© Lens/556518320-stock.adobe.com
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen ↑
Die Bedrohung durch Cyber-Vorfälle ist weltweit sehr hoch und nimmt weiter zu. Hintergründe sind die fortschreitende Digitalisierung, welche die Angriffsfläche vergrößert, sowie geopolitische Spannungen, die zunehmend in den Cyber-Raum und auf kritische Infrastrukturen ausstrahlen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzte die Bedrohung im Cyber-Raum im Frühjahr 2024 „so hoch wie nie zuvor“ ein.
Fast ein Fünftel aller globalen Cyber-Vorfälle der vergangenen zwanzig Jahre betraf Unternehmen des Finanzsektors. Der Schaden beläuft sich laut Internationalem Währungsfond (IWF) seit 2004 auf fast 12 Milliarden US-Dollar. Dabei stieg die Zahl der Vorfälle, insbesondere von Cyber-Attacken, in den letzten Jahren stetig an.
Ein Cyber-Vorfall ist ein versehentlich oder böswillig herbeigeführter Vorfall, der sich negativ auf die Vertraulichkeit von Daten und die Verfügbarkeit von IT-Systemen oder Netzwerken auswirken kann oder Sicherheitsrichtlinien, Sicherheitsprozesse oder Nutzungsbedingungen verletzt. Solche Vorfälle können bei den beaufsichtigten Unternehmen selbst, aber auch bei Auslagerungsunternehmen entstehen.
Cyber-Vorfälle bei Unternehmen des Finanzmarkts oder bei Infrastrukturen können die Funktionsfähigkeit des Finanzsystems erheblich beeinträchtigen und im Extremfall zu systemischen Krisen führen. Dies kann insbesondere dann der Fall sein, wenn die enge Vernetzung zwischen Unternehmen des Finanzsektors und Dienstleistern dazu führt, dass viele Unternehmen gleichzeitig von einem Vorfall betroffen sind.
Die Nichtverfügbarkeit von kritischen Systemen und Funktionen, die Verletzung vertraulicher Daten oder hohe wirtschaftliche Verluste können das Vertrauen und die Reputation bei Anlegerinnen und Anlegern sowie Kundinnen und Kunden schädigen. So können Cyber-Vorfälle finanzielle Krisen bei den betroffenen Unternehmen auslösen und das Vertrauen in die Finanzstabilität insgesamt untergraben. Das kann zu Liquiditätsabflüssen führen, beispielweise in Form von Bank Runs.
Großes Schadenspotenzial von Cyber-Attacken
Cyber-Angriffe mit gravierenden Auswirkungen stellen ein Risiko mit großem Schadenspotenzial dar. Die Wahrscheinlichkeit, dass es zu erfolgreichen Cyber-Angriffen kommt, ist jedoch geringer als bei anderen IT-Vorfällen, wie Systemausfällen. Als Teil der kritischen Infrastruktur stellen Unternehmen des Finanzsektors ein attraktives Ziel für Cyber-Attacken dar. Angriffsfläche bieten sie entweder direkt oder über ihre kritischen (IT-) Dienstleister.
Insbesondere Schwachstellen bei Softwareanwendungen oder –updates stellen eine große Gefahr und ein Einfallstor für Cyber-Angriffe dar.
Unternehmen des Finanzsektors können auch über die Geschäftsbeziehung zu einem Unternehmen der Realwirtschaft betroffen sein, dessen Existenz nach einem Cyber-Angriff bedroht ist. In solchen Situationen drohen Kreditausfälle. Laut einer Studie des Digitalverbandes Bitkom, die im August 2024 veröffentlicht wurde, befürchten mittlerweile 65 Prozent der befragten Unternehmen, dass sie durch Cyber-Angriffe in eine solche existenzbedrohende Lage kommen. Ein Jahr zuvor lag der Anteil noch bei 52 Prozent.
