Es gibt fast täglich Angriffe von Hackern auf die Computersysteme deutscher Banken. Das wertete der Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), Felix Hufeld, auf einer Veranstaltung zur Informationstechnologie (IT) bei Banken als eine sehr ernstzunehmende Gefahr. Diese wird umso größer, da die IT-Sicherheitssysteme der Banken nach den Worten des Bafin-Exekutivdirektors für Bankenaufsicht, Raimund Röseler, schwerwiegende Mängel aufweisen. „Gemessen an Schulnoten, ist kein Institut besser als vier“, sagte er auf einem Pressegespräch am Rande der Bafin-Konferenz.

Ende vergangenen Jahres hatten die Aufseher der Europäischen Zentralbank (EZB), der Bundesbank und der Bafin die IT-Systeme großer Banken unter die Lupe genommen. Darunter sollen sich einige Landesbanken wie etwa die Bayern LB oder auch die Deka Bank befunden haben. Offenbar sind die Ergebnisse wenig schmeichelhaft ausgefallen. Die staatliche Förderbank KfW soll wegen ihrer IT-Mängel von der Bafin mit höheren Kapitalanforderungen bestraft worden sein.

Das Thema scheint die Kreditwirtschaft zu elektrisieren. Denn an der Bafin-Konferenz nahmen mehr als 400 Vertreter von Banken teil. Das war bislang die größte Besucherzahl der nun zum vierten Mal ausgerichteten Konferenz „IT-Aufsicht bei Banken“. Hufeld nannte die IT-Sicherheit bei Finanzinstituten ein Thema mit hoher gesellschaftlicher Relevanz. Denn die Kunden vertrauten den Banken Geld und Daten an.

Der Bafin-Präsident kann einen größeren Schadensfall nicht ausschließen. Immer mehr kriminelle Organisationen versuchten, sich in die IT-Systeme der Banken einzuhacken, und würden zunächst über Monate hinweg nichts unternehmen. Erst wenn sie die Abläufe in der Bank genau kennen würden, schlügen sie zu. Hufeld bezeichnete das Cyberrisiko als eines der wesentlichen Risiken für den deutschen Finanzsektor. Gegenüber Journalisten berichtete er auch von Hackerangriffen auf die Systeme der Bafin.

Wegen outgesourcter Dienstleistungen: Gefahr von innen und außen

Dabei drohen den Banken nicht nur Gefahren von außen, sondern auch von innen. Röseler berichtete von einer vor wenigen Wochen erfolgten Überweisung eines signifikanten Betrags durch einen Bankmitarbeiter „irgendwo ins Nirvana“. Dieser wollte sich offenbar bei seinen Vorgesetzten rächen. Das lässt vermuten, dass kriminelle Organisationen auch über Mitarbeiter der Bank Zugang zu den Systemen erhalten können. Die Zugangsmöglichkeiten vergrößern sich, weil die Banken immer mehr IT-Bereiche auf spezialisierte Anbieter übertragen („Outsourcing“).

Der Bafin-Leiter für IT-Sicherheit, Jens Obermöller, berichtete sogar von einem „Outsourcing auf die zweite oder dritte Ebene“. Die von den Banken beauftragten externen Dienstleister übertragen also bestimmte Tätigkeiten wie die Softwareentwicklung auf weitere Anbieter. Laut Obermöller gab es in diesem Bereich in den vergangenen Jahren eine sehr starke Konzentration. Die Zahl der Anbieter hat sich deutlich verringert, wodurch sich Programmierfehler oder Sicherheitslücken schneller über das gesamte Bankensystem verbreiten können.

Die externen Dienstleister – dazu gehören verstärkt auch Anbieter für die externe Datenverwaltung (Cloud) – rücken immer stärker in den Fokus der Aufsicht. Dazu wird die Bafin zusammen mit der Bundesbank in den kommenden Wochen neben den Mindestanforderungen an das Risikomanagement ein weiteres Rundschreiben zu den bankaufsichtlichen Anforderungen an die IT veröffentlichen. Damit soll das Bewusstsein für Cyber-Risiken auch auf der Ebene der Geschäftsleitung erhöht werden. Laut Röseler gibt es Banken, die noch keine „IT-Strategie“ festgelegt haben. Diese sollte aber jede Bank längst haben. Unzufrieden zeigte er sich auch mit dem Schadenmanagement.