BaFin - Navigation & Service

Springe direkt zu:

Covermotiv Risiken im Fokus 2024 AdobeStock GINGER Tsukahara 534089558

5. Risiken aus Cyber-Attacken mit gravierenden Auswirkungen ⇧

Weltweit nehmen Angriffe auf IT-Systeme von Unternehmen oder auf Finanzmarktinfrastrukturen zu, zum Beispiel mit Schadprogrammen (siehe Abbildung 1). In Deutschland ist die Bedrohung nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) so hoch wie nie. Dies gilt auch für den Finanzsektor, da die Unternehmen dort mit zwei besonders attraktiven Gütern arbeiten: Geld und sensiblen Daten. Cyber-Attacken haben ein besonders hohes Schadenspotenzial für die betroffenen Unternehmen, sie können aber auch die Funktionsfähigkeit des Finanzsystems wesentlich beeinträchtigen und die Finanzstabilität gefährden. Dies gilt auch dann, wenn nicht die Unternehmen selbst, sondern deren Dienstleister und vor allem große Mehrmandantendienstleister Ziel solcher Attacken sind1. Die größte Gefahr geht von Ransomware-Angriffen aus. Das sind Schadprogramme, welche die Daten des Opfers verschlüsseln und erst gegen Zahlung eines Lösegelds wieder freigeben. Eine andere Variante: Kriminelle können per Ransomware-Angriff Daten abziehen und mit deren Veröffentlichung drohen, sofern nicht ein Lösegeld gezahlt wird. Wenn Systeme abgeschaltet werden müssen, können Kollateralschäden entstehen.

Abbildung 1: Durchschnittlicher täglicher Zuwachs neuer Schadprogramm-Varianten

Grafik Durchschnittlicher täglicher Zuwachs neuer Schadprogramm-Varianten Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland (https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html) Abbildung 1: Durchschnittlicher täglicher Zuwachs neuer Schadprogramm-Varianten

Beispiele aus 2023 haben gezeigt, wie schnell sich solche Angriffe auf die Funktionsfähigkeit von Teilen des Finanzmarkts auswirken können. In den USA war ein Institut in der Verarbeitungskette von Geschäften mit US-Treasuries Opfer einer solchen Attacke. Dieses Institut fungierte zwar nur als eine von mehreren Clearing-Stellen für den US-Markt. Aufgrund der starken infrastrukturellen Vernetzung des Instituts mit anderen Marktteilnehmern war durch die Cyberattacke jedoch der gesamte Handel und das Clearing betroffener Kunden stark eingeschränkt. Nur durch aufwändige manuelle Alternativprozesse konnten größere Verwerfungen in betroffenen Handelssegmenten verhindert werden. Auch Beispiele aus Deutschland zeigen das Schadenpotenzial und die Risiken auf: Bei einem Dienstleister für den Kontenwechsel flossen Daten von Bankkundinnen und -kunden ab. In einem anderen Fall musste ein beaufsichtigtes Unternehmen, das mit zahlreichen Kreditinstituten zusammenarbeitet, seine Server infolge eines Cyberangriffs für einen längeren Zeitraum abschalten. In dieser Zeit konnte das Unternehmen kein Neugeschäft betreiben und musste seine Prozesse papierhaft mit hohem manuellem Aufwand ausführen. Zusätzlich haben die Angreifer personenbezogene Daten aus dem Bestand des Unternehmens entwendet und zu einem späteren Zeitpunkt im Darknet veröffentlicht. Ein solches Vorgehen wird auch als „double extortion“ bezeichnet.

Eine weitere häufige Angriffsart ist der Distributed-Denial-of-Service-Angriff (DDoS). Dieser überlastet mit einer Flut von Datenanfragen das Datennetz eines Unternehmens. Auch Schad- oder Spähsoftware wie Trojaner, Viren oder Würmer kommen zunehmend zum Einsatz.

Aufgrund der zunehmenden Digitalisierung wächst die Angriffsfläche. Zugleich steigt die Bedrohung durch schlagkräftig organisierte Wirtschaftskriminelle und politisch motivierte oder sogar staatlich beeinflusste Cyber-Attacken. Die aktuellen geopolitischen Spannungen und Krisen erhöhen weiter das Risiko von staatsnahen Cyber-Attacken, die sich auch gegen die öffentliche Verwaltung und Betreiber Kritischer Infrastruktur im Finanzbereich richten können.

Wie die BaFin vorgeht

  • Die neue sektorübergreifende EU-Regulierung DORA* setzt die BaFin planmäßig bis Mitte Januar 2025 in den einzelnen Aufsichtsbereichen um. Dazu gehören zum Beispiel die Überwachung von kritischen Drittdienstleistern aus der Informations- und Kommunikationstechnologie (IKT) und das Meldewesen zu IKT-Vertragsbeziehungen.
  • Die BaFin wird – gemäß DORA – für den deutschen Finanzsektor als Melde-Hub für IKT-bezogene Vorfälle etabliert. Ziel ist es, durch die daraus gewonnenen konzentrierten Informationen ein detaillierteres Bild der IT-Sicherheitslage auf dem deutschen Finanzmarkt zu erhalten und schlagkräftig auf IT-Vorfälle reagieren zu können.
  • Die Aufsicht erstellt künftig außerdem ein Cyber-Lagebild des Finanzsektors. Es soll zeigen, welche Cyber-Bedrohungen es für die Finanzwirtschaft gibt, wie verwundbar die beaufsichtigten Unternehmen und deren IT-Dienstleister sind und welche (erfolgreichen) Cyber-Angriffe es gab.
  • Die BaFin engagiert sich im Nationalen Cyber-Abwehrzentrum (NCAZ) und tauscht sich eng mit anderen nationalen und internationalen Behörden aus, um frühzeitig über Störungen und Gefahren informiert zu sein und diese an andere Behörden und beaufsichtigte Unternehmen weiterzugeben.
  • Außerdem organisiert die BaFin nationale Krisen- und Notfallübungen, bei denen sie auch die Industrie einbindet, und beteiligt sich an internationalen Cyber-Krisenübungen. Solche Übungen sollen sicherstellen, dass alle Beteiligten im Ernstfall schnell und koordiniert reagieren.
  • Darüber hinaus werden durch DORA künftig bei bestimmten Unternehmen und Instituten bedrohungsgeleitete Penetrationstests (TLPT) verpflichtend.
  • Die BaFin erarbeitet gemeinsam mit den G7-Partnern Orientierungshilfen für den Finanzsektor, um dessen Resilienz gegenüber potenziellen Angriffen weiter zu steigern – so etwa die „G7 Fundamental Elements of Ransomware Resilience for the Financial Sector“.

* DORA steht für Digital Operational Resilience Act.

1 Siehe Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2024
Vorwort des Präsidenten

Weitere Hauptrisiken im Fokus der BaFin

1. Risiken aus signifikanten Zinsanstiegen
2. Risiken aus Korrekturen an den Immobilienmärkten
3. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
4. Risiken aus dem Ausfall von Krediten an deutsche Unternehmen
6. Risiken aus unzureichender Geldwäscheprävention
7. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Download

Gesamtausgabe: Risiken im Fokus 2024

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback