Die Datenverarbeitung der Institute und damit ihr Geschäft können sie in besonderem Maße schädigen, denn Angriffe auf ihre IT-Systeme gefährden die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten.

Diese Risiken gefährden darüber hinaus die Ziele der Prinzipien für eine effektive Risikodaten-Aggregierung und Risikoberichterstattung von 2013, mit denen der Basler Ausschuss für Bankenaufsicht BCBS (Basel Committee on Banking Supervision) die Bedeutung der Verarbeitung von Risikodaten durch IT-Systeme hervorgehoben hatte. Er stellt darin umfangreiche neue Anforderungen an die Informationstechnik und die Datenarchitekturen in der Kreditwirtschaft, weil diese in der Finanzkrise nicht dazu in der Lage waren, die Geschäftsleitungen und das Risikomanagement angemessen zu unterstützen. Die Daten müssen demnach jederzeit flexibel, schnell und verlässlich zur Verfügung stehen.

Cyberangriffe betreffen nicht nur die Kreditwirtschaft, sondern alle Branchen. Die Bundesregierung hat daher den Entwurf für ein IT-Sicherheitsgesetz beschlossen, welches die IT-Sicherheit aller kritischen Infrastrukturen verbessern soll. Die deutsche Bankenaufsicht stellt bereits seit 2006 im Rundschreiben Mindestanforderungen für das Risikomanagement (MaRisk), das sie zuletzt Ende 2012 aktualisiert hat, Anforderungen an das IT-Sicherheitsmanagement der Institute.

Der vorliegende Beitrag skizziert die Verwundbarkeit von Instituten durch Cyber-Angriffe und beschreibt die Anforderungen, die die Risiken minimieren sollen. Er schließt damit an einen früheren Artikel zu den Erwartungen der Bankenaufsicht an die IT-Sicherheit der Institute an.

Angriffsziele im Bankgeschäft

Die Informationsverarbeitung nimmt im Bankgeschäft eine herausragende Rolle ein. Fast alle Bankprozesse werden automatisiert durch Anwendungssysteme umgesetzt oder gesteuert. Für Angreifer, gleich welcher Motivation, stellen die Daten und die Funktionalität der Anwendungen lohnende Ziele dar.

Da die wesentlichen Funktionen von Instituten auf der Kommunikation mit anderen Banken und mit ihren Kunden basieren, können ihre IT-Systeme nicht von öffentlichen Netzen abgekoppelt werden. Daher gilt es, bestimmte Systeme besonders zu schützen.

Wichtige Angriffsziele bei Banken

• Office- und E-Mail-Systeme
• Unternehmensnetzwerke
• Datenbanken und Dateien
• Buchführende IT-Systeme
• Vorgelagerte Anwendungen
• Steuerungs- und Controlling-Anwendungen
• Anwendungen für Risikomanagement und Risikoberichterstattung
• Zahlungsverkehrssysteme
• Handelssysteme
• Schnittstellen zu Kunden und Geschäftspartnern, beispielsweise Web-Anwendungen

Office-Systeme und Unternehmensnetzwerke

Institute entwickeln und operationalisieren ihre Strategien mithilfe von Office-Systemen. Sehr viele Management-Entscheidungen werden auf der Basis von Office- und E-Mail-Dokumenten getroffen und dokumentiert. Angreifer können somit das zukünftige Geschäftsverhalten eines Instituts nachvollziehen und diese Information zum eigenen Vorteil nutzen.

E-Mail-Systeme sind zudem relativ leichte Angriffsziele, die auch den Einbruch in Unternehmensnetzwerke ermöglichen. In diesem Kontext besteht insbesondere die Gefahr, dass Angreifer in die Geschäfts- und Risikostrategie Einsicht erhalten oder in Dokumente, die der Planung und Umsetzung dieser Strategien dienen. Angreifer können zudem Berichte manipulieren.

Buchführende Systeme und vorgelagerte Anwendungen

Die Papierform ist für zahlreiche Vorgänge unüblich geworden. Bei den meisten Instituten sind die kaufmännischen Bücher wie das Handels- und das Anlagebuch nur noch in elektronischer Form vorhanden, ebenso zahlreiche andere Dokumente. Die Verwaltung der Konten und Depots einschließlich aller Transaktionen geschieht automatisch, das Gleiche gilt für die Abwicklung von Wertpapiergeschäften. Sind Angreifer auf diese Ebene vorgedrungen, so können sie Kontobewegungen und Depotbestände verändern. Zwar erzeugen die Institute in der Regel von den Buchungsdaten Backups, indem sie sie zusätzlich an anderer Stelle speichern. Je nach Dauer des Angriffs sind die Backup-Daten aber meist wertlos, weil sie in der Regel als Abzüge der operativ genutzten Datenbestände erzeugt werden. Somit besteht ein verschärftes Risiko, dass Geschäftsunterlagen weitgehend manipuliert werden.

