Die IT-Sicherheit der Banken ist ein essentielles Thema und die Funktionalität und Zuverlässigkeit des internationalen Zahlungssystems sicherzustellen. Aber wie sicher ist die IT der Bankenlandschaft? In der EU gibt es ja DORA, was die Sicherheit verbessern soll.
Anzeige
Was ist DORA?
Der Digital Operational Resilience Act (DORA) ist ein neuer Standard der EU für operative Resilienz, Cybersicherheit und Risikomanagement im Banken- und Versicherungswesen. DORA wurde vor dem Hintergrund zunehmender Cyber-Bedrohungen und einer immer komplexeren digitalen Infrastruktur zur Stärkung der Widerstandsfähigkeit und Sicherheit europäischer Unternehmen.
Das Gesetz stellt insbesondere an Finanzinstitute und verwandte Sektoren erhöhte Anforderungen – unter anderem in den Bereichen Third Party Risk Management, Incident Reporting und Business Continuity. DORA ist ein hochaktuelles Thema, da die vollständige Umsetzung ab dem 17. Januar 2025 verpflichtend wird. Die BAFIN hat hier einige Informationen rund um DORA veröffentlicht.
Michael Breidenband, Country Manager Germany bei Adacta, schreibt dazu, dass deutsche Finanzdienstleister aufgrund der bereits existenten Vorgaben aus Verwaltungsvorschriften wie MaRisk oder BAIT/VAIT auf einer soliden Basis aufbauen können. Denn mit DORA würden diese Vorgaben nun konkretisiert und zudem auf Gesetzesebene verankert. Dies erhöhe den Druck zur Umsetzung, insbesondere beim Risikomanagement von IKT-Drittdienstleistern sowie dem kontinuierlichen Testen der operationalen Resilienz. Damit einhergehen erhöhte Verwaltungsaufwände bis hin zur Notwendigkeit, Verträge mit Suppliern neu zu gestalten, da diese im Rahmen von DORA mehr denn je in die Pflicht genommen werden.
Auf operativer Seite rücken laut Breidenbank technische Maßnahmen wie Netzwerksegmentierung, Notfallübungen und die kontinuierliche, automatisierte Überwachung der digitalen Infrastruktur noch mehr in den Fokus.
Cyber-Sicherheit als Rückgrat des modernen Bankwesens
Bereits im Dezember 2024 ist mir ein Beitrag von CheckPoint Research zugegangen, der sich mit der Rolle der Digitalisierung und IT-Sicherheit als Garant für Vertrauen im modernen Bankwesen befasst. Bei der Vielfalt digitaler Transaktionen muss die Sicherheit dieses digitalen Zahlungsverkehrs garantiert sein, um Malware, Datenlecks, Phishing und Betrug zu vermeiden. Andernfalls ist das Vertrauen der Kunden in die Bank schnell verloren.
Anzeige
Sicherheitsvorfälle in der Vergangenheit
Banken in Deutschland müssen nach Erkenntnissen der CheckPoint Sicherheitsforscher wöchentlich 899 Attacken hinnehmen. Damit liegen sie auf Platz acht der gefährdeten Bereiche in Deutschland, wobei die Zahlen im ersten Halbjahr 2024 höher lagen.
Im Bericht heißt es, dass es in Deutschland bereits einige bedenkliche Zwischenfälle gegeben habe. So wurde im Jahr 2023 bekannt, dass ein Datenleck bei einem Dienstleister dafür sorgte, dass Tausende von Kundendaten von vier großen Banken in Deutschland gestohlen wurden (ich hatte dies im Beitrag MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen aufgegriffen).
Ebenfalls 2023 wurde die Deutsche Leasing AG, eine Tochter der Sparkassen, von Hackern angegriffen, wobei sowohl die Mitarbeiter als auch die Kunden den Zugriff auf die Systeme verloren haben (siehe meinen Beitrag Deutsche Leasing nach Cyberangriff seit 3. Juni 2023 offline). Im Juni 2024 kam heraus, dass die Kunden der Immobilientochter der DZ-Bank, die zweitgrößte Bank in Deutschland und Mutter der Volksbanken, das Opfer eines Hacker-Angriffs geworden sind (siehe meinen Beitrag Immobilientochter der DZ-Bank gehackt, Kundendaten betroffen).
