Britische Finanzdienstleistungsunternehmen versagen weiterhin bei den Grundlagen, warnt die Bank of England.

Der britische Finanzdienstleistungssektor ist, gemessen an seiner Größe, überdurchschnittlich leistungsstark. London steht dicht hinter New York als weltweit führendes Finanzzentrum an zweiter Stelle, und das Land ist das weltweit größte Der Finanzsektor ist Nettoexporteur von Finanzdienstleistungen. Doch dieser Erfolg macht ihn zu einem attraktiven Ziel für Cyberkriminelle und staatliche Akteure. Und obwohl er zu den am stärksten regulierten Sektoren zählt, ist die Cybersicherheit noch nicht ausreichend.

Die anhaltenden Kosten von Cyberangriffen auf den Sektor und die drohende Gefahr eines Systemausfalls sind der Grund, warum die Bank of England (BoE) weiterhin ein Penetrationstest-Framework namens CBEST betreibt. Leider ist dessen jüngsten Bericht unterstreicht, dass die Branche noch einen langen Weg vor sich hat.

Was der Bericht ergab

Ziel von CBEST ist es, Angriffe zu simulieren, denen Banken und andere Unternehmen des Finanzsektors in der Praxis ausgesetzt sind – durch raffinierte kriminelle Gruppen, staatliche Akteure und böswillige Insider. Der Fokus liegt dabei auf der Kompromittierung von Drittanbietern, Social Engineering und Insideraktivitäten, da dies die Bereiche sind, die der Branche die größten Schwierigkeiten bereiten. Zero-Day-Exploits, maßgeschneiderte Malware, KI-gestützte Automatisierung und präzises Targeting kommen in diesen Red-Team-Assessments zum Einsatz – bei Angriffen, die Ziele wie Cyberspionage, finanzielle Bereicherung und Sabotage simulieren.

Was hat die Bank of England also herausgefunden?

• Inkonsistent konfigurierte und unzureichend gehärtete/gepatchte Systeme
• Fehlende Verschlüsselung ruhender Daten, einschließlich privilegierter Zugangsdaten
• Schwache Identitäts- und Zugriffsmanagementkontrollen (einschließlich schwacher Passwörter und/oder unsicherer Passwortspeicherung)
• Zu nachgiebige Zugriffskontrollen
• Mangelhafte Erkennung und Reaktion (z. B. „schlecht abgestimmtes“ EDR)
• Ineffektive Verkehrsüberwachung/-prüfung (ermöglicht es Angreifern, sich im legitimen Datenverkehr zu verstecken)
• Eine ineffektive Netzwerksegmentierung (z. B. zwischen Entwicklungs- und Produktionsumgebungen) verstärkt die potenziellen Auswirkungen von Angriffen
• Mitarbeiter, die anfällig für direkte und indirekte soziale Manipulation sind
• Mitarbeiter speichern Zugangsdaten routinemäßig in ungeschützten Umgebungen (z. B. offenen Dateifreigaben).
• Unsichere Helpdesk-Protokolle, die es Hackern ermöglichen, Social-Engineering-Aktivitäten zu verstärken

Der Bericht bemängelte zudem, dass es den Organisationen an strategischer Planung, der Definition von Anforderungen, der Etablierung von Governance-Rahmenwerken und der Entwicklung langfristiger Fähigkeiten mangele. Dies habe zu einer Diskrepanz zwischen den von Finanzdienstleistungsunternehmen gesammelten Informationen und ihren tatsächlichen Geschäfts- und Betriebsbedürfnissen geführt. Die Bank of England (BoE) argumentierte, dass dies die Skalierung und/oder Weiterentwicklung dieser Programme erschwere.

Warum es wichtig ist

Die von den Penetrationstestern von CBEST eingesetzten Taktiken, Techniken und Verfahren (TTPs) wurden bewusst gewählt. Sie spiegeln die Bedrohungen wider, denen Finanzinstitute täglich oder wöchentlich ausgesetzt sind. In einem Abschnitt des Berichts warnte das Nationale Zentrum für Cybersicherheit (NCSC), dass das Scattered-Spider-Kollektiv dafür bekannt ist, IT-Helpdesk-Mitarbeiter durch Social Engineering dazu zu bringen, Passwörter und MFA-Token zurückzusetzen. Es wird angenommen, dass dies während des Zeitraums geschah. die Ransomware-Angriffe auf die M&S- und Co-Op-Gruppe.

Unabhängig davon wurde die chinesische APT-Gruppe Volt Typhoon erwähnt, die große Teile der US-amerikanischen Systeme kompromittiert hatte. kritische nationale Infrastruktur Netzwerke mit verdeckten Angriffen. Eine bessere Netzwerküberwachung und -segmentierung hätten dazu beigetragen, diese Angriffe aufzudecken und deren Ausmaß zu begrenzen, so das NCSC.

