Hacker

Raimund Röseler, Exekutivdirektor Bankenaufsicht, im Gespräch über Cybersicherheit von Banken in Corona-Zeiten, Sanktionsmöglichkeiten gegenüber Dienstleistern und die allgemeine Lage der Institute im Jahr der Pandemie.

Seit Ausbruch der Corona-Krise hat der allgemeine Datenverkehr in Deutschland zugenommen – schätzungsweise um durchschnittlich 10 Prozent, das legt zumindest das Geschehen am Internetkontenpunkt D-CIX in Frankfurt am Main nahe. Auch Bankkunden dürften mit dafür gesorgt haben, da viele von ihnen auf kontaktlose Kanäle auswichen, als die Filialen vorübergehend geschlossen waren.

Dank digitaler Lösungen konnte die Kreditwirtschaft ihre operativen Funktionen in Zeiten des Lockdowns aufrechterhalten. Doch zunehmend reift auch die Erkenntnis, dass mit der krisenbedingt sehr abrupten Digitalisierung einige Herausforderungen einhergehen – etwa mit Blick auf die Cybersicherheit. Banken brauchen belastbare IT-Infrastrukturen, sie müssen ihre Beschäftigten schulen und Strategien gegen Störungen entwickeln. Dazu Exekutivdirektor Raimund Röseler im Gespräch mit dem BaFinJournal.

Herr Röseler, die Sprengung von Geldautomaten verursacht einen großen Knall. Wünschen Sie sich das manchmal auch für Gefahren aus dem Cyberraum?
Nein, ganz sicher nicht. Bei einem großen Knall kann es ja auch zu großen Schäden kommen. Und ich denke auch nicht, dass wir einen Knall brauchen, um die Aufmerksamkeit für Cybergefahren zu erhöhen. Nach meiner Wahrnehmung haben die Banken und auch die Öffentlichkeit Cyberangriffe als echte Gefahr längst erkannt. Ich sehe kein Awareness-Defizit.
Der Finanzsektor ist für Cyberkriminelle ohnehin eine beliebte Zielscheibe. In den BaFinPerspektiven haben Sie kürzlich die Vermutung angestellt, die weltweite Corona-Pandemie könne das Problem noch verschärfen. Machen sich Hacker die Krise zunutze?
Ja, das tun sie. Die Pandemie hat den Trend zur Digitalisierung teilweise abrupt verstärkt. Das sehen Sie am zunehmenden Datenverkehr und einer höheren Auslastung der IT-Infrastruktur. In so einer Belastungssituation tun uns die Hacker natürlich nicht den Gefallen, uns in Ruhe durchatmen zu lassen. Nein, sie erhöhen sogar ihr Tempo und entwickeln immer neue Schadsoftware. Egal, ob Spam, Malware oder Phishing: Wir sehen, dass das Volumen deutlich angestiegen ist.
Einerseits nimmt die Aktivität von Hackern zu, andererseits zeigen die Vorfallsmeldungen nach dem ZAG, dem Zahlungsdiensteaufsichtsgesetz, keine Auffälligkeiten. Wie passt das zusammen?
Die ZAG-Vorfallsmeldungen sind als statistisches Instrument und Warnsystem sehr hilfreich. Aber sie sind nur eine Teilmenge. Es müssen nur Zahlungsdienstleister wie Banken über schwerwiegende Betriebs- oder Sicherheitsvorfälle informieren und nicht etwa Versicherer. Die Anzahl der gemeldeten Cybervorfälle bei Zahlungsdienstleistern ist in der Tat nicht besonders angestiegen. Dies mag auch an der erhöhten Alarmbereitschaft dieser Unternehmen liegen. Wir, die Aufsicht, sind jedenfalls auch sehr wachsam und prüfen auch verstärkt im IT-Bereich.
Werfen wir einen Blick auf die deutschen Banken unter direkter BaFin-Aufsicht. Sind sie der zunehmenden Bedrohung gewachsen?
Wir sehen zwar flächendeckend mehr Angriffe. Die sind aber längst nicht immer erfolgreich. Unsere Banken scheinen, was böswillige Cyberangriffe von außen angeht, vergleichsweise gut gerüstet zu sein. Und wenn es Kriminellen mal gelingt, die Schutzhülle zu durchdringen, funktioniert alles in allem das Krisenmanagement ganz gut.
Trotzdem stellen wir bei unseren Prüfungen in den Banken immer noch schwerwiegende Mängel in der IT-Sicherheit fest. Die liegen dann aber eher woanders.
Wo liegen die Probleme denn?
Bei den allerwenigsten schwerwiegenden Vorfällen handelt es sich um böswillige Angriffe von außen – seit 2018 waren es 14 von 730, um genau zu sein. Die meisten Schäden entstehen unbeabsichtigt – und zwar in den Banken selbst. Alte Hardware und Fehler in den Prozessen und IT-Systemen spielen eine Rolle, aber auch menschliches Versagen. Wir gehen davon aus, dass die Beschäftigten in der Corona-Krise sogar besonders anfällig für Fehler sind. Die Arbeitsbedingungen sind andere, die Prozessabläufe auch.
Bei unseren IT-Prüfungen bei den kleineren und mittleren Instituten vergangenes Jahr haben wir die größten Defizite im Informationsrisiko- und im Berechtigungsmanagement festgestellt. Auch im Informationssicherheits- und Auslagerungsmanagement gab es signifikante Mängel.
Glücklicherweise ist es trotzdem bislang nicht zu flächendeckenden und längerfristigen Ausfällen gekommen. Ich denke, das spricht durchaus für den deutschen Bankensektor.
Woran liegt es, dass die Aufsicht immer noch auf solche Mängel stößt?
Auf den ersten Blick sind die Nachlässigkeiten trivial: fehlendes Back-up, schlechtes Berechtigungsmanagement. Letztlich geht es aber um die Fragen: Habe ich meine Daten gesichert? Und: Wer darf auf die Daten zugreifen? Das ist in Zeiten fortschreitender Digitalisierung natürlich überhaupt nicht trivial. Und es hat sich bei den Banken schon sehr viel zum Positiven geändert. Da ist aber noch reichlich Luft nach oben. Was auch daran liegt, dass die IT-Systeme der Institute zum Teil schon sehr alt sind.
Fehler passieren aber nicht nur bei den Banken, sondern auch bei den IT-Dienstleistern, auf die sie auslagern. Da wird es für uns Aufseher dann besonders schwierig.

