Die IT- und Cybersicherheit ist ein weites Feld: sie reicht von der Isolierung von Kabeln und der Datensicherung über Virenschutzsysteme zur Gefahrenabwehr von Ransomware sowie Mobile Malware bis hin zu im Dark Web bestellbaren „Crimes as a Service“ (CaaS). Ein umfassender Schutz ist eine anspruchsvolle Aufgabe, deren Komplexität durch die digitale Transformation weiter zunimmt – steigen die potenziellen Angriffspunkte doch stetig an. Der klassische Hacker ist „out“, die Leistung kann auf Knopfdruck eingekauft werden.
Cybersicherheit wird zum Vorstandsthema
Die wachsende Relevanz des Themas wird in dem nachfolgenden Beispiel deutlich: Während früher der Elektriker in der Pflicht stand, dass Kabel richtig isoliert sind, und die IT für funktionierende Datensicherungs- und Schutzsysteme verantwortlich war, ist die Abwehr von Cyberattacken nunmehr zum Vorstandsthema geworden. Zum einen, weil das Thema mit enormen operationellen Risiken verbunden ist und zum anderen, weil der Vorstand selbst zunehmend zur Zielscheibe von Angriffen wird. So geben sich beim CEO Fraud z.B. Betrüger als Chefs aus, um Geld zu ergaunern. Alles beginnt mit einer E-Mail:
Der betrügerische Transfer nimmt im schlimmsten Fall seinen Lauf und innerhalb von Sekunden wird die ergaunerte Summe auf unzählige Unterkonten weltweit verteilt: Der Verbleib ist damit nicht mehr nachvollziehbar und die diversifizierte Transaktion nicht mehr rückholbar.
Aktuelle Cyber-Bedrohungen
Neben dem CEO Fraud waren aus Sicht des Deutschen Sparkassen- und Giroverbandes, vertreten durch Frank Schreiber-Handschug, Projekt-/Referatsleiter Cyber-Security/Online-Banking, die wesentlichen Cyber-Bedrohungen 2018:
Für das Jahr 2019 werden die aufgeführten Fälle laut Schreiber-Handschug deutlich zunehmen. Neben technischen Maßnahmen zur Vorbeugung empfiehlt er, in Richtung einer Cyberversicherung zu denken, die den bestehenden Versicherungsschutz der Finanzinstitute sachgerecht ergänzt bzw. zielführend erweitert. Die Cyberrisiken sollten, bezogen auf den Schutzbedarf des Instituts, adäquat versichert sein und den Maßgaben des operationellen Risikomanagements des Instituts entsprechen – also auch in das Notfall-, Krisen- und Business-Continuity-Management des Instituts eingebunden sein.
Ähnlich wird die Lage im genossenschaftlichen Bankenumfeld eingeschätzt. Vorfällen und den sich daraus ergebenen Anforderungen muss mit einer angestrebten 100 %-igen Sicherheit (die es nicht gibt) und einem auszubalancierenden, angemessenen Sicherheitsniveau begegnet werden. In diesem Zuge wies Dr. Jochen Dinger, Leiter Sicherheitsmanagement der Fiducia & GAD IT, auch darauf hin, dass Kriminelle die Digitalisierung nicht nur mit Technikverständnis, sondern auch mit Businesskompetenz erfolgreich „meistern“.
Die „dunkle Seite“ arbeitet professionell und arbeitsteilig und hat die traditionelle Kriminalität auf dem digitalen Massenmarkt überholt. Das geflügelte und in der Bankenbranche beliebte Wort frei nach Bertolt Brecht „Was ist ein Dietrich gegen eine Aktie? Was ist ein Einbruch in eine Bank gegen die Gründung einer Bank?“, ist aus einer längst vergangenen Zeit. Der Gewinn der Angreifer passt in keine Einkaufstasche und keinen Transporter mehr, sondern ist exponentiell hoch. Selbst Hacking-Kenntnisse sind nicht mehr erforderlich: CaaS wird stattdessen im Netz, welches den Dietrich und den Einbruch ersetzt, auf Bestellung angeboten. Ransomware und Mobile Malware können mit Einmal-Lizenzcode, Support und Garantie einkauft werden.
Enormes Schadenpotenzial
Laut Peter Vahrenhorst, Kriminalhauptkommissar beim Landeskriminalamt NRW, wurden behördlichen Angaben zufolge im vorigen Jahr alleine in Nordrhein-Westfalen 455.000 Fälle bekannt, bei denen Unternehmen extern angegriffen worden sind. Hiervon wurden weniger als ein Drittel gemeldet. Für Deutschland wird mittlerweile von einem Schadenpotenzial von 55 Mrd. Euro ausgegangen – eine mehr als dreimal so hohe Summe wie bei allen anderen illegalen Geschäften.
Jan Kiefer, Referent Grundsatz IT-Aufsicht und Prüfungswesen bei der Bundesanstalt für Finanzdienstleistungsaufsicht zeigte an einer Statistik der BaFin auf, dass knapp 30 % der gemeldeten Sicherheitsvorfälle auf Softwarestörungen beruhen, die bspw. aufgrund interner Prozesse zustande kommen.