Direkte Angriffe auf die buchführenden IT-Systeme sind jedoch nicht notwendig, um Schaden anzurichten. Denn alle Transaktionen werden durch vorgelagerte Systeme veranlasst und können über diese auch eingesehen werden. Die Geschäftsprozesse werden zudem in den meisten Instituten durch IT-Anwendungen umgesetzt, die nicht nur die Aktivitäten steuern und Kennzahlen generieren, sondern auch Kontrollen veranlassen. Die einzelnen Aktivitäten und Kontrollen der Geschäftsprozesse werden hier durch eine „Geschäftslogik“ automatisch veranlasst oder zumindest teilweise automatisiert ausgeführt und zudem kommunikativ verknüpft. Die Geschäftslogik ist in Anwendungen, die als Workflows bezeichnet werden, hinterlegt und trifft zahlreiche Entscheidungen weitgehend autonom.

Systeme für Banksteuerung und Risikomanagement

Banksteuerung und Risikomanagement erfolgen über eigene Systeme, welche Abzüge der Buchungsdaten (Data-Warehouses) analysieren. Auch hier reicht eine Manipulation der vorgelagerten IT-Systeme, um Daten auszuspähen oder die Risiko- oder Steuerungsdaten zu manipulieren.

Greifen Hacker diese Systeme an, können sie die geschäftliche Situation des Hauses ganz oder in Teilen nachvollziehen. Auch durch die Manipulation von Risiko- beziehungsweise Steuerungsdaten können sich Angreifer wirtschaftliche Vorteile verschaffen, etwa durch Leerverkäufe auf die Aktien eines geschädigten Instituts.

Bei Angriffen auf buchführende Systeme, vorgelagerte Anwendungen sowie Steuerungs- und Risikomanagementsysteme besteht zudem das Risiko, dass die Kennzahlen verfälscht werden, die die Institute zur Einhaltung der Eigenmittelanforderungen und für das Meldewesen benötigen – selbst, wenn dies nicht das eigentliche Ziel des Angriffs war.

Beispiele für Cyber-Angriffe

Im Sommer 2014 griffen Hacker die US-amerikanische Bank J.P. Morgan Chase & Co. an. Presseberichten zufolge brachten sie eigens angefertigte Schadsoftware in die IT-Systeme der Bank ein, die es ihnen ermöglichte, die Systeme fernzusteuern. Sie nutzten dazu Sicherheitslücken, die bis dahin unbekannt waren, so genannte Zero Day Vulnerabilities. Erst zwei Monate später wurde der Angriff entdeckt. Laut J.P. Morgan wurden Daten von über 76 Millionen Privat- und 7 Millionen Firmenkunden gestohlen. Die Datensätze umfassten Namen, Adressen, Telefonnummern und E-Mail-Adressen sowie bankinterne Informationen über die Kunden. Die Angreifer, die bis heute unbekannt sind, nutzten die gestohlenen Daten jedoch weder für Erpressungen noch für Betrugszwecke. Dies deutet darauf hin, dass das Ziel des Angriffs die Ausspähung der Daten an sich war.

Der J.P.-Morgan-Fall ist aufgrund des Angriffsmusters (Einschleusen von Schadsoftware), des Angriffsziels (Datendiebstahl) und der späten Entdeckung des Angriffs typisch für professionelle Cyber-Angriffe. Es ist nur ein prominentes Beispiel unter vielen anderen. 2013 drangen Kriminelle etwa in die IT-Systeme zweier indischer IT-Dienstleister ein und manipulierten die Limits von Zahlungskonten bei zwei arabischen Banken. In mehreren Ländern hoben Handlanger innerhalb weniger Stunden rund 45 Millionen US-Dollar von Geldautomaten ab. Im selben Jahr waren mehrere US-Institute monatelang einer Welle so genannter DDOS-Angriffe (Distributed Denial-of-Service) ausgesetzt, die auf den temporären Ausfall von Webseiten abzielten. Die Angriffe waren islamistisch motiviert und führten zu erheblichen Störungen im Online-Banking. Bereits 2011 brachten Angreifer über den Laptop eines externen Mitarbeiters eine Schadsoftware in das Rechenzentrum eines südkoreanischen Kreditinstituts ein. Diese löschte Datenbestände und verursachte Schäden im Rechenzentrum, die das Institut dazu zwangen, seinen Geschäftsbetrieb für drei Tage einzustellen.