Auf einen Blick:Einsatz von End-of-Life-Systemen in Banken

Zahlreiche bedeutende Institute (Significant Institutions – SIs) unter Aufsicht der Europäischen Zentralbank (EZB) verlassen sich bei kritischen Geschäftsprozessen auf Systeme, die am Ende ihrer Lebensdauer (End of Life – EOL) angekommen sind. Das teilte die EZB am 24. Juli mit. Sie hatte zuvor rund 100 IT-Risikofragebögen (IT Risk Questionnaire – ITRQ) für das 1. Quartal 2019 ausgewertet. Die EZB sieht EOL-Systeme als Herausforderung für die IT-Sicherheit und verfolgt das aufsichtliche Ziel, die Abhängigkeit der Banken von solchen Systemen zu verringern.

Also besser kein Outsourcing mehr?
Nein, das will ich damit nicht sagen. Outsourcing ist nicht per se schlecht. Ganz im Gegenteil: Mir ist lieber, Daten liegen in der Cloud eines Dienstleisters, der viel von Sicherheit versteht, als auf einem alten Server im Keller der Bank. Die Kontrollrechte sind das Problem.
Inwiefern?
Wir haben derzeit nur einen Ansprechpartner, wenn es um die IT-Sicherheit bei Auslagerungen geht: die Banken, nicht die Dienstleister. Sie können sich vorstellen, wie beeindruckt ein global operierendes Bigtech ist, wenn ihm eine regional operierende kleine deutsche Bank sagt: Mein Aufseher verlangt, dass Ihr diesen und jenen Mangel abstellt. Wir brauchen direkte Kontrollmöglichkeiten gegenüber den Dienstleistern.
Wie darf man sich das vorstellen?
Wenn ein Dienstleister sagt: „Wir wollen diesen oder jenen Sicherheitsmangel nicht beheben“, dann sollten wir die Möglichkeit haben, ihm gegenüber Sanktionen zu verhängen. Wir hoffen, dass wir dieses Thema während der deutschen Ratspräsidentschaft auf europäischer Ebene adressieren können.
Wie sieht es angesichts der Corona-Pandemie derzeit allgemein bei den deutschen Banken aus?
Besser, als wir zu Beginn der Krise befürchtet haben – dank der staatlichen Programme und der Maßnahmen von Europäischer Zentralbank und Aufsicht. Unser spezieller COVID-19-Stresstest hat gerade erst ergeben, dass ein Großteil der deutschen LSIs weitgehend stressresistent ist – selbst gegen einen schweren Einbruch des Bruttoinlandsprodukts.
Aber es ist für alle sichtbar: Die Pandemie ist noch nicht vorbei. Sie wird sich also weiter auch auf die Bilanzen der Institute auswirken. Wie stark, lässt sich noch nicht genau abschätzen. Aber ich rechne mit einer Zunahme der Kreditausfälle. Die werden natürlich nicht spurlos am deutschen Bankensektor vorbeigehen, auch wenn dieser durch die Regulierungsreformen nach der Krise 2007/2008 um einiges widerstandsfähiger geworden ist. Es ist auch nicht unwahrscheinlich, dass das eine oder andere Institut die jetzige Krise nicht übersteht. Das deutsche Bankensystem als Ganzes sehe ich aber derzeit nicht in Gefahr.
Die eine oder andere Bank verlässt vielleicht den Markt, andere Institute zahlen eine Dividende?
Das sollten die Institute weiterhin restriktiv handhaben. Wir haben aber keine Möglichkeit Banken Dividendenzahlungen oder Ausschüttungen zu verbieten, wenn ihre Ertragsprognose nachhaltig positiv ist und sie auch in einer anhaltenden Stressphase weiterhin ausreichende Kapitalpuffer haben. Viele Institute, die in dieser stabilen Lage sind, verzichten dennoch auf Dividendenzahlungen oder Ausschüttungen.
Herr Röseler, wir danken Ihnen für das Gespräch.

Leave A Comment