Ein Blick auf die Ursachen für gemeldete Sicherheitsvorfälle lässt vermuten, dass noch vergleichsweise wenige Sicherheitsvorfälle durch Cyberangriffe verursacht werden. Es wird jedoch davon ausgegangen, dass die Dunkelziffer aufgrund vieler nicht gemeldeter Angriffe weitaus höher liegt. Diese Annahme wird u.a. durch eine Auswertung aus dem Sparkassenumfeld gestützt, die Cyberattacken bereits auf Platz zwei der Top-Geschäftsrisiken listet:
Aus dieser Entwicklung resultieren sowohl neue, als auch eine verschärfte Überwachung vorhandener Meldepflichten. Neue Vorgaben in der Datenschutzaufsicht, wurden von den beiden Landesbeauftragten für Datenschutz und Informationsfreiheit, Dr. Andrea Stubbe und Dominik Lamp, ebenfalls thematisiert. Aufgrund der Meldepraxis und der Erhöhung des Gefahrenpotenzials bleibe das Meldewesen von sog. ergänzenden Vorschriften und Definitionen zu meldepflichtigen Verletzungen nicht verschont. Eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) führe jetzt zur Meldepflicht, wenn die gemäß Art. 32 DSGVO erforderlichen technischen oder organisatorischen Maßnahmen verletzt würden und dadurch verarbeitete Daten
- vernichtet wurden,
- verloren gegangen sind,
- verändert wurden oder
- unbefugt offen gelegt wurden,
es sei denn, die Verletzung führe voraussichtlich „nicht zu einem Risiko“ für die Rechte und Freiheiten natürlicher Personen. Da es keine vollständig risikolose Verarbeitung geben kann, wird die Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem geringen Risiko“ führend verstanden (vgl. DSK-Kurzpapier Nr. 18). Den Verantwortlichen trifft eine Ermittlungspflicht, d.h. er muss dem Verdacht nachgehen und zumutbare Anstrengungen unternehmen, um den Verdacht auszuschließen.
Die Inhalte der Meldung an die Aufsichtsbehörde sind dann die sogenannten Mindestangaben nach Art. 33 Abs. 3. Dazu zählen:
- Art und Kategorien der Daten
- Anzahl der betroffenen Personen und Datensätze
- Datenschutzbeauftragter / sonstige Anlaufstelle
- Beschreibung wahrscheinlicher Folgen
- Maßnahmen
Des Weiteren könne eine Erstmeldung bei Vorliegen weiterer Erkenntnisse ergänzt werden, wobei diese bei Verletzungen des Schutzes personenbezogener Daten stets zu dokumentieren sind, unabhängig davon, ob eine Meldung an die Aufsichtsbehörde zu erfolgen hat. Nach Art. 33 Abs. 5 DSGVO muss einer Aufsichtsbehörde die Überprüfung ermöglicht werden. Für die Umsetzung in der Praxis ergeben sich daraus seitens der Finanzinstitute folgende Prämissen und To-dos:
- Wurden technische und organisatorische Maßnahmen getroffen, um Sicherheitsverletzungen rechtzeitig zu erkennen und zu adressieren?
- Monitoring der IT-Systeme (Security Incident Response System)
- Festlegung von Kommunikationswegen
- Intern: Wer meldet, wer ist einzubinden, wer entscheidet? Regelt ein Reaktionsplan Zuständigkeiten und Berichtslinien?
- Extern: Wer kommuniziert mit den Behörden, welche Behörde ist zuständig?
- Welche Informationen sind für die Meldung erforderlich?
- Wie wird der Vorfall dokumentiert?
- Sind Risiken identifiziert und adressiert, die eine zeitnahe Meldung verhindern könnten?
- Gibt es Testläufe?
Neue Vorgaben in der Datenschutzaufsicht
Das Geschäft mit illegal beschafften Daten oder mit der unerlaubten Verwendung von vorhandenen Daten führt zu neuen Vorgaben und Empfehlungen in der Datenschutzaufsicht. Gemeint sind u.a. die neuen Löschfristen, um die Datenhaltung zu minimieren und die Datenverfügbarkeit zweckgerichtet zu steuern. Dabei stellen sich unweigerlich folgende Fragen:
Entziehe ich Daten einer Verwendung, indem ich sie sicher archiviere, oder zerstöre ich Daten, um sie einer anderen und nicht zweckgebundenen Verwendung komplett und dauerhaft zu entziehen und wenn ja, nach welcher Zeit ist es ratsam oder gesetzlich vorgeschrieben?
