Selbst privat hatten sie bereits Ärger mit Hackern, geben beide Behördenchefs ehrlich zu. Arne Schönbohm und Felix Hufeld sprechen im Interview mit den BaFinPerspektiven im siebten Stock der BSI-Zentrale an der Godesberger Allee in Bonn über Lösungen gegen die Bedrohung aus dem Cyberspace.

Herr Hufeld, waren Sie selbst bereits Opfer eines Cyberangriffs?

Hufeld: Vor zehn Jahren erhielt ich eine angeblich unbezahlte Rechnung als Email auf mein privates Laptop. Über diese Behauptung war ich derart empört, dass ich aus Unerfahrenheit auf einen Link in der Mail klickte. Und zack hatte ich mir mit einem Erpressungstrojaner als Ransomware ein ernstes Problem eingehandelt. Der Bildschirm war blockiert und musste von einem teuren Computerprofi entsperrt werden. Das alles hat mich höllisch geärgert. Aber wenigstens habe ich keinen Erpresserlohn gezahlt. Seitdem passe ich besser auf.

Hatten Sie privat ähnlich böse Überraschungen, Herr Schönbohm?

Schönbohm: Auch ich wurde Anfang des Jahres Opfer mangelnder IT-Sicherheit - allerdings ohne eigenes Verschulden. Anfang des Jahres gab es einen Cyberangriff auf eine Autovermietung, bei der ich privat Kunde war. Dabei wurden viele persönliche Daten veröffentlicht, darunter meine Emailadresse und Telefonnummer. Auch Informationen wer, wo, wie, was gemacht hat, waren darunter. Im Anschluss habe ich per Email mehrere Phishing-Angebote bekommen, nach dem Motto „Sehr geehrter Herr Schönbohm, wir aktualisieren Ihre Kontodaten von der Sparkasse“. Der Absender war bei genauerem Hinsehen unseriös.

Wie schützen Sie sich gegen Gefahren im Cyberspace?

Hufeld: So simpel es klingt, so wirksam ist es. Ich schaue genau hin, was ich an Emails bekomme. Ich ändere regelmäßig meine Passwörter. Und ich installiere im privaten Umfeld – im dienstlichen tun wir das ja sowieso – hinreichende Abwehr- und Schutzsoftware, die zumindest das Gröbste ausfiltert. Doch manche Phishing-Mails kommen trotzdem durch. Dann hilft nur ein guter Instinkt.

Und was rät Deutschlands oberster Cyberschützer?

Schönbohm: Tatsächlich kann es immer zu einem erfolgreichen Cyberangriff kommen. Davor ist niemand gefeit. Daher ist es wichtig, frühzeitig eine Krisenreaktion vorzubereiten, damit der Schaden so gering wie möglich ausfällt. Ich rate bei privaten Fotos etwa zu Sicherheitskopien auf externen Festplatten. Bei einem Ransomware-Angriff kann man die Daten dann schnell wieder einspielen.

Datendiebstahl, Erpressung, Sabotage: Regelmäßig gibt es neue Fälle von Cyberkriminalität. Ist der Staat abwehrbereit?

Schönbohm: Ja, absolut. Die Cyberangriffe, denen auch die Bundesverwaltung ständig ausgesetzt ist, haben wir erfolgreich abgewehrt. Das liegt an unserer guten Netzinfrastruktur und dem IT-Sicherheitsgesetz, das 2015 verabschiedet wurde. Aber das ist auch immer ein Rennen zwischen Hase und Igel.

Ein Beispiel, bitte?

Schönbohm: Cyberangriffe mit breit angelegten Spam-Kampagnen wie der Schadsoftware Emotet oder die Angriffe über Schwachstellen von Citrix-Produkten waren vor wenigen Jahren noch nicht denkbar.

Wie steht Deutschland im internationalen Vergleich?

Schönbohm: In der Informationssicherheit sind wir gut aufgestellt. Deutschland hat es geschafft, in diesem Bereich ein Kompetenzzentrum aufzubauen: das BSI. Vorbildlich ist auch, dass wir unsere Informationen anderen wichtigen staatlichen Institutionen zur Verfügung stellen. So arbeiten wir für den Finanzbereich eng mit der BaFin und der Bundesbank zusammen.

