Wie Finanzdienstleistungsunternehmen auf eine IWF-Cyberbedrohungswarnung reagieren sollten ISMS.online

Wie Finanzdienstleistungsunternehmen auf eine Cyberbedrohungswarnung des IWF reagieren sollten

Von Phil Muncaster • 16. Mai 2024

Finanzdienstleistungsunternehmen sind seit langem ein Ziel von Bedrohungsakteuren. Ob es sich um finanziell motivierte Gruppen handelt, die nach persönlichen und finanziellen Daten von Kunden suchen, um sie im Dark Web zu verkaufen, oder um staatliche Akteure, die darauf aus sind, kritische Infrastrukturen zu zerstören – die Bedrohungen sind mittlerweile gut dokumentiert. Das heißt aber nicht, dass sie erfolgreich gemanagt werden. Banken können vielleicht mehr Geld als die meisten anderen für Cybersicherheit ausgeben, sind aber auch ein größeres Ziel.

Aus diesem Grund sollte die Branche eine aktuelle Warnung des Herstellers beherzigen Internationaler Währungsfonds (IWF), dass die Wahrscheinlichkeit eines katastrophalen Angriffs mit systemischen Folgen in den letzten Jahren gestiegen ist. Es heißt, die Branche habe in den letzten 12 Jahren durch Cyberangriffe 20 Milliarden US-Dollar verloren. Glücklicherweise kann viel getan werden, um die Grundsicherheit zu verbessern.

Was hat der IWF gesagt?

Es besteht die Sorge, dass die Lage immer prekärer wird, da digitale Investitionen die Angriffsfläche für Cyberangriffe vergrößern und gut ausgestattete Bedrohungsakteure daraus Nutzen ziehen. Der IWF warnt davor, dass sich die „extremen Verluste“ im Finanzdienstleistungssektor seit 2017 auf 2.5 Milliarden US-Dollar mehr als vervierfacht haben. Steigende geopolitische Spannungen und eine wachsende Abhängigkeit von Drittanbietern erhöhen die Risikoexposition vieler Organisationen, heißt es weiter.

Die größte Sorge des Fonds besteht darin, dass Cybersicherheitsvorfälle von einer einzelnen Institution ausgreifen und das gesamte globale Finanzsystem bedrohen – das Vertrauen der Kunden untergraben und/oder kritische Dienste stören. Schwerwiegende Verstöße gegen die Cybersicherheit könnten sogar einen Bankensturm auslösen, warnt der Bericht.

Dies ist seit einiger Zeit auf dem Radar der Regulierungsbehörden. Deshalb hat die EU das geschaffen Gesetz zur digitalen betrieblichen Resilienz (DORA), was sich auf in der Region tätige Unternehmen und deren IT-Lieferanten auswirkt. Tatsächlich überschneiden sich mehrere der vom IWF vorgeschlagenen Schritte zur Verbesserung der Cyber-Resilienz in der Branche mit den Anforderungen der EU-Verordnung. Sie sind:

Bewertet regelmäßig die Cybersicherheitslandschaft und identifiziert mögliche systemische Risiken, auch von Drittanbietern
Verbessern Sie die Cyber-Governance, einschließlich des Zugriffs auf Cybersicherheitsexpertise auf Vorstandsebene
Verbessern Sie die Cyber-Hygiene durch Best Practices der Branche
Priorisieren Sie die Datenberichterstattung und den Informationsaustausch, um die kollektive Vorbereitung zu verbessern
Entwickeln und testen Sie Vorfallsreaktions- und Wiederherstellungsprozesse

Ian Harragan, Mitbegründer von i-confidential, argumentiert, dass Governance der Schlüssel sei.

