Datensicherheit in der Finanzindustrie: Bafin warnt vor IT-Risiken

Berlin taz | Cyberangriffe und IT-Fehler werden zu einem zunehmenden Risiko für den Finanzsektor. Das ist eines der Ergebnisse des Risiken-Jahresberichts, den die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) am Dienstag vorgestellt hat. „Hausgemachte IT-Pannen oder eine Cyberattacke können gravierende Folgen haben, die weit über das unmittelbar betroffene Unternehmen hinausreichen“, sagte Bafin-Chef Mark Branson.

Die Digitalisierung schaffe neue Abhängigkeiten – das gelte auch und insbesondere für die Finanzbranche. So skizziert der Bericht, dass zahlreiche Unternehmen der Branche ihre IT oder Teile davon an externe Firmen auslagerten. Die Absicht ist dabei häufig, Geld zu sparen, und die Hoffnung, sich nicht weiter um die IT kümmern zu müssen. „Aber die zunehmende Verflechtung und vor allem Konzentrationen bei den IT-Dienstleistern können den Finanzsektor verwundbarer machen“, heißt es in dem Bericht.

In Deutschland seien einige wenige spezialisierte IT-Dienstleister für einen Großteil der Kreditinstitute tätig, in der Versicherungsbranche sei es ähnlich. „Kommt es bei einem dieser Mehrmandanten-Dienstleister zu Störungen, bricht sofort Nervosität im System aus“, warnte Branson. Problematisch sei dies vor allem bei Prozessen, von denen Banken und Versicherer besonders abhängig seien – etwa die Zahlungsabwicklung.

Illustrieren lässt sich das gut mit einem Fall, der vor zweieinhalb Jahren für zahlreiche Probleme sorgte: Ein Angriff auf einen US-IT-Dienstleister, dessen Produkte vor allem von kleinen und mittelständischen Unternehmen eingesetzt werden, führte dazu, dass in mehreren auch europäischen Ländern unter anderem Zahlungsdienste ausfielen.

So mussten zahlreiche Supermärkte in Schweden schließen, weil es nicht mehr möglich war zu bezahlen, auch eine schwedische Apothekenkette war betroffen. IT-Sicherheitsexpert:innen prognostizierten bereits damals, dass derartige Kettenreaktionen in Zukunft häufiger auftreten werden, wenn nicht gegengesteuert werde.

Welle von Attacken mit Ransomware

Zuletzt war Ende vergangenen Jahres eine massive Welle von Attacken mit Ransomware – das ist eine Form von Erpressungssoftware – bekannt geworden. Betroffen waren damals internationale Firmen, etwa Häfen in Australien, genauso wie Unternehmen in Deutschland. Angriffe meldeten unter anderem die Uniklinik Frankfurt, der kommunale Dienstleister Südwestfalen-IT und die Targobank. Längst sind nicht alle Schäden wieder beseitigt.

Als Konsequenz aus der neuen Risikobewertung für den Finanzsektor hat die Bafin angekündigt, unter anderem bei dem Auslagern von IT-Dienstleistungen genauer hinzuschauen. So soll unter anderem ermittelt werden, welche Dienstleister für welche Unternehmen tätig sind. In der Vergangenheit lag der Fokus auf neue Auslagerungen, nun sollen auch bestehende untersucht werden.

Zu den weiteren Risiken für die Branche zählt die Aufsichtsbehörde die Folgen starker Zinsanstiege, Kreditausfälle bei Unternehmen sowie mögliche Folgen einer unzureichende Geldwäsche-Prävention. Darüber hinaus „Korrekturen“, also bestimmte Veränderungen, an den Immobilienmärkten und den internationalen Finanzmärkten – etwa Insolvenzen, die dazu führen könnten, dass eine deutliche Zahl von Krediten nicht bedient werden kann.