Angst vor Systemabsturz – Hackertest für Europas Banken

Die Gefahr von Hackerangriffen auf Europas Banken ist in den vergangenen Jahren gewachsen. Daher hat die Europäische Zentralbank (EZB) zu Jahresbeginn einen Fragenkatalog mit 476 Fragen an rund 100 Bankhäuser in Europa verschickt. Mit diesem Fragenkatalog möchte die Zentralbank prüfen, welche Folgen ein gelungener Hackerangriff auf eine der großen Banken und IT-Dienstleister der Branche haben könnte.

Die EZB möchte herausfinden, was bei einem Hackerangriff passieren würde. Könnten die Banken in so einem Fall Geld auszahlen, überweisen oder abbuchen? Wie schnell wäre die Bank in der Lage, betroffene Systeme wieder hochzufahren oder zu ersetzen?

Hackerangriff kann Super-GAU werden

Ein Hackerangriff, wie ihn die EZB im Moment testet, könnte im Ernstfall ein ziemlicher Super-GAU für die Finanzbranche sein. Die gesamte Volkswirtschaft wäre von so einem Horrorszenarium betroffen. „Die Gefahr von Cyberangriffen steigt, die Abhängigkeiten von einigen großen IT-Dienstleistern wachsen“, warnte Mark Branson, der Chef der deutschen Finanzaufsicht BaFin im neuesten Risiko-Bericht seiner Behörde.

Ein Hackerangriff auf die Systeme einer wichtigen Bank kann viele unangenehme Folgen haben. Schnell geht nichts mehr. Unternehmen können dann keine Rechnungen oder Löhne bezahlen. Vermieter erhalten ihre Miete nicht mehr. Internationale Zahlungsströme erliegen plötzlich. Daher ist ein Hackerangriff für die Bankenaufsicht ein ernst zu nehmender Katastrophenfall: Wie ein Dominostein könnte plötzlich ein Stein nach dem anderen im System fallen. Aus Sicht der EZB ist es wichtig, auf einen solchen Fall bestmöglich vorbereitet zu sein.

Banken kann es schnell an die Existenz gehen

Im Bericht der BaFin schildert die Behörde einen Fall aus den USA, der die Auswirkungen aufzeigen soll. Anfang November war die „ICBC Financial Services“, eine US-Tochter der chinesischen Bank ICBC, einer Erpresserattacke der Hackergruppe Lockbit zum Opfer gefallen. Die Bank ist klein, doch der Angriff hatte Auswirkungen weit über sie hinaus. Da die Bank als Clearingstelle für den Handel mit US-Schatzbriefen diente, kam dieser teilweise zum Erliegen. Nur kurzfristig, doch andere Banken konnten nicht mehr nachvollziehen, wie viele Papiere sie halten und wie groß die Risiken in den eigenen Büchern waren. Im Wertpapierhandel ist das ein großes Problem.

Wenn Banken ihre Risikopositionen nicht mehr kennen, geht das schnell an die Existenz, da keiner mehr die Zahlungsfähigkeit des Hauses einschätzen kann. Ein solches Desaster im Kernbankensystem ist der größte anzunehmende Ernstfall für jeden Bankenaufseher.

Mit dem Stresstest möchte die EZB herausfinden, welche Abhängigkeiten es im europäischen Bankensystem gebe, sagt Dominik Bredel von Kyndryl, einem der größten IT-Dienstleister für deutsche Banken in der „Welt“. „Es handelt sich nicht um einen echten technischen Angriff, sondern um ein fiktives Szenario: Was wäre, wenn ein Angreifer im Kernbankensystem oder bei einem Dienstleister Daten verändert oder löscht.“ Daher fragt die EZB die Banken sehr detailliert ab, wie oft die Banken etwa die Integrität ihrer Daten in ihren Systemen überprüfen, welche Abhängigkeiten zwischen den Servern der Bank und denen bei verschiedenen Dienstleistern bestehen.

