SPIEGEL ONLINE

SPIEGEL ONLINE

20. November 2018, 16:26 Uhr

Kritik des BaFin-Chefs

Banken schützen sich nicht gut genug gegen Cyberangriffe

IT-Sicherheit müsse in Banken "Chefsache" sein: Das fordert der Präsident der BaFin. Seine Aufsichtsbehörde könnte in Zukunft auch Cyber-Stresstests durchführen.

Viele deutsche Banken und Sparkassen tun nach Ansicht der Aufsichtsbehörde BaFin zu wenig für ihre IT-Sicherheit. Zwar müsse man davon ausgehen, dass fast täglich ein Hackerangriff auf eine deutsche Bank verübt werde. Dennoch würden immer noch nicht alle Institute genügend Geld in die Hand nehmen, um Cyberangriffe festzustellen und Bedrohungen zu erkennen, bevor es zu spät sei, kritisierte BaFin-Präsident Felix Hufeld am Dienstag in Frankfurt. "Außerdem lässt auch das Management von Cyberrisiken in vielen Fällen zu wünschen übrig."

Zu häufig werde das Risiko eines Angriffs auf die IT in den Vorstandsetagen der Banken nicht ausreichend ernst genommen, beklagte der oberste deutsche Finanzaufseher, der IT-Sicherheit als "Chefsache" betrachtet und sich dem Thema nicht zum ersten Mal widmet.

Das Bewusstsein für das Thema IT-Sicherheit müsse steigen, sagte Hufeld - "auch für Risiken, die bei der Auslagerung oder dem Bezug von IT-Dienstleistungen entstehen". Zwar ließen sich - Stichwort: Cloud - inzwischen viele IT-Aufgaben auslagern. Die Verantwortung für die Sicherheit der Computersysteme jedoch nicht, betonte Hufeld: "Die verbleibt, ich sage es noch einmal, bei der Geschäftsleitung".

BaFin plant Cyber-Stresstests

Gemeinsam mit der Bundesbank will die BaFin den deutschen Finanzsektor bald auch in punkto IT-Sicherheit prüfen. Dafür seien auch Cyber-Stresstests angedacht, sagte Hufeld. Von einer Cyberattacke könnte im schlimmsten Fall nicht nur ein einzelnes Institut, sondern die Stabilität des gesamten Finanzsystems betroffen sein, so Hufeld: "Auf solche Szenarien müssen wir vorbereitet sein, die Institute ebenso wie wir als Aufsichtsbehörden."

Die IT vieler Banken in Deutschland gilt als veraltet, selbst die größten Institute wie Deutsche Bank und Commerzbank haben immer wieder mit Problemen zu kämpfen. Wie die "Börsen-Zeitung" am Dienstag unter Berufung auf den zuständigen Bereichsvorstand Jochen Sutor berichtet, scheut die Commerzbank zum Beispiel die Investitionen, um eine von zwei parallel laufenden IT-Plattformen abzuschalten.

Die Anfälligkeit gegenüber Hackerangriffen sei hoch, heißt es: Seit 2017 sind der BaFin laut Hufeld 420 Sicherheitsvorfälle gemeldet worden - ein Drittel davon waren der Behörde zufolge "sogar mittelschwere und schwere Vorfälle". Bislang habe es allerdings zum Glück nur wenige erfolgreiche Angriffe auf die Banken-IT gegeben. Der Löwenanteil der gemeldeten Vorfälle sei "auf hausinterne Schwächen" zurückzuführen.

Im Video: Cyber-Angriffe in der Industrie

mbö/Reuters

URL:


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung