Cyberangriffe auf IT-Dienstleister Finanzaufsicht warnt vor "virtuellem Bankraub"
Statt Bankfilialen auszurauben, verlegen sich Kriminelle auf Cyberangriffe. Ihr Einfallstor sind meist nicht Banken oder Versicherer selbst, sondern deren Dienstleister. Was das für Kunden bedeutet.
Cyberattacken sind nach Einschätzung der Finanzaufsicht BaFin eine große Gefahr gerade für Geldhäuser. Seit Jahren häuften sich die Vorfälle, sagte heute der BaFin-Chef Mark Branson auf einer Pressekonferenz in Frankfurt. "Störungen müssen nicht bei Banken oder Versicherern selbst auftreten, auch Probleme bei ihren IT-Dienstleistern können das ganze System beeinträchtigen." Denn an die hätten die Unternehmen in den vergangenen Jahren immer mehr Aufgaben ausgelagert, so Branson. Und damit gebe es immer größere Abhängigkeiten.
Was das für konkrete Auswirkungen haben kann, zeigte 2023 ein Cyberangriff auf den Kontowechsel-Dienstleister Majorel, der mit etlichen Geldhäusern wie etwa der Deutschen Bank oder der Direktbank ING mit Sitz in Frankfurt zusammenarbeitet. Laut Medienberichten sollen dabei die Datensätze von insgesamt über hunderttausend Kunden gestohlen worden sein.
Manchmal 100 Aufgaben ausgelagert
Allein bei der ING waren nach Angaben der Bank Zehntausende Kunden betroffen. Deren persönliche Daten seien im Darknet veröffentlicht worden, deren Vorname, Nachname und Kontonummer, heißt es in einer Stellungnahme: "Die betroffenen Kunden wurden umgehend informiert und über vorsorglich getroffene Sicherheitsmaßnahmen aufgeklärt." Die Bank will den Vorfall nun gründlich aufarbeiten und steht weiter in engem Kontakt mit dem IT-Dienstleister.
Hintergrund war eine Sicherheitslücke bei dem Softwareprogramm MOVEit. Laut BaFin waren davon weltweit Tausende Unternehmen betroffen, darunter zahlreiche deutsche Finanzinstitute und Versicherer. Deshalb will die Finanzaufsicht künftig noch genauer überprüfen, mit welchen Prozessen Dienstleister beauftragt werden. Im Schnitt werden laut BaFin pro Unternehmen zehn Aufgaben ausgelagert, bei manchen Unternehmen seien es allerdings auch über hundert.
BaFin fordert von Banken Notfallpläne
Damit kristallisieren sich Mark Branson zufolge Dienstleister heraus, die für die Finanzbranche fast unverzichtbar und nur schwer zu ersetzen sind. "Die müssen sich an eine sehr enge Überwachung gewöhnen", betont Deutschlands oberster Finanzaufseher. Und sie müssten mit den Aufsehern kooperieren. Allerdings habe man da in den vergangenen Jahren auch manche schlechte Erfahrung gemacht.
Die Finanzaufsicht fordert zudem von den kooperierenden Banken einen Notfallplan, sollten IT-Dienstleister wegen einer Attacke ausfallen. Den gebe es bisher oft nicht. Darüber hinaus organisiert die BaFin Krisen- und Notfallübungen und simuliert Hackerangriffe, um herauszufinden, wo die beaufsichtigten Banken und deren IT-Dienstleister am verwundbarsten sind. Allein im vergangenen Jahr habe man die IT von zwanzig Finanzinstituten im Rahmen einer Prüfung unter die Lupe genommen. Würden die Prüfer Sicherheitslücken finden, ordneten sie etwa Kapitalzuschläge an.
Am Geldautomaten endet die Spur
Es gibt auch private Unternehmen, die die Banken in deren eigenem Auftrag angreifen, um Schwachstellen aufzudecken, etwa die Frankfurter Firma Nviso. Auch da könnten Kooperationspartner eine Rolle spielen, sagt Abteilungsleiter Nico Leidecker: "Wenn ich weiß, dass für diese Bank ein Dienstleister tätig ist, könnte ich mich als dieser ausgeben und Emails an einen Mitarbeiter der Bank schicken." Damit könne man ihn womöglich dazu bekommen, einen Anhang zu öffnen, eine Datei mit einer Schadsoftware herunterzuladen und auszuführen.
Leidecker zufolge ist das eine Möglichkeit, wie Kriminelle Zugriff zu einem Bankennetzwerk bekommen und langfristig zu den Kontobewegungen. Die könnten sie manipulieren, Geld von einem Konto zum anderen überweisen. Am Ende könnten sie es an einem Geldautomaten abheben - so ließen sich die Spuren der Verbrecher verwischen. Die kämen häufig aus dem Ausland, meint der IT-Sicherheitsexperte: "Aber dank Künstlicher Intelligenz können sie trotzdem Emails in fehlerfreiem Deutsch verfassen."
Opfer von Cyberattacken bekommen Geld zurück
Wenn Kriminelle durch Datenlecks an Konto- oder Kreditkartendaten kommen, könnten sie versuchen, diese etwa für Interneteinkäufe zu nutzen oder per Lastschrift zu zahlen, so die Frankfurter Verbraucherschützerin Katharina Lawrence. Verbrauchern rät sie daher, ihre Kreditkartenabrechnung und ihre Kontobewegungen aufmerksam zu überprüfen. "Sollten Ihnen Transaktionen verdächtig vorkommen, informieren sie umgehend ihre Bank und stellen sie Strafanzeige bei der Polizei", sagt Lawrence.
Ist jemand nachweislich Opfer eines Cyberangriffs geworden und sollte es dadurch etwa zu unautorisierten Lastschriften gekommen sein, bekommen Verbraucher laut Lawrence ihr Geld zurück. Sie könnten sich deshalb bis zu 13 Monate rückwirkend bei ihrer Bank melden. Die müsse ihnen die Summe dann erstatten.