Ein Thema, das in der breiten Öffentlichkeit nach wie vor unterschätzt wird, ist die zunehmende Bedrohung durch Cyberkriminalität. In immer kürzeren Abständen erfolgen Angriffe auf staatliche Institutionen und Unternehmen, mit zum Teil erheblichen Folgen. Neben dem Gesundheitswesen und Infrastruktureinrichtungen ist auch der Finanzbereich besonders sensibel. Schwerwiegende Störungen des Zahlungsverkehrs hätten unter Umständen gravierende Folgewirkungen. 

Die für Banken zuständigen Finanzmarktaufsicht FMA und die Oesterreichische Nationalbank haben aus diesem Grund erstmals einen speziellen Stresstest durchgeführt, um die Stabilität des heimischen Finanzsystems auf seine Anfälligkeit gegenüber Cyberangriffen zu prüfen. In einem Cyber-Planspiel wurden unterschiedliche Szenarien getestet. Bei der Simulation waren zehn Kreditinstitute, deren IT-Provider und das "Computer Emergency Response Team Austria" (CERT.at) eingebunden, der Test erfolgte in Zusammenarbeit mit dem "Kuratorium Sicheres Österreich" (KSÖ) und dem Innenministerium. Der Schwerpunkt der Aktion lag im Bereich "menschliches Versagen", weil internationale Studien – so die FMA in einer Presseaussendung – zeigen, das rund zwei Drittel der Schadensfälle durch Fehlverhalten von Mitarbeitern verursacht oder begünstigt werden.

Die Banken mussten auf rund 170 unterschiedliche Hackerangriffe reagieren, wobei die beispielhafte Aufzählung der FMA zeigt, wie breit die Problematik inzwischen ist. Angefangen von Lösegeld-Erpressung nach Ransomware-Attaken (Verschlüsselung von Daten durch Schadsoftware) über die Lahmlegung von Bankomaten und Websites, den Diebstahl von Kundendaten bis hin zum Ausfall des Electronic Bankings sowie Manipulationen von Kontoständen und -transaktionen reicht die Bandbreite.

Derlei Angriffe erfolgen heute bereits ununterbrochen, sodass die IT-Abteilungen der Banken und ihrer Zulieferer damit ständig konfrontiert sind und die große Mehrzahl problemlos abwehren können. Entscheidend ist aber der Umgang mit einer Situation, in der eine Attacke erfolgreich ist, daher wurde in dem Test durch die Aufsichtsbehörden, überprüft was dann passiert. Die FMA dazu:  "Getestet wurden dabei die institutsinternen Vorbereitungen auf derartige Angriffe, die internen Kommunikations- und Entscheidungsstrukturen, die organisatorischen und technischen Back-up-Lösungen, Information und Kommunikation mit den aufsichtsrechtlichen Institutionen sowie die externe Kommunikation mit den Kunden sowie der breiten Öffentlichkeit."

Erfreuliches Gesamtergebnis
Das Fazit dieses Test fällt laut FMA vergleichsweise gut aus, in ihrer Aussendung schreibt sie: "Das Cyber-Planspiel hat gezeigt, dass die Kreditinstitute im Großen und Ganzen organisatorisch gut auf Cyber-Attacken vorbereitet sind, wobei jedoch die praktische Ausgestaltung sich als sehr unterschiedlich erwiesen hat", so der Vorstand der FMA, Helmut Ettl und Klaus Kumpfmüller: "Die Ergebnisse werden nun im Detail analysiert, die Lehrendaraus gezogen und in der Folge in der regulatorischen und aufsichtlichen Tätigkeitumgesetzt." OeNB Vize-Gouverneur Andreas Ittner ergänzt: "Gerade bei der Abwehr von Cyberangriffen ist eine gemeinsame Vorgangsweise zur Sicherstellung der Stabilität desFinanzsektors essenziell. Wir begrüßen es daher sehr, dass sich hier Repräsentanten allerrelevanten Institutionen am ersten institutsübergreifenden Cybersecurity-Planspiel für den Finanzsektor beteiligt haben."

Dass dies nicht der letzte Test war, steht auch bereits fest. Die Finanzmarktaufseher kündigen an, in weiterer Folge auf den jüngst gewonnenen Erkenntnissen aufbauend weitere Cyberstresstest durchführen zu wollen. (gf)