen gerade jene an vielen Stellschrauben nachjustieren.
Mobile Office als Herausforderung
Eine zusätzliche Belastung haben diese Herausforderungen durch die verstärkte mobile Arbeit seit Ausbruch von Corona erhalten. EY postulierte für seine Mitarbeiter plakativ „Malle für alle“ und stelle den Arbeitsort völlig frei. Die Angestellten nutzen viel mehr mobile Geräte an allen möglichen Orten, außerhalb der Firmenzentrale. Dies resultiert in einer gigantischen Zahl: 52,5 Milliarden Euro – also 52.500.000.000 Euro. So groß ist der Schaden deutscher Unternehmen durch Cyber-Attacken im Homeoffice im Jahr 2020. Das geht aus einer Erhebung des Instituts der deutschen Wirtschaft (IW) hervor.
Nicht ohne Grund hat die BaFin der neuen, siebten MaRisk-Novelle das Thema „Handel im Homeoffice“ explizit im Anschreiben zur Konsultation explizit thematisiert und gewürdigt. Hierbei lässt sich implizit die Anforderung herauslesen, dass eben auch im Homeoffice die strengen Vorgaben an Technik, Datensicherheit und Diskretion zu erfüllen sind. Wenngleich die Mitarbeiter von Leasing- und Factoring-Instituten typischerweise mit weniger sensiblen Daten zu tun haben als Händler, gelten die Vorgaben unter Berücksichtigung des Proportionalitätsprinzips aber auch analog für sämtliche Mitarbeiter im Leasing und Factoring – beispielsweise im Speziellen für Geschäftsleiter oder Führungskräfte!
Digitalisierung geht nicht ohne Cyber Security
Die aktuelle Bedrohungslage ist real und sie zeigt sehr deutlich: Cyber Security entscheidet (mit) über den Erfolg oder Misserfolg eines Instituts! Ohne Cyber-Sicherheit wird die Digitalisierung insgesamt und insbesondere auch in der Finanzwirtschaft nicht erfolgreich verlaufen. Speziell bei neuen Produkten und Dienstleistungen sollte die IT-Sicherheit schon während der Entwicklung berücksichtigt werden.
Der Sicherheitsexperte Gene Spafford stellte fest: „Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein“. Ein solches Offline-System ist für kein Institut eine ernsthafte Option, deshalb ist es notwendig, eine erhöhte Cyber-Resilienz zu erreichen.
Die folgende Checkliste dient zur Einschätzung der Gefährdung Ihres Instituts. Je mehr der folgenden Fragen mit „Nein“ beantwortet werden, umso höher ist der Handlungsbedarf in Sachen Sicherheitskultur und umso schlechter sind die Institute für Cyber-Angriffe gerüstet:
- Zeigt die Geschäftsführung den erklärten Willen, für die Prävention Ressourcen (beispielsweise Personal) zur Verfügung zu stellen?
- Steht ein ausreichendes Budget für die Integration beziehungsweise planvolle Vorbereitung der Nutzung neuer Technologien zur Verfügung?
- Wurden Schutzbedarf und darauf beruhende Gefahren als Teil eines ganzheitlichen betrieblichen Kontinuitätsmanagements (BKM) analysiert?
- Wird die IT-Infrastruktur in Audits regelmäßig auf IT-Sicherheit, insbesondere konkrete Sicherheitslücken, überprüft? – Sind dabei auch Angriffsvektoren durch
eigene Mitarbeiter berücksichtigt? - Besteht der Wille, erkannte Probleme im festgelegten Umfang zu beseitigen und darüberhinausgehende Präventivmaßnahmen zu ergreifen?
- Werden die Präventions- und Reaktionspläne getestet?
- Erhalten Administratoren und IT-Anwender regelmäßig Schulungen, damit sie Gefährdungspotenziale besser einschätzen und qualifizierter reagieren können?
- Wird eine aktive Sicherheitskultur gelebt und gefördert?
Sechs Phasen einer Cyber-Attacke
Die einzelnen Phasen eines Cyber-Angriffs sind fast immer identisch und bestehen aus den folgenden Teilen:
- Ausspionieren: Phishing und Social Engineering Maßnahmen werden regelmäßig verwendet, um die Mitarbeiter zu verleiten, auf bösartige Links zu klicken oder einen infizierten Anhang zu öffnen. Um dies zu verhindern, oder zumindest zu erschweren, können Institute URL-Filter verwenden und den Netzwerkverkehr mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen sowie Port-Scans und Host-Sweeps zu verhindern.
