Banküberfall 4.0: Wie gut sind Finanzdienstleister auf Cyberbedrohungen vorbereitet?

Eine neue Studie von Lünendonk und KPMG zeigt, dass 90 Prozent der Finanzdienstleister eine erhöhte Bedrohungslage durch Cyberkriminalität wahrnehmen, insbesondere durch Ransomware und DDoS-Angriffe. Trotz gestiegener Investitionen in Cybersicherheit, einschließlich Künstlicher Intelligenz und Cloud-Sicherheit, bleibt die Branche stark gefährdet. Die Studie betont die Notwendigkeit kontinuierlicher Verbesserungen und moderner Technologien, um die sensiblen Daten der Finanzbranche zu schützen. Christian Nern, Experte auf dem Gebiet der IT-Sicherheit bei KPMG, geht auf diese Fragen ein.

Cyberkriminalität gilt als eine der größten Bedrohungen für die deutsche Finanzwirtschaft. Laut einer Erhebung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden täglich etwa 70 neue Schwachstellen in Softwareprodukten entdeckt – ein Anstieg um 25 Prozent im Vergleich zu 2022. Die aktuelle Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“ (2024) mit Unterstützung von KPMG wirft in nunmehr dritter Auflage einen umfassenden Blick auf den Stand der Cyberresilienz in unterschiedlichen Branchen. Hierfür wurden aus 150 Unternehmen aus der DACH-Region Security-Verantwortliche befragt.

Im Finanzsektor sehen 90 Prozent der Finanzdienstleister eine Steigerung der Bedrohungslage im Vergleich zu 2023 – vor allem durch Ransomware und Phishing-Kampagnen, Insider Threats und Angriffe auf externe Dienstleister. Auch die Einflussfaktoren „geopolitische Lage“ und „Distributed Denial of Service (DDoS)“ wurden von den befragten Finanzdienstleistern deutlich stärker gewichtet als im Branchendurchschnitt. 24 Prozent der Banken, Versicherungen und Asset-Management-Firmen verzeichnen einen starken Anstieg der Cyberangriffe in den letzten 12 Monaten – also eine Attacke mit konkreter Auswirkung auf den Geschäftsbetrieb und dessen Rentabilität. Und auch bei leichten Anstiegen liegen Finanzdienstleister mit 66 Prozent sechs Prozentpunkte über dem Durchschnitt.

Insider Threats nehmen zu

Hackerkollektive versuchen, durch Datenklau oder DDoS-Attacken Geld von großen Konzernen zu erpressen und verfolgen das Ziel, die Kritische Infrastruktur im Westen zu zerstören. Seit Beginn des russischen Angriffskriegs auf die Ukraine ist eine Zunahme von Advanced Persistent Threats (APTs) zu beobachten, also langfristig und mit großem Aufwand geplante Attacken auf ausgewählte Ziele, die der kriminellen Gewinnerzielung dienen, oft aber auch politisch motiviert sind.

Einen enormen Anstieg zeigt die Studie von Lünendonk und KPMG bei Insider Threats, also der absichtlichen Weitergabe von Daten oder geistigem Eigentum durch Mitarbeitende. Während zu Beginn des Jahres 2023 erst 37 Prozent der Unternehmen hierdurch eine hohe Bedrohung sahen, sind es 2024 bereits 65 Prozent im Gesamtdurchschnitt. 48 Prozent der befragten Unternehmen sehen zudem ein großes Risiko in Angriffen auf ihre IT-Dienstleister. Diese haben meist das Ziel, die Systeme der jeweiligen Kunden zu infiltrieren und deren Daten zu erbeuten.

