Deutsche Märkte öffnen in 3 Stunden 11 Minuten

Banker im Homeoffice: „Aus Compliance-Sicht ist die aktuelle Situation ein Albtraum“

·Lesedauer: 4 Min.

Behörden warnen vor Cyber-Angriffen bei der Arbeit zu Hause. Deutsche Banken fühlen sich darauf gut vorbereitet – doch Experten sehen eine andere Gefahr.

Als „angespannt“ bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage der IT-Sicherheit in Deutschland. Corona verschärfe die Cyber-Gefährdungslage im Land, heißt es in dem Bericht, den Bundesinnenminister Horst Seehofer am vergangenen Montag in Berlin vorstellte.

Beim Kampf gegen Hacker-Angriffe stehen Banken vor besonderen Herausforderungen: Täglich verarbeiten sie riesige Datenmengen mit höchst sensiblen Informationen ihrer Kunden. Gleichzeitig mahnen Experten immer wieder an, dass die IT-Systeme der Banken teils veraltet und branchenintern nicht einheitlich gestaltet sind.

„IT-Systeme sind extrem anfällig, wenn sie über Jahrzehnte hinweg so heterogen gestrickt wurden wie in deutschen Banken“, erklärt Christof Volkmer. Er ist in der kalifornischen IT-Sicherheitsfirma Tanium Chef für die Region Deutschland, Österreich und die Schweiz (DACH).

Andere Experten sehen die Situation hierzulande gelassener. Timo Kob ist Professor für Wirtschaftsschutz und Cybersecurity in Wien und berät über ein Dutzend der größten deutschen Banken. Über eine Zunahme von Cybersecurity-Meldungen seit Beginn der Pandemie sagt Kob: „Ich sehe schon einen Anstieg. So, wie ich ihn seit Jahren dauerhaft sehe. Ich sehe aber nichts, was ich explizit auf Corona und die Arbeit im Homeoffice zurückführen würde.“

Warnungen von Dienstleistern, die wie Tanium selbst IT-Sicherheitslösungen zum Verkauf anbieten, sieht er kritisch. Denn gerade zu Beginn der Pandemie warben viele Unternehmen für Angebote im Cyberschutz. Zwar gebe es in anderen Branchen durchaus einen Anstieg an Attacken, so Kob, besonders im Gesundheitswesen und bei jenen Firmen, die gerade „mit heißer Nadel“ ihre Arbeitsweise digitalisieren müssten. Bei Banken sei das aber nicht der Fall.

Vorbereitet für den Ernstfall

Besonders die wichtigste Stelle in der Bankeninfrastruktur sieht Kob als gut geschützt: In den Handelsräumen, der „Herzkammer der Banken“, wie er diese nennt, sei die Wahrscheinlichkeit eines IT-Ausfalls besonders gering, denn die Systeme dort seien sehr gut gesichert. „Ein Angriff auf das Trading wäre wirklich eine hohe Kunst“, urteilt Kob. Außerdem sind Tradingräume für den Fall einer Bombendrohung oder eines Feuers in der Bank gespiegelt, also an einem anderen Ort identisch nachgebaut, damit die Bank im Krisenfall weiterarbeiten kann.

Was aber tun in der zweiten Corona-Infektionswelle? Kobs Rat ist klar: „Beide Räume hochfahren, maximale Abstände gewährleisten. Die Trader sind die Allerletzten, die ich ins Homeoffice schicken würde.“

Ähnlich reagierte etwa die Commerzbank, als die erste Corona-Welle die Arbeitswelt traf. Sie teilte die betriebsnotwendigen Teams in sogenannten „split operations“ auf verschiedene Standorte auf, auch im Trading. Bereits im März bezog die Bank dafür einen zusätzlichen Standort in Frankfurt, erklärt ein Sprecher: „Mitarbeiter, die an diesem Standort arbeiten, dürfen seit Bezug keinen physischen Kontakt mehr zu Mitarbeitern an anderen Standorten haben.“ Handelsaktivitäten aus dem Homeoffice seien nicht vorgesehen, auch wenn man bisher „keinen nennenswerten Anstieg“ von Hackeraktivitäten verzeichne. Wie viele Mitarbeiter remote auf die IT-Systeme zugreifen, mache aus Cybersicherheitsaspekten „keinen großen Unterschied“.

„Für die Innentäter gibt es jetzt mehr Lücken“

Dafür stehen die Banken vor einer anderen Gefahr, erklärt Kob: „Aus Compliance-Sicht ist die aktuelle Situation ein Albtraum.“ Die Compliance-Teams sind dafür zuständig, dass sich in den Banken besonders die Händler an geltendes Recht halten. So sollen sie zum Beispiel Insidergeschäfte verhindern und die Anleger schützen. Nun aber müssen die Compliance-Teams den Handel aus der Distanz verfolgen. Kob sieht daher eine Gefahr durch die eigenen Mitarbeiter: „Für die Innentäter gibt es jetzt mehr Lücken. Dort liegt das Missbrauchspotenzial.“

Von der Commerzbank heißt es dazu, dass es letztlich die Aufgabe der Führungskräfte sei sicherzustellen, dass sich auch im Homeoffice alle an Compliance-Richtlinien halten. Die Deutsche Bank erklärt: „Auch während der durch die Krise bedingten verstärkten Nutzung von Homeoffice werden bei den bestehenden hohen Sicherheitsstandards keine Abstriche gemacht.“ Mitarbeiter dürften ausschließlich die von der Bank freigegebenen Kommunikationssysteme nutzen. Wie die Bank das überprüft, erklärt sie aber nicht.

Bei der Deutschen Bank arbeiten seit Monaten rund 60.000 der weltweit knapp 90.000 Mitarbeiter von zu Hause, bei der Commerzbank ist es über die Hälfte der in Deutschland Beschäftigten. Bei der ING Deutschland arbeiten rund 85 Prozent der Mitarbeiter von daheim – auch in der Treasury, jener Sparte, deren Mitarbeiter die Liquiditätsströme verwalten und die Zahlungsfähigkeit sichern. Das wird überwacht: „Eigengeschäfte, die krisenbedingt außerhalb der Geschäftsräume abgeschlossen werden, müssen interne Vorgaben erfüllen und werden gesondert von Compliance überwacht.“

Doch neben der Überwachung ist auch eigene Motivation wichtig, erklärt Sicherheitsexperte Ulf Baltin. Er ist bei Blackberry für Cybersicherheit in der DACH-Region zuständig, die Firma unterstützt unter anderem Banken dabei, die Cybersicherheit aufrechtzuerhalten: „Bei IT-Anwendungen ist auch im Homeoffice die Balance zwischen Sicherheit und Akzeptanz besonders wichtig.“ Überwachung allein ist nur bedingt wirksam – es braucht auch eigene Motivation, sich an die Regeln zu halten.