Viele deutsche Banken und Sparkassen tun nach Ansicht ihrer Aufsichtsbehörde BaFin zu wenig für die IT-Sicherheit. Zwar müsse man davon ausgehen, dass fast täglich ein Hackerangriff auf eine deutsche Bank verübt werde. Dennoch würden immer noch nicht alle Institute genügend Geld in die Hand nehmen, um Cyberangriffe festzustellen und Bedrohungen zu erkennen, bevor es zu spät sei.
"Außerdem lässt auch das Management von Cyberrisiken in vielen Fällen zu wünschen übrig", kritisierte BaFin-Chef Felix Hufeld am Dienstag in Frankfurt.
Angriffsrisiken nicht ernst genommen
Zu häufig werde das Risiko eines Angriffs auf die IT in den Vorstandsetagen der Banken nicht ausreichend ernst genommen, beklagte der oberste deutsche Finanzaufseher. "IT-Sicherheit ist Chefsache!" Das Bewusstsein dafür müsse steigen – "auch für Risiken, die bei der Auslagerung oder dem Bezug von IT-Dienstleistungen entstehen". Zwar ließen sich – Stichwort: Cloud – inzwischen viele IT-Aufgaben auslagern. Die Verantwortung für die Sicherheit der Computersysteme jedoch nicht, betonte Hufeld. "Die verbleibt, ich sage es noch einmal, bei der Geschäftsleitung".
Gemeinsam mit der Bundesbank will die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) deshalb den deutschen Finanzsektor insgesamt in punkto IT-Sicherheit bald auf Herz und Nieren prüfen. Dafür seien auch Cyber-Stresstests angedacht, sagte Hufeld. Dies sei deshalb so wichtig, weil im schlimmsten Fall nicht nur ein einzelnes Institut, sondern die Stabilität des gesamten Finanzsystems von einer Cyberattacke betroffen sein könnte. "Auf solche Szenarien müssen wir vorbereitet sein, die Institute ebenso wie wir als Aufsichtsbehörden."
IT gilt als veraltet
Die IT vieler Banken in Deutschland gilt als veraltet, selbst die größten Institute wie Deutsche Bank und Commerzbank haben immer wieder mit Problemen zu kämpfen. Zum Teil sind dafür die hohen Kosten verantwortlich. Wie die "Börsen-Zeitung" am Dienstag unter Berufung auf den zuständigen Bereichsvorstand Jochen Sutor berichtet, scheut die Commerzbank zum Beispiel die Investitionen, um eine von zwei parallel laufenden IT-Plattformen abzuschalten.
Die Anfälligkeit gegenüber Hackerangriffen ist hoch: Seit 2017 sind der BaFin laut Hufeld 420 Sicherheitsvorfälle gemeldet worden – "ein Drittel davon waren sogar mittelschwere und schwere Vorfälle". Bis jetzt habe es allerdings zum Glück nur wenige erfolgreiche Angriffe auf die Banken-IT gegeben. Der Löwenanteil der gemeldeten Vorfälle sei "auf hausinterne Schwächen" zurückzuführen.