Wie gut sind Banken vor Hackern geschützt? Wie schnell können sie einen Cyberangriff abwehren? Die größten Institute in Europa werden das bald herausfinden, denn sie müssen sich ab dem 2. Januar 2024 einem sogenannten Stresstest unterziehen, bei dem die Europäische Zentralbank (EZB) ihre Cyberresilienz prüft.

Die 113 Banken haben bereits einen detaillierten Fragebogen mit fast 500 Fragen zu den Auswirkungen eines Cyberangriffs und ihren geplanten Notfallmaßnahmen in diesem Fall erhalten. Nun soll zu Beginn des Jahres 2024 ein schwerer Cyberangriff simuliert werden, der den Geschäftsbetrieb unterbricht, wie Anneli Tuominen, Mitglied im Aufsichtsgremium der EZB-Bankenaufsicht, im November im Interview mit der Börsen-Zeitung angekündigt hat.

„Wir wollen wissen, wie die Banken auf einen Cyberangriff reagieren, sich von ihm erholen und den normalen Geschäftsbetrieb wieder aufnehmen. Unser Hauptziel ist, dabei die Schwachstellen der Banken zu ermitteln“, so Tuominen. Bekannt ist, dass in dem Szenario ein Angriff auf das Kernbankensystem der Institute simuliert werden soll.

20 der rund 1.000 beaufsichtigten Institute müssen sich im März noch einem detaillierteren Test stellen und ausführlich dokumentieren, wie sie ihre Systeme nach dem simulierten Cyberangriff wiederherstellen. Aus den Ergebnisse wollen die EZB-Aufseher gemeinsam mit den Banken Verbesserungspotenzial identifizieren.

Die EZB beaufsichtigt seit November 2014 die führenden Banken im Euroraum direkt. Dazu gehören in Deutschland unter anderem die größten privaten Geldinstitute also die Deutsche Bank, die Commerzbank sowie die Hamburger Haspa und die Deutsche Apotheker- und Ärztebank (Apo-Bank), die Volkswagen Bank und diverse Landesbanken wie die BayernLB oder die LBBW. Die EZB-Aufsicht prüft die Banken regelmäßig zu verschiedenen Krisenszenarien, um festzustellen, ob sie im Ernstfall Krisen und Angriffen standhalten können.

Besonderes Interesse hat die EZB bei ihrem Cyberresilienz-Test an Konstellationen, bei denen die Banken anderen Anbietern Zugang auf ihre Informationen und Systeme gewähren, also wenn sogenannte Drittanbieter in den IT-Betrieb eingebunden sind. Denn viele Banken setzen aus Kostengründen auf Dienstleister oder lagern Prozesse in die Cloud aus und nutzen dabei entsprechende Software von Google, Microsoft oder Amazon.

Nach der Coronakrise hat die EZB-Aufsicht eine Zunahme der Cyberangriffe auf Banken registriert, bisher war aber keiner so ernst, dass eine Bank destabilisiert worden wäre. Laut EZB-Aufseherin Tuominen gibt es immer mehr DDoS-Attacken, bei denen die Angreifer Bankdienstleistungen stören, indem sie die Server der Banken mit falschen Anfragen fluten und überlasten.

Zudem steige die Zahl der Angriffe auf Drittanbieter sowie der Ransomware-Attacken, bei denen die Opfer aus ihren Daten ausgesperrt werden und dann ein Lösegeld zahlen müssen, um wieder Zugriff zu erhalten.

Bislang stellt die EZB-Aufsicht der Cyberresilienz der Banken kein gutes Zeugnis aus: Vor-Ort-Prüfungen zur IT- und Cybersicherheit haben demnach erhebliche Mängel aufgezeigt. Auch der Chef der deutschen Finanzaufsicht Bafin, Mark Branson, warnte erst im November vor der zunehmende Gefahr durch Cyberangriffe. Es gebe einen regelrechten Wettlauf zwischen einer organisierten kriminellen Industrie und der Verteidigung gegen sie.

Im Sommer 2023 erwischte es beispielsweise die Leasing-Tochtergesellschaft der Sparkassen: Die Deutsche Leasing musste ihre IT-Systeme nach einem Cyberangriff herunterfahren, die erbeuteten Kundendaten landeten im Darknet. Auch bei der ING, der Deutschen Bank und der Postbank griffen Hacker zuletzt Kundendaten ab. Das Einfallstor war in diesen Fällen ein Dienstleister, der den Kontowechsel ermöglichte.

Die Deutsche Kreditwirtschaft (DK) betont allerdings, dass Banken und Sparkassen bereits umfangreiche Maßnahmen zur Gewährleistung der Cybersicherheit ergriffen haben, etwa durch automatisierte Überwachung und Analyse von Sicherheitsereignissen und Schwachstellen. Betrüger setzten daher vermehrt darauf, Kund:innen am Telefon oder per E-Mail zu übertölpeln.