Finanzdienstleistungsunternehmen sollten CBEST nicht nur als wichtige Grundlage für den Aufbau von Widerstandsfähigkeit gegen reale Angriffe betrachten. Viele werden angesichts der EU-Richtlinien auch ihre Sicherheitslage verbessern müssen. Gesetz zur digitalen betrieblichen Resilienz (DORA), das strenge neue Anforderungen für die gesamte Lieferkette im Bankwesen vorschreibt. Lieferketten stellen ein besonderes Risiko dar. Der Bericht von 2025 behauptete dass 58 % der großen Finanzdienstleistungsunternehmen im Vorjahr mindestens einen Angriff von Dritten erlitten haben, wobei ein Fünftel (23 %) drei oder mehr Male Ziel eines solchen Angriffs war.

Was passiert als Nächstes?

Im Vorwort des Berichts appellierten die Bank of England (BoE) und die Aufsichtsbehörden FCA und PRA an die Organisationen des Sektors, die „zugrundeliegenden Ursachen“ von Risiken anzugehen, anstatt nur kurzfristige Lösungen anzuwenden. Dies erfordert einen technischen und kulturellen Ansatz, der Prävention, Erkennung und Reaktion umfasst.

Konkret möchten die Bank of England/FCA/PRA Organisationen in diesem Sektor sehen:

• Patchen und Konfigurieren kritischer Anwendungen und Betriebssysteme
• Stärkung des Anmeldeinformationsmanagements, Durchsetzung sicherer Passwörter, Einsatz von MFA und Segmentierung von Netzwerken
• Früherkennung und effektive Überwachung gewährleisten, um die Auswirkungen von Angriffen zu verringern
• Umsetzung risikobasierter Sanierungspläne in Zusammenarbeit mit Risikomanagern und internen Prüfern

Darüber hinaus wünscht sich das NCSC Verbesserungen bei der Mitarbeiterschulung, insbesondere im Hinblick auf KI-generierte Phishing-Angriffe, um eine positive Sicherheitskultur zu fördern. Es fordert außerdem ein strengeres Management privilegierter Konten (PAM) gemäß bewährten Verfahren sowie eine engmaschigere Überwachung der IT-Ressourcen, insbesondere älterer Systeme, um den Übergang zur Post-Quanten-Kryptographie (PQC) zu unterstützen.

Netzwerksegmentierung, Gerätehärtung und kontinuierliche Überwachung sollten laut NCSC Bestandteil eines Zero-Trust-Sicherheitsansatzes sein. Umfassende Protokollierungs- und Reaktionsprozesse können die Widerstandsfähigkeit von Überwachungs- und Erkennungsfunktionen verbessern. Die Bedrohungsanalyse liefert wichtige Zusatzinformationen, um komplexere Schadsoftware aufzudecken.

Erste Schritte

Wo also sollen Finanzdienstleistungsunternehmen anfangen? Carl Hunt, Direktor von Beyond Blue, argumentiert, dass die Erkennung ein guter Ausgangspunkt ist.

„Dies umfasst die Verbesserung der Endpunkterkennung und -reaktion, aber auch die Korrelation von Ereignissen entlang der wahrscheinlichen Angriffspfade einer Organisation, um anomales Verhalten zu erkennen“, erklärt er gegenüber IO (ehemals ISMS.online). „Dafür ist ein gutes Verständnis kritischer Assets, Angriffspfade und die effektive Anpassung der Erkennungsregeln erforderlich.“

Der menschliche Aspekt der Reaktion ist ein weiterer entscheidender Faktor, den Sicherheitsteams oft vernachlässigen.

„CISOs müssen in die Lage versetzt werden, Angriffe zeitnah zu isolieren. Dazu benötigen sie den Geschäftskontext, um die notwendigen Entscheidungen treffen zu können. Dies stellt insbesondere dann eine Herausforderung dar, wenn die Sicherheitsoperationen ausgelagert sind“, fährt Hunt fort. „Man sollte bedenken, dass Angreifer bei einem realen Angriff schnell vorgehen, um ihre Ziele zu erreichen, und nicht kontrollierter wie bei einer simulierten Übung wie CBEST. Eine schnelle Reaktion ist daher entscheidend, um die Auswirkungen zu begrenzen.“

Er betont die ebenso wichtige Bedeutung der Netzwerksegmentierung, um die Auswirkungen von Angriffen einzudämmen. „Dies bildet auch die Grundlage für Wiederherstellungsstrategien, indem IT und Netzwerke den wesentlichen Geschäftsfunktionen zugeordnet werden. So kann eine effektive Eindämmung und letztendlich die Beseitigung eines Angriffs erreicht werden“, erklärt Hunt.

Die gute Nachricht ist, dass Standards wie ISO 27001 Organisationen dabei helfen können, die Grundlagen für die beschleunigte Umsetzung dieser Best Practices zu schaffen. Und sie ermöglichen den risikobasierten Ansatz für Cybersicherheit, den Aufsichtsbehörden zunehmend erwarten – basierend auf einer Kultur der kontinuierlichen Verbesserung.