Meldungen über IT-Sicherheitslücken oder Hackerangriffe sind fast schon an der Tagesordnung und die Finma schätzt Cyberkriminalität als eine der grössten Risiken für den Schweizer Finanzplatz ein. Doch je intensiver sich Banken und grosse Finanzinstitute schützen, desto mehr rückt der Fokus auf die kleinen Akteure des Finanzmarkts – für sie wird adäquate Cyber-Security zu einer Herkulesaufgabe.

Kurz vor Weihnachten alarmierte eine neuerliche IT-Sicherheitslücke – dieses Mal «Log4j» –Fachleute weltweit. Und dabei ist dies nur ein aktuelles Beispiel von einer ganzen Reihe an Sicherheitslücken, die bekannt geworden sind – von bisher unentdeckten Einfallstoren ganz zu schweigen. Und die werden ausgenutzt: Gemäss dem Nationalen Zentrum für Cybersicherheit sind allein 2021 156 Meldungen von Ransomware-Angriffen eingegangen, mehr als doppelt so viele wie im Vorjahr [i]. Eine Entwicklung, die ausreichen Grund zur Beunruhigung bietet.

Finma warnt vor Cyberkriminalität
Wenig überraschend weist der aktuelle Risikomonitor der Finma Cyberkriminalität als eine der grössten operationellen Risiken für den Schweizer Finanzplatz aus. Denn Ausfälle und Störungen von IT-Systemen durch Hackerangriffe können schnell die drei wichtigen Schutzgüter der Finma betreffen: Die Verfügbarkeit, Integrität und Vertraulichkeit von kritischen Dienstleistungen und Funktionen kann beeinträchtigt sein und grossen Schaden anrichten.

Dass die Sorge vor Angriffen nicht unbegründet ist, zeigt die hohe Anzahl die gemeldeten Fälle: Gemäss der Meldepflicht von Cyberattacken, die mit der Aufsichtsmitteilung 05/2020 eingeführt wurde, sind im ersten Jahr nach ihrem Inkrafttreten rund 80 solcher Attacken gemeldet worden [ii]. In Wahrheit sind es wohlmöglich noch mehr, wurden doch Banken und Finma unlängst von der Finanzkontrolle gemahnt, dass sich wohl nicht immer an diese Pflicht gehalten werde [iii].

Grosse Investitionen in die digitale Abwehr
Das Bewusstsein für die Bedrohung ist nichtsdestotrotz vorhanden und Finanzinstitute verteidigen die Schutzgüter mit hohem Ressourcenaufwand. Das sieht man nicht zuletzt an den entsprechenden Budgetposten: Eine Studie von Deloitte aus dem Jahr 2020 stellt fest, dass durchschnittlich pro Mitarbeiter/in US$ 2'700 in die Cyber-Security investiert werden – ganze 350 Dollar mehr als noch im Vorjahr [iv]. Allein die Bank of America verkündete im Sommer 2021 über eine Milliarde Franken in die digitale Abwehr zu investieren [v].

Das ist zwar einerseits eine sehr positive Entwicklung, sollte andererseits einige Akteure auf dem Schweizer Finanzmarkt aber auch alarmieren: Denn wird an einer Stelle der Schutz verstärkt, steigt der Druck auf jene Stellen, wo dies noch nicht passiert ist. Es ist zu erwarten, dass in den nächsten Jahren kleinere Asset- und Wealth Manager daher vermehrt zum Ziel von Cyberkriminalität werden.

Kleine und mittelgrosse Asset/Wealth Manager können zur Zielscheibe werden

Die Medienberichte über Angriffe auf Schweizer Gemeinden oder Treuhänder belegen diese Tendenz. Im gleichen Masse in dem sich grosse Finanzakteure schützen, werden kleine Marktteilnehmer attraktiver. Die scheinbare Sicherheit, «zu unbedeutend» zu sein, um zur Zielscheibe zu werden, war zwar schon immer trügerisch – wird jetzt aber zunehmend gefährlich.

