BaFin analysiert alle 235 IT-Pannen bei Banken: Ein Großteil der Misere ist hausgemacht

Im Jahr 2023 verzeichnete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen signifikanten Anstieg der gemeldeten IT-Vorfälle bei Zahlungsdienstleistern. Insgesamt wurden 235 Vorfälle gemeldet, was einem Anstieg von 17,5 Prozent im Vergleich zum Vorjahr entspricht. Dabei sind Cyber-Attacken, wie beispielsweise Distributed-Denial-of-Service (DDoS)-Attacken und Phishing, nur für einen geringen Teil der Vorfälle verantwortlich – lediglich 5,1 Prozent der gemeldeten Vorfälle fielen in diese Kategorie.

Eine BaFin-Auswertung zeigt, dass IT-Vorfälle bei Zahlungsdienstleistern 2023 zahlreiche Störungen verursacht haben. Doch Attacken von außen sind selten die Ursache. Demnach hat die Bafin jetzt die Hauptrisiken für den Finanzsektor analysiert. Demnach gab es einige interessante Trends, die belegen, dass die Verursacher in den meisten Fällen in den Banken und Finanzhäusern zu suchen sind.

Die Daten stammen aus dem Meldewesen für schwerwiegende Betriebs- und Sicherheitsvorfälle, kurz: „Zahlungsvorfall“ bzw. „Vorfall“. Dabei handelt es sich um einen vom Zahlungsdienstleister nicht beabsichtigten „Vorfall, der sich negativ auf die Integrität, die Verfügbarkeit oder die Authentizität von zahlungsbezogenen Diensten auswirkt oder wahrscheinlich auswirken wird“. Ein einzelner Vorfall kann auch mehrere dieser Schutzziele und Themen betreffen – und es kann sich um ein Einzelereignis oder um eine Verkettung von Ereignissen handeln.

Im Jahr 2023 verzeichnete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen signifikanten Anstieg der gemeldeten IT-Vorfälle bei Zahlungsdienstleistern. Insgesamt wurden 235 Vorfälle gemeldet, was einem Anstieg von 17,5 Prozent im Vergleich zum Vorjahr entspricht. Dabei sind Cyber-Attacken, wie beispielsweise Distributed-Denial-of-Service (DDoS)-Attacken und Phishing, nur für einen geringen Teil der Vorfälle verantwortlich – lediglich 5,1 Prozent der gemeldeten Vorfälle fielen in diese Kategorie.

Der geringe Anteil an Sicherheitsvorfällen bedeutet somit nicht, dass es im Jahr 2023 nur wenige Angriffe gab oder dass das Risiko niedrig war, Opfer eines Cyber-Angriffes zu werden. Ganz im Gegenteil: Das Risiko ist nach wie vor hoch.“

Aus dem Bericht der BaFin

Über 9 von 10 Fällen auf interne operationale Fehler zurückzuführen

Der Großteil der gemeldeten Vorfälle, nämlich 94,9 Prozent, ist auf interne, operationelle Fehler zurückzuführen. Diese umfassen hauptsächlich Prozess- und Systemfehler, die rund 78 Prozent der Vorfälle ausmachen. Die Konzentration von IT-Dienstleistungen bei externen Dienstleistern verstärkt die Risiken zusätzlich, da Probleme bei einem Dienstleister mehrere Finanzinstitute gleichzeitig betreffen können. Im Jahr 2023 lag die Ursache für etwa 40 Prozent der gemeldeten Zahlungsvorfälle bei externen Dienstleistern und nicht bei den Finanzinstituten selbst. Die meisten Vorfälle beeinträchtigten die Verfügbarkeit von Online- und Mobile-Banking-Diensten oder verzögerten Transaktionen.

Die große Mehrheit der Vorfälle betrifft die Verfügbarkeit von Zahlungsdienstleistungen wie Online- oder mobiles Banking oder die Verzögerung von Geldüberweisungen. Die anderen drei Schutzziele sind in deutlich geringerem Umfang betroffen. Ein Grund dafür dürfte sein, dass sich das Meldewesen nur auf Zahlungsvorfälle konzentriert, bei denen die Verfügbarkeit eine wesentliche Messgrösse ist. Die Informationssicherheit im Allgemeinen wird vom Meldewesen nicht erfasst.

