Cyber-Kriminalität – Gefahr aus dem Netz
FRANKFURT — Die Digitalisierung in der Finanzbranche nimmt zu – und öffnet Kriminellen die Tore. Knapp zweimal pro Woche werden Geldinstitute von Hackern angegriffen. Schäden gehen meist in die Millionen. Abhilfe schaffen umfangreiche Sicherheitsmaßnahmen und im Ernstfall eine Taskforce mit Notfallplan. Von Ronny Kohl
Die Fälle von Cyber-Kriminalität mehren sich, die Finanzbranche ist alarmiert. Server werden gehackt, Webseiten gekapert und nachgebaut. Immer öfter werden Unternehmen Opfer eines professionellen Identitätsdiebstahls. Für Asset-Manager, die solcherart ungewollt in die Schlagzeilen geraten, ist das sehr unangenehm. Überdies dürften inzwischen auch viele Investoren verunsichert sein, denn vor den Angriffen von Cyber-Kriminellen ist niemand gefeit.
Der deutsche Fondsverband BVI etwa beschäftigt sich bereits seit mehr als zwei Jahren mit dem Thema Cyber-Sicherheit. Seit Juni dieses Jahres bietet er seinen Mitgliedsgesellschaften auch spezielle Sicherheitstrainings an, um über die derzeit gefährlichsten Methoden wie Social Engineering und Schad-Software bei E-Mails zu informieren und über Themen wie den richtigen Passwortschutz, die Authentifizierung und das Surfen an öffentlichen Plätzen aufzuklären. Und das ganz sicher nicht ohne Grund.
Einer Gemeinschaftsstudie des Ponemon Institutes und der Beratungsgesellschaft Accenture zufolge sind die Sicherheitsverletzungen bei Unternehmen im vergangenen Jahr im Durchschnitt um mehr als 27 Prozent gegenüber 2016 von 102 auf 130 jährlich angestiegen. Die Untersuchung bezieht sich auf 2182 Interviews in 254 Unternehmen in sieben Ländern (Australien, Deutschland, Frankreich, Großbritannien, Italien, Japan und USA).
Risiko für Asset Manager
Die Kosten, die den Unternehmen im Zusammenhang mit den Angriffen entstanden sind, beziffert die Studie im Durchschnitt mit 11,7 Millionen Dollar. Ob die Zahlen repräsentativ sind und die genannte Schadenshöhe angemessen, lässt sich nur schwer sagen. Womöglich sind die tatsächlichen Kosten noch deutlich höher, denn einerseits werden viele Angriffe erst nach einiger Zeit oder gar nicht entdeckt und andererseits lassen sich Reputationsschäden nur schwer quantifizieren, wie Caroline Krohn betont. Sie ist Geschäftsführende Gesellschafterin der Vindler GmbH aus dem nordhessischen Braunfels, die IT-Sicherheitsberatung anbietet. Sie weiß zu berichten, dass es in Hackerkreisen nur zwei Arten von Unternehmen gibt: Solche, die bereits gehackt wurden, und solche, die es noch nicht wissen. Das macht deutlich, wie wichtig Prävention ist.
Die Informationsverarbeitung in Unternehmen ist inzwischen zu deren „Nervenkostüm“ geworden, wie es Experten formulieren. Wenn hier Störungen auftreten, kann die gesamte Unternehmenstätigkeit zum Stillstand kommen, sensible Kundendaten können gestohlen werden, sodass wesentliche Unternehmenswerte verloren gehen. Unter dem Strich können solche Schäden existenzbedrohend werden. Das gilt auch für Asset-Manager.
Die zunehmende Digitalisierung in der Finanzbranche öffnet zugleich auch Eingangstore für verbrecherische Aktionen. „Die Bankenlandschaft befindet sich im Umbruch“, betonen die Experten von Accenture Security. Dabei rücke ein Schlüssel-Asset in den Mittelpunkt: „Vertrauen als neue Währung des Bankgeschäfts der Zukunft.“ Accenture hat eine Befragung unter 2000 Führungskräften durchgeführt, davon 275 Sicherheitsbeauftragte. Das Ergebnis ist mehr als erschreckend. Demnach ist jedes Geldinstitut pro Jahr im Durchschnitt 85 zielgerichteten Attacken ausgesetzt, wobei mitunter bis zu zwölf Monate vergehen, bis die Attacken bemerkt werden. Zugleich berichten die Accenture-Berater, dass in etwa jeder dritte zielgerichtete Angriff erfolgreich sei. Dessen ungeachtet gehen der Umfrage zufolge 78 Prozent der Befragten davon aus, dass Cyberangriffe durch vorhandene Technologien, Prozesse und Mitarbeiter wirksam verhindert werden können.
