Cyber-Security: Eine notwendige Herkulesaufgabe
Meldungen über
IT-Sicherheitslücken oder Hackerangriffe sind fast schon an der Tagesordnung
und die Finma schätzt Cyberkriminalität als eine der grössten Risiken für den
Schweizer Finanzplatz ein. Doch je intensiver sich Banken und grosse
Finanzinstitute schützen, desto mehr rückt der Fokus auf die kleinen Akteure
des Finanzmarkts – für sie wird adäquate Cyber-Security zu einer
Herkulesaufgabe.
Kurz vor Weihnachten alarmierte eine neuerliche
IT-Sicherheitslücke – dieses Mal «Log4j» –Fachleute weltweit. Und dabei ist
dies nur ein aktuelles Beispiel von einer ganzen Reihe an Sicherheitslücken,
die bekannt geworden sind – von bisher unentdeckten Einfallstoren ganz zu
schweigen. Und die werden ausgenutzt: Gemäss dem Nationalen Zentrum für Cybersicherheit
sind allein 2021 156 Meldungen von Ransomware-Angriffen eingegangen, mehr als
doppelt so viele wie im Vorjahr [i].
Eine Entwicklung, die ausreichen Grund zur Beunruhigung bietet.
Finma warnt vor
Cyberkriminalität
Wenig überraschend weist der aktuelle Risikomonitor der Finma Cyberkriminalität
als eine der grössten operationellen Risiken für den Schweizer Finanzplatz aus.
Denn Ausfälle und Störungen von IT-Systemen durch Hackerangriffe können schnell
die drei wichtigen Schutzgüter der Finma betreffen: Die Verfügbarkeit,
Integrität und Vertraulichkeit von kritischen Dienstleistungen und Funktionen
kann beeinträchtigt sein und grossen Schaden anrichten.
Dass die Sorge vor Angriffen nicht unbegründet ist, zeigt die
hohe Anzahl die gemeldeten Fälle: Gemäss der Meldepflicht von Cyberattacken,
die mit der Aufsichtsmitteilung 05/2020 eingeführt wurde, sind im ersten Jahr
nach ihrem Inkrafttreten rund 80 solcher Attacken gemeldet worden [ii].
In Wahrheit sind es wohlmöglich noch mehr, wurden doch Banken und Finma
unlängst von der Finanzkontrolle gemahnt, dass sich wohl nicht immer an diese
Pflicht gehalten werde [iii].
Grosse Investitionen in
die digitale Abwehr
Das Bewusstsein für die Bedrohung ist nichtsdestotrotz vorhanden und
Finanzinstitute verteidigen die Schutzgüter mit hohem Ressourcenaufwand. Das
sieht man nicht zuletzt an den entsprechenden Budgetposten: Eine Studie von
Deloitte aus dem Jahr 2020 stellt fest, dass durchschnittlich pro
Mitarbeiter/in US$ 2'700 in die Cyber-Security investiert werden – ganze 350
Dollar mehr als noch im Vorjahr [iv].
Allein die Bank of America verkündete im Sommer 2021 über eine Milliarde Franken
in die digitale Abwehr zu investieren [v].
Das ist zwar einerseits eine sehr positive Entwicklung,
sollte andererseits einige Akteure auf dem Schweizer Finanzmarkt aber auch
alarmieren: Denn wird an einer Stelle der Schutz verstärkt, steigt der Druck
auf jene Stellen, wo dies noch nicht passiert ist. Es ist zu erwarten, dass in
den nächsten Jahren kleinere Asset- und Wealth Manager daher vermehrt zum Ziel
von Cyberkriminalität werden.
Kleine und mittelgrosse
Asset/Wealth Manager können zur Zielscheibe werden
Die Medienberichte über Angriffe auf Schweizer Gemeinden oder
Treuhänder belegen diese Tendenz. Im gleichen Masse in dem sich grosse
Finanzakteure schützen, werden kleine Marktteilnehmer attraktiver. Die
scheinbare Sicherheit, «zu unbedeutend» zu sein, um zur Zielscheibe zu werden,
war zwar schon immer trügerisch – wird jetzt aber zunehmend gefährlich.
