Deutsche Märkte öffnen in 26 Minuten

Großangriff auf die Banken – Die Aufseher sind alarmiert

Erneut haben Hacker eine Attacke auf deutsche Institute gestartet. Die Attacke auf die Sparkassengruppe zeigt, wie groß die Gefahr für deutsche Banken ist.

Nicht einmal jede zweite Bank sieht sich ausreichend gegen Hackerattacken gewappnet. Foto: dpa

Für die Kunden von Deutschlands zweitgrößter Direktbank war es ein Schock. Wer am Dienstagnachmittag versuchte, die Website der Deutschen Kreditbank (DKB) zu erreichen, der stieß stattdessen auf die ebenso simple wie beunruhigende Botschaft „404 Not Found.nginx“.

Die Tochter der BayernLB war Opfer einer Cyberattacke geworden – mit gravierenden Folgen. Bis in den späten Abend waren die Homepage und auch die App nicht mehr zu erreichen. Dabei war die DKB nach Recherchen des Handelsblatts noch nicht einmal das direkte Ziel des Hackerangriffs.

Die ursprüngliche Attacke richtete sich gegen eine Tochter des Sparkassen-IT-Dienstleisters Finanz Informatik (FI). An diese Tochter mit dem Namen FI-TS hat die DKB genau wie andere Unternehmen der Sparkassengruppe einen Teil ihrer Technik ausgelagert, deshalb zog die Attacke Kreise, wenn auch nirgends die Ausfälle so groß waren wie bei der Direktbank.

Bei der BayernLB kam es zu einem kurzen Ausfall einiger Onlinedienste. Bei der Landesbank Hessen-Thüringen (Helaba) waren Echtzeitzahlungen zeitweise nicht möglich.

Das galt auch für einen großen Teil der knapp 400 deutschen Sparkassen, für die die Helaba der zentrale Dienstleister im Zahlungsverkehr ist.

Die Attacke auf die Sparkassen zeigt, wie groß die Gefahr für deutsche Banken durch Cyberattacken ist. Die Geldhäuser sehen sich einer wahren Angriffswelle ausgesetzt. Und eine Umfrage unter den Risikomanagern großer Banken zeigt, dass viele Institute schlecht gegen Hacker gewappnet sind. Kein Wunder, dass die Aufseher alarmiert sind.

Laut Finanzkreisen stehen die Behörden in engem Austausch mit den aktuell betroffenen Banken. Die Institute müssen nun schnell detaillierte Informationen über die Ursache der Angriffe an die deutsche Finanzaufsicht Bafin liefern – und darlegen, wie sie solche Vorfälle künftig verhindern wollen. Die Bafin äußerte sich dazu nicht.

Die Anspannung ist dieses Mal bei allen Beteiligten besonders hoch, weil es sich bei der Attacke auf die DKB und FI-TS um einen Angriff von außen handelte. Zwar häuften sich zuletzt die IT-Pannen bei Banken, aber der Großteil war nicht auf Hackerattacken zurückzuführen, sondern auf interne Mängel – etwa auf Bedienungsfehler oder ausgefallene Server.

Die Attacke auf die DKB hat somit eine andere Qualität. Denn die Angst, dass ein großer Cyberangriff den Finanzmarkt erschüttert, ist bei Banken und Aufsehern gleichermaßen groß. Die Bedrohungslage sei aktuell hoch, sagen mit dem Vorgang vertraute Personen. Sie verweisen darauf, dass neben der DKB zuletzt auch andere Institutionen wie die Stadtverwaltung Frankfurt und die Universität Gießen von Hackern lahmgelegt wurden.

„IT-Risiken haben das Potenzial, Banken in Schieflage zu bringen“, warnte Raimund Röseler, der oberste Bankenaufseher der Bafin, kürzlich bei einer Handelsblatt-Veranstaltung. Die Behörde prüft deshalb regelmäßig die IT-Systeme der Banken – und ist in der Regel unzufrieden. „Es gibt eigentlich keine Prüfung, die mit einem zufriedenstellenden Ergebnis endet“, kritisiert Röseler.