Schäden durch Cyberangriffe
Gemäß Daten von IMF (International Monetary Fund) and Advisen cyber loss data, hat der Finanz-Sektor in den letzten 20 Jahren rund 12 Milliarden US-Dollar (rund 11,4 Milliarden Euro) durch über 20 000 Cyber-Attacken verloren. Dies macht deutlich, wie wichtig die Cyber-Sicherheit für das Bankwesen ist. Robuste Frameworks stellen sicher, dass die Finanzinstitute ihre Versprechen gegenüber den Kunden im digitalen Zeitalter einhalten können.
Die Art und Weise der Attacken und ihre Wirkung lässt sich in diesem Sektor in drei Punkte zusammenfassen:
- Finanzielle Verluste: Direkter Diebstahl von Geldern oder Ressourcen, die für die Wiederherstellung der Systeme erforderlich sind.
- Unterbrechung kritischer Bankdienstleistungen: Verzögerungen bei elektronischen Zahlungen und beim Zugang zu Konten wirken sich auf das tägliche Leben der Kunden aus.
- Erosion der Marke: Unzufriedenheit der Kunden und die Berichterstattung in den Medien schaden dem Ruf.
Eine solche Bedrohung der finanziellen und wirtschaftlichen Stabilität durch die Erosion des Vertrauens in die Finanzsysteme könnte weitere weitreichende Folgen haben, die möglicherweise so weit gehen könnten, dass die globalen Finanzoperationen gestört werden, indem der Kreditfluß zwischen den Finanzinstituten behindert wird.
Punkten mit Cybersicherheit
Die Aufrechterhaltung des Kundenvertrauens hängt jetzt von der Fähigkeit einer Bank ab, sensible digitale Informationen zu schützen und nahtlose, sichere Transaktionen zu gewährleisten – besonders angesichts des modernen Bankings mit Apps über Smartphones.
Weltweit haben die Regierungen daher Vorschriften zur Stärkung der Cyber-Sicherheit im Bankwesen erlassen, die in letzter Zeit an Fahrt gewonnen haben, da der Finanzsektor häufig als kritische Infrastruktur (KRITIS) für jedes Land angesehen wird.
In Europa setzt die Datenschutzgrundverordnung (DSGVO) der EU strenge Datenschutzgesetze durch, die von den Banken verlangen, robuste Cyber-Abwehrmaßnahmen zum Schutz der Kundendaten umzusetzen.
Fragt man Experten nach Best Practices, so kann folgendes empfohlen werden:
- Implementierung einer Zero-Trust-Architektur: Alle Geräte und Benutzer werden standardmäßig als nicht vertrauenswürdig eingestuft, bis sie das Gegenteil beweisen.
- KI-gesteuerte Erkennung von Bedrohungen nutzen: KI kann Anomalien in Echtzeit erkennen und neutralisieren.
- Sensible Daten verschlüsseln: Sichere Daten sowohl bei der Übertragung als auch im Ruhezustand.
- Regelmäßige Sicherheitsaudits: Häufige Kontrollen helfen, Schwachstellen zu erkennen und zu entschärfen.
- Sichere Integration von Drittanbietern: Prüfung von Anbietern und Überwachung von Schwachstellen in der Lieferkette.
- Kundenschulung: Die Aufklärung der Kunden über bewährte Praktiken der Cyber-Sicherheit – von strengen Passwortrichtlinien über die Förderung von Multi-Faktor-Authentifizierungen bis zur Schulung der Kunden (und Mitarbeiter) in der Erkennung von Phishing-Versuchen. Bei einem informierten Kunden ist die Wahrscheinlichkeit geringer, dass er einem Betrug zum Opfer fällt, was sowohl das individuelle als auch das institutionelle Risiko einer Hacker-Attacke verringert.
Auch CheckPoint Research weist im Beitrag auf den Digital Operational Resilience Act (DORA) als eine weitere Regulierung der EU hin, die ab 17. Januar 2025 anzuwenden ist. Sie betrifft beinahe alles, was unter Bank- und Kreditwesen zusammengefasst werden kann.
Zentrale Bedeutung kommt dem ITK-Risikomanagement zu, Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme sichergestellt werden. Auch Awareness im Rahmen von Schulungen – auch der Geschäftsleitung – wird eine wichtige Rolle spielen. Zudem sind Kommunikationspläne und -strategien für interne und externe Zielgruppen dann Pflicht, wobei mindestens eine Person zum Mediensprecher ernannt wird, die agieren muss, sollte es zu einem ITK-Vorfall kommen. Was ein ITK-Vorfall ist, wurde nach Kriterien klassifiziert. Diese sind meldepflichtig.
