IT-Sicherheit bei Banken: Bedrohung durch die Hintertür
Durch das Internet der Dinge und neue digitale Lösungen steigen die Anforderungen an die IT-Sicherheit. Mit dem IT-Sicherheitsgesetz rückt auch die Politik das Thema in den Fokus. Dass es aktueller ist denn je, zeigt die ungebrochen wachsende Zahl von Cyberattacken. Insbesondere der Finanzsektor ist immer wieder betroffen. Während Banken jedoch mit ihrer eigenen IT-Sicherheitsstruktur gut aufgestellt sind, drohen durch die zunehmende digitale Vernetzung künftig Angriffe aus einer neuen Richtung: über ihre Kundenbeziehungen.

Sony, Microsoft, das Kanzleramt – die Zahl der Hackerangriffe auf sensible Unternehmensdaten und Kun-deninformationen hat in den vergangenen Jahren deutlich zugenommen. So wurden 2014 weltweit fast 43 Millionen Cyberattacken registriert. Jüngstes prominentes Beispiel: der französische TV-Sender TV5 Monde.
Um das Sicherheitsniveau besonders kritischer Infrastrukturen, also Einrichtungen, die für das Gemeinwe-sen von zentraler Bedeutung sind, zu erhöhen, hat das Bundesinnenministerium als Baustein der Digitalen Agenda im Dezember 2014 den Entwurf des „IT-Sicherheitsgesetzes“ vorgelegt. Es wird regeln, welchen Sicherheitsanforderungen die IT-Systeme aus den Bereichen Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen standhalten müssen. Die rund 2.000 betroffenen Unternehmen müssen innerhalb von 2 Jahren nach In-krafttreten des Gesetzes, das derzeit im Bundestag noch diskutiert wird, angemessene organisatorische und technische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse umsetzen. Zudem sind sie verpflichtet, erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Auch wenn der Gesetzentwurf an vielen Stellen noch konkretisiert – und derzeit auch in der Öffentlichkeit kontrovers diskutiert – wird, ist die Stoßrichtung klar: IT-Systeme und digitale Infrastrukturen müssen sicherer werden. Bisherige Lösungsansätze reichen dazu nicht mehr aus.
IT-Sicherheitsgesetz: Finanzsektor gut aufgestellt, aber kein Grund zur Entspannung
Für das Finanz- und Versicherungswesen können nach heutigem Stand des Gesetzesentwurfs folgende Dienstleistungen als kritisch betrachtet werden: Zahlungsverkehr und Zahlungsdienstleistungen, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel sowie Versicherungsleistungen. Welche konkreten Umsetzungspflichten sich für den Finanzsektor ergeben, wird im weiteren Verlauf verbindlich festgelegt werden. Dabei dürften die gängigen Sicherheitsstandards ISO 27001/2/5 sowie ISO 27015 im Finanzbereich und der BSI Grundschutz in die Betrachtung mit einfließen.
Auf Basis des aktuellen Entwurfs zeichnet sich ab: ein kurzfristiger Handlungsbedarf besteht im Finanzsek-tor zunächst nicht. Banken haben bereits seit Jahren zahlreiche Anstrengungen unternommen haben, um das Thema IT-Sicherheit in ihren Organisationsstrukturen abzubilden. Und doch können sie sich keineswegs zurücklehnen. Zum einen sollten sie bereits heute damit beginnen, die im Allgemeinen Teil des Entwurfs zugrunde gelegten kritischen Dienstleistungen gegen die Businessseite abzugleichen und potentiellen Handlungsbedarf für die IT-Infrastruktur, inklusive der Betriebsprozesse, abzuleiten. Zum anderen sollten – ebenfalls jetzt schon – die vorgesehenen Kommunikationspflichten im Hinblick auf Störungsmeldungen und Kontaktstellen bewertet werden.
Darüber hinaus müssen Banken künftig ein bislang kaum betrachtetes Bedrohungsszenario stärker in ihre IT-Sicherheitsbetrachtungen mit einbeziehen: Mögliche Cyber-Angriffe, die über Kundenbeziehungen erfolgen können.
Digitale Vernetzung öffnet neue Verwundbarkeiten
Denn während Finanzinstitute zum größten Teil über wirkungsvolle IT-Sicherheits-Strategien verfügen, hinken Unternehmen aus anderen Wirtschaftszweigen zum Teil deutlich hinterher. Und genau hier liegt die Gefahr. Die zunehmende digitale Vernetzung von Unternehmen im Zeitalter von Industrie 4.0 steigert auch den Austausch von Daten um ein Vielfaches. Auch Banken werden sich stärker öffnen und ihre Daten preisgeben müssen. Die Gefahr steigt, dass sich Hacker über Unternehmen mit geringerem Sicherheitsstandard, die in Kundenbeziehung zu Banken stehen, Zugang zu Bankverbindungen oder anderen sensiblen Kundendaten verschaffen. Ein Beispiel für ein indirektes Einfallstor könnten beispielsweise schlecht abgesicherte, mit dem Internet verbundene Steuer- und Produktionsmaschinen sein. Ein bislang kaum beachtetes Szenario, über das Finanzinstitute künftig stärker nachdenken müssen. Für eine umfassende und nachhaltige IT-Sicherheitsstrategie heißt das: Banken können noch so gut aufgestellt sein; wenn ihre Kunden Sicherheitslücken zulassen, entstehen weitere Gefahren. Diese gilt es zukünftig verstärkt in die Risiko- und Sicherheitsplanung mit einzubeziehen.