Welches Land ist für Deutschland Vorbild?

Schönbohm: Deutschland orientiert sich stark an Frankreich mit seinen eher zentralen Strukturen. Beide Länder stehen in engem Austausch. Auch Israel ist hochspannend.

Warum?

Schönbohm: In Israel besteht ein enger Austausch zwischen den Sicherheitsbehörden, wie den israelischen Streitkräften, der Wissenschaft und der Wirtschaft. Japan ist wiederum stark bei Innovationen. Mit zahlreichen Ländern tauschen wir uns regelmäßig aus. Denn unser Ziel ist, von den Besten zu lernen.

Dem Klischee nach sind Hacker Typen im Kapuzenpullover, die im Dunkeln vor dem Computer sitzen. Stimmt das?

Schönbohm: Diese Hacker gibt es sicher immer noch, etwa in den fiktionalen Serien im Fernsehen oder bei den Streamingdiensten. Doch in der Realität gibt es auch solche, die sich der organisierten Kriminalität zurechnen lassen, die in der ganzen Welt operiert.

Welche Gruppen unterscheiden Sie?

Schönbohm: Da gibt es die Hacktivisten, die etwa mit einem Website-Defacement ein politisches Statement setzen wollen. In der Absicht, die Debatte um den Hambacher Forst zu beeinflussen, verändern sie beispielsweise Informationen auf der Homepage eines Energiekonzerns. Andere Hacker greifen aus blanker Zerstörungswut kritische Infrastrukturen an. Und es gibt jene, die staatliche Institutionen oder Großkonzerne überfallen, um Schutzgeld zu erpressen – Stichwort Ransomware. Zudem gibt es auch technisch hochspezialisierte Hacker, die mit Methoden von Nachrichtendiensten versuchen, an Informationen zu gelangen.

Was sind neuralgische Angriffspunkte?

Schönbohm: Alles, womit sich Geld verdienen lässt. Und überall dort, wo man leicht eindringen kann. Cyberkriminelle sind relativ faul. Die Maxime ist: minimaler Einsatz, maximaler Erfolg. Umso wichtiger ist es, die Grundschutzmaßnahmen des BSI vollständig umzusetzen.

Welchen gesamtwirtschaftlichen Schaden verursacht Cyberkriminalität?

Schönbohm: Das Schadenspotenzial in Deutschland hat sich Schätzungen zufolge in den vergangenen zwei Jahren auf mehr als 100 Milliarden Euro verdoppelt. Doch wie lässt sich solch ein Schaden bemessen? Sind das Entwicklungskosten für ein neues Produkt? Ein entgangener Gewinn? Die verpasste Marktanteilspositionierung? Oder die Kosten für die Wiederherstellung der Systeme nach einer Attacke? Da müssen wir ein einheitliches Verständnis entwickeln.

Die Finanzbranche wird so häufig von Cyberkriminellen attackiert wie keine andere. Wie entwickeln sich die Fallzahlen?

Hufeld: Seit Jahresbeginn hat es eine erstaunliche Häufung von DDoS-Attacken auf Finanzinstitute gegeben. In den vergangenen zwei Jahren sind der BaFin insgesamt rund 600 Sicherheitsvorfälle gemeldet worden. Auch in den kommenden Jahren müssen wir mit steigenden Fallzahlen rechnen. Eines liegt auf der Hand: Banken, die schon in der guten alten Zeit Opfer von Überfällen waren, werden auch in einer virtuellen Welt attackiert.

Wie sehen diese Vorfälle aus?

Hufeld: Der Großteil der uns gemeldeten IT-Sicherheitsvorfälle ist kein Resultat externer Hackerangriffe, sondern Ergebnis interner Schwachstellen in den Instituten. Eine Verkettung merkwürdiger Umstände kann dabei zu signifikanten Schadensereignissen führen. Ich spüre noch immer eine gewisse Neigung, interne Schwachstellen und den berühmten menschlichen Faktor als Quelle von IT-Sicherheitsvorfällen zu unterschätzen.

Also sind meist die Mitarbeiter schuld?

