Verschlüsseltes Geld

Cyber-Kriminellen geht es vor allem um Geld. Daher haben sie Branchen im Visier, wo besonders viel zu holen ist. Die Finanzindustrie – ohnehin schon eines der beliebtesten Angriffsziele – muss sich künftig noch besser schützen.
Illustration: Chiara Lanzieri
Illustration: Chiara Lanzieri
Julia Thiem Redaktion

Bankraub, Überfälle, Betrug – Kriminalität hat meist ein klares Ziel: Geld. Daran hat sich mit der „Verlagerung“ krimineller Aktivitäten in das World Wide Web nichts geändert. Egal ob bei einem Denial of Service-, Man in the Middle-, Phishing- oder Spear-Phishing-Angriff, immer geht es um Geld, das entweder erpresserisch, räuberisch oder mit der lukrativen Weitergabe von Daten den Weg zu den Cyber-Kriminellen findet. Und weil Geld eben auch für Internetdiebe die treibende Kraft ist, verwundert es nicht weiter, dass die Finanzindustrie eines der beliebtesten Angriffsziele von Hackern ist.

Die US-Zeitschrift Forbes rechnet vor, dass 35 Prozent aller Datenpannen die Finanzdienstleistungsindustrie betreffen. In Großbritannien waren laut einer Umfrage des Marktforschers Vanson Bourne von 100 Entscheidungsträgern der Finanzindustrie 70 von einem Sicherheitsvorfall in den letzten zwölf Monaten betroffen. Und die Boston Consulting Group hat bereits 2019 in einem Report davor gewarnt, dass Finanzdienstleister eine 300 Mal höhere Wahrscheinlichkeit hätten, Opfer eines Cyber-Angriffs zu werden als andere Unternehmen.

Allerdings gehört die Finanzbranche gleichzeitig zu den am stärksten regulierten Branchen. Es gibt sowohl auf nationaler als auch internationaler Ebene, beispielsweise durch Vorgaben der EU, klare Regeln für die eigene Compliance, den Umgang mit der Identität und Authentifikation der Kunden sowie der IT-Sicherheit. Das bestätigt auch Kai Rannenberg in einem Gespräch mit der Deutschen Presse-Agentur. Er ist der Koordinator der europäischen Sicherheitsinitiative CyberSec4Europe und betont: „In der Wirtschaft sind Versicherungen und Banken in Sachen IT-Sicherheit besser aufgestellt als der Durchschnitt der Unternehmen.“

Ob das allerdings auch für die Zukunft reicht, ist fraglich. Rannenberg ist außerdem Professor für IT-Sicherheit mobiler und vernetzter Geräte an der Frankfurter Goethe-Universität. Er betont, wie wichtig der Faktor Mensch im Kampf gegen die wachsende Cyber-Kriminalität ist, und fordert eine bessere Berufsausbildung gegen Cyber-Attacken: „Es gibt bereits Standards zu den Mindestanforderungen an die Berufsausbildung, aber es gibt keine Festlegung, was Mitarbeiter wissen müssen, um sich an einen Rechner zu setzen.“

Rannenberg spricht hier einen, gerade für die Finanzindustrie mit ihren hohen Sicherheitsstandards, wichtigen Punkt an. Denn überall dort, wo Angreifer dank Firewall, Virenscanner und anderer IT-Sicherheitssoftware nicht weiterkommen, zielen sie auf das schwächste Glied, den Menschen.

Illustration: Chiara Lanzieri
Illustration: Chiara Lanzieri

So haben aktuell die Experten der Jamf Threat Labs für ihren jährlichen IT-Sicherheitsreport 500.000 mobile Geräte untersucht. Demnach haben sechs Prozent der Unternehmen im vergangenen Jahr Malware-Installationen auf einem mobilen Gerät verzeichnet, wovon jedes vierte komprimierte Geräten weiterhin Zugriff auf E-Mail-Dienste hatte – und das ist der entscheidende Punkt. Hackern reicht ein einziges komprimiertes Gerät, wenn dieses weiterhin Zugriff auf den Cloud-Speicher, das CRM-System oder den Unternehmensserver hat. Das durch Corona noch einmal verstärkte mobile Arbeiten erfordert also eine ganz neue Sicherheitsstrategie. Weitergedacht unterstreichen die Erkenntnisse des Jamf-Reports, wie hoch das Risiko der mobilen Nutzung von Finanzdienstleistungen ist. Und die erfreuen sich aktuell großer Beliebtheit. Mit einem Konto bei einer „All-Digital-Neo-Bank“ und dem Depot bei einem der aufstrebenden digitalen Trading-Plattformen werden Finanzgeschäfte in der Abwicklung zwar unkomplizierter, allerdings nur im Trade-off mit einem höheren Sicherheitsrisiko. Daher gilt es, hier auch genau hinzuschauen, wo ein Konto oder ein Depot eröffnet wird. Denn die komplett digitale Abwicklung ist für die Bank, den Vermögensverwalter oder einen anderen Finanzdienstleister immer mit einem deutlich höheren IT-Sicherheitsaufwand verbunden.

Bedrohungen kommen jedoch auch noch aus einer ganz anderen Richtung: Kriege. In Folge des Konfliktes zwischen Russland und der Ukraine kam es nun als Sanktion zum russischen SWIFT-Ausschluss. Deshalb rechnet man in den USA einem Medienbericht von Reuters zufolge bereits mit gezielten Angriffen auf westliche Finanzinstitute. „Russland wird Vergeltungsmaßnahmen ergreifen und ich gehe davon aus, dass sie auf die am wenigsten kostspielige Art erfolgen werden – also als eine Art Cyber-Attacke“, wird Steven Schweitzer, Senior Fixed Income Portfolio Manager der Swarthmore Gruppe in New York, von Reuters zitiert.

Und dann sind da noch die Quantencomputer. Die Boston Consulting Group beruft sich in einem Paper aus dem vergangenen Jahr auf einen der Gründer des Instituts für Quantum Computing der University of Waterloo, Michele Mosca. Er glaubt, die Chancen, dass ein Quantencomputer bereits 2026 die RSA-2048-Verschlüsselung – den heutigen Goldstandard für die Public-Key-Verschlüsselung – knacken kann, stünden bei eins zu sieben. Bis 2031 sei diese Chance schon auf 50:50 gestiegen. Um das einmal ins Verhältnis zu setzen: 4,5 Milliarden Internet-User sowie 20 Prozent und mehr Applikationen nutzen die Public-Key-Verschlüsselung.

IT-Sicherheit bleibt für die Finanzwelt also weiterhin ein Wettrüsten, auf das man sich allerdings auch vorbereitet. Führende europäische Finanzinstitute, darunter die Deutsche Börse oder die Commerzbank, haben im vergangenen Jahr eine Initiative gestartet, um Cloud-Anwendungen innerhalb der gesamten europäischen Finanzbranche zeitnah sicher und langfristig einsetzen zu können. Ziel der European Cloud User Coalition ist es, gemeinsame Sicherheitsstandards und Best Practices für Finanzakteure zu vereinbaren. Und die österreichische Raiffeisen Bank geht sogar mit einem eigenen Quantum-Computing-Projekt an den Start. Vjekoslav Bonic, Geschäftsführer des Group AI Lab der Raiffeisen Bank International und Head of Digital Channel Interactions & AI, sagt dazu in einem Interview mit dem IT Finanzmagazin: „Cyber-Sicherheit hat für uns eine sehr hohe Priorität, daher beschäftigen wir uns bereits jetzt mit Quantum Encryption beziehungsweise neuen Verschlüsselungsverfahren.“

Nächster Artikel