http://www.faz.net/-gv6-8vyum

Cyber-Angriffe : Banken mit schweren IT-Mängeln

Hackern wird es von Banken oftmals leicht gemacht, an Geld zu kommen. Bild: dpa

„Gemessen an Schulnoten, ist kein Institut besser als vier“: Die Bundesanstalt für Finanzaufsicht, kurz Bafin, stellt den Banken bei der IT-Sicherheit kein gutes Zeugnis aus.

          Es gibt fast täglich Angriffe von Hackern auf die Computersysteme deutscher Banken. Das wertete der Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), Felix Hufeld, auf einer Veranstaltung zur Informationstechnologie (IT) bei Banken als eine sehr ernstzunehmende Gefahr. Diese wird umso größer, da die IT-Sicherheitssysteme der Banken nach den Worten des Bafin-Exekutivdirektors für Bankenaufsicht, Raimund Röseler, schwerwiegende Mängel aufweisen. „Gemessen an Schulnoten, ist kein Institut besser als vier“, sagte er auf einem Pressegespräch am Rande der Bafin-Konferenz.

          Markus Frühauf

          Redakteur in der Wirtschaft.

          Ende vergangenen Jahres hatten die Aufseher der Europäischen Zentralbank (EZB), der Bundesbank und der Bafin die IT-Systeme großer Banken unter die Lupe genommen. Darunter sollen sich einige Landesbanken wie etwa die Bayern LB oder auch die Deka Bank befunden haben. Offenbar sind die Ergebnisse wenig schmeichelhaft ausgefallen. Die staatliche Förderbank KfW soll wegen ihrer IT-Mängel von der Bafin mit höheren Kapitalanforderungen bestraft worden sein.

          Das Thema scheint die Kreditwirtschaft zu elektrisieren. Denn an der Bafin-Konferenz nahmen mehr als 400 Vertreter von Banken teil. Das war bislang die größte Besucherzahl der nun zum vierten Mal ausgerichteten Konferenz „IT-Aufsicht bei Banken“. Hufeld nannte die IT-Sicherheit bei Finanzinstituten ein Thema mit hoher gesellschaftlicher Relevanz. Denn die Kunden vertrauten den Banken Geld und Daten an.

          Der Bafin-Präsident kann einen größeren Schadensfall nicht ausschließen. Immer mehr kriminelle Organisationen versuchten, sich in die IT-Systeme der Banken einzuhacken, und würden zunächst über Monate hinweg nichts unternehmen. Erst wenn sie die Abläufe in der Bank genau kennen würden, schlügen sie zu. Hufeld bezeichnete das Cyberrisiko als eines der wesentlichen Risiken für den deutschen Finanzsektor. Gegenüber Journalisten berichtete er auch von Hackerangriffen auf die Systeme der Bafin.

          Wegen outgesourcter Dienstleistungen: Gefahr von innen und außen

          Dabei drohen den Banken nicht nur Gefahren von außen, sondern auch von innen. Röseler berichtete von einer vor wenigen Wochen erfolgten Überweisung eines signifikanten Betrags durch einen Bankmitarbeiter „irgendwo ins Nirvana“. Dieser wollte sich offenbar bei seinen Vorgesetzten rächen. Das lässt vermuten, dass kriminelle Organisationen auch über Mitarbeiter der Bank Zugang zu den Systemen erhalten können. Die Zugangsmöglichkeiten vergrößern sich, weil die Banken immer mehr IT-Bereiche auf spezialisierte Anbieter übertragen („Outsourcing“).

          Der Bafin-Leiter für IT-Sicherheit, Jens Obermöller, berichtete sogar von einem „Outsourcing auf die zweite oder dritte Ebene“. Die von den Banken beauftragten externen Dienstleister übertragen also bestimmte Tätigkeiten wie die Softwareentwicklung auf weitere Anbieter. Laut Obermöller gab es in diesem Bereich in den vergangenen Jahren eine sehr starke Konzentration. Die Zahl der Anbieter hat sich deutlich verringert, wodurch sich Programmierfehler oder Sicherheitslücken schneller über das gesamte Bankensystem verbreiten können.

          Die externen Dienstleister – dazu gehören verstärkt auch Anbieter für die externe Datenverwaltung (Cloud) – rücken immer stärker in den Fokus der Aufsicht. Dazu wird die Bafin zusammen mit der Bundesbank in den kommenden Wochen neben den Mindestanforderungen an das Risikomanagement ein weiteres Rundschreiben zu den bankaufsichtlichen Anforderungen an die IT veröffentlichen. Damit soll das Bewusstsein für Cyber-Risiken auch auf der Ebene der Geschäftsleitung erhöht werden. Laut Röseler gibt es Banken, die noch keine „IT-Strategie“ festgelegt haben. Diese sollte aber jede Bank längst haben. Unzufrieden zeigte er sich auch mit dem Schadenmanagement.

          Quelle: F.A.Z.

          Weitere Themen

          Steinhoff-Aktie erholt sich

          Bilanzskandal : Steinhoff-Aktie erholt sich

          Der angeschlagene Möbelhändler Steinhoff verhandelt mit Banken über ein Stillhalteabkommen. Das Hauptaugenmerk liege gegenwärtig darauf, die Geschäfte mit Liquidität zu versorgen und am Laufen zu halten.

          Hier können Sie die Rechte an diesem Artikel erwerben.

          Topmeldungen

          Erwin Huber im Gespräch : „Die CSU hat ein Trauma“

          Als Parteivorsitzender bildete Erwin Huber mit Günter Beckstein das erste CSU-Führungstandem. Im FAZ.NET-Interview verrät er, was er über das Duo Söder/Seehofer und über eine Rückkehr von Karl-Theodor zu Guttenberg denkt.

          Erderwärmung – eine Pause? : Auch 2017 war ein Hitzejahr

          Kein Rekord, eine kleine Pause sogar, aber der Trend bleibt: Die mittlere Erdtemperatur kratzt an den Rekordwerten. Deutschland jedoch ist abgehängt, und eine Kälteanomalie bleibt bis 2018.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.