http://www.faz.net/-gv6-8vyum

Cyber-Angriffe : Banken mit schweren IT-Mängeln

Hackern wird es von Banken oftmals leicht gemacht, an Geld zu kommen. Bild: dpa

„Gemessen an Schulnoten, ist kein Institut besser als vier“: Die Bundesanstalt für Finanzaufsicht, kurz Bafin, stellt den Banken bei der IT-Sicherheit kein gutes Zeugnis aus.

          Es gibt fast täglich Angriffe von Hackern auf die Computersysteme deutscher Banken. Das wertete der Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), Felix Hufeld, auf einer Veranstaltung zur Informationstechnologie (IT) bei Banken als eine sehr ernstzunehmende Gefahr. Diese wird umso größer, da die IT-Sicherheitssysteme der Banken nach den Worten des Bafin-Exekutivdirektors für Bankenaufsicht, Raimund Röseler, schwerwiegende Mängel aufweisen. „Gemessen an Schulnoten, ist kein Institut besser als vier“, sagte er auf einem Pressegespräch am Rande der Bafin-Konferenz.

          Markus Frühauf

          Redakteur in der Wirtschaft.

          Ende vergangenen Jahres hatten die Aufseher der Europäischen Zentralbank (EZB), der Bundesbank und der Bafin die IT-Systeme großer Banken unter die Lupe genommen. Darunter sollen sich einige Landesbanken wie etwa die Bayern LB oder auch die Deka Bank befunden haben. Offenbar sind die Ergebnisse wenig schmeichelhaft ausgefallen. Die staatliche Förderbank KfW soll wegen ihrer IT-Mängel von der Bafin mit höheren Kapitalanforderungen bestraft worden sein.

          Das Thema scheint die Kreditwirtschaft zu elektrisieren. Denn an der Bafin-Konferenz nahmen mehr als 400 Vertreter von Banken teil. Das war bislang die größte Besucherzahl der nun zum vierten Mal ausgerichteten Konferenz „IT-Aufsicht bei Banken“. Hufeld nannte die IT-Sicherheit bei Finanzinstituten ein Thema mit hoher gesellschaftlicher Relevanz. Denn die Kunden vertrauten den Banken Geld und Daten an.

          Der Bafin-Präsident kann einen größeren Schadensfall nicht ausschließen. Immer mehr kriminelle Organisationen versuchten, sich in die IT-Systeme der Banken einzuhacken, und würden zunächst über Monate hinweg nichts unternehmen. Erst wenn sie die Abläufe in der Bank genau kennen würden, schlügen sie zu. Hufeld bezeichnete das Cyberrisiko als eines der wesentlichen Risiken für den deutschen Finanzsektor. Gegenüber Journalisten berichtete er auch von Hackerangriffen auf die Systeme der Bafin.

          Wegen outgesourcter Dienstleistungen: Gefahr von innen und außen

          Dabei drohen den Banken nicht nur Gefahren von außen, sondern auch von innen. Röseler berichtete von einer vor wenigen Wochen erfolgten Überweisung eines signifikanten Betrags durch einen Bankmitarbeiter „irgendwo ins Nirvana“. Dieser wollte sich offenbar bei seinen Vorgesetzten rächen. Das lässt vermuten, dass kriminelle Organisationen auch über Mitarbeiter der Bank Zugang zu den Systemen erhalten können. Die Zugangsmöglichkeiten vergrößern sich, weil die Banken immer mehr IT-Bereiche auf spezialisierte Anbieter übertragen („Outsourcing“).

          Der Bafin-Leiter für IT-Sicherheit, Jens Obermöller, berichtete sogar von einem „Outsourcing auf die zweite oder dritte Ebene“. Die von den Banken beauftragten externen Dienstleister übertragen also bestimmte Tätigkeiten wie die Softwareentwicklung auf weitere Anbieter. Laut Obermöller gab es in diesem Bereich in den vergangenen Jahren eine sehr starke Konzentration. Die Zahl der Anbieter hat sich deutlich verringert, wodurch sich Programmierfehler oder Sicherheitslücken schneller über das gesamte Bankensystem verbreiten können.

          Die externen Dienstleister – dazu gehören verstärkt auch Anbieter für die externe Datenverwaltung (Cloud) – rücken immer stärker in den Fokus der Aufsicht. Dazu wird die Bafin zusammen mit der Bundesbank in den kommenden Wochen neben den Mindestanforderungen an das Risikomanagement ein weiteres Rundschreiben zu den bankaufsichtlichen Anforderungen an die IT veröffentlichen. Damit soll das Bewusstsein für Cyber-Risiken auch auf der Ebene der Geschäftsleitung erhöht werden. Laut Röseler gibt es Banken, die noch keine „IT-Strategie“ festgelegt haben. Diese sollte aber jede Bank längst haben. Unzufrieden zeigte er sich auch mit dem Schadenmanagement.

          Quelle: F.A.Z.

          Weitere Themen

          Topmeldungen

          Auch Andrea Nahles hat in der deutschen Politik schon häufig Erfahrungen mit Sexismus gemacht.

          SPD-Fraktionschefin : Nahles: Viel Sexismus in der deutschen Politik

          Sexismus in der deutschen Politik? Überall, immer wieder, sagt Andrea Nahles und beschreibt typische Situationen. Zumindest in der SPD will die neue Fraktionschefin das nun ändern. Frauen sollten Männer mit ihren eigenen Waffen schlagen.
          Mitte September in München: Urteilsverkündung im Prozess gegen zwei mutmaßliche islamistische Kämpfer aus Syrien. 2017 leitete die Bundesanwaltschaft schon mehr als 900 Verfahren wegen Terrorismus ein.

          Bundesanwaltschaft : 2017 schon mehr als 900 Terror-Verfahren

          Die Zahl der Terrorismus-Verfahren in Deutschland nimmt deutlich zu. Das geht einem Bericht zufolge aus den aktuellen Zahlen der Bundesanwaltschaft hervor. Der rapide Anstieg stellt die Behörde vor große Probleme.

          Krise in Katalonien : Mit harter Hand gegen die Separatisten

          Die Zentralregierung greift härter als erwartet durch, aus Protest gehen hunderttausende Katalanen auf die Straße. Regionalpräsident Puigdemont bezeichnet Madrids Vorgehen gegen die Unabhängigkeitsbestrebungen Kataloniens als „schlimmste Attacke“ gegen die Region seit der Franco-Diktatur.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.