- Vorbereiten und Ausliefern: In E-Mails und Dateien eingebetteter Schadcode kann durch eine Firewall blockiert werden. Sie gewährt Einblick in den gesamten Datenverkehr und blockiert alle Hochrisiko-Anwendungen. Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-Control-Kommunikation abwehren.
- Ausbeuten: Mit Zugriff auf das Netzwerk können Angreifer den Schadcode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpoint-Security-Techniken können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern.
- Installation: Angreifer verwenden häufig privilegierte Operationen und Rootkits, um sich dauerhaft im Netzwerk des Unternehmens einzuschleichen. Endpoint-Security kann lokale Exploits verhindern, die zu Rechteausweitung und Passwortdiebstahl führen. Eine moderne Firewall hilft dabei, eine strikte Benutzerzugriffskontrolle und fortlaufende Überwachung des Datenverkehrs zwischen den Zonen zu gewährleisten.
- Command and Control: Angreifer richten einen Kanal zwischen Server und infizierten Geräten ein. Dadurch können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Um dies zu vermeiden, können Institute ausgehende Command-and-Control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filter können die Kommunikation mit bekannten bösartigen URLs verhindern und die Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren.
- Aktivitäten im Angriffsziel: Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Die Motive sind dabei vielfältig und reichen von Datenextraktion, Zerstörung von kritischen Infrastrukturen bis hin zur Erpressung. Institute sollten durch feingliedrige Anwendungs- und Benutzerüberwachung bestimmte Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern.
Verantwortung ist nicht delegierbar – was tun bei einem Angriff?
Cyber Security und Informationssicherheitsmanagement müssen zwingend auf die Agenda des Vorstands/der Geschäftsführung. Cyber-Risiken können erhebliche Reputations- und finanzielle Schäden hervorrufen und im Extremfall die Existenz des Instituts bedrohen. Ein mangelndes Sicherheitsbewusstsein in der Unternehmenskultur bei einer gleichzeitig um das 300-fache erhöhten Wahrscheinlichkeit für Cyber-Angriffe auf Finanzdienstleister gegenüber den anderen Branchen sind eine äußerst brisante Mischung. Die Geschäftsführung sollte die Diskussion über den Umgang mit Cyber-Risiken auf höchster Ebene führen und Strategien zum Schutz der gefährdeten Daten und Informationen abstimmen. Hierzu gehört auch ein klarer Fahrplan, was im Falle eines Angriffs zu tun ist.
Cyber-Angriffe können grundsätzlich in zwei Arten unterschieden werden: Einerseits diejenigen, die sofort beziehungsweise sehr schnell bemerkt werden, wie etwa DDoS-Angriffe oder Ransomware und andererseits diejenigen, die erst sehr spät oder gar nicht bemerkt werden, wie etwa Spionagetrojaner:
Angriffe, die sofort bemerkt werden
Cyber-Angriffe aus dieser Kategorie basieren typischerweise auf einer Erpressung und/oder einer kurzfristigen Sabotage. Ein typisches Muster ist es dabei, Websites, Gateways oder Kundenportale so mit Anfragen zu überhäufen, dass deren Funktionen nicht mehr gegeben sind beziehungsweise die Nutzerdaten wie Bilder, Dokumente etc. auf den Computern der Opfer verschlüsselt werden. Durch eine Lösegeld-Zahlung stellt der Angreifer den Angriff ein oder eine Software zur Wiederherstellung der Daten zur Verfügung.
Durch Erpressungsschreiben per Mail oder Post geben sich die Täter zu erkennen. Im Fall von DDoS-Angriffen wird häufig anhand eines Teilbereichs nachgewiesen, dass die Täter in der Lage sind, ihre Drohungen in die Tat umzusetzen. Viele Unternehmen zahlen bereits bei der Androhung einer DDoS-Attacke aus Sorge vor Systemeinschränkungen (vgl. Bartsch, Frey 2017).
