Cybersicherheit (Finanzwesen) : Cyber-Stresstest: Sind die deutschen Banken bereit?

Unautorisierte Transaktionen, veröffentlichte Kundendaten oder eingefrorene Konten – erfolgreiche Cyberangriffe auf Finanzinstitute können gravierende Folgen haben. Auch die Europäische Zentralbank (EZB) hat die Bedrohungslage erkannt und mit den Supervisory Priorities 2023-2025 Cyberresilienz in den Fokus genommen. Demnach sollen Banken über solide IT-Sicherheits- und Cyberresilienz-Rahmenwerke verfügen, um gegen Unterbrechungen der kritischen Aktivitäten und Dienstleistungen abgesichert zu sein.

Stresstest greift Dora voraus

Die EZB plant nun im ersten Halbjahr 2024 einen Cyber-Resilience-Stress-Test. In diesem Zuge will sie prüfen, inwieweit systemrelevante Institute auf einen Cyberangriff vorbereitet sind und angemessen sowie zeitnah reagieren können. Um das zu beurteilen, wird ein konkreter Sicherheitsvorfall fingiert: Die Reaktion auf diesen sowie die monetäre Bewertung der Auswirkungen des Angriffs bzw. die Höhe des Cyberrisikos stehen dabei im Fokus.

Mit diesem Stresstest greift die EZB den Anforderungen aus der EU-Verordnung DORA (Digital Operational Resilience Act) vor. DORA soll die existierenden regulatorischen Anforderungen zum Management von Informations- und Kommunikationstechnologie (IKT) im Finanzsektor harmonisieren. Dabei liegt der Fokus auf fünf Bereichen: Governance, IKT-Risikomanagement, Incident Reporting, Test der digitalen operationalen Resilienz und IKT-Drittanbieter. Die Implementierung soll spätestens bis zum ersten Quartal 2025 erfolgen.

Banken bislang auf Prävention fokussiert

Banken stehen dadurch deutlich erhöhten regulatorischen Anforderungen hinsichtlich Cybersicherheit gegenüber. Erschwerend kommt hinzu, dass sich Banken mit immer komplexeren Angriffsszenarien in Kombination mit einer deutlich erhöhten Frequenz der Angriffe konfrontiert sehen. Die Auswirkungen können enorm sein – von massiven finanziellen Schäden bis hin zu weitreichendem Reputationsverlust. Unternehmen weltweit haben Schätzungen zufolge im Jahr 2023 einen finanziellen Verlust durch Cyberangriffe in Höhe von 8 Billionen US-Dollar erlitten.

Entsprechend haben viele deutsche Banken große Transformationsprogramme zur Erhöhung der Cybersicherheit gestartet oder nahezu abgeschlossen. Die Basis dafür bilden meist Ergebnisse aus Prüfungen und damit verbundene Anordnungen der Aufsichtsbehörden. All diese Programme einen zwei Aspekte:

1. Die ergriffenen Maßnahmen orientieren sich sehr eng an den Beanstandungen und zielen nicht auf eine konsistente und nachhaltige Lösung ab. Daraus resultieren erneute Beanstandungen bei der nächsten Prüfung.
2. Im Vordergrund stehen meist präventive Maßnahmen, wie beispielsweise die Implementierung eines Schwachstellen-Managements, der Aufbau eines Security-Incident-and-Event-Monitoring oder die Integration eines Schutzsystems zur Kontrolle der Zugriffsmöglichkeiten auf kritische Daten.

Gemessen an diesen Anforderungen haben viele Häuser zwar inzwischen ein gutes Sicherheitsniveau erreicht. Aber der Reifegrad der Maßnahmen ist noch nicht so ausgestaltet, dass die ergriffenen Maßnahmen kontinuierlich und systematisch weiterentwickelt werden, um sich gegenüber sich schnell entwickelnden Angriffsvektoren und -szenarien zu behaupten.