Diese Zuversicht basiert nach Meinung von Caroline Krohn vor allem auf dem Fakt, „dass jede/r von uns deutlich zu wenig über Sicherheit in der digitalen Welt weiß“. Die wenigsten Unternehmen würden ihre Mitarbeiter sachgerecht trainieren und oft auch nicht verstehen, dass die sogenannte „Sicherheitshygiene“ nicht mit dem Ende des Arbeitstags und dem Verlassen des Arbeitsplatzes aufhört: „Eine Mündigkeit im Umgang mit digitaler Infrastruktur bei jedem einzelnen Menschen würde das Netz und damit die Unternehmen insgesamt sicherer machen!“
Sicherheit auf allen Ebenen
Ein Mehr an Sicherheit fängt im Kleinen an, in dem die User sich mehr Mühe mit sicheren Passwörtern geben und diese dann auch nicht mit Post-it‘s an ihren Monitor kleben. Viele Computer- oder Handy-Nutzer verwenden noch immer überhaupt kein Passwort, oder sehr leicht zu knackende – wie Geburtstage, schlichte Ziffernfolgen wie „1234“ oder Buchstabenkombinationen auf der Tastatur wie „QWERTZ“. Aber auch viele Unternehmen seien noch immer allzu sorglos, wie Krohn aus Erfahrung weiß. „Ein Unternehmen ist immer so sicher wie sein schwächstes Glied“, sagt sie. Und das müssten nicht zwangsläufig Mitarbeiter aus den unteren Hierarchien sein. Im Gegenteil gäbe es Dutzende Fälle, in denen Vorstandsmitglieder etwa auf Phishingmails hereingefallen seien.
Gravierender noch sei, dass nicht wenige Unternehmen es jahrzehntelang verpasst hätten, die Daten ihrer Nutzer angemessen zu schützen, wie Krohn beklagt. Namhafte Beispiele seien der digitale Einbruch bei Linkedin, bei dem im Jahr 2012 nicht nur Nutzerdaten inklusive Firmeninformationen abgeschöpft wurden, sondern auch die Passwörter in Klartext. Oder der Fall Equifax in den USA, bei dem neben personbezogenen Daten, die in großen Teilen ohne Erlaubnis der Inhaber der Daten gesammelt worden seien, auch Kreditkartendetails, Kreditratings und Sozialversicherungsnummern in die Öffentlichkeit gelangten. „Mit diesen Daten lassen sich Personen sehr leicht rekonstruieren“, gibt Krohn ein warnendes Beispiel. Versicherungen gegen Identitätsdiebstahl hätten in westlichen Märkten bereits Konjunktur, sagt sie.
Damit es möglichst gar nicht so weit kommt, gäbe es zur sogenannten Built-in-Security, also den von vornherein miteingeplanten Sicherheitssystemen, als Alternative nur, nachträglich in Sicherheit zu investieren. „Das ist natürlich umständlicher und teurer, als von Anfang an sicher zu planen“, betont sie. Hierzu gehöre neben dem Aufbau der notwendigen Technik auch die Governance, „in der die Aufbau- und Ablauforganisation auf sicheren Umgang mit digitaler Infrastruktur und Daten geeicht werden“. Dies umfasse auch umfassende und kontinuierliche Sensibilisierungskampagnen und Schulungen – und das alles möglichst, bevor der Ernstfall eingetreten ist.
Was aber, wenn ein Asset-Manager feststellt, dass seine Systeme trotz allem gehackt wurden? „Dann gilt es, zuallererst die Sicherheitsbehörden zu informieren und dann den Krisenstab für den Notfallplan einzuberufen“, rät Krohn. Dabei sei es unerlässlich, Notfallplan und Krisenstab schon beizeiten festzulegen, „denn wenn eine Katastrophe ins Haus steht, ist Improvisation meist ein Brandbeschleuniger“. Entsprechend das Fazit von Accenture Security: „Nur Institute, die ihnen anvertraute Kunden- und Finanzinformationen schützen und den sicheren Geschäftsbetrieb für Ihre Kunden und Geschäftspartner garantieren können, werden zukünftig erfolgreich sein.“
Erste Hilfe:
Was tun, wenn ein Cyberangriff bemerkt wird?
Betroffene Unternehmen sollten zuerst die Sicherheitsbehörden informieren und dann sofort eine Taskforce für die Koordination der sogenannten Incident Response, des Notfallplans, einrichten. Die Taskforce sollte aus IT- und Sicherheitsexperten, Anwälten, dem Vorstand und Kommunikatoren bestehen und ebenso schnell wie besonnen Entscheidungen treffen, wie vorzugehen ist. Der eine Krisenstrang sollte sich dann mit der technischen Eindämmung der Gefahr befassen; die Kommunikatoren wiederum müssen sämtlichen Betroffenen in einem angemessenen Zeitraum entsprechend transparent Informationen zukommen lassen.
Aber Achtung: Notfallplan und Taskforce müssen lange vor einem Vorfall festgelegt und geübt werden. Wenn erst der Ernstfall eingetreten ist, wirkt Improvisation meist wie ein Brandbeschleuniger.
Hinweis: Dieser Beitrag ist zuerst erschienen in TiAM – Trends im Asset Management 03/2018