Angriffe, die erst sehr viel später oder gar nicht festgestellt werden
Bei Cyber-Angriffen mit dem Ziel, das Institut auszuspionieren, ist das Eingangstor wieder die klassische Phishing-Zone mit infizierten Links oder Anhängen in E-Mails. Über die Infektion wird die Kontrolle über den infizierten PC-Arbeitsplatz übernommen. Durch eine sogenannte Rechteeskalation wird in einem zweiten Schritt versucht, an höherwertige Zugangsdaten zu gelangen. Dieses Vorgehen wird so lange fortgesetzt, bis die zentralen Server zur Nutzerverwaltung und die Anwendungsserver erreicht sind. Über den Aufbau von ausgehenden Verbindungen fließen die Daten ab. Nach diesem Angriffsmuster gibt es Fälle von Infektionen, die über lange Zeiträume nicht oder sogar nie bemerkt wurden.
Die besondere Herausforderung besteht darin, dass die Methoden häufig sehr komplex sind und der Zeitraum bis zur Erkennung deshalb sehr hoch ist. Dieser liegt bei durchschnittlich 200 bis 500 Tagen! Die benötigten Security-Experten, die dazu beitragen könnten, diesen Zeitraum zu verkürzen, sind kaum verfügbar. Außerdem ändern sich die Angriffsmuster regelmäßig. Dies gleicht dem berühmten Hase-Igel-Spiel.
Checkliste mit ersten Schritten bei Cyber-Attacken:
- Logfiles sichern: Insbesondere aus IT-forensischen Überlegungen und zur gerichtsverwertbaren Beweisführung ist dies sehr wichtig. Außerdem kann dadurch zu einem späteren Zeitpunkt das Vorgehen der Angreifer genauer rekonstruiert werden.
- Krisenstab einberufen: Zur Erhöhung der Entscheidungsgeschwindigkeit und Bündelung aller nötigen Ressourcen sollte ein zentraler Krisenstab einberufen und die wichtigsten Mitarbeiter (gegebenenfalls auch die gesamte Belegschaft) regelmäßig über die wichtigsten Maßnahmen und Stände informiert werden.
- Kommunikation sicherstellen: Sowohl die Kommunikation innerhalb des Unternehmens als auch mit den wichtigsten Stakeholdern ist sehr zentral. So kann verhindert werden, dass sich Panik und wilde Spekulationen ausbreiten. Das Management sollte in kurzen, beispielsweise mindestens halbstündigen Abständen, upgedatet werden. Neben der organisatorischen Kommunikation muss allerdings auch die technische Kommunikation sichergestellt sein. Dies ist insbesondere in Zeiten von Voice-over-IP wichtig. Viele Institute verwenden dabei den Messenger Signal.
- Einbezug externer Berater: Insbesondere, wenn es sich um Ransomware und erpresserische Angriffe handelt, sollten spezialisierte Berater eingeschaltet werden, die über das notwendige Spezialwissen und Verhandlungsgeschick verfügen.
- Die Polizei rät übrigens davon ab, Lösegeld zu zahlen. Denn häufig bringt dies nichts, weil die Hacker weitere Forderungen stellen, oder sie verschwinden, ohne die Unternehmensdaten freigegeben zu haben. Nur in den wenigsten Fällen geben sie die Daten nach Zahlung des Lösegelds wieder vollständig frei (vgl. Kreimeier 2020)!
- Meldepflichten beachten: In Bezug auf die DSGVO gibt es strenge Meldepflichten, ebenso wenn das Institut als KRITIS, also als Anbieter kritischer Infrastruktur, einzustufen ist. Bei Verstößen gegen einschlägige Meldepflichten drohen empfindliche Bußgelder. Deshalb ist es wichtig, sich vorab nicht nur hinsichtlich der Meldefristen und -pflichten zu informieren, sondern auch die möglichen Meldewege zu dokumentieren.
- Status quo analysieren: Besonders wichtig ist es, sich ein möglichst umfassendes Bild der Lage zu verschaffen. Leitfragen hierfür können sein:
- Welche Systeme funktionieren noch?
- Welche Daten sind betroffen?
- Wie sind die Auswirkungen auf das Business?
- Ist die eigene Geschäftsfähigkeit bedroht, müssen Kunden informiert werden?
