Neben den unzähligen Diskussionen und Berichten zum Thema Corona-Pandemie und derzeit eher in der zweiten Reihe zum Thema Nachhaltigkeit ist ein ebenfalls sehr wichtiges Thema für Banken zuletzt ein wenig in den Hintergrund gerutscht: die Gefahren der Digitalisierung. Dabei bleiben die Institute auch in der Pandemie "unter Beschuss". Das belegt der Cyber-Security-Bericht der Schweizer Börsenbetreiberin SIX Group, der die Lage vor allem, aber nicht nur, in der Schweiz analysiert und diesmal auch Bezug auf die Auswirkungen der Pandemie auf die Sicherheitslage nimmt.
Aus deutscher Sicht am interessantesten in der Makroanalyse verschiedener Länder dieses Berichts ist die Tatsache, dass im März 2020, auf dem Höhepunkt der ersten Corona-Welle, die Gesamtzahl der beobachteten Angriffe nur leicht gestiegen ist, während sie sich in den Niederlanden, Frankreich, Spanien vervielfacht haben. Großbritannien und die USA zeigten ebenfalls nur ein moderates Wachstum, während in Singapur - das auch sonst die Pandemie früher und besser im Griff hatte als andere Länder - die Zahl sogar zurückging. Hierzulande stiegen die Fallzahlen dann allerdings mit leichter Verzögerung im April und Mai 2020 explosionsartig an. Die schnelle Umstellung auf Home Office in der Finanzindustrie, aber auch breiten Teilen der gesamten Dienstleistungsbranche sowie der deutliche Anstieg der Nutzung des Online-Banking haben nicht ganz unerwartet eine Vielzahl neuer Angriffsvektoren geboten. Die in der Breite ansteigenden Zahlen in dieser Situation zeigen, dass die Akteure auf der dunklen Seite des Spielfelds in der Lage sind, sich schnell auf neue Gegebenheiten einzustellen. Damit bleiben auch die Banken unter Druck, ihre Cyber-Security-Maßnahmen dauerhaft und schnell der sich rasant verändernden Welt anzupassen.
Als ein Fazit zieht die SIX-Studie, dass es notwendig sei, eine globale Infrastruktur für den Informationsaustausch zu schaffen. Da die meisten Finanzinstitutionen von den gleichen Angriffsmethoden betroffen sind, könnten sie laut der Studie stark von einer solchen Kooperation profitieren. Als Idealszenario malt die SIX ein Bild, in dem die Unternehmen nahezu in Echtzeit auf Informationen über Kampagnen zugreifen, die auf andere Finanzinstitutionen gerichtet sind. Damit könnte die rechtzeitige und spezifische Entwicklung von Abwehrmaßnahmen sehr viel besser erfolgen als bisher. Eine Idee, die sofort einleuchtet!
Die SIX fordert daher, eine allgemein anerkannte Definition darüber zu entwickeln, was Cyber-Vorfälle sind, sowie wie und wann sie gemeldet werden sollten. So wäre ein Zugriff auf transparente Daten möglich. Auch die Bundesregierung arbeitet an einer verbesserten Abwehr von Cyber-Gefahren. Voraussichtlich im kommenden Jahr soll das IT-Sicherheitsgesetz 2.0 verabschiedet werden. Doch die Änderungen konzentrieren sich hier vielmehr auf ein stärkeres Bundesamt für Sicherheit in der Informationstechnologie (BIS) mit mehr Durchgriffsrechten. Eine Transparenzoffensive, wie von der SIX vorgeschlagen, wäre allerdings auch eher ein globales politisches Projekt und kein lokales.
In einer Welt, in der sich viel schnell ändert, können sich die Chief Information Security Officer (CISO) in den Banken wenigstens sicher sein, das auch 2021 und in den Folgejahren eines gleich bleiben wird: Die Bedrohungen werden mehr, die Angreifer entwickeln sich stetig weiter und die Herausforderungen für die CISOs nehmen zu. Dazu werden voraussichtlich auch die gesetzlichen Vorgaben gerade für Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz 2.0 verschärft. Daher müssen weiterhin viele Ressourcen in die Abwehr von Cyber-Gefahren investiert werden. Mit oder ohne Pandemie.