Hufeld: Auch die kriminell motivierten externen Attacken nehmen zu. Und das Drama eines Angriffs von außen hat eine andere Brisanz, einen größeren Aufmerksamkeitswert. Aber die vielen kleinen Dummheiten des Alltags übersieht man dabei gerne. Und das wäre ein schwerer Fehler.

Banken, Versicherer und Finanzdienstleister, die bestimmte Kriterien erfüllen, gehören zu den Kritischen Infrastrukturen (KRITIS). Warum sind gerade dort Cyberangriffe so gefährlich?

Hufeld: Das Abwickeln von Finanztransaktionen ist der Blutkreislauf jeder Realwirtschaft. Wer dort mutwillig oder versehentlich eingreift, stoppt nicht nur einen abstrakten Geldfluss, sondern auch die dahinterstehenden realwirtschaftlichen Zusammenhänge. Das ist eine hochsensible Veranstaltung.

Wo liegen die Risiken?

Hufeld: Äußerst sensible, intime private Daten über einzelne Menschen, einzelne Familien, die man ungern in der Öffentlichkeit publiziert sehen möchte, werden dafür gespeichert. Um deren Willen möchte niemand erpresst werden. Hinzu kommt ein Spezifikum der Finanzwirtschaft: Cyberattacken treffen nicht nur einzelne Banken, Versicherer oder Finanzinstitute. Sondern die Verkettung der Institute kann relativ leicht zu systemischen Risiken führen. Das funktioniert etwa über Ansteckungskanäle, die extrem schwer zu kalkulieren sind.

Was ist in solchen Fällen die Folge?

Hufeld: Die Stabilität des gesamten Finanzsystems kann in Gefahr geraten. Dabei geht es um Vertrauen. Wenn Millionen Menschen in Panik geraten und sich dann die berühmten Schlangen vor Geldautomaten oder Bankschaltern bilden, muss das nicht zwingend auf harten Fakten beruhen. Es reichen Gerüchte. Das kann zu unglaublichen Aufstauungen und Wellen von menschlichem Verhalten führen. In manchen Ländern hat das zu systemischen Konsequenzen geführt. Die Finanzwirtschaft als kritische Infrastruktur muss daher besonders intelligent beschützt werden.

Ein DDoS-Angriff hat kürzlich das Online-Banking einer Direktbank stundenlang lahmgelegt. Haben Institute genug Know-how, sich zu schützen?

Hufeld: Theoretisch ja, aber in der Aufsichtspraxis sehen wir noch viel Luft nach oben. Was mich angesichts der jüngsten Vorfälle erschreckt hat: Selbst IT-Dienstleister, die hauptamtlich genau diese Dienste erbringen, lassen sich mit Leichtigkeit durch vergleichsweise simple technische Attacken aus der Bahn werfen. Das zeigen auch die meisten Ergebnissen der BaFin-Prüftätigkeiten in den Instituten. Obwohl die Industrie die Dimension der Herausforderung begriffen hat, muss noch viel getan werden. Gemütlich zurücklehnen können wir uns noch lange nicht.

Wie reagieren BaFin und BSI bei einem schweren Cyberangriff?

Schönbohm: BSI und BaFin informieren einander auf Arbeitsebene darüber, was genau geschehen ist, und geben eine Lageeinschätzung. Welcher Sachverhalt liegt vor, welche Unterstützungsleistung können wir dem betroffenen Institut anbieten? Ein Beispiel sind die Mobile Incident Response Teams.

Eine Art schnelle Eingreiftruppe?

Schönbohm: Ja. Die IT-Abteilung eines Unternehmens ist operativ meistens auf eine IT ausgelegt, die im Normalbetrieb funktioniert. Tritt eine Cyberattacke auf, so kann das immense Folgen haben, besonders dann, wenn sich das Institut auf den Krisenfall nicht vorbereitet hat. Prävention ist daher genauso wichtig wie Reaktion. Unsere Experten helfen dem betroffenen Konzern im akuten Fall: Wie lässt sich der Betrieb wiederherstellen? Wo finde ich einen Dienstleister, um Dateien wieder einzuspielen? Wie sieht die Krisenkommunikation aus?

Wie kontrollieren BaFin-Aufseher IT-Dienstleister der Finanzbranche?