DORA geht über bisherige Anforderungen hinaus

Diese Lücke sollen die DORA-Anforderungen schließen. Dazu zählt die Bildung eines Krisenstabs, der für die systematische Analyse des potenziellen Schadens durch den Sicherheitsvorfall sowie eine kurzfristige Wiederherstellung der kompromittierten Daten inklusive einer Rückkehr zum „Normalbetrieb“ verantwortlich zeichnet. Doch viel relevanter ist die verpflichtende Durchführung eines gezielten Tests der Cyberresilienz, um die vorgesehenen Verfahren und die Bildung des entsprechenden Krisenstabs zu überprüfen. Selbst wenn eine Bank in regelmäßigen Abständen Penetrationstests oder auch einen umfassenden TIBER-EU-Test durchgeführt haben sollte, stand das Herzstück der Widerstandsfähigkeit nicht auf dem Prüfstand: die Reaktionsfähigkeit und das strukturierte Handeln der Mitarbeitenden.

DORA geht also einen Schritt weiter: Banken, die bisher ihre Hausaufgaben gut gemacht haben, verfügen über eine solide Grundlage zur Erfüllung der neuen Anforderungen. Wir sehen jedoch immer wieder, dass Institute die Auswirkungen von DORA vielfach unterschätzen – ähnlich wie Cyberrisiken selbst. Da der – aus den MaRisk bekannte – Wesentlichkeitsbegriff mit den DORA-Anforderungen quasi neu gefasst wird, sind weitaus mehr Prozesse und Anwendungssysteme betroffen als bisher.

Und es kommt ein bisher neuer Aspekt hinzu: Die Auswirkung des Angriffs beziehungsweise die Höhe des Cyberrisikos sollen monetär bewertet werden. Das dürfte viele Banken derzeit noch vor eine unlösbar erscheinende Aufgabe stellen. Neben Berechnungsmodellen fehlt es an einer ausreichenden historischen Datengrundlage, um eine valide Bezifferung ableiten zu können, die gleichzeitig die Risikotragfähigkeit nicht infrage stellt. Es ist zu erwarten, dass diese Entwicklungen perspektivisch auch dazu führen werden, dass dem Cyberrisiko ein deutlich höherer Stellenwert in der Berechnung der Risikotragfähigkeit als bisher beizumessen ist. Das wird nicht zuletzt auch zu erhöhten Kapitalanforderungen in den Banken führen.

Jetzt konsistentes Cybersicherheitsmanagement einführen

Banken sollten sich vor diesem Hintergrund vier Dinge vornehmen:

1. Cybersicherheit sollte auf Führungsebene zu einer der höchsten Prioritäten werden. Entsprechende Investitionen sind zur Sicherung des Bankbetriebs essenziell und überlebensnotwendig.
2. Banken müssen die Reaktionsfähigkeit auf Cyberangriffe aktiv üben, um auf den Ernstfall vorbereitet zu sein und den finanziellen Schaden und den Reputationsverlust auf ein Minimum zu reduzieren.
3. Jede Bank sollte sich die richtigen Partner suchen, um Cybersicherheit kontinuierlich weiterzuentwickeln. Aber auch um auf Vorfälle professionell und schnell reagieren zu können (zum Beispiel mit Incident Response Retainern) und um die gesamte IT-Architektur mit einem hochprofessionellen Security Incident and Event Management rund um die Uhr (24/7) abzusichern.
4. Jede Bank muss ihre Cyberintelligenz erhöhen, um auf drohende Gefahren frühzeitig reagieren zu können. Ziel dabei muss es sein, den Angreifern immer den entscheidenden Schritt voraus zu sein.

Finanzinstitute haben hier die Chance, sich mithilfe von Stresstest und DORA entsprechend zukunftsfähig aufzustellen. Die Notwendigkeit für ein konsistentes Cybersicherheitsmanagement ist erkannt, jetzt gilt es beherzt über alle Unternehmenseinheiten hinweg Security zu leben.

Anne Kristin Kutter ist Managing Director im Bereich Security Banking bei Accenture.