Erster Cyber-Stresstest der EZB: Alles eine Frage des Zusammenspiels
Wie gut sind die europäischen Banken eigentlich auf eine Cyber-Attacke vorbereitet? Das will die Europäische Zentralbank Anfang nächsten Jahres mit einem gezielten Stresstest herausfinden. Das der Test kommt, war absehbar – und notwendig, sagen Elvira Niedermeier, Lucas Daus und Peter Hertlein von KPMG.
von Lucas Daus, Elvira Niedermeier und Peter Hertlein, KPMG
Nach einer ganzen Reihe neuer regulatorischer Maßnahmen, die künftig zu beachten sind, ist der kommende Cyber-Stresstest nun die erste Probe aufs Exempel.Was erwartet die Kreditinstitute und wie sie sich vorbereiten können? Auch für andere Finanzdienstleister liefert der erste Test eine Blaupause.
Diese Website kann nicht angezeigt werden.“
Wer Anfang September die Internetseite der Bundesanstalt für Finanzaufsicht (BaFin) aufrufen wollte, kam nur bis zu dieser Fehlermeldung.
Die Finanzaufsicht war einem Hackerangriff zum Opfer gefallen. Mit einer sogenannten DDoS-Attacke hatten Kriminelle die Website lahmgelegt.
Das war spektakulär, traf der Angriff doch die Aufsicht selbst. Und doch war es kein Einzelfall:
Durch Datendiebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jedes Jahr ein Schaden von rund 203 Milliarden Euro, wie der Digitalverband Bitkom errechnet hat. Auch 84 Prozent der Finanzunternehmen haben eine erhöhte Gefahrenlage beobachtet, zeigt eine Studie von KPMG und Lünendonk & Hossenfelder.
Die Finanzwelt wird immer digitaler – und damit auch anfälliger für Attacken aus dem Netz. Darauf hat die Europäische Union (EU) reagiert. Die DORA-Verordnung oder die NIS-2-Richtlinie sind nur zwei Regelwerke, die in diesem Jahr verabschiedet wurden und die Finanzbranche künftig resilienter gegenüber Cyber-Attacken machen sollen. Soweit die Theorie. Aber wie gut die Finanzunternehmen in der Praxis aufgestellt sind, ist bisher noch unklar.
Ein Stresstest soll deshalb Licht ins Dunkel bringen. Das ist ein ebenso absehbarer, wie notwendiger Schritt, den die Aufsichtsbehörde geht.”
Allerdings stellt er auch ein Novum in Sachen Cyber-Abwehr im Finanzsektor dar: Am 2. Januar 2024 wird die Europäische Zentralbank (EZB) erstmals ein konkretes Krisenszenario veröffentlichen, mit dem sich die mehr als 100 EZB-regulierten Institute auseinandersetzen und auf das sie gemäß der Regulatorik reagieren müssen. Insgesamt 20 ausgewählte Banken werden dabei sogar besonders unter die Lupe genommen. Damit geht dieser breit angelegte Test über den Umfang von Cyber-Tests lokaler Aufsichtsbehörden hinaus. So hat die BaFin beispielweise gerade eine zweitägige Cyber-Krisenübung bei elf ausgewählten Banken, Versicherungen und IT-Dienstleistern durchgeführt. Aber was genau erwartet die Institute beim Cyber-Test der EZB? Und wie müssen sie sich darauf vorbereiten?
Lucas Daus ist Partner bei der KPMG (Website) im Bereich Cyber Security und Experte für das IT-Notfallmanagement sowie Cyber-Krisen-Übungen. Ein Schwerpunkt seiner Arbeit ist die Vorbereitung, Begleitung und Nachbereitung von Cyber-Tabletop-Übungen. Zudem berät der studierte Mathematiker Unternehmen hinsichtlich der Implementierung eines unternehmensweiten Business Continuity Managements.
Elvira Niedermeier ist Senior Managerin im Bereich Financial Services bei KPMG (Website) in Frankfurt. Als Wirtschaftsprüferin und Steuerberaterin beschäftigt sich die Finanzexpertin schon seit mehr als 20 Jahren mit der Prüfung und Beratung von Banken und Versicherungsunternehmen. Sie berät insbesondere hinsichtlich Regulatorik und Compliance im Bereich der Informations- und Kommunikationstechnologie.
Peter Hertlein ist Direktor im Bereich Financial Services und Experte für IT-Compliance bei KPMG (Website) in Deutschland. Ein Schwerpunkt seiner Arbeit ist die Vorbereitung, Begleitung und Nachbereitung von IT-Aufsichtsprüfungen. Zudem leitet der Diplom-Wirtschaftsinformatiker das Regulatory Hub für IT-Compliance & Cyber-Security und verfügt über mehr als 13 Jahre Berufserfahrung in der IT-Beratung und IT-Prüfung im Bereich Financial Services.