Mehr Risiken durch Auslagerungen und Künstliche Intelligenz
Durch Auslagerungen an (IT-)Dienstleister wächst die Angriffsfläche des Finanzsektors. IT-Dienstleister und insbesondere Cloud-Umgebungen sind zunehmend Ziel von Angriffen. Auch der Einsatz von generativer Künstlicher Intelligenz (KI) erhöht die Gefahr wirksamer Cyber-Angriffe mit gravierenden Auswirkungen.
Zum einen nutzen immer mehr Unternehmen des Finanzsektors generative KI und bieten Angreifern damit neue potenzielle Schwachstellen. Zum anderen verwenden auch Cyber-Kriminelle generative KI, um neue und hocheffiziente Angriffsmethoden und Schadcodes zu entwickeln. So können zum Beispiel Phishing-Nachrichten schnell und qualitativ hochwertig durch KI erstellt werden. Das macht es schwieriger, betrügerische Informationen und Abfragen zu identifizieren.
Auch Deepfakes, bei denen Bild-, Ton- und Videoaufzeichnungen mit Hilfe von KI manipuliert werden, können dazu genutzt werden, das Vertrauen der Betroffenen zu erschleichen und sie zur Herausgabe von Daten zu verleiten. Solche Angriffsformen, die mit digitalen Täuschungen arbeiten, werden mit der weiteren Entwicklung generativer KI zunehmen.
Quantencomputing: Schutzmaßnahmen jetzt notwendig
Der Einsatz von leistungsfähigen Quantencomputern bedroht die IT-Sicherheit, indem er klassische Verschlüsselungsverfahren wie bislang bewährte Kryptosysteme (etwa Rivest–Shamir–Adleman, RSA) und die Kryptographie mit elliptischen Kurven (ECC) entschlüsselt. Diese Verfahren sind wichtige Grundlagen der IT-Sicherheit in der Finanzindustrie. Die Harvest Now, Decrypt Later-Methode verstärkt diese Bedrohung, da heute verschlüsselte Daten für eine spätere Entschlüsselung durch Quantencomputer gespeichert werden können.
Viele Unternehmen unterschätzen diese Bedrohung jedoch: Das BSI warnte, dass Betreiber kritischer Infrastrukturen, darunter auch Banken, die Risiken noch zu wenig im Blick hätten. Unternehmen des Finanzsektors müssen bereits jetzt Schutzmaßnahmen ergreifen, um sicherheitsrelevante Daten langfristig zu schützen. Nur dann sind sie für die Zukunft gewappnet. Dafür müssen die Unternehmen jetzt schon ausreichend investieren.
Sie sollten quantengefährdete Daten identifizieren und ein Schutzkonzept mit einem konkreten Umsetzungszeitrahmen erstellen. Das Schutzkonzept sollte vorhandene technische Möglichkeiten und Standards berücksichtigen, etwa die Anwendung von Post Quantum Cryptography. Es muss so gestaltet sein, dass das IT-Risikomanagement flexibel auf künftige Entwicklungen reagieren und kommende Sicherheitsempfehlungen und Standards umsetzen kann. 2024 hat das U.S. National Institute of Standards and Technology (NIST) erstmals klare Post-Quantum-Kryptographie-Standards für den Schutz von Organisationen gegen Quanten Hacking definiert. Auch die G7 Cyber Expert Group weist auf die Risiken durch Quantencomputing und auf die Standards der NIST hin.
DDoS, Ransomware und Phishing weiter üblich
Distributed-Denial-of-Service-Angriffe (DDoS) sind die häufigste Angriffsform: Sie überlasten Datennetze mit einer Flut von Datenanfragen. Durch DDoS-Angriffe auf Unternehmen des Finanzsektors gelingt es Angreifern zum Beispiel immer wieder, die Verfügbarkeit von Online-Diensten zu stören.
