Die schlechte Nachricht: Während Banking im Corona-Lockdown digitaler geworden ist, haben sich die Risiken von Cyberattacken erhöht. Die gute Nachricht – Schweizer Banken sind erstaunlich gut gerüstet.
Cyberattacken werden innerhalb der Bankenbranche vielfach als eines der grössten Risiken überhaupt betrachtet. Doch dieses Risiko zu quantifizieren ist äusserst schwierig: Betroffene Banken schweigen über Cyberangriffe und die Kosten. Doch die Gefahren sind dramatisch.
Fabio Panetta von der Europäischen Zentralbank (EZB) sagte Ende Februar an einem Treffen des Euro Cyber Resilience Board, von Cyberrisiken gingen inzwischen Gefahren aus, die eine systemische Krise auslösen könnten.
Er schätzte, dass die durchschnittlichen Kosten von Cyberangriffen in den letzten fünf Jahren um 72 Prozent gestiegen sind. «Unternehmen werden im Jahr 2021 im Durchschnitt alle 11 Sekunden angegriffen.»
Zwischen 45 und 654 Milliarden Dollar
Panetta unternahm auch einen Versuch, die Kosten der Cyberattack zu quantifizieren. Gemäss Schätzungen hätten sich diese im Jahr 2018 auf 45 Milliarden bis 654 Milliarden Dollar belaufen. Die Aussage darf als Beleg gelten, dass für die Banken- und Finanzbranche belastbare Informationen zu Cyberattacken und Kosten schwer zu eruieren sind.
Die Ratingagentur Moody's hielt in einer jüngst veröffentlichten Studie zu Cyberrisiken und Banking fest, durch die Coronapandemie habe sich digitale Transformation der Banken beschleunigt, was wiederum ihre Verletzlichkeit gegenüber Cyberattacken erhöht habe. Das ist schlüssig: Durch das Arbeiten aus dem Home Office, die stärkere Nutzung von digitalen Kanälen durch Kunden ergeben sich viel mehr Einfallstore für Cyberangreifer.
Fehler der Mitarbeiter
Gemäss einer Untersuchung des Technologienunternehmens Verizon erfolgen rund ein Drittel der Angriffe via Web Applikationen und ein weiteres Drittel nach Fehlern von Mitarbeitern; beispielsweise durch das Öffnen von Email oder Links, aber auch durch Fehler von System-Administratoren.
Die bei weitem verbreitetste Form eines Angriffs zielt auf Banktransaktionen. Entweder fälschen die Angreifer Identitäten von Angestellten oder Kunden. Oder sie greifen dort an, wo die Kontrollen und Sicherheitsschranken der Banken bei den Bezahl- und Transaktionssysteme schwach sind. Moody's nennt hier spezifisch das SWIFT-System, das weltweit von 11'000 Finanzinstituten mit rund 200 verschiedenen IT-Systemen benutzt wird.
Thema im Verwaltungsrat angekommen
Moody's stellt dabei fest, dass die Banken in den letzten Jahren ihre Systeme und die Governance bezüglich Cyberrisiken deutlich verbessert haben. Zum einen seien Funktionen und Strukturen aufgebaut worden, um das Thema auch im Topmanagement und im Verwaltungsrat visibler zu machen. Dies wiederum habe dazu geführt, dass zum Kampf gegen Cyberattacken höhere Budgets gesprochen würden.
Während Moody's den Bankensektor beurteilt, hat eine andere Rating-Agentur einzelne Banken genauer angeschaut. Dabei handelt es sich um D-Rating, die gemäss Eigenwerbung erste Ratingagentur zur Bemessung der digitalen Performance von Unternehmen.
Raiffeisen so sicher wie Marcus
Auch D-Rating nahm die Coronakrise zum Anlass, die Bankenbranche bezüglich Cyberrisiken unter die Lupe zu nehmen. Dabei wurden 60 Banken in Europa auf Schwachstellen bei ihren Webseiten sowie den Android-Anwendungen abgeklopft. Getestete Schweizer Institute waren Credit Suisse, Raiffeisen, UBS und Zürcher Kantonalbank.
Das Ergebnis: Raiffeisen ist gemäss D-Rating unter den Top-Performern. Zu diesen zählen beispielsweise auch Marcus von Goldman Sachs und die niederländische ING. Die übrigen Schweizer Banken fielen aber nur leicht ab: D-Rating schreibt, das insgesamt beste Ergebnis unter allen bewerteten Banken wurde in der Schweiz erzielt.