Was über den Stresstest bereits bekannt ist
Die gute Nachricht: Viele Einzelheiten des Stresstests sind bereits bekannt. Zum Beispiel die insgesamt 478 Fragen, die auf die Finanzinstitute zukommen. Auch ist die Meldung von Cyber-Vorfällen an die EZB für die Banken nicht neu. In dieser Hinsicht sollte die Unternehmen nichts überraschen. Außerdem ist bekannt, dass es sich bei dem Test um ein Integritätsangriffsszenario gegen das Kernbankensystem handeln wird. Das heißt, die dem Kernbankensystem zugrundeliegenden Daten sind durch den Vorfall nicht mehr integer. Der simulierte Angriff wird wohl folglich das Kernbankensystem paralysieren – beispielsweise durch eine Ransomware-Attacke. Entweder können die Banken dann nicht mehr auf ihre Daten zugreifen, weil sie verschlüsselt wurden. Oder die Informationen werden verändert und es kommt beispielsweise zu Fehlbuchungen oder doppelten Auszahlungen. Außerdem ist zu erwarten, dass der Stresstest auch Drittdienstleister einbezieht, sofern Auslagerungen durch die Banken vorliegen. Ein Aspekt, den unter anderem DORA adressiert und der auch im Fragebogen der EZB eine Rolle spielt.
Ein Szenario könnte also sein, dass die Attacke über einen Dienstleister erfolgt und dieser zum Einfallstor bei der Bank wird. Diese Art der End-to-End-Aufarbeitung wäre eine besondere Herausforderung.”
Deshalb sollten sich die Institute schon jetzt auf den Stresstest vorbereiten – nicht nur fachlich, sondern auch technisch. Eine erste Maßnahme dahingehend wäre eine sogenannte Gap-Analyse. Diese bezieht sich auf den bereits bekannten Fragebogen sowie den aktuellen Stand im Unternehmen. Vereinfacht gesagt: Welche der 478 Fragen können bereits mit gutem Gewissen und den entsprechenden Nachweisen beantwortet werden – und welche nicht. Die Herausforderung dabei: den Fragebogen thematisch zu strukturieren und den jeweiligen Ansprechpartnern bzw. Stakeholdern im Unternehmen zuzuordnen. Hierfür müssen verschiedene Unternehmensbereiche funktionsübergreifend über alle Vereidigungslinien hinweg zusammenarbeiten. Werden dabei „Gaps“ festgestellt, müssen sie in der Reihenfolge ihrer Priorität geschlossen werden.
Anschließend gilt es, ein Drehbuch zu entwickeln: Wer muss an welchem Tag zur Verfügung stehen und auf was reagieren? Zum Beispiel muss ein Vorfall laut EZB-Methodik innerhalb von zwei Stunden nach Entdeckung der Aufsicht gemeldet werden. Ein Zwischenbericht muss innerhalb von 10 Tagen, der Abschlussbericht innerhalb von 20 Tagen nach der Erstmeldung vorliegen.
Das Startdatum des Stresstests, der 2. Januar 2024, ist hier nicht unkritisch, liegt es doch mitten in der Urlaubszeit.”
Stresstest setzt Zusammenarbeit aller Ebenen voraus
Darüber hinaus lassen sich aus den bereits bekannten Informationen einige Vorkehrungen ableiten. So ist etwa davon auszugehen, dass der Angriff alle präventiven Maßnahmen umgeht. Das heißt: Egal, wie gut die Bank auf einen Vorfall vorbereitet ist – der Schutz wird umgangen, denn es soll offenkundig ein Ausfall des Kernbanksystems simuliert werden. Deshalb ist es wichtig, auf die Response- und Recovery-Prozesse zu fokussieren. Da es sich um ein Integritätsszenario handelt, ist schließlich klar, dass der Stresstest auch einen Recovery-Test beinhaltet.
Dabei müssen die Banken nicht nur die technische, sondern auch die fachliche Recovery-Fähigkeit nachweisen. Es müssen integre Daten bereitstehen, damit die Banken fehlerfrei arbeiten können. Zudem müssen die Banken ihr wichtigstes Kernbankensystem kennen. Auch hier ist eine reine IT-Sicht nicht zielführend. Sie muss um fachliche Aspekte sowie ein zuverlässiges Abwicklungs- und Krisenmanagement ergänzt werden. Schließlich stehen die Banken vor der Herausforderung, die ökonomischen Auswirkungen aus dem Cyber-Vorfall berechnen zu müssen.
Diese Zusammenführung von Reaktions- und Wiederherstellungsfähigkeit sowie ökonomischer Betrachtungsweise stellt ein Novum im aufsichtsrechtlichen Kontext dar.”
Was bedeutet der Ausfall für das Geschäft mit den Kunden? Wie wirkt sich die Attacke auf das Risikomanagement aus?
Fragen wie diese verdeutlichen die integrative Kraft des EZB-Stresstests. Um ihn zu bestehen, müssen die verschiedenen Bereiche einer Bank perfekt zusammenspielen. Es gibt gleich mehrere Schnittstellen, die hier zum Tragen kommen. Zum einen auf der technischen, zum anderen auf der fachlichen Ebene. Auf der technischen Ebene ist die erste Anlaufstelle natürlich die IT. Denn um die Integrität von Daten kümmert sich der Chief Information Officer (CIO). Hier liegt auch bei einem Systemausfall die Verantwortung, denn die IT muss die Systeme wieder anlaufen lassen, im Zweifel auch zusammen mit dem IT-Dienstleister. Die Prozesssteuerung liegt beim Business Continuity Management (BCM). Es müssen Recovery-Pläne vorliegen, die im Angriffsfall greifen. Die Schnittstelle zwischen IT sowie dem BCM und der Informationssicherheit wird für den Stresstest entscheidend sein.
Auf der fachlichen Ebene kommt eine weitere Schnittstelle zum Tragen – und zwar die zwischen der IT und den einzelnen Geschäftsbereichen der Bank. Nur die Geschäftsbereiche sind in der Lage zu beurteilen, ob die Datenintegrität der Kernbankensysteme nach einem Cyber-Vorfall wiederhergestellt werden konnte. Sie sollten daher von der IT in den Recovery-Test einbezogen werden. Zudem können sie das wesentliche Kernbankensystem ermitteln. Zur Berechnung der ökonomischen Auswirkungen muss neben den IT und Informationssicherheitsspezialisten vor allem das Risikomanagement einbezogen werden. Genau diese technische und fachliche Zusammenarbeit ist ein Aspekt, den die Aufsicht mit dem Test durchleuchten möchte. Deshalb gilt es auch hier, entsprechende Prozesse zu etablieren – und das geschieht auch schon.
Der Stresstest wird zur Regelübung
Insgesamt sind EZB-regulierte Häuser gut auf den Stresstest vorbereitet. IT-Aufsichtsprüfungen, der Kontakt zu den Behörden, Fragebögen, Umsetzungsprojekte: All das ist nichts Neues für die Banken, sie kennen die Methodiken. Ebenso gibt es kein Institut, das kein Security Operations Center hat und Cyber-Attacken nicht erkennen könnte. Neu sind jedoch der fokussierte Aspekt einer Cyber-Übung und die Herausforderung, auf die verschiedenen Schnittstellen einzugehen und den Vorfall von Anfang bis Ende zu durchdenken. Hinzu kommt, dass dies alles zum ersten Mal erfolgt, es gibt keine Blaupause. Dies wird sich zukünftig jedoch ändern.
Cyber-Stresstests werden zur Regelübung werden. Schließlich wird die Gefahr aus dem Netz nicht kleiner, was den Aufsichtsbehörden sehr bewusst ist und worauf sie jetzt reagieren.”
Mit DORA wird im Finanzbereich der regulatorische Rahmen geschaffen, auf dem die Cyber-Stresstests basieren. Nicht nur die EZB, auch lokale Finanzaufsichtsbehörden in Dänemark und in Deutschland sammeln aktuell Erfahrungen mit diesem Aufsichtsinstrument. Hierbei handelt es sich um Tests mit ausgewählten Finanzunternehmen und IT-Dienstleistern. Allerdings ist zu erwarten, dass die lokalen Finanzaufsichtsbehörden Cyber-Stresstests spätestens Anfang 2025, mit der Umsetzung von DORA, als Regelübung einführen werden. Dies wird nicht nur Banken betreffen. Die Europäische Aufsichtsbehörde für Versicherungen hat zum Beispiel bereits in diesem Jahr ihre methodischen Prinzipien für einen Cyber-Stresstest veröffentlicht. Finanzunternehmen sollten sich daher so bald wie möglich mit dieser alle Bereiche ihres Unternehmens berührenden Thematik auseinandersetzen. Lucas Daus, Elvira Niedermeier, Peter Hertlein, KPMG
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/163187
Schreiben Sie einen Kommentar