Außerdem ist das Testen der Widerstandsfähigkeit der eigenen Netzwerke ebenfalls ein Bestandteil von DORA und erfordert entsprechende Programme, was damit auch Drittparteien inkludiert – und die Aufsichtsbehörden. Basistests sind eine Pflicht für den gesamten Finanzsektor und umfassen unter anderem Schwachstellen-Scans, Quell-Code-Tests und Performance-Tests, während die fortgeschrittenen Tests Threat Led Penetration Tests (TLPT) meinen. Letztere betreffen aber nur systemrelevante Unternehmen im Finanz-Sektor. Sie basieren auf dem Rahmenwerk TIBER der EU (Threat Intelligence-based Ethical Red Teaming). Somit wird die Umsetzung von DORA zwar ein Kraftakt, besonders für kleinere Banken und Finanzdienstleister, aber mit diesem Rahmenwerk können die Unternehmen ein holistisches Konzept der Cyber-Sicherheit umsetzen und damit eine tiefergehende Cyber-Abwehr erreichen, um ihre wertvollen Operationen zu schützen.
Die CheckPoint-Forscher stellen fest: Im digitalen Zeitalter beruht das Vertrauen in das Bankwesen nicht nur auf der Qualität der Dienstleistungen, sondern auch auf der Fähigkeit des Instituts, seine Computer-Systeme und die Daten zu schützen. Die Cyber-Sicherheit ist das Rückgrat des Kundenvertrauens und gewährleistet finanzielle Stabilität und operative Belastbarkeit. Anlässlich des Internationalen Tages der Banken sollten alle sich bewusst machen, dass das Vertrauen, welches die Kunden in die Banken setzen, von der Güte der Cyber-Sicherheit abhängt. Dies sollten die Führungskräfte im Bankwesen bedenken, wenn es um Investitionen in IT-Sicherheitslösungen und Schulungen geht.
Wie steht es wirklich um die Cybersicherheit?
Die zunehmende Raffinesse von Cyberangriffen und die wachsende Angriffsfläche durch die Einführung der Cloud, Remote-Arbeit und komplexe Lieferketten haben dazu geführt, dass eine solide Risikobewertung im Bereich der Cybersicherheit wichtiger denn je ist.
Zum Jahresanfang 2025 habe ich eine Information von Cybersecurity erhalten, die sich mit der IT-Sicherheit im Bankenwesen befasst haben. Aufhänger war der Angriff chinesische Hacker auf das US-Finanzministerium.
Das Cybernews-Forschungsteam analysierte Fortune-500-Unternehmen und stellte fest (siehe Cybernews Business Digital Index), dass 84 % der untersuchten Unternehmen für ihre Cybersicherheitsbemühungen die Note D oder schlechter erhielten. Leider haben die meisten Unternehmen angesichts der wachsenden Bedrohung durch Cyberangriffe ihre Sicherheitsstandards nicht entsprechend angehoben.
Aus den Berichten geht auch hervor, dass Finanz- und Versicherungsunternehmen am anfälligsten sind: nur 1 % von ihnen erhielt eine Sicherheitsbewertung der Stufe A. Gleichzeitig zeigen die jüngsten Ereignisse, als sich chinesische Hacker Zugang zum US-Finanzministerium verschafften, dass die Angreifer großes Interesse an dieser Branche haben. Der komplette Bericht lässt sich hier abrufen.
Anzeige
Kundenschulung? – ha ha… ich fall gleich vom Stuhl…grins… als mittlerweile zertifizierter CISO kann ich die Hände nur übern Kopf zusammen schlagen, wenn ich sehe was da draußen so gemacht wird.
Klingt irgendwie nach Wunschkonzert…, das ist ja wie bei diversen Banken, die alles für die DSGVO tun, doch beim Fenster abkleben mit Milchfolie, irgendwie wichtige Bereiche vergessen haben, so das man gemütlich (von draußen wohl gemerkt) lesen kann welcher Kunde gerade bearbeitet wird….
Über dieses Fenster Betriebssystem und die damit verbundenen Datenstaubsaugern Apps reden wir erst gar nicht.
Wenn Du magst, kannst Du mir ja einige Insights zukommen lassen – ich könnte die anonymisiert als Fallbeispiele im Blog veröffentlichten. Auch die Datenstaubsauger-Apps interessieren, wenn es um konkrete Beispiele geht.