„Eine gute Sicherheits-Governance hilft dabei, die Richtung einer Organisation zu steuern und sicherzustellen, dass sie ihre Ziele erreicht. Ein wichtiger Aspekt der Governance betrifft die Reaktion auf Vorfälle. Finanzdienstleistungsunternehmen sind sich bewusst, dass sie ein Ziel für Angreifer sind. Wie können sie also den durch erfolgreiche Verstöße verursachten Schaden begrenzen?“ er erzählt ISMS.online.

„Dies kann durch gut getestete Vorfallsreaktionspläne erreicht werden, die darlegen, wie sich verschiedene Cyber-Szenarien auf ein Unternehmen auswirken könnten, und dann Hinweise zur Wiederherstellung nach dem Vorfall geben. Dies sollte Angriffe sowohl auf die eigene Infrastruktur als auch auf Lieferanten umfassen.“

Die Lieferkette ist ein kritischer Risikofaktor

Auch andere Experten, mit denen ISMS.online gesprochen hat, weisen auf mögliche Sicherheitslücken in den Lieferketten von Banken hin. So gut die eigene Sicherheitslage eines Finanzinstituts auch sein mag, sie könnte dennoch durch einen gezielten Angriff auf einen Lieferanten oder sogar über seine Software-Lieferkette verletzt werden. Beispiele sind nicht schwer zu finden. A Datenmissbrauch Beim Bank of America-Dienstleister IMS kam es im November 2023 zur Kompromittierung personenbezogener Daten von 57,000 Kunden. Und die berüchtigte MOVEit-Kampagne lockte Dutzende Banken an, die die beliebte Dateiübertragungssoftware nutzten, darunter auch Flagstar-Bank, wo über 800,000 Kunden Daten gestohlen wurden.

Dan Potter, Senior Director für betriebliche Belastbarkeit bei Immersive Labs, argumentiert, dass Finanzinstitute, als sie versuchten, die Anforderungen der Kunden nach optimierten Erlebnissen zu erfüllen, unabsichtlich Schwachstellen geschaffen hätten. Um diese Probleme anzugehen, sei eine engere Zusammenarbeit mit Lieferanten immer wichtiger, sagt er.

„Geschwindigkeit ist für Kunden heute alles, und Finanzorganisationen müssen ständig Innovationen entwickeln und reibungslose, digitale Erlebnisse schaffen. Gleichzeitig wird von Finanzinstituten auch erwartet, dass sie ein Höchstmaß an Sicherheit und Datenschutz bieten und gleichzeitig immer höhere Regulierungs- und Compliance-Standards erfüllen“, sagt Potter gegenüber ISMS.online.

„Wenn ein einzelner Drittanbieter, der mehrere Banken bei der Bereitstellung kritischer Dienstleistungen unterstützt, von einem Cyberangriff betroffen wird, könnte dies zu Chaos auf den Finanzmärkten führen. Daher muss die etablierte Zusammenarbeit im Finanzdienstleistungssektor nun auf die Lieferkette und insbesondere auf große Technologieunternehmen ausgeweitet werden.“

Sylvain Cortes, VP Strategy bei Hackuity, ist pessimistisch, was die Fähigkeit von Finanzdienstleistungsunternehmen angeht, die Risiken, die ihre Software-Lieferketten durchdringen, effektiv zu verwalten.

„Ein ganz aktuelles Beispiel, die xz Utils-Hintertür, zeigt, dass die Verwendung von Open-Source-Software in einem Produktionssystem Vorteile, aber auch Risiken haben kann – stellen Sie sich eine Hintertür vor, die in fast jedes Linux-System weltweit eingeführt wird?“ er erzählt ISMS.online.

„Leider ist die Beurteilung und Absicherung von Drittrisiken äußerst komplex, wenn nicht sogar unmöglich. Im Fall von xz Utils hätte dies dazu geführt, dass alle Linux-Benutzerorganisationen die gesamte Linux-Codebasis überprüfen und analysieren müssten, was praktisch undurchführbar ist.“

Hier könne der IWF selbst möglicherweise die Rolle spielen, die Bemühungen der Regierung zu koordinieren, den Informationsaustausch und die Forschung in diesem Bereich zum Nutzen globaler Finanzdienstleistungsorganisationen voranzutreiben, fügt er hinzu.