Die BaFin erhielt zudem 82 Anzeigen über schwerwiegende Vorfälle im Rahmen wesentlicher Auslagerungen. Ransomwareangriffe und Schwachstellen in der Software von Dienstleistern zeigten im vergangenen Jahr, wie schwerwiegend die Auswirkungen von Cyber-Attacken und operationellen Schwächen sein können. Besonders beunruhigend ist ein Fall von „double extortion“, bei dem ein Unternehmen Opfer eines Ransomwareangriffs wurde und sowohl Daten exfiltriert als auch verschlüsselt wurden. Dies führte zu erheblichen Störungen im Geschäftsbetrieb und einer Veröffentlichung der gestohlenen Daten im Darknet.

Gleich mehrere Unternehmen wurden Opfer von Ransomwareangriffen. Diese gelten als eine der größten Bedrohungen für Unternehmen, da sie das Potenzial haben, den Geschäftsbetrieb über einen längeren Zeitraum erheblich zu stören.“

Aus dem Bericht der BaFin

Mehrzahl der Vorfälle betraf kleineres Transaktionsvolumen

Auch anhand der Anzahl der betroffenen Zahlungsdienstnutzer sowie des betroffenen Transaktionsvolumens kann die Auswirkung der gemeldeten Vorfälle gemessen werden. Im Berichtsjahr 2023 waren insgesamt 7,12 Millionen Zahlungsdienstnutzer von den gemeldeten Vorfällen betroffen, wobei eine Person oder ein Unternehmen auch von mehreren Vorfällen betroffen sein kann. Von einem Vorfall waren durchschnittlich 30.288 Nutzer betroffen – und ein Vorfall betraf durchschnittlich Transaktionen mit einem Volumen von 224 Millionen Euro.

Bei der Hälfte aller Vorfälle waren sogar weniger als 14 Millionen Euro betroffen (Medianwert). Dies verdeutlicht, dass wenige, besonders gravierende Ereignisse den Mittelwert stark nach oben treiben. Ein ähnliches Bild zeigt sich bei den Zahlungsdienstnutzern. Die Mehrzahl der Vorfälle betraf daher nur eine geringe Zahl von Zahlungsdienstnutzern oder ein geringes Transaktionsvolumen.

Zusätzlich zu den Meldungen über Zahlungsvorfälle erhält die BaFin auch Meldungen über schwerwiegende Vorfälle, die im Zusammenhang mit einer wesentlichen Auslagerung oder einem wesentlichen Outsourcing stehen. Solche Vorfälle müssen von Finanzunternehmen immer dann gemeldet werden, wenn sie die Geschäftstätigkeit des Finanzunternehmens erheblich beeinträchtigen können. Die Abgrenzung zur PSD2-Vorfallmeldung: Schwerwiegende Vorfälle im Rahmen wesentlicher Auslagerungen oder wichtiger Ausgliederungen werden von Unternehmen aus nahezu allen Finanzsektoren gemeldet, also nicht nur von Instituten, die Zahlungsdienste erbringen. In den jeweiligen Meldeverordnungen wird näher erläutert, welche Vorfälle als schwerwiegend einzustufen sind.

Sicherheitslage bleibt angespannt, interne Notfallpläne bleiben wichtig

Die BaFin hebt die Notwendigkeit hervor, dass Finanzunternehmen ihre IT-Sicherheitsmaßnahmen kontinuierlich anpassen und weiterentwickeln müssen. Der am 17. Januar 2025 in Kraft tretende Digital Operational Resilience Act (DORA) soll die operationelle Resilienz des Finanzsektors weiter stärken und das Meldewesen für schwerwiegende IT-Vorfälle auf den gesamten Finanzsektor ausweiten. Dies ermöglicht der BaFin eine umfassendere Analyse aktueller Risiken und Entwicklungen, um schnell Maßnahmen zur Sicherung der Finanzstabilität ergreifen zu können.

Grundlage für die Meldungen ist das Rundschreiben 03/2022 (BA). Es setzt die Meldeanforderungen der Richtlinie (EU) 2015/2366 (Payment Services Directive2 – PSD2) um. Das Rundschreiben gilt nicht für den gesamten Finanzsektor, sondern nur für Zahlungsinstitute, E-Geld-Institute, Kreditinstitute, die der Eigenmittel-Verordnung (Capital Requirements Regulation – CRR) unterliegen, und die Kreditanstalt für Wiederaufbau.

Eine umfassende Auswertung der Vorfälle des Jahres 2023 hat die BaFin hier zusammengestellt.tw