Systemrelevante Dienstleister herausfinden

Konkret möchten die Aufseher dabei feststellen, welche Dienstleister eventuell systemrelevant sind, weil sie grenzübergreifend für mehrere Banken im EZB-Bereich tätig sind. Kyndryl etwa fällt in genau diese Kategorie. Fällt ein solcher Dienstleister aus, dann ist das wie ein Verkehrsknotenpunkt, auf dem ein Stau für Stillstand sorgt. Hält so ein Stillstand über Stunden, Tage oder sogar Wochen an, dann entsteht schnell ein großes Chaos.

Bis Ende Februar möchte die EZB Antworten von den Banken erhalten. Ende Januar mussten sie schon den ersten Zwischenstand liefern. Bei der Prüfung der Antworten achten die EZB-Aufseher laut einem Beteiligten darauf, ob Dienstleister und Banken zueinander passende Antworten liefern.

Wenn eine Seite beispielsweise versichert, man könne die Daten innerhalb von 24 Stunden wieder herstellen, die andere Seite aber einen deutlich längeren Zeitraum angibt, dann werden die Aufseher hellhörig. „Das ist kein bloßes Compliance-Theater, die Hürden liegen da relativ hoch“, erzählt ein Experte, der mehrere Banken betreut, gegenüber der „Welt“.

Realem Stresstest unterzogen

Parallel zu den Fragebögen werden gerade 28 Institute in der EU, darunter sind auch mehrere deutsche Banken, einem realen Stresstest unterzogen. Im März bekommen diese Banken eine Woche lang Besuch von der EZB. In dieser Zeit werden sie dann auf Herz und Nieren geprüft. Sie müssen vorführen, dass sie ein Back-up ihrer Daten auf einem Testsystem zum Laufen bringen können. „Das fiktive, aber realitätsnahe Szenario der EZB ist, dass das Kernbankensystem nicht mehr verfügbar ist und zudem Hacker die Daten verschlüsselt haben“, erklärt Peter Härtlein von der Wirtschaftsprüfungsgesellschaft KPMG. „Dann wird geprüft: Wie viel Zeit vergeht, bis die Bank das Problem bemerkt? Wie schnell ist das Back-up verfügbar? Ab wann können die einzelnen Abteilungen der Bank wieder ihre Kern-Funktionen erfüllen?“ Härtlein betreut mehrere der getesteten Banken: „Das ist durchaus echter Stress für die Institute. Und wer hier patzt, der wird Auflagen bekommen, seine Abläufe zu ändern.“

Durch den Test, der in dieser Form das erste Mal stattfindet, sammeln auch die Aufseher Erkenntnisse: Welche Abläufe sind besonders gefährdet? Wie lange benötigen Banken, bis sie nach einem Angriff wieder arbeiten können? Die Testergebnisse sind auch ein Maßstab für die DORA-Verordnung der EU: DORA steht für Digital Operational Resilience Act.

Es läuft die Zeit davon

Ab 2025 macht die EU mit der Verordnung den Finanzdienstleistern strenge Vorgaben für die Absicherung ihrer Systeme gegen Angriffe. Die Verordnung dürfte alle Institute vor große Herausforderungen stellen, die immer noch mit einer Mischung aus alten und neuen IT-Systemen arbeiten, die im schlimmsten Fall auch zudem von unterschiedlichen Dienstleistern betrieben werden. „Zeitgemäße Back-up-Technologien und automatisierte Wiederherstellungspläne sind noch nicht überall Standard“, sagt Kyndryl-Deutschlandchef Markus Koerner. Hätten Unternehmen noch nicht mit der Einführung konkreter Maßnahmen begonnen, laufe ihnen die Zeit davon. „Entsprechende Lösungen innerhalb eines Jahres zu planen, budgetieren, freigeben zu lassen, zu implementieren und in den Betrieb zu überführen, ist, gelinde gesagt, sehr sportlich.“