https://www.faz.net/-gqe-2t28

Banken : Outsourcing schwächt die IT-Sicherheit

  • -Aktualisiert am

Gern empfohlen in Banken und Sparkassen: Sparbriefe Bild: dpa

Studie: Je mehr die Banken die Betreuung ihrer Computernetze Fremdfirmen überlassen, desto größer werden die Sicherheitsrisiken.

          Der Trend zum Outsourcing im Kreditwesen führt zu Sicherheitslücken in den Netzwerken der Banken. Das ist eines der wichtigsten Ergebnisse einer Studie zur Identifizierung von Schwachstellen in Systemen der Großbanken. Sie wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Eschborner Unternehmensberatung Eurosec Chiffriertechnik & Sicherheit im Frühjahr dieses Jahres in Auftrag gegeben und steht im Zusammenhang mit dem staatlich anvisierten übergreifenden Schutz kritischer Infrastrukturen. Der Berichtsentwurf liegt seit kurzem vor und wird gegenwärtig von den BSI-Experten geprüft.

          „Netzwerke und Großrechner in den Banken werden zunehmend von Externen betreut“, sagte Eurosec-Geschäftsführer Thilo Zieschang. „Deren Sicherheitsstandards sind häufig nicht so ausgeprägt. Außerdem sourcen die Banken immer mehr ihre IT-Abteilungen in Tochterfirmen aus. Und die müssen an der Sicherheit sparen, um auf dem Markt konkurrenzfähig zu sein.“ Noch problematischer sei dieser Outsourcing-Trend bei der Bundeswehr.

          Fusionen erhöhen das Schadenspotenzial

          Die anhaltende Fusionswelle bei den Finanzdienstleistern erhöhe das Schadenspotenzial zusätzlich, da immer mehr Banken sich ein Rechenzentrum teilten. Darüber hinaus fehlten der Branche IT-Sicherheitsfachkräfte, da sie von Consulting-Firmen mit höheren Gehältern geködert würden, so Zieschang.

          Leichter anzugehen als die organisatorischen Schwachstellen sind technische Sicherheitslücken, da ihre Beseitigung meist billiger kommt. „Wir haben auch hier konkrete Probleme identifiziert, aber ich darf sie nicht nennen“, sagte der Chef der IT-Sicherheits-Beratungsfirma. Im Vergleich zu anderen Branchen seien die Finanzinstitute am stärksten bemüht, Schwachstellen in ihren Netzwerken anzugehen. Aufgrund der nötigen Kompatibilität zum Beispiel bei den Zahlungsverkehr-Standards müssen die Empfehlungen allerdings von allen Banken gemeinsam umgesetzt werden.

          „Restrisiko bleibt immer“

          Die Studie ging von der Frage aus, wie schwer der Schaden eines terroristischen Angriffs auf die Netzwerke der Banken sein und bis zu welchem Grad der Schaden minimiert werden könne. Zieschang: „Man kann nicht alle IT-Sicherheitsprobleme lösen. Das ist wie bei Attentaten auf Politikern oder Giftanschlägen auf Wasserspeicher. Die können Sie auch nicht völlig ausschließen. Ein gewisses Restrisiko bleibt immer.“

          Zur Erstellung der Studie habe man hauptsächlich Interviews mit Mitarbeitern der Banken geführt. Penetrationstests seien nicht vorgenommen worden. Solche Verwundbarkeitsprüfungen, bei denen Hackerangriffe auf Systeme gestartet werden, mache Eurosec aber regelmäßig im Auftrag von Banken. Sie machen laut Zieschang zwei Drittel der Kunden aus.

          Abschlussbericht im September

          Nach Angaben des Referatsleiters für den Schutz kritischer Infrastrukturen im BSI, Joachim Weber, „ist die Studie nicht auf die programmiertechnische Stufe herabgestiegen“. Ihr habe vielmehr ein „top-down-approach“ zu Grunde gelegt. Näheres könne er momentan dazu nicht sagen, denn die Prüfung des „dicken Werks“ werde noch bis September dauern. Danach werde das BSI in Zusammenarbeit mit Eurosec eine endgültige Fassung des Berichts erarbeiten. Die Umsetzung der Empfehlungen liegt ohnehin bei den Banken.

          Permanente Kontrolle wünschenswert

          Nach Ansicht von Eurosec-Geschäftsführer Zieschang wäre es wünschenswert, wenn es nicht bei der Studie bliebe, sondern „die IT-Sicherheit der Großbanken permanent kontrolliert wird“. Dass das Outsourcing sich nicht auf den Finanzsektor beschränkt, zeigt die Vergabe der Studie an das Privatunternehmen: „Das kommt billiger, als wenn wir im BSI das machen“, so Weber.

          Weitere Themen

          SPD: Altmaier knickt vor Trump ein

          Handelsstreit : SPD: Altmaier knickt vor Trump ein

          Der Bundeswirtschaftsminister bietet den Amerikanern eine Abschaffung der EU-Industriezölle an. Die SPD sieht darin ein Zeichen der Schwäche: „Trump versteht nur eine harte Sprache der EU.“

          Das ist das teuerste Land Europas Video-Seite öffnen

          17 Euro für eine Pizza : Das ist das teuerste Land Europas

          Für eine Einzimmerwohnung in Reykjavik werden durchschnittlich 1300 Euro fällig, für eine Pizza zahlt man 17 Euro und selbst eine Flasche Bier kostet sieben Euro – das Leben in Island ist eindeutig nichts für Sparfüchse.

          Kommen wirklich die Richtigen?

          Hanks Welt : Kommen wirklich die Richtigen?

          Wie kann das Dilemma von offenen Grenzen im üppigen Sozialstaat gelöst werden? Der Markt bietet das gerechtere und humanere Arrangement als Bürokraten oder korrupte Schlepperbanden.

          Topmeldungen

          Bundeswirtschaftsminister Peter Altmaier in Amerika

          Handelsstreit : SPD: Altmaier knickt vor Trump ein

          Der Bundeswirtschaftsminister bietet den Amerikanern eine Abschaffung der EU-Industriezölle an. Die SPD sieht darin ein Zeichen der Schwäche: „Trump versteht nur eine harte Sprache der EU.“
          FDP-Chef Christian Lindner im ARD-Interview

          TV-Kritik: Sommerinterviews : Posieren reicht nicht

          Christian Lindner und Robert Habeck treten in ARD und ZDF gegen einander an, ohne den jeweils anderen zu erwähnen. Der FDP-Chef trifft auf eine desinteressierte Fragestellerin. Habeck antwortet auf Vorwürfe schlitzohrig.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.