Hier beginnt unsere mehrteilige Blogserie über die aktuellsten Entwicklungen rund um Compliance, Regulatorik und Technologie: Teil I informiert Sie über Finanzkriminalität/Anti Financial Crime (AFC) in Zeiten der Pandemie – und was Banken jetzt beachten sollten.
Während für vielen Firmen das Jahr 2020 im Rückblick unabdingbar mit Covid-19 und der damit verbundenen Disruption ihres klassischen Geschäftsbetriebes verbunden bleiben wird, hat sich in diesem Schatten eine weitere Pandemie nahezu geräuschlos ausgebreitet: Eine Cyber-Pandemie. Gezielte Angriffe auf Krankenhäuser wie die Universitätsklinik Düsseldorf1, Versorgungsinfrastrukturen wie Gaspipeline-Betreiber2 oder Angriffe auf Impfstoffentwickler mit Ransomware3 waren in den Medien ebenso prominent vertreten wie Betrugsfälle mit Corona-Soforthilfen. So verwundert es nicht, dass zu den verschiedenen direkten Angriffe auf Unternehmen über die kurzfristig zur Verfügung gestellten IT-Notlösungen für Remote-Zugriffe, Videokonferenzen, und Cloud die zusätzlichen Lücken etablierter Software ausgenutzt wurden – neben den üblichen Themen wie Phishing oder Scamming. Die Menge und Schwere der Angriffe indes ging in der allgemeinen Krisenberichtserstattung unter.
Sowohl der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik von September 2020 als auch die Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie des Bundeskriminalamtes (BKA) geben lediglich einen zusammenfassenden Überblick über die allgemeine Situation zur IT-Sicherheit und bekannt gewordene Angriffe in Deutschland. So wurden bis 27. Juli 2020 über 141 Fälle von Cybercrime im engeren Sinne und über 471 Fälle von Cybercrime im weiteren Sinne an das BKA gemeldet4. Dazu zählen neben Fake-Webseiten (insbesondere zu Corona-Soforthilfen), Phishing und Malware Spamming auch Angriffe auf Home Office Infrastrukturen, die Nutzung von Ransomware sowie Zahlungskartenkriminalität. Nur in wenigen Fällen (circa 16 Prozent) ging es Tätern dabei um das Abzweigen beantragter Hilfen (Skimming) oder das Erlangen vertraulicher Geschäftsinformationen als Vorbereitung auf weitere Angriffe beispielsweise mittels Business E-Mail-Compromise (Fälschung geschäftlicher E-Mails und Verträge im Namen des Geschäftsführers). In über 84 Prozent aller Fälle wurden gefälschte Webseiten zur direkten Verbreitung von Malware insbesondere Ransomware an Unternehmen verwendet.
Insbesondere Angriffe in Gestalt von Behörden von Fake-Webseiten zu Corona-Soforthilfen im Layout der Landes- und der Förderbanken, Aufforderungen der Bundesagentur für Finanzaufsicht (BaFin) oder Meldungen des Bundesministeriums für Gesundheit (BMG) wurden bemerkt. Das Landeskriminalamt Nordrhein-Westfalen sah sich in diesem Zusammenhang sogar gezwungen eine eigene Taskforce einzurichten und auf Grund der hohen Fallzahlen die Soforthilfen zeitweise auszusetzen. Auch der Webauftritt der Investitionsbank Berlin wurde nebst Antragsformularen repliziert. Ähnlichkeiten zeigten sich auch bei Phishing-E-Mails, die im Namen von Förderbanken an Unternehmen oder Bundesbehörden versendet wurden. Häufig wurden infizierte Inhalte unter dem Mantel unkomplizierter Hilfen direkt an Unternehmen verteilt. Somit war und ist für Unternehmen jedweder Art besondere Vorsicht bei der Kommunikation mit Aufsichtsbehörden geboten.
Hohe Angriffszahlen lassen sich auch im Ausland wiederfinden: Das Federal Bureau of Investigation (FBI) hat bis August 2020 sogar bis zu 4.000 Meldungen pro Tag an ihre Cyber Division verzeichnet – ein Zuwachs von 400 Prozent5. Microsoft warnte noch im Herbst letzten Jahres vor 20.000 bis 30.000 Phishing- und Social Engineering-Angriffen in den USA alleine. Ransomware-Attacken sollen laut Columbia Broadcasting Systems (CBS) News sogar um 800 Prozent gestiegen sein – wohlgemerkt im Vergleich zu einer bereits hochangespannten Angriffslage mittels Ransomware im Vorjahr 2019.
