Bankraub 2.0 – Datensicherheit bei Banken als Tresor der Zukunft?


Eine Szene wie aus einem Film: Einbrecher räumen das Herzstück der Bank – ihren Tresor – vollständig aus, nehmen alles mit, was es zu holen gibt. Lange Zeit war dies das Horrorszenario eines jeden Finanzinstituts. Im Zeitalter der Digitalisierung droht die Gefahr immer seltener im physischen Inneren einer Bank – viele Filialen führen inzwischen ohnehin nur noch geringe Barbestände in ihren Tresen. Stattdessen gewinnen digitale Angriffe an Lukrativität: Die Täter bleiben leichter anonym, es winken große Summen. Selbst, wenn nicht direkt Geld erbeutet wird, wie beispielsweise beim Phishing, lässt sich später mit dem Handel gestohlener Daten Bares verdienen. Und es droht nicht nur der Verlust von Gut: Ein solcher Hacker-Angriff bringt meist auch einen verheerenden Imageschaden mit sich. Wie also kann die Bank sich und ihre Kunden vor den neuen Gefahren schützen? Über die Beschaffenheit des Tresors der Zukunft und warum das Management zum Wachpersonal wird.

Tresor mit Gold GoldbarrenAus Sicht des Bankräubers war der klassische Bankraub im Falle des Erfolgs hoch rentabel. Aus Sicht der Banken und Ermittler zwar ärgerlich, doch zumindest war der Schaden i.d.R. lediglich finanziell und begrenzt. Die Täter brachen in einen physischen Tresor ein um physische Beute zu ergattern. Schlagworte wie Viren, Würmer, Phishing oder Malware beschreiben nur wenige der Handlungsmöglichkeiten Krimineller. Das zeigt: die Prävention bankspezifischer Straftaten wird deutlich schwieriger und gleichzeitig bedeuten erfolgreiche Angriffe für Banken (und die mediale Berichterstattung darüber) nicht mehr nur einen finanziellen, sondern insbesondere auch einen Imageschaden. Haben die Bankräuber früher Masken getragen, so besitzen die Hacker hinter dem Bankraub 2.0 heute komplette Tarnanzüge. Was Banken also brauchen, ist ein Tresor, der ein Eindringen unmöglich macht.

Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität

Im Detail basiert die Legitimität des Tresors damit auf vier Merkmalen. Erstens dürfen keine unbemerkten Änderungen an Daten stattfinden, was so viel bedeutet wie: die Integrität muss gewährleistet, alle Änderungen müssen nachvollziehbar sein. Zweitens muss der Zugriff auf Daten innerhalb eines vereinbarten Zeitrahmens möglich, die Verfügbarkeit muss also geregelt sein. Drittens muss sowohl beim Zugriff auf gespeicherte Daten, wie auch bei der Datenübertragung die Vertraulichkeit garantiert sein, so dass lediglich autorisierte Benutzer Daten lesen oder gar modifizieren können. Viertens spielen Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eine wesentliche Rolle. Diese Authentizität ist gewährleistet, wenn Informationen selbst sowie deren Herkunft eindeutig zurückverfolgt werden können.

Daten als wichtigstes Gut der Banken

Warum die genannten vier Faktoren eine wesentliche Rolle spielen, zeigen Szenarien aus dem Alltag. Die Authentifizierung beispielsweise ist leicht aus Sicht des Kunden erklärt: Denn wir alle kennen (und nutzen) Authentifizierungsmethoden im Alltag. Unterschieden wird zwischen der wissensbasierten Authentifizierung, aufbauend auf Nutzerdaten und Kennwörtern; der merkmalsbasierten Authentifizierung mit Fingerabdruck und Iriserkennung; sowie der eigentümerbasierten Authentifizierung über einen sogenannten Token. Von einer starken Authentifizierung ist dann die Rede, wenn zwei dieser Möglichkeiten kombiniert Anwendung finden. Mittlerweile wird das auch von den regulatorischen Standardsettern im Bankbetrieb erwartet, dass mittels 2-Faktoren-Authentifizierung das Sicherheitsniveau aus Sicht des Kunden erhöht wird. Erste Anforderungen dieser Art mussten mit den „Mindestanforderungen an die Sicherheit von Internetzahlungen“ umgesetzt werden und werden erneut in den PSD2 aufgeriffen.

