Werbung
Deutsche Märkte geschlossen

  • DAX

    18.161,01
    +243,73 (+1,36%)
     

  • Euro Stoxx 50

    5.006,85
    +67,84 (+1,37%)
     

  • Dow Jones 30

    38.247,93
    +162,13 (+0,43%)
     

  • Gold

    2.349,50
    +7,00 (+0,30%)
     

  • EUR/USD

    1,0701
    -0,0032 (-0,30%)
     

  • Bitcoin EUR

    59.668,70
    -685,56 (-1,14%)
     

  • CMC Crypto 200

    1.331,65
    -64,88 (-4,65%)
     

  • Öl (Brent)

    83,63
    +0,06 (+0,07%)
     

  • MDAX

    26.175,48
    +132,30 (+0,51%)
     

  • TecDAX

    3.322,49
    +55,73 (+1,71%)
     

  • SDAX

    14.256,34
    +260,57 (+1,86%)
     

  • Nikkei 225

    37.934,76
    +306,28 (+0,81%)
     

  • FTSE 100

    8.139,83
    +60,97 (+0,75%)
     

  • CAC 40

    8.088,24
    +71,59 (+0,89%)
     

  • Nasdaq Compositive

    15.939,04
    +327,28 (+2,10%)
     

Hackerangriffe sorgen für Zweifel an Clouds für Banken

Handelsblatt

Die Banken lagern immer mehr Daten und IT-Anwendungen an externe Anbieter aus. Hackerangriffe werfen immer wieder Fragen nach der Sicherheit auf.

Sie lebte mit drei Mitbewohnern in einem heruntergekommenen Haus in Seattle. Ihre Tage verbrachte Paige T. offenbar vor allem mit dem Onlinespiel Counter-Strike. Gegenüber der Nachrichtenagentur Bloomberg beschreiben ihre WG-Genossen die 33-jährige IT-Spezialistin als brillant, aber introvertiert. Seit vergangenem Montag ist Paige T. wegen Computerbetrugs angeklagt.

Hinter dieser dürren Beschreibung der US-Behörden verbirgt sich ein spektakulärer Hackerangriff. Paige T. gelang es, den Datenspeicher zu knacken, den der Internetriese Amazon an andere Unternehmen vermietet. So kam die Hackerin aus Seattle an die vertraulichen Daten von mehr als 100 Millionen Kunden des fünftgrößten US-Kreditkartenanbieters Capital One. Das FBI kam der Angeklagten nur auf die Spur, weil sie im Netz mit ihren Attacken prahlte.

In diesen verdächtigen Postings tauchen auch die Namen anderer Unternehmen auf, unter anderem der der italienischen Großbank Unicredit, die jetzt auch prüft, ob ihr Daten aus der Amazon-Cloud abhandengekommen sind. „Unicredit hat am 30. Juli erfahren, dass der Name der Bank im Zusammenhang mit dem Capital-One-Zwischenfall aufgetaucht ist. Unicredit hat die zuständigen Behörden kontaktiert und geht die Untersuchung aktiv an“, heißt es in einem Statement der Bank.

WERBUNG

Schwachstelle der Banken

Die Mitteilung zeigt, dass der Fall Capital One noch deutlich größere Dimensionen haben könnte, als bislang bekannt ist. Nach dem Hackerangriff in den USA steht die Frage im Raum: Wie sicher ist die Cloud? Oder anders gefragt: Wie gut sind die Drittanbieter geschützt, an die immer mehr Banken einen immer größeren Anteil ihrer Daten und Anwendungen auslagen?

Schließlich unterscheidet sich die Finanzbranche in einem wichtigen Punkt von allen anderen Branchen: Kommen einem Autobauer die geheimen Pläne für die nächste Modelloffensive abhanden, betrifft das erst einmal nur diesen Konzern. Wird eine wichtige Bank Opfer eines großen Hackerangriffs, ist im schlimmsten Fall das gesamte Finanzsystem gefährdet.