Im Branchenvergleich zeigt sich insbesondere bei den befragten Finanzdienstleistern eine etwas höhere Bedrohungslage gegenüber dem Jahr 2023 – unter anderem aufgrund der veränderten geopolitischen Lage und der damit verbundenen Zunahme von DDoS-Angriffen auf Finanzdienstleister.“

Christian Nern, Experte für IT-Sicherheit bei KPMG (Website)

Beide Einflussfaktoren auf die Bedrohungslage – geopolitische Lage und DDoS – wurden von den befragten Finanzdienstleistern deutlich stärker gewichtet als im Branchendurchschnitt. Trotz dieser besorgniserregenden Bedrohungslage gibt es positive Nachrichten: Die Finanzbranche deutet die Zeichen der Zeit richtig und ergreift Gegenmaßnahmen. Das spiegelt sich unter anderem in den Budgets wider: 46 Prozent der Finanzdienstleister investieren fünf bis zehn Prozent ihres Jahresbudgets in Cybersicherheit. Damit liegt die Branche knapp vor der Industrie (44 %) und über dem Gesamtdurchschnitt (45 %).

Doch viele Schwachstellen werden erst durch erfolgte Angriffe sichtbar – etwa in eingesetzter Software von Drittpartnern, veralteten IT-Systemen oder Hardware. Ein Beispiel hierfür ist die Kundenschnittstelle: Durch selbstentwickelte oder externe Software wird sie zunehmend digitalisiert, im Vertrieb kommen Digital-Commerce-Plattformen zum Einsatz. Immer mehr solcher Softwareprodukte weisen laut dem BSI schwerwiegende Schwachstellen auf. Um Schwachstellen zu erkennen, bevor Schäden auftreten, investieren die meisten Unternehmen daher in den Bereich „Identify“. Ein effektives IAM gilt als eines der wirksamsten Methoden, um die Kompromittierung der IT-Systeme zu verhindern. Im Fokus aller Studienteilnehmer stehen das Identifizieren von Schwachstellen und Sicherheitslücken (Vulnerability Management) sowie das Identity and Access Management (88 %) als besonders kritisches Element einer Cyber-Security-Strategie.

Safety first: Cyber Security bei Cloud-Migration

Im Bankensektor hat die Cloud-Migration in den letzten zwei Jahren stark an Fahrt aufgenommen. In diesem Kontext nimmt ein Großteil der Finanzdienstleister aber auch eine verschärfte Bedrohungslage wahr. 72 Prozent glauben, dass sich durch die Cloud-Nutzung das Risiko erhöht, Opfer eines schwerwiegenden Cyberangriffs zu werden. Diese Wahrnehmung der Cloud als Security-Risiko für den Geschäftsbetrieb ist durchaus nachvollziehbar, da Finanzdienstleister in der Regel ein deutlich stärker digitalisiertes Geschäftsmodell haben und erfolgreiche Cyberangriffe sich damit unmittelbar auf den Geschäftsbetrieb auswirken (z. B. Störungen im Onlinebanking oder Zahlungsverkehr).

Gefahr besteht zudem, wenn Legacy-Systeme mit Cloud-Diensten verbunden werden. Dann können sich über ungesicherte Stellen Zugriffe auf kritische Prozesse und Daten ergeben. Hier stehen Versicherungen mitunter vor Herausforderungen, wenn ihr Digitalisierungsgrad noch nicht dem allgemeinen Niveau der Branche entspricht. Neue Regularien wie der Digital Operational Resilience Act (DORA), verpflichtend ab Januar 2025, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) und der Cyber Resilience Act (CRA) werden aber zu den notwendigen Investitionen in die Cloud Security führen.

Dass 58 Prozent der befragten Unternehmen in der zunehmenden Cloud-Nutzung ein höheres Sicherheitsrisiko sehen, hängt unter anderem damit zusammen, dass viele von ihnen hinsichtlich ihrer Cloud-Security-Prozesse noch nicht optimal aufgestellt zu sein scheinen. Lediglich hinsichtlich der Einbettung von Identity and Access Management in die bestehenden IT-Systeme und Datenbanken sehen sich zwei von drei Unternehmen (66 %) bereits gut aufgestellt. Bei den befragten Finanzdienstleistern ist das mit 57 Prozent allerdings deutlich seltener der Fall. Geht es konkret um die Frage, wie gut das IAM in die Cloud-Prozesse integriert ist, sehen sich nur 48 Prozent der befragten Unternehmen und sogar nur 28 Prozent der Finanzdienstleister gut gerüstet.