Zahlungsverkehrssysteme

Angriffe auf Zahlungsverkehrssysteme können Fehlüberweisungen bewirken oder die Zahlungsfähigkeit eines Instituts oder seiner Kunden direkt einschränken. Im schlimmsten Fall könnte sogar die ausreichende Zahlungsbereitschaft des Instituts gefährdet sein, die § 11 Kreditwesengesetz (KWG) einfordert. Zudem können Angreifer das Zahlungsverhalten von Kunden ausspähen.

Angreifer können extrem hohe Fehlüberweisungen auslösen. Effektiv entsteht dem Institut hier ein Kreditrisiko, denn einerseits haftet es seinen Kunden gegenüber und andererseits muss es selbst rechtliche Schritte einleiten, um das Geld zurückzuerhalten, das einem fremden Institut verbucht wurde.

Handelssysteme und Schnittstellen

Im Handelsgeschäft erfolgt die Weiterleitung der Orders an die Börse durch Rechnersysteme, die eine möglichst optimale Stückelung der Orders erzeugen. Oft werden die Orders selbst durch Algorithmushandelssysteme erzeugt, ohne dass Menschen eingreifen. Die Ausspähung von Handelsdaten ist für Hacker attraktiv, weil sie auf diese Weise Insider-Handel vorbereiten können. Angriffe auf die Handelssysteme eines Instituts ermöglichen aber nicht nur die Rekonstruktion von Strategien im Handel, sondern auch die Veranlassung von Orders, die das Portfolio ungünstig verändern. Zum Beispiel können auf diese Weise kurzfristige Liquiditätsengpässe (Short Squeezes) entstehen oder durch Umschichtung liquider in illiquide Positionen die Zahlungsbereitschaft eines Instituts beeinträchtigt werden. Cyber-Angriffe können außerdem auf die Verzögerung der Order-Weiterleitung abzielen. Der Angreifer verschafft sich auf diese Weise sehr zeitnah einen Vorteil im Handel (Front Running).

Bereits 2013 führten die Internationale Organisation der Wertpapieraufsichtsbehörden IOSCO (International Organization of Securities Commissions) und der Weltverband der Börsen WFE (World Federation of Exchanges) eine gemeinsame Studie zu Cyber-Angriffen auf Finanzmarktinfrastrukturen durch. Im Arbeitspapier, das die Ergebnisse der Studie enthält, warnt Rohini Tendulkar von der IOSCO-Forschungsabteilung ausdrücklich vor solchen Angriffen. Diese könnten 89 Prozent der Studienteilnehmer zufolge ein systemisches Risiko darstellen. 2012 seien 53 Prozent der Börsen von mindestens einem Cyber-Angriff betroffen gewesen. Die Angriffe hätten meist darauf abgezielt, den Börsenbetrieb zu stören. Allerdings kann der Zugriff der Institute auf die Finanzmarktinfrastrukturen, also beispielsweise Börsen, Clearingstellen und Settlement-Systeme, auch durch Cyber-Angriffe auf die von den Instituten betriebenen Schnittstellen gestört werden.

Anforderungen der Bankenaufsicht

Mit Blick auf die herausragende Rolle der Informationstechnik in Banken hat die BaFin in den MaRisk auch Anforderungen an die IT-Prozesse und IT-Systeme vorgegeben. Zwar fordert § 25a KWG Absatz 1 von den Instituten, für die IT-Systeme Notfallvorsorge zu treffen. Die üblichen Notfallmaßnahmen, beispielsweise Ausweichrechenzentren, bieten aber nur einen gewissen Schutz gegen Naturkatastrophen und Bombenanschläge, nicht jedoch gegen Cyber-Angriffe. Der Schutz der Institute vor Cyber-Angriffen setzt anderweitig an.

