Führungsaufgabe Cybersicherheit - Anmerkungen aus der Sicht der deutschen Bankenaufsicht Cyber-Sicherheitsrat "Cyber-Sicherheit als Voraussetzung für den Betrieb Kritischer Infrastrukturen im Finanz- und Versicherungswesen"
Es gilt das gesprochene Wort.
1 Einleitung
Sehr geehrter Herr Minister Beuth, sehr geehrter Herr Annuscheit,
meine sehr geehrten Damen und Herren,
vielen Dank für Ihre Einladung, heute bei Ihnen vorzutragen. Ich vertrete meinen Kollegen Johannes Beermann, der leider verhindert ist und Sie alle herzlich grüßen lässt.
Lassen Sie mich mit einem positiven Aspekt beginnen. Prominent besetzte Konferenzen wie diese belegen, dass wir bereits einen wichtigen Meilenstein auf dem Weg zur Cybersicherheit erreicht haben: Cyberrisiken erhalten endlich die ihnen gebührende Aufmerksamkeit.
Das ist alles andere als eine Selbstverständlichkeit. Die Aufgabe, ein angemessenes Bewusstsein für Cyberrisiken zu schaffen, war eigentlich von Anfang an schwierig, weil gemeinhin angenommen wurde, dass IT etwas für Spezialisten oder lediglich eine interne Hilfseinheit für Unternehmen sei. Manager verwandten, wenn überhaupt, mehr Zeit und Mühe auf die Entwicklung neuer IT-basierter Dienstleistungen. Dadurch etablierten sich innovative Unternehmensanwendungen wie algorithmisches Kreditscoring, "Robo-Advice" oder digitale Zahlungsmethoden. Cyberrisiken hingegen wurden dabei stark vernachlässigt und mitunter auch übersehen - nicht zuletzt, weil Angriffe über das Internet meist lautlos vonstatten gehen und in der realen Welt nicht einmal Spuren hinterlassen. Diverse Vorfälle wie die Stuxnet-Attacke auf iranische Atomanlagen, der Bundestags-Trojaner und die Infiltration der Cyberabwehr von rund 100 Banken durch die sogenannte Carbanak-Bande haben aber mittlerweile das Bewusstsein für diese Probleme ein wenig geschärft.
Cyberbedrohungen sind für uns heute kein abstrakter Begriff mehr. Wir sprechen zum Beispiel über Straftaten wie "Phishing" oder "Angriffe mit Trojanern". Ganze Strategien sind inzwischen bekannt geworden. Beispiele sind "Distributed Denial of Service"-Attacken, die eine mutwillige Überlastung durch Serveranfragen herbeiführen; "Man-in-the-Middle"-Angriffe, bei denen die Kommunikation insgeheim aufgezeichnet oder sogar manipuliert wird, und "Ransomware", die den Zugang zu Daten blockiert, um ein Lösegeld zu fordern. Einer 2015 durchgeführten weltweiten Studie zufolge sind 61 % der Vorstandsvorsitzenden der Ansicht, dass Cyberrisiken eine zentrale Bedrohung für sie darstellen.[1]
Es dürfte Sie nicht überraschen, meine Damen und Herren, dass mein Bericht an Sie hier nicht endet. Bewusstheit impliziert nicht zwangsläufig ein angemessenes Verständnis, und selbst wenn das so wäre, werden die logischen Schritte nicht automatisch gegangen. Sicherlich gibt es heutzutage in vielen Unternehmen eine Abteilung und einen Budgetposten für Cybersicherheit. Ich stimme allerdings mit den Ergebnissen vieler Studien und Statistiken überein, denen zufolge eine wirklich breite Widerstandsfähigkeit gegen Cyberrisiken noch immer ein Mythos ist. In meinem heutigen kurzen Vortrag möchte ich mir erlauben, aus meiner Erfahrung als Bankenaufseher und Notenbanker Anregungen zu geben, wie durch die Wahrnehmung der Führungsaufgabe Cybersicherheit ein Wandel herbeigeführt werden kann.
2 Cyberrisiken können reale Schäden verursachen
Die meisten von uns - meine Person eingeschlossen - verstehen den Quellcode der von unseren Häusern genutzten Onlinebanking-Plattformen oder Firewalls nicht oder nur äußerst eingeschränkt imstande. Auf dieses Wissen kommt es aber auch nicht an, wenn es darum geht, die Widerstandsfähigkeit unserer Wirtschaft gegen Cyberrisiken zu verbessern. Technische Details lassen sich in eine einflussreichere und vertrautere Sprache übersetzen - und zwar in die des Managements und der Strategie. Zu dieser Überzeugung bin ich nicht aus IT-Spezialisten-Sicht, sondern aus meiner Erfahrung im Rahmen der Beaufsichtigung eines Sektors gelangt, der besonders anfällig für Cyberrisiken ist: nämlich der Finanzsektor.