Die größte Bedrohung für Unternehmen der Real- und der Finanzwirtschaft geht jedoch von Ransomware-Angriffen aus. Unternehmen des Finanzsektors wurden in den vergangenen Jahren mehrfach Opfer erfolgreicher Ransomware-Angriffe. Dabei gelang es den Angreifern in einzelnen Fällen nicht nur, Daten zu verschlüsseln und abzugreifen. Durch ihre Angriffe konnten die Kriminellen auch den Geschäftsbetrieb betroffener Unternehmen erheblich stören.
Auch Kundinnen und Kunden weiterhin im Visier
Auch Phishing- und Social Engineering-Angriffe sind nach wie vor eine gängige Methode, um sensible Daten und Anmeldeinformationen abzugreifen. Im Juni 2024 wurden bei einem Cyber-Angriff auf das Tochterunternehmen eines großen deutschen Kreditinstituts Adressen, Konto- und Steuerdaten von mehreren Zehntausend Kundinnen und Kunden gestohlen.
Eine neue Variante: Kriminelle versenden gefälschte Briefe mit QR-Code und verschaffen sich über die darin enthaltenen Links Zugriff auf Konten. Davor warnte im September 2024 eine große deutsche Bank ihre Kundinnen und Kunden.
Cyber-Attacken wirtschaftlich oder politisch motiviert
Angriffe können wirtschaftlich oder politisch motiviert sein. Staatlich initiierte Attacken gewinnen an Bedeutung. Als Teil der kritischen Infrastruktur stehen auch Unternehmen des Finanzsektors immer stärker im Fokus solcher Attacken.
So wurden laut eines UN-Berichts, unter anderem über eine staatliche Hackergruppe, durch Cyber-Attacken auf Kryptounternehmen in den vergangenen sieben Jahren mutmaßlich ca. 3,6 Milliarden US-Dollar erbeutet. Allein bei einer Attacke Ende 2023 wurden 147,5 Millionen US-Dollar von einer Kryptowährungsbörse gestohlen.
Operationelle Vorfälle sind weitaus häufiger
Weitaus häufiger als erfolgreiche Cyber-Angriffe sind weiterhin operationelle IT-Vorfälle bei Finanzunternehmen oder deren Dienstleistern. Diese Vorfälle entstehen meist durch unbeabsichtigte Fehler, etwa in der Software oder in Prozessen. Oft liegen die Ursachen in fehlerhaften Updates oder im Change-Prozess der Unternehmen, wenn es zum Beispiel rund um Systemanpassungen zu Konfigurationsfehlern kommt.
Auch operationelle IT-Vorfälle können die Verfügbarkeit von Dienstleistungen erheblich beeinträchtigen und damit den Finanzmarkt gefährden. Besonders kritisch ist es, wenn große Zahlungs- oder IT-Dienstleister betroffen sind, die viele Kunden im Finanzsektor haben.
Im vergangenen Jahr führten Probleme bei IT- und Zahlungsdienstleistern mehrfach zu Störungen im bargeldlosen Zahlungsverkehr. Kundinnen und Kunden betroffener Unternehmen konnten vorübergehend nicht mit Karte zahlen. Der prominenteste IT-Vorfall des vergangenen Jahres im Juli beim US-Unternehmen CrowdStrike ging auf ein fehlerhaftes Update eines IT-Sicherheits-Tools zurück.
Daten aus dem PSD2-Meldewesen für Zahlungsvorfälle
Bis zum 17. Januar 2025 mussten gemäß der zweiten Zahlungsdiensterichtlinie (PSD2) nur Zahlungsdienstleister, also Banken und Zahlungsabwickler, Zahlungsvorfälle an die BaFin melden. Zahlungsvorfälle sind IT-Vorfälle, die sich auf Zahlungsdienste auswirken. So konnte die BaFin Risiken bei der Zahlungssicherheit erkennen und überwachen.
