IT-Sicherheit: Cybersicherheit bei Banken

Deutsche Banken bleiben anfällig für Attacken auf ihre IT und damit auf Gelder ihrer Kunden. Es gebe zwar Fortschritte beim Schutz gegen "Cyberrisiken" sagte Raimund Röseler, Exekutiv-Direktor der Finanzaufsicht BaFin am Donnerstag am Rande einer Tagung seines Hauses zur IT-Sicherheit der Institute. Aber mehr als die Schulnote vier will er weiter für die Schutzmaßnahmen der Geldhäuser gegen Angriffe auf ihre Rechner nicht geben. "Ich sehe Verbesserungen, aber die Systeme sind noch komplexer geworden".

Die Institute seien zwar besser aufgestellt als Banken in anderen europäischen Ländern und als die Industrie, bei der es im Schnitt 240 Tage dauert bis eine Cyberattacke entdeckt wird. Aber die Mängel seien noch nicht beseitigt. Ohnehin habe man noch nicht alle Institute überprüfen können. Bei der BaFin gibt es zwar mittlerweile 50 Stellen für den Bereich IT-Sicherheit bei Banken. Aber nicht für alle Stellen konnten bislang Experten gefunden werden.

Wegen der Mängel in den Systemen vieler Häuser - Namen nennt Röseler nicht - hat die Bank bislang in mehreren Fällen Sonderprüfungen veranlasst und  Kapitalaufschläge von bis zu 50 Prozent verordnet. "Aber Geschäftsleiter haben wir noch nicht abberufen müssen". Nach Angaben von Röseler gibt es täglich Attacken auf die Rechner der Banken und Versuche etwa an die Einlagen von Kunden zu kommen oder Überweisungen abzuzweigen. "Aber die wenigsten sind erfolgreich". Welche Summen in Einzelfällen von Kriminellen abgezogen werden konnten, sagt die BaFin nicht. Sie seien aber überschaubar gewesen und hätten keine Bank in Existenznöte gebracht.

Im Februar 2016 hatten Hacker die Zentralbank von Bangladesch attackiert und rund 80 Millionen Dollar erbeutet. Dass der Schaden nicht noch deutlich größer war ist der US-Notenbank zu verdanken, die die Attacke damals aufdeckte. Röseler betont, dass auch hierzulande der Erfolg von Cyberattacken auf Rechner der Geldhäuser nicht ausgeschlossen werden kann, wenn es Täter auf Einlagen, Überweisungen und Konten abgesehen hätten oder über die IT Geldautomaten manipulieren, um dort problemlos Geld abzuheben. Wichtig seien in solchen Fällen die Reaktion der Banken und ein effektives Krisenmanagement. Auch dies schaue sich die BaFin sehr genau an. Röseler betonte im Übrigen, dass die Ursache für Sicherheitsprobleme in den Banken in der Mehrzahl durch Soft- und Hardware-Störungen oder auch durch Eingabefehler auftreten würden und nicht durch Cyberattacken.

Die IT vieler Banken gilt in den Augen von Experten als veraltet. Auch die Deutsche Bank und die Commerzbank müssen sich immer wieder Vorhaltungen machen lassen. Ex-Deutsche Bank-Chef John Cryan hatte die IT des Instituts kurz nach seinem Amtsantritt Mitte 2015 als "lausig" bezeichnet. Seit dem ist zwar einiges passiert, aber nach den Worten des heutigen Vorstandschefs Christian Sewing ist die Bank in Sachen IT und auch bei internen Kontrollen immer noch nicht da, wo sie hinwolle.