- Wie lange wird eine Behebung der Störung dauern?
- Ist ein Notfallbetrieb möglich, um zumindest in Teilen produzieren zu können?
Bei einem Cyber-Angriff sind insbesondere die ersten 72 Stunden sehr wichtig. Zum einen gilt beim Abfluss von Geld: Je schneller gehandelt wird, umso höher sind die Chancen, das Geld doch noch zurückholen zu können. Es gibt dabei sogar professionalisierte „Asset Tracer“, die die Spuren des Gelds nachverfolgen, denn häufig teilen die Täter das Geld sehr schnell in Teilbeträge auf und führen es erst später wieder zusammen. Zum anderen spielt bei der Berücksichtigung der 72 Stunden auch die Datenschutzgrundverordnung (DSGVO) eine wichtige Rolle. Insbesondere wenn personenbezogene Daten (etwa beim CEO-Fraud) erbeutet wurden, müssen spätestens 72 Stunden nach Bekanntwerden des Vorfalls die Aufsichtsbehörde(n) und gegebenenfalls auch die betroffenen Personen verständigt wer-den. Ansonsten läuft das Institut Gefahr, hohe Bußgelder zu kassieren.
Für eine Erstreaktion auf erkannte Sicherheitsvorfälle bietet die Allianz für Cyber-Sicherheit eine IT-Notfallkarte an, die neben einer zentralen Rufnummer zur Meldung des Vorfalls auch zu beantwortende Fragen beinhaltet sowie erste Verhaltensweisen, um den Vorfall bestmöglich dokumentieren und nachhalten zu können.
Folgende zwölf Fragen können dabei helfen, Maßnahmen zu ergreifen und zu priorisieren:
- Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyber-Angriff oder lediglich um einen technischen Defekt handelt?
- Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortlichen kommuniziert?
- Wurden System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
- Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt?
- Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden?
- Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt?
- Wurden Maßnahmen unternommen, um das gesamte Maß der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert?
- Wurden die beim Cyber-Angriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-)Prozessen durch relevante Maßnahmen adressiert und behoben?
- Wurden, nach Abstimmung, die Polizei oder relevante Behörden (Datenschutz, Meldepflichten etc.) benachrichtigt?
- Wurden die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und gegebenenfalls private) Accounts überprüft (zum Beispiel neue Passwörter, Zwei-Faktor-Authentisierung)?
- Wird das Netzwerk nach dem Vorfall weiter überwacht, um mögliche erneute Anomalien festzustellen?
- Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?
Gekommen, um zu bleiben
Das Thema Cyber-Security ist im Sinne der Band „Wir sind Helden“ gekommen, um zu bleiben. Mit jedem zusätzlich digitalisierten Prozess und jeder volldigitalen Anwendung im Leasing- und Factoringumfeld steigt auch die Anfälligkeit und Tragweite im Falle eines Cyber-Angriffs. Aus diesem Grund gilt es, die Blackbox Cyber-Risiko möglichst weit aufzumachen und die Gefährdungssituation regelmäßig und transparent zu prüfen. Der Hauptgrund ist dabei nicht ausschließlich regulatorische Compliance, sondern insbesondere eine wesentliche Existenzsicherung.
Aufgrund der erheblichen Bedeutung von Cyber-Security wird auch deutlich, dass dieses Thema nicht delegiert werden kann. Es ist eine elementare Aufgabe des Top-Managements!
Buch-Tipp: Cyber Security im Bankenumfeld
Das Buch erhebt einen hohen praktischen Anspruch und ist auf Basis vieler geführter Gespräche mit Experten und „Profis“ der unterschiedlichsten Hierarchieebenen und Funktionen im Finanzdienstleistungs- und Bankenumfeld entstanden. Es richtet sich sowohl an alte Hasen als auch an Quereinsteiger. Dadurch, dass sowohl einzelne Kapitel quergelesen werden können, als auch ein Komplettstudium möglich ist, kann der Leser entweder einen Gesamtüberblick oder auch schlichtweg eine schnelle Information erhalten.
Glaser, Christian: Cyber Security im Bankenumfeld, 345 Seiten, Broschur, ISBN 979-8-814-51266-6, 44,99 Euro, Independently Published 2022. Kindle-Edition, 42,99 Euro