Best Practices ebnen den Weg zu DORA

Eine der wichtigsten Empfehlungen des IWF besteht darin, die Cyber-Hygiene durch bewährte Verfahren zu verbessern. Hier kann die Einhaltung etablierter Standards eine nützliche Rolle spielen, argumentiert Harragan von i-confidential.

„Branchenstandards wie ISO 27001 oder NIST bieten einen vertrauenswürdigen Rahmen für Finanzdienstleistungsunternehmen, um ihre Cybersicherheitsgrundlagen zu schaffen, etwa die wichtigsten Kontrollen, die vorhanden sein müssen, und helfen ihnen, ihre laufenden Aktivitäten zu priorisieren“, erklärt er.

„Die meisten Finanzdienstleistungsunternehmen werden jedoch mehrere Standards nutzen, von vertikalen bis hin zu Cyber-spezifischen, anstatt sich nur auf einen zu konzentrieren.“ Dies ermöglicht es ihnen, alle Bemühungen an ihre eigenen Umstände anzupassen. Ein gemischter Ansatz für Best Practices im Bereich Cybersicherheit verbessert letztendlich ihre allgemeine Widerstandsfähigkeit.“

Auch die Berichterstattung sei wichtig, da Finanzdienstleistungsunternehmen dadurch sicherstellen können, dass sie die Sicherheit genau messen, und ihre Programme auf das größte Risiko zuschneiden können, fügt Harragan hinzu. Hier kommt es auf die Wahl der richtigen Kennzahlen an.

„Metriken ermöglichen es Unternehmen, ihre Sicherheitsbemühungen systematisch zu bewerten, um zu verstehen, wo sie sich derzeit in Bezug auf die Wirksamkeit befinden, und dann Ziele festzulegen, wo sie in Zukunft sein wollen“, fährt Harragan fort. „Aber um ein effektives Messprogramm bereitzustellen, müssen Unternehmen messen, was sie sollten, und nicht nur, was sie können.“

Vor allem müssen in der EU tätige Banken ihre DORA-Compliance-Programme vor Ablauf der Frist im Januar 2025 in Ordnung bringen. Der IWF-Bericht wird den CISOs in der Branche hoffentlich nichts sagen, was sie nicht bereits wissen. Aber es könnte ihnen helfen, gegenüber dem Vorstand ein überzeugendes Argument vorzubringen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 November 2025

Die NCSC sagt: „Es ist Zeit zu handeln“, aber wie soll das Banner aussehen?

Das NCSC sagt: „Es ist Zeit zu handeln“, aber wie?

Es ist ungewöhnlich, einen offenen Brief eines Wirtschaftsführers am Anfang eines Regierungsberichts zur Cybersicherheit zu sehen. Vor allem von jemandem, dessen Unternehmen j...

Phil Muncaster

Internet-Sicherheit 16 October 2025

Was ein npm-Angriff über die Risiken von Open-Source-Software aussagt

Die Geschichte der Open-Source-Sicherheit ist voll von Beispielen katastrophaler Fehler und Beinaheunfälle. Eine Anfang des Jahres entdeckte Krypto-Malware-Kampagne...

Phil Muncaster

Internet-Sicherheit 9 October 2025

Kann Großbritannien einen Multimilliarden-Pfund-KI-Versicherungssektor aufbauen? Banner

Kann Großbritannien einen Multimilliarden-Pfund-Sektor für KI-Versicherungen aufbauen?

Die Regierung setzt voll auf KI. Der im Januar angekündigte Aktionsplan „KI-Chancen“ zielt darauf ab, das Wirtschaftswachstum anzukurbeln, die Qualität der Arbeit zu verbessern...

Phil Muncaster