Lange standen deutsche Banken der Auslagerung in die Cloud, sprich der Anmietung von Rechenzentren von Drittanbietern, eher kritisch gegenüber. Doch im Zuge der Digitalisierung greifen die Geldhäuser immer stärker auf die Dienste von Cloud-Anbietern wie Amazon oder Microsoft zurück. Das zeigt eine Umfrage der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC unter IT-Experten von 100 deutschen Instituten aus dem vergangenen Dezember.

So setzen 53 Prozent der deutschen Banken schon jetzt auf Cloud-Lösungen. Weitere 30 Prozent planen die Nutzung „in absehbarer Zeit“. Zwei Drittel der befragten IT-Spezialisten gehen davon aus, dass der Einsatz von Cloud-Computing innerhalb der kommenden zwei Jahre branchenweit zunehmen wird.

Investitionen in Milliardenhöhe

Nach einer Prognose des Marktforschungsunternehmens IDC investierte die Finanzbranche 2018 fast 18 Milliarden Dollar in Cloud-Lösungen. Für diese Offensive gibt es gute Gründe: Durch die Cloud steht IT schnell und flexibel zur Verfügung, im besten Fall mit ein paar Mausklicks. Denn Anwender greifen über das Netzwerk auf Speicherplatz, Rechenleistung und Software zu. So bekommen Unternehmen IT-Dienstleistungen auf Abruf.

Zudem ersparen sie sich Investitionen in die eigene IT-Infrastruktur und bezahlen lediglich die genutzten Kapazitäten. Der Begriff „Cloud“ hat übrigens mit der dezentralen Datenverarbeitung zu tun – in Skizzen wird diese als Wolke dargestellt. Dieses Prinzip spielt bei der digitalen Transformation eine wichtige Rolle. Mithilfe der Infrastruktur von Amazon, Microsoft, Google und anderen können Unternehmen beispielsweise schnell Apps und andere Anwendungen entwickeln, effizient Informationen austauschen und Maschinendaten analysieren.

Nach einer Umfrage des deutschen Hightechverbands Bitkom sehen 57 Prozent der Unternehmen, die die Cloud nutzen, darin einen großen Beitrag zur Digitalisierung. Viele Start-ups bauen ihre IT-Infrastruktur sogar vollständig in der Datenwolke auf. Experten unterscheiden zwischen Public und Private Cloud – also einer Infrastruktur, die ein Unternehmen allen seinen Kunden anbietet, oder einer für den Kunden maßgeschneiderten eigenen kleinen Datenwolke.

Strenge Aufseher

Die ist zwar teurer, bietet aber mehr Kontrolle. Laut der PwC-Umfrage setzen 91 Prozent der Banken, die bereits Cloud-Nutzer sind, aus Sicherheitsgründen auf private Lösungen. „Eine Cloud ist für Banken per se nicht gefährlicher als die Verwendung interner IT-Infrastruktur“, meint Marc Billeb, Partner bei PwC.

Ein Grund dafür sind die strengen Anforderungen der Aufseher, die die Banken zwingen, bei einer Auslagerung an Dritte deren IT-Infrastruktur genauso sorgfältig zu prüfen, als wäre es die eigene. Nach Einschätzung von Billeb kann die Sicherheit bei einer Auslagerung sogar steigen, weil die infrastrukturellen Vorkehrungen der großen Cloud-Anbieter oft umfassender seien als die mancher kleinerer Banken.

Wie konnte es dann zu einem erfolgreichen Angriff wie im Fall von Capital One kommen? Es war die Fehlkonfiguration einer Firewall, die den Hack im März ermöglichte, ohne dass er auffiel. Die Angeklagte war vor einigen Jahren bei Amazon beschäftigt und hat laut ihrem Lebenslauf damals auch im Cloud-Bereich gearbeitet. Amazon verweist allerdings darauf, dass die Fehlkonfiguration nicht in der Cloud-Infrastruktur Amazons, sondern in der dort von der Bank installierten Software passiert sei.

Das wäre nach Einschätzung der IT-Sicherheitsfirma Palo Alto Networks nicht untypisch: „Ein Mangel an grundlegendem Sicherheitswissen und Fehler auf Kundenseite“ seien die häufigsten Gründe für Sicherheitsprobleme, warnen die Experten in einem Bericht. Zwei Drittel aller Vorfälle seien auf Fehlkonfigurationen zurückzuführen.