Raffinierte Hacker

Oliver Geiseler, Partner der IT-Beratung Capco, befürchtet, dass die Zahl der Attacken weiter zunehmen wird: „Bankkunden werden das vor allem bemerken, wenn Internetseiten durch Angreifer so stark belastet werden, dass sie nicht mehr aufrufbar sind.“

Boris Strucken, Innovationschef bei FIS Europa, einem der größten Anbieter von Kernbankensystemen, warnt davor, dass die Methoden der Hacker immer heimtückischer werden: „Die Angriffe auf die IT von Finanzdienstleistern werden perfider. Ein Beispiel dafür ist, dass Kundendaten abgefischt werden – wie im Fall des Bonusprogramms ‚Priceless Specials‘ von Mastercard vor einigen Monaten.“

Durch ein Datenleck tauchten Ende August 2019 Daten von 90.000 Nutzern des Mastercard-Bonusprogramms im Internet auf. Eine Excel-Datei listete damals unter anderem Namen und E-Mail-Adressen auf. Daneben standen jeweils die ersten zwei und die letzten vier Ziffern der Mastercard-Kartennummer und in manchen Fällen auch weitere Daten wie Anschrift und Telefonnummern der Kunden.

Auch die Betreiber des globalen Zahlungssystems Swift warnen vor der wachsenden Raffinesse der Hacker. Einem Swift-Bericht aus dem Frühjahr zufolge nehmen sich die Angreifer immer mehr Zeit, um die Systeme einer Bank zu erkunden. Nachdem sie die Sicherheitsvorkehrungen eines Geldhauses überwunden und die IT infiltriert haben, operieren sie oft Wochen oder sogar Monate im Verborgenen, um Verhaltensmuster auszukundschaften, bevor sie einen Angriff starten.

Auch den Zeitpunkt ihrer Angriffe haben die Hacker laut dem Report verändert. Früher bevorzugten Cyberkriminelle demnach betrügerische Zahlungen außerhalb der Geschäftszeiten, um eine Aufdeckung zu vermeiden. Inzwischen hat Swift einen genau entgegengesetzten Trend ausgemacht: Die Täter starten ihre Operationen während der normalen Geschäftszeiten, um sich mit dem legitimen Datenverkehr zu vermischen.

Zu so schwerwiegenden Schäden wie dem Diebstahl von Kundendaten ist es im Fall der DKB nicht gekommen. Die Direktbank teilte am Mittwochmorgen mit, dass ein „Server-Dienstleister einem Angriff durch Dritte ausgesetzt war, der die Verfügbarkeit unserer Webseite sowie einige Dienste beeinträchtigt“. Zugleich versuchte das Institut, verunsicherte Kunden zu beruhigen: Es gebe aktuell keine Anzeichen, dass die Angreifer in den Besitz von Daten gekommen seien.

„Gemeinsam mit unserem Server-Dienstleister haben wir umgehend Gegenmaßnahmen ergriffen und die Sicherheitsvorkehrungen nochmals verstärkt. Mit den zuständigen Behörden arbeiten wir eng zusammen“, betonte die DKB. Laut einem Banksprecher war der Ausfall um Mitternacht behoben. „Alle bereits von den Kunden veranlassten Zahlungen wie Daueraufträge, Lastschriften oder Terminüberweisungen werden weiterhin ausgeführt. Auch Giro- und Kreditkarten können wie gewohnt eingesetzt werden“, ließ die Direktbank wissen.

Betroffen vom Ausfall waren laut dem Sprecher nur das Kundenportal und die Homepage der DKB. Das im Hintergrund laufende Kernbankensystem sei nach aktuellem Wissensstand nicht beeinträchtigt worden. Daher seien auch alle Überweisungen, etwa für Mieten oder Vergütungen, und sonstigen Aufträge, etwa im Wertpapierbereich, ausgeführt worden. „Die genauen Hintergründe des Angriffs müssen noch analysiert werden“, sagte der Sprecher. „Noch verfügen wir nicht über abschließende Informationen über den Vorgang.“

Überlastete Systeme

Aber bereits jetzt scheint klar zu sein, dass sich die Attacke eigentlich gegen den Sparkassendienstleister FI-TS richtete. Die Firma bestätigte gegenüber dem Handelsblatt, dass es einen Angriff auf die sogenannte IP-Adresse der DKB gegeben habe. Hacker hätten mit einer Flut von Anfragen die Systeme systematisch überlastet, „sodass Kunden das Onlinebanking nicht mehr erreichen konnten“.

Den FIS-Europe-Innovationschef Strucken überrascht es, dass der Sparkassendienstleister den Angriff nicht aufhalten konnte: „Solche Attacken lassen sich eigentlich relativ einfach abwehren.“ Das Unternehmen rechtfertigt sich: Solche Angriffe kämen tatsächlich alle paar Wochen vor und könnten in der Regel verhindert werden. Bei der Attacke auf die DKB am Dienstag hätten die Angreifer aber neue Methoden angewandt.