Der Faktor Vertraulichkeit kommt beispielsweise im Kontext der „Azubi-Problematik“ zur Geltung: Wer bei einer Bank einer Lehre macht, durchläuft ganz automatisch verschiedene Bereiche. Der Azubi hat mit Privatkunden zu tun, beispielsweise bei der Kontoeröffnung, er lernt wie Akkreditive und Inkassi von Firmenkunden zu behandeln sind. Er durchläuft die Bereiche Controlling und Treasury, ist bei der Bilanzerstellung dabei. Vielleicht wird er im Rahmen seiner Ausbildung sogar in einer Auslandsfiliale tätig. Das bedeutet: für all diese Aufgaben erhält er Zugriff auf hochsensible Daten. Wer stellt nun sicher, dass dieser Zugriff am Ende eines jeden Abschnitts auch wieder entzogen wird? Dass dies geschehen muss, steht außer Frage – andernfalls hat eine Bank Azubis, die am Ende ihrer Ausbildung mehr Berechtigungen haben, als offiziell bevollmächtigte Mitarbeiter.

MaRisk macht das Management der Bank zum Wachpersonal

Spannend wird es, wenn man sich branchenspezifische Richtlinien, beispielsweise die MaRisk, im Detail anschaut, denn hier sind essentielle Aufgaben klar definiert. So wird in Artikel 3 die Gesamtverantwortungen der Risiken an die Geschäftsleitung übertragen – die Einrichtung eines IT-Sicherheitsmanagement genügt also nicht. Vielmehr ist es Aufgabe der Geschäftsleitung, dafür Sorge zu tragen, die IT-Organisation insgesamt angemessen zu steuern. Eine IT-Strategie, die dem Geschäftsmodell angepasst ist, wird dafür vorausgesetzt. In Artikel 4 werden allgemeine Anforderungen an das Risikomanagement von Banken gestellt. Von Instituten wird verlangt, in einem internen Kontrollsystem Regelungen zur Aufbau- und Ablauforganisation zu treffen. Dazu gehört auch die regelmäßige Überprüfung der Zugriffsberechtigung auf IT-Systeme. Letztendlich wird in der MaRisk auch die technisch-organisatorische Ausstattung von Ressourcen vorgeschrieben. Unter anderem wird darin festgelegt, dass bei der IT-Berechtigungsvergabe sichergestellt werden muss, dass jeder Mitarbeiter nur über die Rechte verfügt, die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf. Was bedeutet das konkret? Das Management wird zum Wachpersonal, denn die Datensicherheit liegt nun in der Verantwortung des obersten Managements und muss auch so verstanden werden.

Nur ein kompletter Tresor erzeugt lückenlose Sicherheit

Fazit: Die IT-Sicherheit, also die Gewährleistung des Schutzes von Unternehmensdaten ist eine essentielle Aufgabe, um Schaden von Banken und Kunden abzuwehren. Dies gelingt nur, wenn die IT-Sicherheit als ganzheitliche Aufgabe erkannt und so umgesetzt wird, dass sie die gesamte Organisation mit all ihren Prozessen und Technologien umfasst. Diese Aufgabe liegt in der Verantwortung des Managements und muss als solche auch kommuniziert werden. Das Management ist dadurch nicht nur verantwortlich für die Delegation von Verantwortung für konkrete Maßnahmen und Prozesse, sondern auch für die Durchsetzung dieser im Unternehmen. Die ganzheitliche Wirkung kann nur durch ein umfassendes Zusammenspiel des Senior Managements, Mitarbeitern und Kunden des Unternehmens, sowie seinen Prozessen und Technologien, liegen.