In den ersten drei Quartalen 2024 wurden der BaFin 258 Meldungen zu Zahlungsvorfällen gemeldet (siehe Abbildung 9). Damit stieg die Zahl der Meldungen deutlich im Vergleich zu den Vorjahren. Dies ist vor allem auf mehrere Vorfälle bei IT-Dienstleistern und Zahlungsdienstleistern zurückzuführen. In mehreren Fällen betrafen diese Vorfälle viele Finanzunternehmen, was zu einer Vielzahl von Meldungen verschiedener Institute an die BaFin führte.
Abbildung 9: Gesamtzahl der Meldungen zu Zahlungsvorfällen
* Die Zahlen für 2024 umfassen Vorfallsmeldungen in den ersten drei Quartalen 2024.
Quelle: BaFin-eigene Darstellung, Stand: 30. September 2024
Die Vorfälle resultierten hauptsächlich aus System- und Prozessfehlern sowie menschlichem Versagen. Die große Zahl solcher Vorfälle zeigt, wie wichtig es ist, dass Unternehmen über resiliente Systeme und Prozesse verfügen.
Die Bedeutung von Auslagerungsunternehmen für die operationelle Resilienz des Finanzsektors wird auch durch die gemeldeten Zahlungsvorfälle deutlich. In etwa 67 Prozent der Meldungen aus den ersten drei Quartalen 2024 lag die Ursache nicht beim Institut selbst, sondern bei einem seiner Dienstleister. Das zeigt: Für eine hohe operationelle Resilienz brauchen Finanzunternehmen auch widerstandsfähige Dienstleister.
Die gemeldeten Vorfälle betrafen meist die Transaktionsverarbeitung und die Online- sowie Mobile-Banking-Kanäle. Die meisten Meldungen kamen von bedeutenden Instituten (Significant Institutions – SIs) und IT-Mehrmandantendienstleistern (IT-MMDL).
Etwa 2,3 Prozent der Meldungen in den ersten drei Quartalen 2024 waren Sicherheitsvorfälle, einschließlich Cyber-Angriffe. Sicherheitsvorfälle machten damit – wie in den Vorjahren – nur einen kleinen Teil der Meldungen aus.
Verschiedene Gründe könnten den geringen Anteil erklären: Etwa, dass es den Instituten gelang, Angriffe erfolgreich abzuwehren, dass Angriffe keine Auswirkungen auf zahlungsbezogene Dienste hatten oder dass die Auswirkungen die Meldeschwellen nicht überschritten. Der geringe Anteil an Sicherheitsvorfällen bedeutet nicht, dass es 2024 wenige Angriffe gab oder dass das Risiko gering war, Opfer eines Cyber-Angriffes zu werden. Im Gegenteil: Das Risiko bleibt hoch.
Neue Meldepflicht für IKT-Vorfälle unter DORA
Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA). DORA harmonisiert das Meldewesen für schwerwiegende Vorfälle der Informations- und Kommunikationstechnologie (IKT) für sämtliche Finanzunternehmen. Neben Banken und Zahlungsdienstleistern müssen auch Versicherer und Wertpapierfirmen sowie alle weiteren Finanzunternehmen unter dem Anwendungsbereich von DORA IKT-Vorfälle melden.
Die neue Meldepflicht hat einen deutlich stärkeren Fokus auf Cyber-Angriffe. Die BaFin wird daher vorrausichtlich mehr Sicherheitsvorfälle registrieren. Diese Ausweitung ermöglicht es der BaFin, ein umfassenderes Bild der Cybersicherheitslage im Finanzsektor zu erhalten und besser auf Entwicklungen und Risiken zu reagieren.
Risikobewusstsein der Unternehmen des Finanzsektors
Die Unternehmen des Finanzsektors berücksichtigen größtenteils das Risiko von IT-Vorfällen in ihrem Risikomanagement. Die meisten haben in IT-Sicherheit investiert. Sie müssen jedoch kontinuierlich aktuelle Entwicklungen und Bedrohungen überwachen, ihre Sicherheitsmaßnahmen anpassen und sich auf Ernstfälle vorbereiten. Die BaFin sieht in der günstigen Ertragslage der Kreditinstitute im Jahr 2024 gute Voraussetzungen, um verstärkt in IT-Sicherheit zu investieren.