Finanzinstitute rangierten 2014 als Käufer von Cyberversicherungen mit durchschnittlichen Haftungsgrenzen von 57 Millionen US $ an erster Stelle, gefolgt von Strom- und Versorgungsunternehmen, Medien- und Technologiefirmen.[2] Die Tatsache, dass der Finanzsektor in punkto Cyberrisiken massiv gefährdet ist, dürfte niemanden von Ihnen überraschen. Die Digitalisierung des Bankwesens hat nämlich auch einen Wandel in der Finanzkriminalität hervorgerufen. Wie Sie wissen, sind enorme Werte und nicht zuletzt auch enorme Daten inzwischen auf Bankservern gespeichert. Das Hacken von Servern wird also zusehends lukrativer. Gleichzeitig wird der Einstieg in diese Art der Kriminalität leichter. Seien wir realistisch: Im "Dark Web" können heute viele spezialisierte "Hacking"-Dienstleistungen gekauft werden.
Es gibt vier unterschiedliche Arten, wie Cyberattacken ein Unternehmen oder eine Person schädigen können. Im Finanzsektor sind in zahlreichen Fällen leider bereits alle vier Arten vorgekommen. Lassen Sie mich diese Schädigungsarten kurz skizzieren:
Eine Verletzung der Integrität beinhaltet die Manipulation korrekter Daten. Bei der auf Banken ausgeübten Carbanak-Attacke infizierten die Diebe die Systeme der Banken und sammelten solange Informationen, bis sie die Mitarbeiter nachahmen und die Prozesse manipulieren konnten. Dann wiesen sie Geldautomaten an, große Summen Bargeld auszuzahlen.
Ein Diebstahl personenbezogener Daten ist eine Verletzung der Vertraulichkeit. Im prominenten Fall einer US-Bank waren über 60 Millionen Datensätze von Privatkunden und Unternehmen betroffen.
Eine Verletzung der Verfügbarkeit stellt eine andere Dimension der Anfälligkeit dar. Hierzu gehören Fälle, in denen Kriminelle Onlinebanking-Dienste, Geldautomaten oder andere von Servern betriebene Infrastrukturen zum Absturz gebracht haben.
Und nicht zuletzt können Cyberattacken sogar den wertvollsten Vermögenswert einer Bank beeinträchtigen: ihre Reputation. 2014 wurden per E-Mail und über soziale Netzwerke Gerüchte gestreut, dass eine Bank zahlungsunfähig sei. Daraufhin entstand tatsächlich ein Bank-Run.
Fazit: Der Finanzsektor ist nicht nur ein wichtiges Ziel von Cyberattacken, sondern auch anfällig für fast jedes erdenkliche Cyberrisiko. Das ist bedauerlich für den Finanzsektor, aber gut für andere Branchen, denn der Finanzsektor wird dadurch zur Quelle von vorbildlichen Praktiken, also von "best practices", die auch in anderen Teilen der Wirtschaft anwendbar sind.
Als Bankenaufseher haben meine Kollegen von der Bundesbank und ich Einblick in Cybervorfälle, in Risikokulturen und in Vorsorgemaßnahmen der Finanzinstitute in Deutschland. Dabei beobachten wir nicht nur hierzulande, sondern auch im Rahmen der einheitlichen europäischen Bankenaufsicht unter Federführung der EZB und als Teil der internationalen Finanzstabilitätsgemeinschaft eine stetig wachsende Besorgnis über Cyberrisiken. Dies trägt dazu bei, dass wir Erkenntnisse über die Ausgangslage und die Entwicklungen in der Cyberabwehr im Finanzsektor gewinnen.
3 Was haben wir gelernt?
Lassen Sie mich Ihnen die meines Erachtens wichtigsten Lektionen, die wir bisher gelernt haben, kurz erläutern.
Erstens: In der Cyberwelt gibt es keinen Freifahrtschein. Wir können mit einem Mausklick Tausende Transaktionen in einer Sekunde tätigen und riesige Datenmengen rund um den Globus übertragen, gleichzeitig sind wir aber auch dem Risiko sekundenschneller und massiver Verluste ausgesetzt. Das Internet wird mittlerweile auf stark vernetzte Endgeräte erweitert. Auch jeder neue Netzdrucker stellt ein potenzielles Einfallstor für Angriffe dar, und jedes neue Software-Update gilt in der Regel als temporäre Schwäche. Selbst wenn eine Neuerung nur der Bequemlichkeit dient - wie etwa ein einfacherer Zugang zu Onlinebanking-Anwendungen oder "One-Touch"-Zahlungsmethoden - gilt dieselbe Regel: Jede Innovation hat ihren Preis im Sinne eines Zielkonflikts. Um diesen Preis beurteilen zu können, ist es erforderlich zu wissen, welche Elemente gegeneinander abgewogen werden müssen.