Allerdings kommt die Studie ebenfalls zu dem Ergebnis, dass Cyber Security ein elementarer Bestandteil der Cloudstrategien des Finanzsektors ist. Gerade hinsichtlich DORA sind regelmäßige Security Audits, Verschlüsselung und Integration in typische Security-Themen geplant. 90 Prozent der Finanzdienstleister investieren ins Security Incident and Event Management (SIEM).“

Christian Nern, Experte für IT-Sicherheit bei KPMG

Cyberkriminalität Finanzdienstleister: Zwischen Sicherheit und Resilienz

Was ist konkret zu tun, um von IT-Sicherheit zu Cyber Security und schließlich zu einer wirkungsvollen Cyber Resilience zu gelangen? Für 89 Prozent der befragten Unternehmen geht es vor allem darum, sich Transparenz über die Bedrohungslage zu verschaffen und dazu den Fokus deutlich stärker auf die Cyber-Risikobewertung auf Basis der Threatvektoren (wie DORA verpflichtend ab Januar 2025 vorschreibt) zu legen sowie Kenntnisse über potenzielle Angriffsvektoren zu erhalten.

Darüber hinaus ist die IT-Modernisierung für 81 Prozent der Unternehmen ein sehr wichtiges Element für den Aufbau von Cyber-Resilienz. Da die meisten IT-Landschaften historisch gewachsen, jahrzehntealt und häufig durch Eigenentwicklungen geprägt sind, finden sich oft Schwachstellen aufgrund veralteter Codes, Konfigurationsfehlern oder unzureichender Wartung.

Der wichtigste Faktor in der Finanzbranche ist die Cyber-Risikobewertung auf Basis einer präzisen Analyse der Angriffsvektoren. Dazu gehören regelmäßige Sicherheitsüberprüfungen (76 % gesamt) und die Optimierung von Audits und Schwachstellenanalysen. 74 Prozent aller Befragten entwickeln Incident-Response-Pläne, 71 Prozent setzen auf gut eingespielte Krisenteams für den Fall von Cyber-Angriffen. Im Branchenvergleich zeigt sich, dass im hochregulierten Finanzdienstleistungssektor End-2-End-Prozesse darüber hinaus ein wichtiger Treiber für einen höheren Cyber-Sicherheitsgrad (58 %) sind.

Bei der Abwehr von Cyberangriffen geht es um Schnelligkeit

Ist ein Cyberangriff erfolgt, kommt es darauf an, schnell zu handeln, da dieser im Durchschnitt weniger als 30 Minuten dauert. Denn je effektiver die Reaktion – die Response – auf einen Security-Vorfall ist, desto höher ist die Chance, einen Datendiebstahl, das Verschlüsseln der Systeme oder den Ausfall produktiver Prozesse zu verhindern. Eine weitere tragende Säule für den Finanzsektor im Kampf gegen Cyberbedrohungen ist daher die Incident Response mit automatisierten Runbooks.“

Christian Nern, Experte für IT-Sicherheit bei KPMG

Der Anteil der Unternehmen, die im Jahr 2024 ihren Fokus darauf richten, ist mit 73 Prozent etwa auf dem Niveau des Vorjahrs. Dies zeigt, dass bei der Reaktionsfähigkeit in den untersuchten Unternehmen weiterhin Handlungsbedarf besteht.

59 Prozent der Opfer von Cyberattacken verlagern mehr Security-Prozesse nach innen. Das deutet darauf hin, dass diese Unternehmen die Verantwortung für Cyber Security nun stärker selbst übernehmen und nicht nur an externe IT-Dienstleistern delegieren, die in der Regel auch nicht haftbar gemacht werden können. Vor allem durch die kommende NIS-2-Richtlinie und DORA sind die Unternehmen nun auch regulatorisch stärker gezwungen, mehr Security-Kompetenzen aufzubauen. Ein Blick auf die befragten Finanzdienstleister, die bereits seit vielen Jahren strenge regulatorische Vorgaben umzusetzen haben, zeigt, dass nur noch 12 Prozent der Unternehmen Cyber Security mittlerweile als reines Compliance-Thema betrachten.tw