Bei einer anderen IT-Panne der vergangenen Tage spielte die FI-TS ebenfalls eine zentrale Rolle. Am Montag führte ein Ausfall bei der Deutschen Wertpapierservice-Bank (DWP Bank) zu massiven Störungen im Wertpapierhandel von knapp 1 300 Banken im gesamten Bundesgebiet.

Der Sparkassenableger betreibt auch die Server der DWP und erklärte zu diesem Vorfall: „Die detaillierte Ursachenanalyse für das technische Problem beim DWP-Serversystem steht noch aus. Es war nach bisherigen Erkenntnissen ein technisches Problem. Einen Hackerangriff können wir ausschließen.“

Der Dienstleister betonte, dass es sich um zwei getrennte Themen handle, „die unglücklicherweise an zwei aufeinanderfolgenden Tagen passiert sind“. „Die FI-TS entschuldigt sich für die entstandenen Probleme.“ Es ist nicht die erste folgenschwere IT-Panne im Sparkassenlager in den vergangenen Monaten.

Im Dezember kam es zu Ausfällen im Zahlungsverkehr, Zehntausende Sparkassenkunden mussten teilweise tagelang auf ihr Gehalt oder auf die Abwicklung anderer Transaktionen warten. Und im vergangenen Juli konnten DKB-Kunden fast 24 Stunden lang nicht auf ihre Konten zugreifen.

Geschwächte Banken

Cyberrisiken, sei es durch Hacker, sei es durch Systemausfälle, stehen bei den meisten Banken ganz oben auf der Liste potenzieller Gefahren. Das zeigt eine Studie der Beratung EY aus dem Dezember.

Laut der Umfrage unter Risikomanagern globaler Banken sieht sich nicht einmal jedes zweite Institut völlig oder weitgehend gegen Ausfälle durch IT-Störungen oder gegen Schäden durch mutwillige Attacken gewappnet . Eine knappe Mehrheit – 53 Prozent – konstatiert für das eigene Institut nur einen geringen oder mittleren Schutz, 13 Prozent der befragten Großbanken stehen bei diesem Thema nach eigener Einschätzung sogar noch am Anfang.

„In einer zunehmend vernetzten und digitalisierten Wirtschaft entwickeln sich Cyberrisiken zu einer immer größeren und potenziell existenziellen Gefahr“, warnte EY-Partner Max Weber bei der Vorstellung der Studie. Gerade Banken seien verwundbar wegen der komplexen, teilweise fragmentierten und veralteten IT-Infrastruktur vieler Institute. 67 Prozent der von EY befragten Risikomanager fürchten den Verlust von Kundendaten, 53 Prozent sehen die Gefahr, nach einer Attacke nicht mehr erreichbar und handlungsfähig zu sein.

Fast scheint es so, als ob das Vertrauen der Kunden in die IT-Sicherheit der Banken größer wäre als das der Geldhäuser selbst. Eine repräsentative Yougov-Umfrage im Auftrag des Handelsblatts zeigt, dass immerhin 77 Prozent der Befragten sich beim Onlinebanking sicher oder sogar sehr sicher fühlen. 13 Prozent fühlen sich weniger sicher und drei Prozent gar nicht sicher.

Dass sich Banken und Aufseher nicht umsonst große Sorgen über Cyberrisiken machen, zeigt ein Projekt der amerikanischen Carnegie Stiftung, die systematisch Daten über Angriffe aus dem Netz auf Finanzkonzerne sammelt. Allein für die Zeit zwischen Januar und September 2019 kommen die Experten auf über 20 groß angelegte Attacken – und das sind nur die Fälle, die öffentlich wurden. Die Dunkelziffer dürfte sehr viel höher liegen.

Eine Studie der Sicherheitsfirma EfficientIP zeigt, dass Finanzunternehmen so häufig attackiert werden wie Unternehmen keiner anderen Branche. Bei einer Umfrage der Experten antworteten 88 Prozent der Firmen, dass sie im vergangenen Jahr Ziel einer Hackerattacke waren.

Erst am Dienstag musste ein weiteres Unternehmen einräumen, dass es Opfer eines folgenreichen Cyberangriffs wurde. Die Mitarbeiter des Devisenhändlers Travelex mussten wieder zu Stift und Papier greifen und so weltweit Tausende Kunden bedienen, weil Hacker die Systeme lahmgelegt und Lösegeld gefordert hatten. Die Aktien der Mutterfirma Finablr büßten am Mittwoch rund 20 Prozent ein, nachdem sie am Tag zuvor bereits knapp sechs Prozent nachgegeben hatten.