Cyber-Angriffe gefährden Stabilität des Finanzsystems

2015 wurden in der Finanzwelt fast 800 Vorfälle gezählt, bei denen Daten entwendet wurden. Quelle: Verizon. Grafik: IWF.
Eine neue Untersuchung des IWF zeigt Risiken und notwendige Massnahmen gegen Cyber-Kriminelle im Finanzsektor.
 
Hacker-Angriffe auf Unternehmen aus der Finanzbranche stellen nach Einschätzung des Internationalen Währungsfonds (IWF) eine Gefahr für die Finanzstabilität in der Welt dar. Solche Attacken nähmen zu und würden in ihrer Machart immer ausgeklügelter, heisst es in einem heute veröffentlichten IWF-Papier (PDF).
 
Das Finanzsystem sei von relativ wenigen technischen Systemen abhängig. Deswegen hätten von Hackern und Kriminellen ausgelöste Ausfälle und Störungen das Potenzial, das gesamte Welt-Finanzsystem zu erschüttern. "Cyber-Risiken sind Schulbuch-Beispiele für systemische Risiken."
 
Alle Banken – von kleinen lokalen und regionalen Instituten bis hin zu den grössten US-Häusern – hätten schon Gefährdungen ihrer Zahlungssysteme erlebt. Der Fonds verwies als Beleg auf Attacken gegen das internationale Banken-Transaktionssystem Swift, den Internet-Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch durch gefälschte Überweisungsaufträge sowie kriminelle Angriffe auf Handelssysteme durch Schadsoftware.
 
Die wahren Kosten lassen sich kaum abschätzen
Mit Abstand am meisten Angriffe würden auf Web-Applikationen ausgeführt. 2014 wurde in der Finanzwelt über diesen Weg 31 Prozent der Attacken verübt, 2015 waren es bereits 82 Prozent, schreiben die Studienverfasser. Während die Kriminellen üblicherweise weniger als eine Stunde brauchten, um in ein System einzudringen, seien 65 Prozent der Breaches eine Woche oder länger unentdeckt geblieben.
 
Neben den direkt finanziell motivierten Angriffen, erwähnt der IWF DoS-Angriffe. Diese machten 2015 rund 34 Prozent aller Vorfälle aus.
 
"Praktisch jeder ist Cyber-Risiken in irgendeiner Form ausgesetzt", warnen die IWF-Experten. Die wirtschaftlichen Aspekte würden immer wichtiger und sichtbarer. "Die wahren Kosten von Cyber-Angriffen zeigen sich erst über einen Zeitraum von mehreren Jahren."
Die Risiko-Bereiche für Cyberangriffe sind vielfältig und teilweise nicht von einzelnen Unternehmen kontrollierbar. Quelle: IWF; Based on Atlantic Council (2014)
Es gebe eine Menge indirekter Kosten, die sich nicht einfach quantifizieren liessen. Daher gebe es auch keine verlässlichen Daten dazu.
 
In Schätzungen ist von weltweit zwischen 250 Milliarden und einer Billion Dollar im Jahr die Rede. Attacken auf Finanzinstitutionen seien besonders gefährlich wegen deren weltweit enger Vernetzung.
 
Risiko-Management, Regulatorien und Meldesystem
Die IWF-Experten beklagen, dass Standards im Risiko-Management oft nicht auf dem neuesten Stand seien. Doch auch wenn dies der Fall sei, könnten einzelne Institutionen die eng verzahnten Infrastrukturen nicht alleine sichern, hier seien Regulatorien und Standards gefragt.
 
Ein verlässliches Meldesystem für Cyber-Angriffe und -Bedrohungen sei entscheidend. Es brauche eine enge Kooperation mit den Ermittlungsbehörden. Die Banken-Aufseher müssten zudem ihre Überwachungsrolle flexibler interpretieren und sich rasch auf neu aufkommende Praktiken einstellen.
 
Firmen müssten sicherstellen, dass nur vorher geprüfte und zertifizierte Software eingesetzt werde. Zudem sollten sie die Zahl ihrer System-Administratoren mit besonderen Vollmachten begrenzen. (sda/ts)