Cyberrisiken: Trifft es einen, trifft es viele
Die Vernetzung macht die Finanzbranche verwundbar. Die Finanzaufsicht Bafin sieht eine Vervielfachung der Risiken. Und dann kommt noch die kriminelle Energie hinzu.

478 unabhängige IT-Vorfälle identifizierte die Bafin für das vergangene Jahr. Doch in Summe trafen 2.806 einzelne Störungen in Informations- und Kommunikationstechnologie (IKT) die Unternehmen, wie sich aus den jetzt gemachten Angaben der Finanzaufsicht ableiten lässt. Dienstleister, die mehrere Banken oder andere Finanzadressen bedienen, sind die Ursache für die wundersame Vermehrung. Trifft es einen, trifft es viele.
Vor allem diese „übergreifenden Vorfälle“ treiben die Bafin um. Im Durchschnitt sind von einem Fehler 39 Banken oder andere Finanzunternehmen betroffen. Im Extremfall drohten „erhebliche Auswirkungen auf den Finanzmarkt und die Finanzstabilität“, wie die Aufsicht in ihrer jüngsten Warnung vom Donnerstag (16.7.) konkretisiert. Bereits in der Vergangenheit machte die Bafin wiederholt auf steigende Risiken durch IT-Auslagerungen und durch Cyberrisiken aufmerksam. Sie erhebt die Daten auf Grundlage der EU-Verordnung Dora.
Häufig entstehen Störungen, wenn die Software aktualisiert wird. Was Fehler beheben und Sicherheitslücken schließen soll, führt selbst leicht zu Problemen. Aber auch viele andere Ursachen – Prozessversagen, menschliche Fehler, Cyberangriffe – führen zu Störungen. Typische Folgen sind Systemausfälle. Betroffen sind oft Kunden, Gegenparteien und Transaktionen. Offiziell zählt die Bafin übrigens 733 gemeldete Vorfälle – darunter befinden sich Einzelmeldungen, aber auch gesammelte Meldungen, etwa aus Finanzverbünden. Am häufigsten sind Banken betroffen.
Wettlauf beschleunigt sich
Cyberangriffe kommen zwar nur auf einen Anteil von 11%, doch die Gefahr ist aus Sicht der Bafin groß. Gemeldet werden nur erfolgreiche Cyberangriffe, die tatsächliche Zahl dürfte somit weitaus höher sein. Mit Künstlicher Intelligenz können Angriffe verfeinert werden, was nach Ansicht der Bafin das Rennen zwischen Angreifern und Verteidigern beschleunigt. Hinzu kommen „wachsende geopolitische Spannungen“, womit nicht zuletzt Angriffe aus Russlands gemeint sein dürften.
Eine böse Absicht hier, eine Vernetzung der Finanzbranche dort: Das führt im Tandem zu mehr Risiken, wie die Bafin deutlich macht. „Finanzunternehmen sind nicht nur durch direkte Angriffe, sondern auch in der Supply-Chain verwundbar – etwa durch Angriffe auf Dienstleister oder Finanzmarktinfrastrukturen.“