PwC-Partner Billeb sieht in diesem Zusammenhang Bedrohungspotenzial durch Missverständnisse bei der operativen Aufgabenteilung zwischen Cloud-Anbietern und Kunden: „Es muss von Anfang an klar geregelt sein, wer für welche Sicherheitsvorkehrungen verantwortlich ist, der Kunde oder der Anbieter“, betont Billeb.

Hier sieht auch Christian Tölkes, Managing Director beim Berater Accenture, eine Gefahr. „Die Banken müssen verstehen, dass sich die Bedrohungslage ändert, wenn sie Services in die Cloud auslagern.“ Auf absehbare Zeit würden auch nicht alle IT-Services in der Cloud laufen, sondern konzerninterne IT und Cloud-Services koexistieren, was einen komplexen und aufwendigen Abstimmungsprozess nach sich ziehe.

„Nur weil Sicherheitsmaßnahmen innerhalb eines Konzerns funktionieren, heißt das nicht, dass sie auch mit einer Cloud-Lösung kompatibel sind“, betont Tölkes. Das gelte nicht nur für Firewalls, sondern auch für Zugangsberechtigungen und insbesondere für die Überwachung.

Menschliches Versagen

„Am besten wäre es, die Dateien verschlüsselt in der Cloud abzulegen“, meint Michael Herfert, der beim Fraunhofer-Institut SIT den Bereich Cloud-Computing leitet. Das sei bei vielen Diensten jedoch nicht möglich. Wenn Entwickler etwa Daten auswerten wollen, müssen sie die Berechnungen im Klartext vornehmen. Verfahren, um die Vertraulichkeit der Daten von vornherein zu schützen, sind noch nicht reif.

Arno Walter, Chef der Direktbank Comdirect, bringt einen weiteren Punkt ins Spiel, der im Fall Capital One eine Rolle gespielt haben könnte: menschliches Versagen. Die Institute müssten ‧sicherstellen, dass ausgeschiedene Mitarbeiter keinen Zugriff mehr auf das System bekommen können. Comdirect selbst betreibt ein eigenes Rechenzentrum und setzt für die originären Bankgeschäfte noch keine Cloud-Computing-Dienste ein.

Walter befürchtet nicht, dass der Hack in Nordamerika den Einsatz von Cloud-Diensten in der Finanzbranche grundsätzlich in Verruf bringt. Gravierende Auswirkungen des aktuellen Falls halte er für unwahrscheinlich. „Natürlich müssen Banken alles dafür tun, um Hackerangriffe zu unterbinden“, betont Walter.

Das bedeute jedoch nicht, dass Banken auf den Einsatz von Cloud-Diensten grundsätzlich verzichten müssten. „Die Nutzung einer Private Cloud sollte grundsätzlich so sicher sein wie der Betrieb eines konventionellen Rechenzentrums, wenn die nötigen Schutzmechanismen eingehalten werden“, meint der Banker.

US-Regulierer werden aktiv

Auch die US-Notenbank Federal Reserve ist sensibilisiert. Aufseher der Fed hätten im Frühjahr, in etwa zur gleichen Zeit zu der der Capital One-Hack passierte, zufällig ein Datenzentrum von Amazon im US-Bundesstaat Virginia besucht, berichtete das „Wall Street Journal“ am Donnerstag.

Die Aufseher haben sich ein Bild davon machen wollen, wie robust Amazons Systeme sind und ob es ausreichend Sicherungssysteme gibt, hieß es. Die Fed darf nur Banken regulieren, nicht jedoch deren Dienstleister. Allerdings haben die Aufseher in bestimmten Fällen das Recht, sich Cloud-Anbieter und andere Dienstleister genauer anzusehen.

Bei der Inspektion im Frühjahr hätten sich die Regulierer bestimmte Daten auf Amazon-Laptops angesehen, jedoch keine Informationen mitnehmen dürfen, heißt es in dem Bericht. Die Fed wollt sich dazu nicht äußern.