BaFin Cyberangriffe bei Banken wahrscheinlich
Das Risiko, dass die IT-Systeme von Banken angegriffen werden, ist nach Einschätzung der BaFin hoch. Die meisten gemeldeten Vorfälle wurden bisher jedoch durch technische Fehler oder menschliches Versagen verursacht.
Banken in Deutschland sind verpflichtet, die Aufsichtsbehörde BaFin zu informieren, wenn im Unternehmen schwerwiegende IT-Probleme aufgetreten sind. Kürzlich informierte Benedikt Queng, der als Referent in der Gruppe IT-Aufsicht/Cybersicherheit der BaFin tätig ist, über die Ergebnisse einer Analyse der Meldungen.
Autorenbox (bitte nicht verändern)
Die Auswertung der 2023 gemeldeten Vorfälle ergab folgendes Bild:
- Im Verlauf des vergangenen Jahres meldeten die Banken 235 schwerwiegende IT-Vorfälle. Das entspricht einer Steigerung von 17,5 Prozent im Vergleich zum Vorjahr.
- Fünf Prozent der Meldungen betrafen sogenannte Sicherheitsvorfälle. Das sind in der Regel Angriffe, die von Hackern ausgeführt werden.
- Auf das Konto externer Dienstleister gingen etwa 40 Prozent der gemeldeten Fälle.
Welche Vorfälle müssen die Banken an die BaFin melden?
Im Rundschreiben 03/2022 der Bundesanstalt für Finanzdienstleistungsaufsicht, das seit dem 01. Oktober 2022 gilt, wird detailliert erläutert, in welchen Fällen und innerhalb welcher Frist die Banken über IT-Probleme Meldung zu erstatten haben. Dabei spielen mehrere Faktoren, wie zum Beispiel die Zahl der vom Vorfall betroffenen Zahlungsvorgänge, die Zahl der vom Ausfall betroffenen Nutzer, die Zeitspanne der Nicht-Verfügbarkeit von Diensten und die Schädigung der Reputation eine Rolle. Ist ein Vorfall als schwerwiegend einzustufen, muss die betroffene Bank innerhalb einer Frist von vier Stunden die Aufsichtsbehörde mit einer Erstmeldung über den Vorfall informieren. Ist der 'Normalzustand' wieder hergestellt, muss die betroffene Bank in einem Abschlussbericht die Ursachen und verursachten Kosten darstellen.
Positiv auffällig ist, dass lediglich jede zwanzigste Meldung einen sogenannten Sicherheitsvorfall betraf."
Wie wirken sich gemeldete Störfälle auf den Betrieb der Bank aus?
Die Analyse der IT-Probleme ergab, dass sich der überwiegende Teil der Meldungen auf Störungen bezog, die zu einer Verzögerung beim Transfer von Geldbeträgen führten oder die Verfügbarkeit von Mobil- oder Online-Banking zeitweise einschränkten.
Zahl der Sicherheitsvorfälle ist relativ niedrig
Positiv auffällig ist, dass lediglich jede zwanzigste Meldung einen sogenannten Sicherheitsvorfall betraf. Über die Gründe können auch die Experten der Aufsichtsbehörde nur spekulieren. Möglicherweise ist es den Banken gelungen, solche Angriffe erfolgreich abzuwehren, oder durch geeignete Vorkehrungen dafür zu sorgen, dass solche Attacken sich nicht auf zahlungsbedingte Dienste auswirken konnten.
fair, ehrlich, authentisch - die Grundlage für das Wohl aller Beteiligten