DORA stellt konkrete Anforderungen an die Unternehmen. Ziel ist es, die Resilienz des Finanzmarktes gegen Ausfälle und Cyber-Attacken zu stärken und die Handlungsfähigkeit nach einem IT-Vorfall zu verbessern. Zudem sollen die Unternehmen einheitliche Templates sowie Wege für den schnellen Informationsaustausch mit allen relevanten Akteuren über Angriffe und Bedrohungen etablieren.
Wie die BaFin vorgeht
- Durch DORA wurde die BaFin für den deutschen Finanzsektor als Melde-Hub für IKT-Vorfälle etabliert. Aus den gebündelten Informationen erstellt sie fortlaufend ein Cyber-Lagebild des Finanzsektors. Es soll zeigen, welchen Cyber-Bedrohungen die Finanzwirtschaft ausgesetzt ist, wie verwundbar die beaufsichtigten Unternehmen und deren IT-Dienstleister sind und welche (erfolgreichen) Cyber-Angriffe es gab.
- Von 2025 an wird die BaFin zusammen mit den anderen nationalen Aufsichtsbehörden Europas sowie den europäischen Aufsichtsbehörden EBA, ESMA und EIOPA das Systemic Cyber Incident Coordination Framework (EU-SCICF) schrittweise implementieren. Bei Cyber-Vorfällen, die ein Risiko für die Finanzstabilität darstellen, soll dieses Rahmenwerk die Kommunikation und Koordinierung zwischen den Behörden erleichtern.
- Die BaFin hat 2024 einen Cyber-Roundtable etabliert, um sich mit Unternehmen des Finanzsektors im Krisenfall schnell und in einem vertrauten Rahmen über Bedrohungen und die aktuelle Lage austauschen zu können. Diesen Dialog wird sie 2025 intensivieren. So sollen auch mittelgroße Unternehmen einbezogen und der Dialog nicht mehr auf Krisensituationen beschränkt werden.
- Die BaFin führt gemeinsam mit den beaufsichtigten Unternehmen sektorübergreifende Krisenmanagement- und Notfallübungen mit simulierten Cyber-Attacken durch. Sie kontrolliert auch, ob die hierzu verpflichteten Unternehmen bedrohungsgeleitete Penetrationstests durchführen. All diese Maßnahmen dienen einerseits der Prävention, anderseits dem richtigen Umgang mit erfolgten Cyber-Angriffen. Die Maßnahmen sollen sicherstellen, dass alle Beteiligten im Ernstfall schnell und koordiniert reagieren, damit die Stabilität des Finanzsystems nicht gefährdet wird.
- Die BaFin engagiert sich im Nationalen Cyber-Abwehrzentrum (NCAZ ) und tauscht sich auch sonst eng mit anderen nationalen und internationalen Behörden und Institutionen aus. Ziel ist es, frühzeitig über Störungen und Gefahren informiert zu sein und diese Informationen an andere Behörden bzw. beaufsichtigte Unternehmen weiterzugeben.
- Unternehmen versichern ihre Cyber-Risiken zunehmend. Die BaFin wird Versicherer zur Entwicklung des Geschäftssegments Cyber-Versicherung befragen, um einen besseren Überblick über dieses Geschäft zu gewinnen. Dies bereitet die Unternehmen auch auf das künftige regulatorische Berichtswesen vor.
Weitere Artikel aus den Risiken im Fokus
Startseite Risiken im Fokus 2025
Hauptrisiken im Fokus der BaFin
1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
5. Risiken aus unzureichender Geldwäscheprävention
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen
Bedeutende Trends
1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche
