DDoS-Attacken: Banken unter starkem Beschuss

Von Ralf Keuper

Die Banken genießen in Fragen der Datensicherheit großes Vertrauen bei den Kunden. Eigentlich ist es das einzig verbliebene Alleinstellungsmerkmal gegenüber den großen häufig als BigTech bezeichneten Technologiekonzernen wie Google oder Amazon (Vgl. dazu: Banks best Big Tech on trust, but not much else). In den letzten Jahren ist ein Anstieg von Cyberangriffen auf Banken zu beobachten. Ein Schwerpunkt sind die sog. DDoS-Attacken, welche die Systeme der Banken und Unternehmen lahmlegen können (Vgl. dazu: 20 Jahre Internetwaffe DDoS. Attacken mit immer größerer Wucht & Einmaleins der Denial-of-Service-Angriffe: Was ist das?). In seinem jährlichen Bundeslagebericht für das Jahr 2018 attestierte das Bundesamt für Sicherheit in der Informationstechnik eine hohe Bedrohung durch DDoS-Angriffe. Zu einem ähnlichen Ergebnis kam Bundeskriminalamt (BKA) im Bundeslagebild Cybercrime 2017. Demnach repräsentierten DDoS-Attacken die größte Anzahl unter den Cyberangriffen (Vgl. dazu: DDoS-Angriffe nehmen weiter Fahrt auf). Einige Marktteilnehmer sehen in der PSD2 einen weiteren Beschleuniger der Entwicklung (Vgl. dazu: PSD2 öffnet weitere Türen: die Risiken von Open Banking).

Die bislang größten Systemausfälle bei Banken ereigneten sich im Jahr 2017 als die Lloyds Bank, Halifax und Bank of Scotland über einen längeren Zeitraum für ihre Kunden online nicht mehr zu erreichen waren. Im Januar 2018 waren die drei größten Banken der Niederlande das Ziel von DDoS-Attacken (Vgl. dazu: DDoS-kritische Zeiten für Banken).

Der finanzielle Schaden eines DDoS-Angriffs beläuft sich für Banken auf durchschnittlich 1.754.000 US-Dollar; ganz abgesehen von dem Schaden für die Reputation (Vgl. dazu: So viel Schaden richtet eine DDoS-Attacke auf ein Finanzinstitut an). Für die Finanzinstitute ist es daher von großer Bedeutung, DDoS-Attacken frühzeitig zu erkennen (Vgl. dazu: So schützen sich Finanz­institute vor DDoS-Attacken). Der US-amerikanische Federal Financial Institutions Examination Council (FFIEC) verlangt, dass Banken und ähnliche Institute, die von der US-Bundesregierung reguliert werden, ihre Netzwerke regelmäßig auf DDoS-Angriffe überwachen (Vgl. dazu: Schutz von Finanzinstituten vor DDoS-Angriffen).

Im Jahr 2015 veröffentlichte das BSI die KRITIS-Sektorstudie
Finanz- und Versicherungswesen
. Darin nennen die Autoren einige Schwachpunkte der Bankeninfrastruktur. Dazu zählen Legacy-Systeme (Handlungsempfehlung: Legacy Systeme sollten durch moderne, den Sicherheitsanforderungen genügende Systeme ersetzt werden), mangelnde Diversität bei Hardware und Software sowie die Abhängigkeit von Weiterverkehrsnetzen und Providern (Handlungsempfehlung: Institutionen im Finanzsektor sollten sich auf verschiedene Provider mit im Idealfall disjunkter Infrastruktur abstützen). Weiterhin stellte der Bericht eine Konzentration bei den IT-Dienstleistern der Banken und Sparkassen fest.

In den letzten Jahren ist es in einigen Bereichen insbesondere in der Branche Kreditinstitute zu erheblichen Konzentrationen bei den Dienstleistern gekommen. Zu nennen sind hier die Bereiche der Sparkassen und der Volks- und Raiffeisenbanken, in denen es jeweils nur noch einen nennenswerten IT-Dienstleister gibt. Da diese Dienstleister nicht nur für den Betrieb der Systeme, sondern auch für die Entwicklung der Anwendungen zuständig sind, wirken sich Fehler und Ausfälle bei einem Dienstleister immer direkt auf eine große Anzahl von Instituten des jeweiligen Bereichs aus.

Die jüngsten Ausfälle bei der DKB und der dwp sind nach übereinstimmenden Berichten auf Probleme bei dem betreffenden IT-Dienstleister, der FI-TS, einer Tochter der Finanz Informatik, zurückzuführen. Insgesamt hat die Abhängigkeit der Banken von wenigen IT-Dienstleistern und Providern seit 2015 eher noch zu- als abgenommen (Vgl. dazu: Wie abhängig sind die europäischen Banken von Cloudflare, Akamai & Co. ?). Die digitale Souveränität der Banken nimmt weiter ab. Ohne die Unterstützung externer Lösungsanbieter, darunter auch BigTechs wie Amazon, sind die Banken künftig wohl kaum noch in der Lage, ihre Systeme halbwegs stabil und sicher zu halten.

Dieser Beitrag wurde unter Bank-IT, Banking, Cybersecurity veröffentlicht. Setze ein Lesezeichen auf den Permalink.