Zweitens: Es gibt einfach keine hundertprozentige Cybersicherheit. Als Abwehrmaßnahme wird ein Zwei-Faktor-Identitätsnachweis als beste Praxis für das Onlinebanking erwogen. Nicht weil sie absolut sicher ist, sondern weil sie einfach einen vernünftigen Kompromiss zwischen Kundenfreundlichkeit und IT-Sicherheit darstellt. Sie erfordert zwar etwas mehr Aufwand seitens der Kunden, die zusätzliche Sicherheitsschicht stellt jedoch eine höhere Hürde für Kriminelle dar bei ihrem Versuch, an die Zugriffsberechtigungen Anderer zu gelangen.
Drittens: Die Abwehr von Cyberrisiken ist keineswegs trivial; sie erfordert vielmehr ein erhebliches Maß an Weitblick und Einfallsreichtum. Die Bedrohungen ändern sich ständig. Um die Cyberrisiken zu kontrollieren und zu mindern, nutzen Banken jetzt sogar "Big Data" zur Aufdeckung ungewöhnlicher Muster, die auf einen Cyberangriff hindeuten. Die Cyberabwehr könnte auch bahnbrechende Innovationen wie "Blockchain" unterstützen: Die zugrunde liegende "Distributed-Ledger"-Technologie erschwert das Eindringen in ein System, weil es keine zentrale Schwachstelle, keinen "Single Point of Failure" mehr gibt. Da diese Technologie noch immer relativ neu ist, lassen sich aber auch die potenziellen Risiken nur sehr schwer abschätzen, die mit derartigen Innovationen einhergehen.
Aus der Warte der Unternehmensführung kann eine richtige Prioritäts-setzung sehr viel bewirken. Es gab Fälle, in denen Banken zur Abwendung komplexer Angriffe jede Menge Ressourcen eingesetzt und dabei die grundlegendsten Maßnahmen außer Acht gelassen haben. Ich beziehe mich vor allem auf einen Faktor, der immer noch stark vernachlässigt wird: den Faktor Mensch. Denn Menschen sind häufig das schwächste Glied in IT-Prozessen. Die weitverbreitete "digitale Sorglosigkeit" unter Internetnutzern, vor der Bundesinnenminister De Maizière zu Recht warnt, äußert sich auch bei den Kunden und Mitarbeitern von Finanzinstituten. Dieses Verhalten ins Visier zu nehmen, ist in der Regel ein guter Weg, um bei der Risiko-verringerung schnelle Resultate zu erzielen.
4 Eindämmung von Cyberrisiken
All diese erwähnten Erkenntnisse sind in unsere regulatorische und aufsichtliche Praxis eingeflossen. Die Regulierung kann natürlich kein genaues Rezept für Cybersicherheit geben, da jede Cyberumgebung heute derart beweglich ist, dass technische Details sehr schnell veralten. Zudem gibt es für die Vielzahl der Institutsarten und Institutsgrößen keine Einheitslösung. Deshalb haben die deutschen Aufseher Grundsätze für das Risikomanagement der von uns beaufsichtigten Institute formuliert.
Dabei gibt es natürlich konkrete Elemente für die Cyberabwehr, die auf einer Checkliste für alle Institute gehören: (1.) Netzwerkpläne mit angemessenen, (2.) mehrstufigen Sicherheitsbereichen, (3.) Notfallpläne sowie (4.) ein gut durchdachtes Update-Management.
Eine widerstandsfähige Cyberabwehr bedeutet jedoch mehr als eine gut funktionierende erste Verteidigungslinie im Unternehmen. Sie gibt der Unternehmensleitung viel Handlungsspielraum. Den vermutlich wertvollsten Beitrag leistet aber ein von der Führung gelebtes Leitbild. Es kann dazu beitragen, dass Mitarbeiter ein größeres Bewusstsein für Sicherheitsfragen im Netz entwickeln. Langfristige Cybersicherheit erfordert Reaktionen auf neue und teils unbekannte Umstände, die gleichzeitig sicherstellen, dass das Institut die ihm anvertrauten Aufgaben verlässlich erfüllt. Denn Unternehmen und Organisation entwickeln sich ständig weiter. Die Steuerung der Verantwortlichkeiten ist daher von ganz entscheidender Bedeutung.
Das beinhaltet auch, die Verantwortlichkeits-"Firewall" zu durchbrechen, bei der niemand die Verantwortung für die vielen ineinandergreifenden Aspekte von Cyberrisiken übernehmen will. Banken lagern oft Teile ihrer IT-Ausstattung, wie etwa Server oder Software, aus. Aber letztlich bleiben sie selbst für jegliche Fehlfunktionen verantwortlich. Wir als Aufseher fordern daher, dass Banken sich darüber im Klaren sind, was auf dem Spiel steht und wie sie die Risiken angehen wollen - das nennt sich übrigens Cyberstrategie. Als Aufseher erwarten von wir von jeder Bank, dass sie eine überzeugende Strategie entwickelt hat.
Alles in allem unterstellen wir aber wie gesagt nicht, dass die Geschäfts-führung einer Bank jedes einzelne technische Detail versteht. Zur generellen Verantwortlichkeit der Unternehmensleitung gehört es aber, Risiken angemessen zu steuern. Die Unternehmensführung muss eine konkrete Vorstellung davon haben, was auf dem Spiel steht. Und deshalb muss das Management dafür sorgen, dass ihr nicht nur Vorteile ihrer IT-Umgebung, sondern auch deren Risiken klar dargelegt werden. Das sollte nicht nur als eine unumgängliche Pflicht für Führungskräfte verstanden werden, denn angemessene Investitionen in Cybersicherheit zahlen sich oft in besonderem Maße aus.
5 Jenseits der Sektorgrenzen
Meine Damen und Herren, das Internet ist zu unserem ständigen Begleiter geworden, und deshalb muss die Cyberabwehr dies ebenfalls werden. Tatsächliche und nachhaltige Cybersicherheit erfordert, wie ich bereits erwähnte, in jedem Unternehmen bewusstes Steuern der Risiken. Lassen Sie mich noch einmal auf einige zentrale Führungsaufgaben hinweisen:
Cyberrisiken müssen als Teil des Risikoappetits berücksichtigt, und es muss eine überzeugende und umfassende Cyberstrategie definiert werden.
Es muss dafür gesorgt sein, dass die Verantwortlichkeiten in einem sich wandelnden Cyber- und Unternehmensumfeld jederzeit klar bleiben.
Das Risikobewusstsein der Mitarbeiter muss gestärkt werden; Führungskräfte müssen dabei als gutes Beispiel vorangehen, um ein sicheres Cyberverhalten zu fördern.
Eine ganzheitliche Cyberabwehr entsteht nicht von unten durch die IT-Abteilung - sie ist ganz ursächlich eine Führungsaufgabe. Das gilt für alle Branchen, aber ganz besonders für den Finanzsektor.
Ich habe bisher einen Erfolgsfaktor ausgelassen, der über die Sektorgrenzen hinausgeht. Es geht um die Zusammenarbeit zwischen Unternehmen und Institutionen mit dem Ziel, voneinander zu lernen. Ein altes Sprichwort besagt: Kluge Menschen lernen aus den Fehlern anderer, dumme aus ihren eigenen. Wir können tatsächlich sehr viel aus den Erfahrungen anderer Branchen und Länder lernen. In Deutschland geht das IT-Sicherheitsgesetz in diese Richtung. Die Bundesbank ist Mitglied von UP-KRITIS, einer Plattform für Anbieter kritischer Infrastruktur, die dem Austausch von Ideen und Informationen dient. Zudem haben wir einen internationalen Austausch über Cyberabwehr ins Leben gerufen, nicht zuletzt mit der New Yorker Federal Reserve Bank.
Die Zusammenlegung von Abwehrkapazitäten ist ein guter Grund für eine freiwillige Zusammenarbeit. In einigen Instituten spüre ich jedoch immer noch Widerstand - teilweise, weil das Thema mit sensiblen Fragen verbunden ist, und teilweise, weil es an Vertrauen mangelt oder da Bedenken im Hinblick auf die Reputation bestehen. Wir sollten jedoch versuchen, Wege zu finden, diese Hürden zu überwinden - da Cyberkriminelle global zusammenarbeiten, haben wir nur dann Erfolg, wenn wir dies auch tun.
Vielen Dank für Ihre Aufmerksamkeit.
Fußnoten
[1] http://www.pwc.com/gx/en/ceo-survey/2015/assets/pwc-18th-annual-global-ceo-survey-jan-2015.pdf
[2] Die Zahl bezieht sich auf die Gesamthaftungsgrenzen der Cyberversicherungen, die von Unternehmen mit einem Umsatz von mindestens 1 Milliarde USD 2014 gekauft wurden. Quelle: Marsh (2015) – Benchmarking Trends: As cyber concerns broaden, insurance purchases rise. Verfügbar online [letzter Zugriff am 8. Februar 2016] auf: http://usa.marsh.com/Portals/9/Documents/BenchmarkingTrendsCyber8094.pdf.