Härtetest kommt noch

BaFin warnt den Finanzsektor

Krankenhäuser, Energieversorger, Verwaltungen: BaFin-Präsident Mark Branson sieht Cyberrisiken für die Finanzbranche, die bisher noch keinen "Härtetest" erlebt habe.
Von 
CSO | 03. Juni 2022 09:32 Uhr
BaFin-Präsident Mark Branson weist die Finanzbranche auf Cybergefahren besonders durch DDoS-Attacken hin.
BaFin-Präsident Mark Branson weist die Finanzbranche auf Cybergefahren besonders durch DDoS-Attacken hin.
Foto: Maurice Kohl

Da es in den vergangenen Wochen vermehrt zu Cyberangriffen auf IT-Infrastrukturen mittel DDoS kam, warnt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor einem erhöhten Risiko für die Finanzbranche. Angesichts des russischen Angriffskrieges in der Ukraine betont die Anstalt die Dringlichkeit für Organisationen aktiv zu werden und verweist auf den "Sicherheitshinweis für die Wirtschaft" des Bundesamts für Verfassungsschutz.

Lesetipp: Mächtiger HTTPs-DDoS-Angriff auf Cloudflare-Kunden

Sicherheitsempfehlungen für Anwender und CISOs

In dem Papier nennt das Bundesamt folgende Cybersicherheitsmaßnahmen für Anwender:

  • Mit einer Multi-Faktor-Authentifizierung sollen Unternehmen ihre Nutzerkonten vor (Credential-)Phishing-Angriffen schützen.

  • Unternehmen sollten ihre Anwender darauf aufmerksam machen, allen E-Mails zu misstrauen, die User zu dringenden Handlungen auffordern. Endanwender sollten niemals Passwörter angeben und auf Links oder Anhänge verdächtiger E-Mails klicken. Dies gilt auch für Nachrichten, die aus dem Familienkreis, von Bekannten oder dem Arbeitgeber kommen. Deren E-Mail-Konten könnten gehackt worden sein.

Auch für IT-Verantwortliche gibt das Amt Empfehlungen:

  • Sicherheitsverantwortliche sollten die Entwicklungen aufmerksam verfolgen und ihre Schutzmaßnahmen bei Bedarf anpassen. Das Bundesamt für Verfassungsschutz aktualisiert laut eigenen Angaben laufend eine Übersicht über Indicators of Compromise (IoC). Diese Liste erhalten Unternehmen auf Anfrage und können damit ihre Systeme auf mögliche Kompromittierungen prüfen.

  • Des Weiteren finden von DDoS-Angriffen betroffene Unternehmen auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine Liste qualifizierter DDoS-Mitigationsdienstleister.

Wie stabil ist das Finanzsystem?

Mark Branson, Präsident der BaFin, schätzt die Gefahr für Unternehmen des Finanzsektors Opfer von Cyberangriffen zu werden als "sehr groß und sehr präsent" ein. Des Weiteren sagte er auf der Jahrespressekonferenz der BaFin Anfang Mai, dass im Extremfall die Stabilität des Finanzsystems Schaden nehmen könne. "Sind wir vorbereitet auf einen wirklich schwerwiegenden Sicherheitsvorfall? Wenn wir ehrlich sind, wissen wir das nicht. Der Krieg hat Cyberangriffe auch auf den deutschen Finanzsektor wahrscheinlicher gemacht."

Seit Ausbruch des Ukraine-Krieges analysiert die Bundesanstalt nach eigenen Angaben täglich die Informationen aus dem nationalen Cyber-Abwehrzentrum und informiert die Finanzindustrie über erkennbare Angriffsmuster. Dazu steht die BaFin im engen Austausch mit dem BSI.

Im laufenden Jahr werde sich die BaFin weiterhin intensiv mit Cyberrisiken befassen und dedizierte IT-Prüfungen bei den Instituten und Unternehmen der Branche vornehmen. Daraus soll der weitere Handlungsbedarf abgeleitet werden.

Branson zeigte sich bisher zufrieden mit dem "risikobasierten Aufsichtsansatz". Dennoch ist sich auch der Präsident bewusst, dass die Cyberrisiken weiter zu- und nicht abnehmen werden. "Ich bin beeindruckt von der Professionalität der verschiedenen involvierten Behörden und der großen Finanzunternehmen. Aber einen Härtetest haben wir noch nicht erlebt."

Lesetipp: Der Finanzsektor überschätzt seine IT-Sicherheit

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.