Hufeld: Dass etliche Dienstleistungen im IT-Bereich über Auslagerungen und Outsourcing erbracht werden und nur zu einem geringen Teil hausintern, ist eher Regel als Ausnahme. Das ist auch völlig in Ordnung. Als Finanzaufseher achten wir bei auslagernden Finanzinstituten etwa darauf, dass im Vertrag mit dem Dienstleister bestimmte Qualitäts- und Überwachungsanforderungen berücksichtigt werden.

Besitzt die BaFin überhaupt direkten Zugriff auf die Dienstleister?

Hufeld: Die Situation ist derzeit heterogen. Interessanterweise hat die BaFin aus der Historie heraus sehr weitreichende Zugriffsrechte in der Versicherungsaufsicht. In der Bankenaufsicht haben wir dagegen weniger Möglichkeiten. Inwieweit wir hier angesichts der immer größeren Bedeutung von Outsourcing für das gesamte Finanzsystem darauf regulatorisch reagieren müssen, etwa, indem wir den traditionellen aufsichtsrechtlichen Bezug ausdehnen, wird diskutiert werden müssen. Ich halte eine solche Diskussion jedenfalls für geboten und sie hat auch in den internationalen regulatorischen Gremien bereits begonnen.

Vor der Coronakrise schätzten Konzerne laut Risiko-Barometer 2020 der Allianz den Cyberbetrug als ihr wichtigstes Geschäftsrisiko ein. Teilen Sie den Eindruck aus der Aufsichtspraxis?

Hufeld: Ja, die Bedrohungslage ist inzwischen im allgemeinen Bewusstsein. Ich kann mir nur noch sehr wenige Bankvorstände vorstellen, die nicht grundsätzlich anerkennen, dass im IT-Bereich erhebliche Risiken bestehen. Informationssicherheit ist als Risikomanagement Chefsache. Immerhin ist das Finanzinstitut im schlimmsten Fall im Bestand bedroht.

Handeln Finanzmanager auch danach?

Hufeld: Ob dieses Thema Tag für Tag, Woche für Woche tatsächlich hinreichend gemanagt wird? Nein. Da sind wir von einem zufriedenstellenden Niveau noch eine gute Wegstrecke entfernt.

Konzerne machen das Problem der Cyberkriminalität ungern öffentlich. Zurecht?

Schönbohm: Nein, diese Strategie ist falsch. Wenn es in einem Finanzinstitut zu einem Cybervorfall kommt, ist es wichtig, sich unmittelbar an das BSI oder die BaFin zu wenden. Alle Informationen werden vertraulich behandelt. Am schlimmsten ist es, wenn Unternehmen versuchen, Attacken zu vertuschen. Oft gehen Cyberkriminelle ähnlich vor und suchen sich verschiedene Opfer der gleichen Branche. Wenn wir informiert sind, können wir andere frühzeitig warnen.

Unabhängig vom akuten Cyberangriff nehmen BaFin-Aufseher regelmäßig Prüfungen der hauseigenen IT bei Instituten ab? Warum?

Hufeld: Die Fähigkeit zum störungsfreien Ablauf einer Geschäftsorganisation ist eine Grundvoraussetzung funktionierender Finanzinstitute ¬– ähnlich wie etwa die Kapitalausstattung und das Liquiditätsmanagement. Die Finanzwirtschaft hängt so stark, wie man es sich nur vorstellen kann, von einer funktionierenden IT ab. Deshalb muss das ein zentraler Bestandteil jeder klassischen Prüf- und Aufsichtstätigkeit sein.

Wie gehen Sie dabei vor?

Hufeld: Als Finanzaufsicht haben wir zuerst klar formuliert, was wir von den Instituten erwarten. Zuerst haben wir die berühmten Bankaufsichtlichen Anforderungen an die IT-Sicherheit (BAIT) systematisch entwickelt, dann die Anforderungen für die Versicherungsindustrie (VAIT) und schließlich für Kapitalanlagegesellschaften (KAIT)

Und sonst?