Angriffe passieren immer automatisierter, systematischer – und kostengünstiger. Sicherheitslücken in Datensystemen werden strukturiert genutzt, um «Hintertüren» einzubauen, die später für Erpressungsversuche genutzt werden können. Oftmals vergehen so zwischen Angriff und Erpressen mehrere Monate: Hacker können sich in dieser Zeit zunächst in aller Ruhe im System bewegen, oftmals ohne, dass dies bemerkt wird. Wenn so der Aufwand für Cyberkriminelle sinkt, werden auch «kleinere» Ziele für Hacker immer lukrativer. Wir können also weiter mit einer Zunahme solcher Fälle rechnen.

Cyberabwehr wird schwieriger – und teurer

Mit der Einhaltung von Minimumstandards für Datenschutz und Cyber-Security ist es nicht mehr getan, um dieser Tendenz zuvorzukommen. Denn das Katz- und Maus-Spiel zwischen Angreifern und Verteidigern beschleunigt sich und Mindestanforderungen sind schnell überholt. Stattdessen braucht es eine vorausschauende Strategie, die an relevanten Punkten investiert und Vorsichtsmassnahmen trifft.

Eine solche Cyberabwehr ist für kleine Unternehmen allein jedoch kaum noch zu stemmen. neben oftmals kostspieligen Investitionen braucht sie ein fundiertes Fachwissen und in erster Linie viel Aufmerksamkeit, was sie damit nicht zuletzt auch sehr personalintensiv macht.

Vorausschauende Lösungen sind gefragt

Eine Möglichkeit ist daher, sich zusammenzuschliessen und Skaleneffekte bei der IT-Sicherheit zu nutzen. Reuss Private bietet Asset- und Wealth Managern zum Beispiel IT-Lösungen, die einen zuverlässigen Schutz sicherstellen. Diese beginnt bei einer Two way Authentification und VPN-Lösungen, ermöglicht aber auch die strikte Trennung von Daten, was die Chance verringert, dass das ganze System korrumpiert werden kann.

Nicht zuletzt muss das System regelmässig getestet werden. Dabei kommen auch spezifische Überwachungstools zum Einsatz, die auf verdächtiges Verhalten im System aufmerksam machen und frühzeitiges Eingreifen ermöglichen. Darüber hinaus wird in sogenannten Penetration Tests die IT-Sicherheit durch gezielte Hackangriffe von externen Spezialisten auf den Prüfstand gestellt. So werden wichtige Hinweise zur Sicherheitslage gesammelt und Handlungsbedarf festgestellt.

Einer der wichtigsten Massnahmen setzt jedoch viel früher an: die regelmässige Schulung von Mitarbeitern ist ein oft unterschätztes Element einer erfolgreichen IT-Sicherheit. Denn oftmals ist es eine menschliche Komponente, die einen erfolgreichen Cyber-Angriff schliesslich ermöglicht. Sei es über Phishing E-Mails, ungeschützte Netzwerke oder korrumpierte Geräte, die unerkannt bösartige Software auf die Unternehmenshardware übertragen können, in dem sie angeschlossen werden. Das Bewusstsein für solche Gefahren sowie Verhaltensregeln bei Verdacht auf einen Angriff helfen, das Risikopotential deutlich zu verringern.

Soviel ist klar: Die Gefahr, die von Cyber-Kriminalität ausgeht, wird in Zukunft nur noch weiter zunehmen – und es wird immer komplexer, sich gegen diese zu rüsten. Die neuerliche Aufregung um die Log4j-Sicherheitslücke ist nur ein weiterer Warnschuss. Aber während es einst ausgereichte, ein Anti-Virenprogramm regelmässig zu aktualisieren, braucht es heute mehr Einsatz: Jetzt bedarf es Voraussicht und tatkräftiges Engagement, das deutlich über gängige Mindeststandards hinausgeht, um der Bedrohungswelle weiterhin voraus zu sein.