Hört beim Geld die IT-Unsicherheit auf?

0
1050

Der Finanzsektor ist sowohl in technischer als auch in wirtschaftlicher Hinsicht global so stark vernetzt wie kaum einer anderer. Ein großer IT-Sicherheitsvorfall könnte daher erhebliche Folgen haben, die weit über einzelne Unternehmen und ihre Kunden hinausgehen. “Stellen Sie sich vor, Geld würde im großen Stil falsch verbucht oder Überweisungen wären für mehrere Tage nicht möglich”, so Dr. Johannes Beermann, Vorstandsmitglied bei der Deutschen Bundesbank. Vertrauen sei dort, wo es um Geld gehe, absolut zentral. Entsprechend gut aufgestellt ist die Finanzbranche in Deutschland im Großen und Ganzen. So jedenfalls das Urteil des Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm. “Risikomanagement ist die Kernkompetenz eines guten Bänkers. So verstanden sollte auch die IT-Sicherheit als Qualitätsmerkmal und nicht als Kostentreiber gesehen werden”, forderte er.

Dass die Situation bei den Deutschen Banken nicht schlecht aussieht, hängt auch damit zusammen, dass hierzulande und international schon lange strenge Regularien herrschen, deren Einhaltung von starken Aufsichtsbehörden überwacht wird. Finanzinstitutionen bilden eine Kritische Infrastruktur wie die Energie- und Wasserversorgung. “Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ordnet dem Thema Cyber-Sicherheit eine ebenso hohe Priorität zu wie der Einlagensicherung”, erklärt Andreas Krautscheid, Hauptgeschäftsführer beim Bundesverband deutscher Banken. Im Rahmen des IT-Sicherheitsgesetzes müssen seit kurzem auch Angriffe auf IT-Systeme von großer Relevanz dem BSI mitgeteilt werden. In den ersten fünf Monaten dieses Jahres habe es 24 entsprechende Meldungen gegeben,  so Beermann. Ernsthafte Schäden seien den deutschen Banken bisher nicht entstanden. “Mit der Meldepflicht hat sich ein standardisierter Prozess zur Erfassung ernster Vorfälle etabliert”, so der Bundesbank-Vorstand.

Darin sieht Bundestagsabgeordnete Saskia Esken (SPD) einen Erfolg der Regulierung. “Meldepflicht kann zur Verbesserung der Lage führen, indem Sie einerseits das Bewusstsein für die IT-Sicherheit im Unternehmen schärft und andererseits ein Nachdenken über Prozesse im Ernstfall anregt.” Und Prozesse spielten neben der Technik selbst eine erhebliche Rolle für die IT-Sicherheit – auch die alltäglichen Arbeitsabläufe, die weitgehend technikunterstützt sind. “Bei der IT-Sicherheit ist man leider nie am Ziel. Es braucht ein dauerhaftes Streben und Anpassen an aktuelle Bedrohungen”, so Esken. Dem schloss sich auch Beermann an. Cyber-Kriminellen ginge es in den meisten Fällen nunmal um Geld. “Sie werden immer wieder Wege suchen, die technischen Systeme für Ihre Zwecke zu missbrauchen.” In der Finanzbranche sei man sich dessen bewusst und sei schon zu einer Kultur gelangt, bei der die IT-Sicherheit bei den Vorständen aufgehängt ist und nicht einfach auf die IT-Fachkräfte abgeschoben wird.

Die Kleinen erreichen

Ganz bedenkenlos steht der BSI-Präsident der Finanzbranche aber nicht gegenüber: “Bei den global operierenden Unternehmen, die sehr stark reguliert werden, mache ich mir weit weniger Sorgen als bei den vielen Kleinbanken in Deutschland”, so Schönbohm. Das Problem ist auch in anderen Wirtschaftszweigen und in der öffentlichen Verwaltung bekannt. Großkonzerne verfügen oft über die nötigen Mittel und Personal. Außerdem haben viele als hochattraktive Ziele schon früh Erfahrungen mit Cyber-Angriffen machen müssen. In kleineren Organisationen fehlt es nicht nur an Geld und Expertise, sondern häufig auch an Zeit und Bewusstsein für das Thema. “Den kleinen und mittleren Banken müssen wir mehr auf die Sprünge helfen”, forderte deshalb Krautscheid vom Bankenverband. Man müsse sich bei dem Thema mehr vernetzen und noch viel mehr Aufklärungsarbeit leisten.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here