Die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Dr. Andrea Stubbe und Dominik Lamp, beschrieben dies in ihrem Vortrag als eine Gratwanderung zwischen Datenminimierung und Löschung vs. Verfügbarkeit/Belastbarkeit der Datensicherheitssysteme: Einerseits müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“; Art. 5 Abs. 1 lit. a DSGVO), andererseits in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; […] („Speicherbegrenzung“; Art. 5 Abs. 1 lit. e DSGVO). Daraus folgt:
1. Datenminimierung und Löschung
Die betroffene Person hat das Recht […] und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft (Art. 17 Abs. 1 DSGVO):
- Zweckerreichung
- Widerruf der Einwilligung und auch keine sonstige Rechtsgrundlage
- Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 oder Abs. 2
- Unrechtmäßige Verarbeitung
Unmöglichkeit und Unverhältnismäßigkeit der Löschpflicht finden nur im Fall der nichtautomatisierten Datenverarbeitung Beachtung (§ 35 Abs. 1 BDSG).
2. Verfügbarkeit/Belastbarkeit der Datensicherheitssysteme
Die Pflicht zur Löschung gilt nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Unter Berücksichtigung […] der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen […]; diese Maßnahmen schließen gegebenenfalls Folgendes ein: […] die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen […] (Art. 32 Abs. 1 lit. b DSGVO).
Diese ergänzenden Vorschriften helfen, die Anforderungen im Umfeld der IT- und Cybersicherheit zu verstehen und mit der Einhaltung Risiken vorzubeugen, also sich zu schützen. Gleichzeitig verschärfen sie die technische Kollision zwischen Datenminimierung, Löschung, Speicherkapazitäten, TOMs, Rechenschaftspflichten, Aufbewahrungsvorschriften sowie Sensibilität im Umgang mit kritikalen Daten auf der einen und der reinen Verfügbarkeit von Daten im Sinne eines erfolgreichen Geschäftsbetriebs auf der anderen Seite.
Prävention, Detektion und Reaktion
Die große Aufgabe, die vor uns steht, ist, Cyberangriffen mit gezielter Prävention, präziser Detektion und einer effektiven Reaktion entgegenzuwirken, wie es beispielsweise mit dem NIST Cybersecurity Framework angeboten wird. Dabei handelt es sich um ein politisches Rahmenwerk für Computersicherheitsrichtlinien, anhand dessen ermittelt werden kann, wie Organisationen des privaten Sektors in den Vereinigten Staaten ihre Fähigkeit, Cyberangriffe zu verhindern, zu erkennen und darauf zu reagieren, beurteilen können.
Ganze Managementsysteme bieten Lösungen an, die die Eindämmung von Cyberangriffen versprechen, so Rüdiger von Amelen, Governance & Transformation (VGT) bei der Postbank Systems in seinem Vortrag. Es besteht eine Notwendigkeit für jedes Finanzinstitut, ein eigenes Cybermanagementsystem einzusetzen, das die Vielzahl der durch Normen und Standards benötigten unternehmensinternen Systeme und Bereiche organisiert, verbindet und schützt. Die nachfolgende Tabelle stellt lediglich einen Auszug der derzeit bei der Postbank im Einsatz befindlichen Managementsysteme mit aktueller regulatorischer Relevanz dar.
Dabei reicht es nicht, ein eigenes Cybermanagementsystem zu etablieren. Der Fokus muss auf der übergreifenden Vernetzung der vorhandenen Systeme liegen. Nur so könne Transparenz in der Komplexität der ineinandergreifenden Anforderungen geschaffen und gezielt, agil und angemessen gegen Cyberattacken vorgegangen werden.
Fazit
Die Fachkonferenz „IT- und Cybersicherheit“ der Bankenforen Leipzig brachte vieles durch die hochkarätigen Referenten auf den Punkt. Die Teilnehmer aus der Finanzwirtschaft konnten sich bei der zweitägigen Veranstaltung einen weitreichenden Überblick über das Thema verschaffen und erhielten tiefe Einblicke in die aktuellen Entwicklungen. Jan Kiefer als Vertreter der BaFin stellte sich wacker den umfänglichen Fragen der Teilnehmer. Die Fachkonferenz bot neue Einsichten in die zukünftigen Notwendigkeiten. Aufgrund der Brisanz des Themas und der rasanten Entwicklungen wird die Fachkonferenz im nächsten Jahr am 11./12. September 2019 in Frankfurt am Main fortgeführt.
Bildquellen:
- BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht (2018): Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht. IT-Aufsicht bei Banken 27.09.2018, URL: https://www.bafin.de/SharedDocs/Downloads/DE/Veranstaltung/dl_180927_it-aufsicht_Vortrag2.pdf?__blob=publicationFile&v=2, [Stand: 6.12.2018].
- Schreiber-Handschug, Frank (2018), Deutscher Sparkassen-und Giroverband e. V.: Aus Vortragsfoliensatz „Cyber-Abwehr der Sparkassen-Finanzgruppe“, Fachkonferenz IT-und Cybersicherheit am 9.11.2018, Frankfurt am Main.
- Vahrenhorst, Peter (2018), Landeskriminalamt NRW: Aus Vortragsfoliensatz „Herausforderung Cybercrime“, Fachkonferenz IT- und Cybersicherheit am 9.11.2018, Frankfurt am Main.