Hufeld: Wir haben unsere eigene Fähigkeit deutlich gestärkt, die IT-Sicherheit vor Ort zu prüfen. Dafür haben wir spezialisierte Strukturen innerhalb der BaFin aufgebaut. Inzwischen ist es ein klassischer Bestandteil unserer Aufsichts- und Prüftätigkeit. Hinzu kommt, dass die BaFin auch verstärkt die Resilienz von Unternehmen testet. Momentan setzen wir die europäischen Rahmenvorgaben, TIBER-EU, in die Realität um. Auch bereiten wir uns auf akute Schadensereignisse in Instituten vor.

Auch gegen Cyberschäden gibt es Versicherungen. Wie steht es um deren Risikobewertung?

Hufeld: Cyberrisiken sind ein vergleichsweise neues Phänomen, das in unterschiedlichen Erscheinungsformen derzeit auch Versicherer zu recht auf Trab hält. Bei der Erstellung neuer Produkte wie Cyberpolicen müssen Versicherungen, die seit Jahrhunderten üblichen Grundparameter beachten. Der Deckungsumfang, der Rückversicherungsschutz sowie die Tarifierungsmerkmale und schadensauslösende Faktoren sind bei der Kalkulation eines neuen Risikos wichtig.

Könnten nicht auch in älteren Policen Cyberrisiken schlummern?

Hufeld: Tatsächlich hatte ich Sorge, dass bei Versicherern in puncto Cyberrisiko querbeet versteckte Tretminen bestehen. Deshalb untersuchte die BaFin im engen Austausch mit der Branche, ob in alten Deckungswerken und Policen solche Gefahren lauerten. Schließlich können sogenannte Silent Cyber Risks, falls sie schlagend werden, ein großes Schadensereignis auslösen.

Was fanden Sie heraus?

Hufeld: Wir hatten den Verdacht, dass mancherorts das Risiko nicht angemessen tarifiert wird ¬- zum Beispiel, weil es der Versicherer vor etlichen Jahren, als er das in die Deckung genommen hat, noch gar nicht auf dem Radar hatte. Diese Sorge hat sich allerdings kaum bestätigt. Das Ergebnis unserer Untersuchung hat mich beruhigt.

Online-Banking, digitales Bezahlen, interne Prozesse: Die Digitalisierung bot Finanzinstituten zuletzt Chancen, Geschäftsmodelle umzubauen. Setzt ihnen die Cyberkriminalität jetzt am Ende die Grenzen?

Hufeld: Nein, eine absolute Innovationsgrenze sehe ich nicht. Ich bin Optimist. Und daher glaube ich an die Innovationsfähigkeit der Menschen, der Industrie und der Politik. Wohin sich die Digitalisierung in den kommenden Jahren auch entwickeln mag, wir werden Antworten finden. Es gibt eine immerwährende Abwägung zwischen den Zielen der Innovation, der Schnelligkeit und des Komforts einerseits sowie Sicherheit andererseits. All die schönen Dinge, die wir wollen, müssen in einem sicheren Umfeld gelingen, und beides steht in Spannung zueinander. Angesichts dieser klassischen „Public Policy Choices“ ist es unsere Aufgabe als Behörden, der Politik Vorschläge zu unterbreiten, wie sich unterschiedliche aber völlig legitime politische Ziele in vernünftiger Abgewogenheit erreichen lassen.

Herr Schönbohm, teilen Sie diesen Optimismus?

Schönbohm: Ja, absolut. Ich glaube, wir sind in Deutschland deutlich besser, als wir uns manchmal selbst machen. Estland gilt etwa als leuchtendes Vorbild in puncto IT-Sicherheit, die aber letztlich auf deutschem Know-how wie etwa dem IT-Grundschutz des BSI basiert. Im weltweiten Vergleich stellt Deutschland die meisten Informationssicherheits-Zertifizierungen im Hochsicherheitsbereich aus. Als Nation und Unternehmerland kombinieren wir in Deutschland zwei Dinge: Offen sein und digital denken. In Verbindung mit dem richtigen Maß an Informationssicherheit sind das hervorragende Voraussetzungen, um die Digitalisierung erfolgreich zu gestalten

Herr Schönbohm, Herr Hufeld, vielen Dank für das Interview

Die Fragen stellte Annkathrin Frind, BaFin, Gruppe Kommunikation