Muss man Werbebeiträge in dem Falle von CheckPoint nicht als Werbung kennzeichnen?
dann mache dich bitte vorher schlau, was zu kennzeichnende Werbebeiträge betrifft, bevor mit solchen Anwürfen gehandelt wird. Danke für das Verständnis
Hehe, da müsst ich ja nen Buch schreiben… ich schau mal,
aber um es dir einfach zu machen, achte einfach mal auf folgende Dinge:
– Hinweisaufkleber (Videoüberwachung) am Eingang vorhanden?
– Fenster, kannst du den Mitarbeitern über die Schulter schauen?
– Frag doch mal welche Windows Version benutzt wird? min. E3/E5 würde ich erwarten, alles andere ist broke.
– Die letzte IT-Sicherheitsschulung hat dein Berater wann erhalten?
sollte MAX 1 Jahr alt sein.
– Die Informationssicherheits-leitlinie/richtlinie kannst du wo downloaden?
– Nutz die Bank schon Zero Trust?, wenn JA frag mal ob die Tokens bei einem DRITTANBIETER gelagert werden, denn das wird gern gemacht bricht aber mit dem Sinn von Zero Trust. (nach meiner Auffassung)
– DIN/ISO 27001 kann man schon ?,
okay aber bitte MIN die 2022 Version, alles davor entspricht NICHT dem Stand aktueller Technik.
– Cloud/eigenes RZ macht man auch?,
okay dann liegt ja ein aktuelles BSI C5 vor, oder?
– Lieferkette ist sauber?, ECHT?,
okay dann zeigt mir mal die Software Bill of Material^^ -grins-
Davon gibt es es noch viel mehr… ich schreib wohl mal ne Checkliste^^.
Das was "ART" weiter unten kommentiert hat, entspricht LEIDER viel mehr der REALITÄT, auch mir wurde beigebracht, das man die DIN 27001 locker mit Excel-Listen erledigen kann, aber mal ehrlich, echte Sicherheit bekommst du damit NULL.
Sogar große Softwareanbieter, gerade für diesen Zweck, sowie weitere Compliances und co, sind durch meine Prüfung gefallen, da im Unterbau, total veraltete Technik (EOL Produkte) zum Vorschein kam.
so genug Frust von der IT-Security-Seele geschrieben^^
Ich steck mein Brain lieber wieder in speicher-sicheren Rust Code, damit ich die Herausforderungen bewältigen kann und echte IT-Sicherheit fördere.
Danke erst einmal für die Stichpunkte – hilft weiter – bzw. werde die Augen offen halten. Ich war hier eher an Insights zu Direkt-Banken, Banking-Apps und Neo Fins interessiert – aber es ist in Ordnung, wie Du das oben aufgelöst hast – ich leide ja nicht an Themenmangel.
Die Herausforderung ist eher mal KEINEN Punkt zu finden an dem du etwas mergeln könntest, denn je tiefer deine Fragen vom Level hergehen, desto erschrockener bist du am Ende.
Echte IT-Sicherheit fängt mit der 1. Zeile QuellCode an, und wenn du auf der Ebene angekommen bist, um die Software oder Umgebung zu prüfen, brauchst du viel Popcorn.
Es gibt ja genug Angriffsmöglichkeiten in fast allen Bereichen, Energie war bereits dran, jetzt Postbank, Landesverwaltungen, Krankenhäuser, bin wirklich gespannt, wie lange das noch gut geht.
Wie hoch ist die Strafe mindestens, wenn eine Bank die Umsetzung verweigert?
Ich kann Dir die Frage im konkreten Fall nicht beantworten.
Im allgemeinen Fall — gesetzliche Vorgaben werden von einer Bank nicht umgesetzt, ohne dass dafür eine Ausnahmegenehmigung von der Aufsichtsbehörde vorliegt –, droht letztlich der Entzug der Bankenlizenz.
Das Problem ist doch wie bei allen Zertifisierungen: Das Papier nicht wert, auf dem es steht! Da wird vor einem Audit geputzt und gestriegelt was nur geht um das Audit zu bestehen und danach wird weitergewurstelt wie bisher.
Erst recht wenn Umsetzungen ne Menge Geld kosten ohnedadurch direkt Gewinne einzufahren… und Strafen bei Nichteinhaltungen sind Peanuts die nicht wirklich interessieren.
Wenn nur 1% der Banken die Note A bekommt, sagt das doch schon alles… und was sind die Strafen? Aber sieht man ja bei uns in D/EU auch anstatt Banken umgehen zu lassen, werden sie dann durch den Staat gestützt, zu Lasten der Steuerzahler… so lang ist das in diesem Lande noch gar nicht her.
Sehe ich etwas optimistischer – mit DORA hat die BAFIN ein weiteres Instrument, um gegen Banken vorzugehen. Relevant ist doch, dass es endlich die entsprechenden Verordnungen auf EU-Ebene gibt – es wird nicht sofort besser – aber die Chance, dass sich was bewegt, ist da.
Es ist schon ein Unterschied zwischen freiwilligen Zertifizierungen wie z.B. ISO 9000 (habe ich selbst mal für ein Unternehmen vorbereitet und weiss daher gut, wie man das macht…) einerseits und gesetzlichen Vorgaben andererseits.
Vielleicht kannst Du als Bank einen wenig motivierten Aufseher in einem Audit mal täuschen. Sind ja auch nur Menschen. Spätestens dann, wenn etwas passiert, was eigentlich nicht hätte passieren dürfen, hast Du aber ein sehr ernstes, die Zukunft Deiner Bank bedrohendes Problem. Da geht es dann nicht um irgendwelche Peanuts-Strafen, sondern um die Frage, ob es die Bank morgen noch gibt.
Bei z.B. Wirecard gab es dann offenbar eine ganze Reihe wenig motivierte Aufseher…
so wie bei der Deutschen Bank, Düsseldorfer IKB, Münchner Hypo Real Estate, Frankfurter Commerzbank, BayernLB, WestLB, HSH Nordbank, Wirecard usw…? Wieviel Milliarden hat das den deutschen Steuerzahler nochmals gekostet? Das waren Zweistellige Milliardenbeträge und die auch aus der oberen Hälfte davon.
Diese Sichtweise bringt hier den Firmen nichts mehr.
Denn die Zertifizierung schreibt auch Prozesse vor um Defizite zu erkennen, und zu beheben.
Wenn es also grobe Defizite gibt, kann hier immer ein Bußgeld verhängt werden bzw. schlimmeres.
Das Problem für die Firmen ist, dass diese Zertifizierungen quasi "endlos" sind, am Ende wird immer der Vorwurf stehen.. hätte man doch die "größere Firewall" gekauft. Das ist vorallem gut für Firmen die hier aktiv sind.. CheckPoint, PaloAlto, ZScaler, usw. usw. je teurer ein Produkt desto besser.
Zahlen tut das weil es alle Firmen betrifft am Ende der Kunde.
Aktuell lässt sich kein Nutzen dieser Ausgaben der letzten Jahre feststellen.
(also die Anzahl der Sicherheits-Ereignisse nimmt nicht ab).
Sicherheitstheater und Checklistenballet sind inzwischen Hauptbestandteil meiner beruflichen Tätigkeit…und es kotzt mich an. Das produziert erstmal keinerlei Sicherheit: es geht nur um "Cover-my-ass".
Checkpoint ist Bestandteil der Compliance Industrie und natürlich sind ZTA und KI-Unsinn aus deren Sicht das Wichtigste, weil sie entsprechende Produkte im Portfolio haben…
Prinzipiell finde ich es wichtig gerade in dem Bereich die Sicherheit und vor allem das Bewusstsein dafür zu stärken. Viele Punkte finde ich auch recht gelungen. Die Kritik, dass es eine Zertifizierung ist, ähnlich wie zB ISO2000 kann ich tlw. auch verstehen. Es wird viel "Papier" produziert und viele Pläne und Abläufe, am Ende kommt dann die eigentliche Sicherheit eventuell zu kurz.
Tatsache ist, es trifft nicht nur Banken, sondern jede noch so kleine (von Mitarbeitern her) Firma im Finanzsektor. Wie soll ein 5-10 Mann Unternehmen, einen Dienstleister wie z.B. Microsoft "überprüfen". Da lacht nicht einmal jemand bei Microsoft, weil eine solche Anfrage sowieso bei keinem Mitarbeiter ankommt.
Aber es trifft nicht nur die kleinen Unternehmen, sondern auch jeden Zulieferer, jeden Dienstleister für noch so kleine Finanzunternehmen – und deren Dienstleister-Kette.
Prinzipiell macht das natürlich auch Sinn um eine Injection bei Dienstleistern zu vermeiden. Aber nicht jedes kleinere IT Unternehmen wird DORA unterstützen können. Somit wird der Trend zum Wechsel zu wenigen großen Dienstleistern und damit einen Schritt näher an ein Monopol wiederum unterstützt.