Angriffe passieren immer automatisierter, systematischer –
und kostengünstiger. Sicherheitslücken in Datensystemen werden strukturiert
genutzt, um «Hintertüren» einzubauen, die später für Erpressungsversuche
genutzt werden können. Oftmals vergehen so zwischen Angriff und Erpressen
mehrere Monate: Hacker können sich in dieser Zeit zunächst in aller Ruhe im
System bewegen, oftmals ohne, dass dies bemerkt wird. Wenn so der Aufwand für
Cyberkriminelle sinkt, werden auch «kleinere» Ziele für Hacker immer
lukrativer. Wir können also weiter mit einer Zunahme solcher Fälle rechnen.
Cyberabwehr wird schwieriger – und
teurer
Mit der Einhaltung von Minimumstandards für Datenschutz und
Cyber-Security ist es nicht mehr getan, um dieser Tendenz zuvorzukommen. Denn
das Katz- und Maus-Spiel zwischen Angreifern und Verteidigern beschleunigt sich
und Mindestanforderungen sind schnell überholt. Stattdessen braucht es eine
vorausschauende Strategie, die an relevanten Punkten investiert und
Vorsichtsmassnahmen trifft.
Eine solche Cyberabwehr ist für kleine Unternehmen allein
jedoch kaum noch zu stemmen. neben oftmals kostspieligen Investitionen braucht
sie ein fundiertes Fachwissen und in erster Linie viel Aufmerksamkeit, was sie
damit nicht zuletzt auch sehr personalintensiv macht.
Vorausschauende
Lösungen sind gefragt
Eine Möglichkeit ist daher, sich zusammenzuschliessen und
Skaleneffekte bei der IT-Sicherheit zu nutzen. Reuss Private bietet Asset- und
Wealth Managern zum Beispiel IT-Lösungen, die einen zuverlässigen Schutz
sicherstellen. Diese beginnt bei einer Two way Authentification und
VPN-Lösungen, ermöglicht aber auch die strikte Trennung von Daten, was die
Chance verringert, dass das ganze System korrumpiert werden kann.
Nicht zuletzt muss das System regelmässig getestet werden.
Dabei kommen auch spezifische Überwachungstools zum Einsatz, die auf
verdächtiges Verhalten im System aufmerksam machen und frühzeitiges Eingreifen
ermöglichen. Darüber hinaus wird in sogenannten Penetration Tests die
IT-Sicherheit durch gezielte Hackangriffe von externen Spezialisten auf den
Prüfstand gestellt. So werden wichtige Hinweise zur Sicherheitslage gesammelt
und Handlungsbedarf festgestellt.
Einer der wichtigsten Massnahmen setzt jedoch viel früher an:
die regelmässige Schulung von Mitarbeitern ist ein oft unterschätztes Element einer
erfolgreichen IT-Sicherheit. Denn oftmals ist es eine menschliche Komponente,
die einen erfolgreichen Cyber-Angriff schliesslich ermöglicht. Sei es über
Phishing E-Mails, ungeschützte Netzwerke oder korrumpierte Geräte, die unerkannt
bösartige Software auf die Unternehmenshardware übertragen können, in dem sie
angeschlossen werden. Das Bewusstsein für solche Gefahren sowie
Verhaltensregeln bei Verdacht auf einen Angriff helfen, das Risikopotential deutlich
zu verringern.
Soviel ist klar: Die Gefahr, die von Cyber-Kriminalität
ausgeht, wird in Zukunft nur noch weiter zunehmen – und es wird immer
komplexer, sich gegen diese zu rüsten. Die neuerliche Aufregung um die
Log4j-Sicherheitslücke ist nur ein weiterer Warnschuss. Aber während es einst
ausgereichte, ein Anti-Virenprogramm regelmässig zu aktualisieren, braucht es
heute mehr Einsatz: Jetzt bedarf es Voraussicht und tatkräftiges Engagement,
das deutlich über gängige Mindeststandards hinausgeht, um der Bedrohungswelle
weiterhin voraus zu sein.
[i] https://www.srf.ch/news/schweiz/kriminelle-im-netz-cyber-erpressungen-werden-in-zukunft-wohl-nicht-abnehmen
[ii] FINMA-Risikomonitor2021
[iii] https://www.srf.ch/news/schweiz/zahlreiche-maengel-bericht-stellt-erhebliche-cyber-risiken-beim-bund-fest