Die MaRisk verpflichten die Institute, ihre IT-Systeme und IT-Prozesse zum Schutz der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten auf gängige Standards abzustellen. Insbesondere werden Benutzerberechtigungsverfahren eingefordert. Die Banken müssen regelmäßig überprüfen, ob ihre IT-Systeme und -Prozesse diese Anforderungen erfüllen. Weiterhin haben die Institute nach den MaRisk Software-Entwicklungsprozesse einzurichten. Diese sind ebenfalls sicher auszugestalten.

Diese Anforderungen gelten unabhängig davon, ob die IT-Systeme und -Prozesse von den Instituten selbst betrieben werden, ob sie sie ausgelagert haben oder die Leistung auf andere Weise von externen Stellen beziehen. Sie sind notwendig, um eine ordnungsmäßige Geschäftsorganisation sicherzustellen.

Schutzmaßnahmen

Konkret fordert die BaFin von den Instituten folgende Schutzmaßnahmen gegen Cyber-Angriffe:

• IT-Sicherheitsmanagement, ausgerichtet an den Standards der Internationalen Organisation für Normung (International Organization for Standardization – ISO, insbesondere ISO 27000) beziehungsweise des Bundesamts für Sicherheit in der Informationstechnik (BSI, insbesondere BSI 100-1 bis 100-4)
• Sorgfältige Planung, Absicherung und Überwachung der IT-Systeme und der Netzwerke
• Überprüfung der IT-Systeme und -Prozesse auf Sicherheitslücken, zum Beispiel durch Audits, Verwundbarkeitsscans oder Penetrationstests
• Wirksames Patch-Management, das insbesondere sicherstellt, dass sicherheitsrelevante Software-Updates und notwendige Konfigurationsänderungen rechtzeitig und sicher vorgenommen werden
• Sicherheitsmaßnahmen in der Software-Entwicklung
• Berücksichtigung der IT-Sicherheit bei Auslagerung von Aktivitäten und Beschaffung von IT-Systemen

Die BaFin hat darüber hinaus ein Rundschreiben mit Anforderungen an die Systeme und Kontrollen für den Algorithmushandel von Instituten veröffentlicht. Es schreibt besondere Schutzmaßnahmen vor, weil ein erfolgreicher Angriff auf ein solches System innerhalb extrem kurzer Zeit beliebig hohe Verluste erzeugen kann. Für Systeme mit externen Schnittstellen beispielsweise müssen die Institute regelmäßige Penetrationstests durchführen.

Aktivitäten der BaFin

Die BaFin und die Deutsche Bundesbank thematisieren in Aufsichtsgesprächen und Sonderprüfungen immer wieder die IT-Sicherheit der Institute, zum Teil auch mit Fokus auf Cyber-Sicherheit. Innerhalb der BaFin gibt es bereits seit 2011 ein eigenes Referat, das sich mit den IT-Infrastrukturen und der Cyber-Sicherheit bei Banken befasst. Es ist absehbar, dass auch im Rahmen des einheitlichen europäischen Aufsichtsmechanismus SSM (Single Supervisory Mechanism) Cyber-Risiken ihre Berücksichtigung finden werden.

Die BaFin ist an das Nationale Cyber-Abwehrzentrum (NCAZ) angeschlossen, eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betriebene Plattform für den Informationsaustausch der Bundesbehörden über aktuelle Bedrohungen. Seitens verschiedener Wirtschaftszweige, auch von Teilen der Kreditwirtschaft, bestehen seit mehreren Jahren freiwillige Meldewege zum BSI, die mehr oder minder intensiv genutzt werden.

Erwartungen an die Institute

Sind Institute von Cyber-Angriffen betroffen, so erwartet die BaFin, darüber informiert zu werden. Cyber-Angriffe zu bemerken und hinreichend schnell zu reagieren, ist für die Institute eine Herausforderung für sich. War ein Cyber-Angriff erfolgreich, so ist es wichtig, dass das Institut das Ausmaß des Schadens rechtssicher feststellt, um Haftungsrisiken vorzubeugen. Dazu kann es sinnvoll sein, IT-Forensik-Experten einzusetzen.

Aussagekräftige Berichte, etwa der IT-Forensiker und des IT-Sicherheitsbeauftragten des Instituts, sind nach einem Vorfall zudem wertvolle Informationsquellen für alle involvierten Stellen, auch für die Aufsicht. Sie kann Mängel in der Konzeption und Wartung der IT-Systeme ebenso adressieren wie Fehlplanungen in der IT-Organisation oder beim IT-Budget, die den Mängeln zugrunde liegen.