Dies ist einerseits zu begründen mit der zunehmenden Entstehung von Advanced Persistent Threat- (APT-) Gruppen, dem einfacheren Zugang zu Angriffswerkzeugen sowie der gezielten Anpassung von bekannten Ransomware Varianten. Andererseits ist eine erhebliche Zunahme und Flexibilität bei Cyber-Kriminellen im Bereich des Internet-Betrugs zu vermerken. Sie nutzen die Ängste der Bevölkerung und die Informationsgier gezielt aus und reagieren ad hoc auf lokale wie globale Trends, nutzen öffentlich verfügbare Informationen, um die Krisenabwehr von Unternehmen auszuspähen und koordinieren sich in bislang nicht dagewesenem Maße. Daraus bilden sich mittlerweile Strukturen, die im Darknet teils hochautomatisierte Cyber-Angriffe als Dienstleistungen anbieten, beispielsweise Ransomware-as-a-Service.
Speziell Finanzinstitute, Zahlungsverkehrsdienstleister und Versicherungen müssen neben den allgemeinen Angriffen auch zahlreiche Betrugsversuche durch Anträge auf Kredite-, Zahlungs- oder Versicherungsleistungen im Namen fremder Organisationen verzeichnen. Hierbei zeigt sich insbesondere die Schwierigkeit im Übergang klassischer Arbeitsmodelle vor Ort versus dem während der Pandemie erforderlichen Arbeiten aus dem Home Office.
42 Prozent der Finanzinstitute sind laut einer Studie von BAE Systems vom 28. April 2021 der Auffassung, dass insbesondere die Remote-Arbeit und damit verbundene fehlende Koordination der Aufsichts- und Kontrollfunktionen in Person sie weniger sicher mache. Knapp 44 Prozent sorgen sich um die geringere Sichtbarkeit von Lücken in ihrem Netzwerk und der Anbindung von Remote-Systemen. Auch Kunden und Kundinnen seien laut der Studie anfälliger gegenüber Cybercrime und Betrugsfällen (37 Prozent)6 – wobei die Studie offen lässt, ob diese Fälle in Gestalt des Kunden oder der Bank gegenüber dem Vertragspartner auftreten.
Besonders fatal in dieser Phase der Cyber-Pandemie ist der zunehmende Fokus auf das Kernbankengeschäft und Budgetreduzierungen für IT, Sicherheit, Risk und Compliance Management. Über 26 Prozent der befragten Institute vermelden Budgetkürzungen in den genannten Bereichen, 40 Prozent bei kritischen IT Anwendungen. 36 Prozent geben an, in den vergangenen Monaten sogar Personal abgebaut zu haben. Dabei sind die durchschnittlichen Kosten eines Cyber-Angriffes zuletzt auf bis zu 22.000 USD pro Angriff gestiegen.
Angesichts zahlreicher Betrugsfälle bei Onlinekäufen fordern Verbraucher „Sicherheit“ längst nicht mehr nur als Qualitätskriterium, sondern als Leistung ihrer Finanzinstitute ein. Über 53 Prozent der Kundinnen und Kunden sind der Ansicht, dass Finanzinstitute nicht nur sich, sondern auch ihre Kunden beispielsweise vor betrügerischen Transaktionen zu schützen haben.
Die Sorge vor Cyber-Angriffen auf Banken und Finanzinstitute haben auch die Gesetzgeber aufgenommen. Unentdeckt von Vielen hat die Europäische Kommission noch im Spätsommer 2020 den ersten Entwurf des „Digital Operational Resilience Act“ (DORA) als essentiellen Teil der „Digital Finance Strategy“ für Europa veröffentlicht.7 Neben der Harmonisierung der wichtigsten Anforderungen innerhalb der EU soll insbesondere die Widerstandsfähigkeit der Finanzbranche gegen IT-bezogene Risiken erhöht werden. Die bisherigen Entwürfe der Regeln zur Prüfung der digitalen und operativen Belastbarkeit, das Reporting, die Klassifizierung von IT-Vorfällen und Regeln für das IT-Risikomanagement korrespondieren in großen Teilen mit bisherigen BaFin-Anforderungen – bergen aber auch einige Neuigkeiten. So soll DORA auch für nicht-finanziell (kritische) IT-Drittanbieter gelten, wenn diese ihre Dienstleistungen für Finanzunternehmen erbringen.
Die BaFin hat in ihrem Report die Cybersecurity als eine der drei wichtigsten Schwerpunkte für Banken im Jahre 2021 definiert. Die Corona-Krise kann für viele Finanzinstitute eine Chance darstellen, ihr AFC-Programm ganzheitlich zu betrachten und dessen strategische Rolle zu überdenken – Resilienz und Nachhaltigkeit waren noch nie so wichtig wie jetzt.
Sie wünschen sich einen persönlichen Austausch mit uns? Unsere Experten und Expertinnen sind für Sie da.
1 https://www.uniklinik-duesseldorf.de/ueber-uns/pressemitteilungen/detail/it-ausfall-an-der-uniklinik-duesseldorf
2 https://www.wired.com/story/colonial-pipeline-ransomware-payment/
3 https://www.reuters.com/article/us-health-coronavirus-vaccines-cyber-idUSKBN2C12EU
4 https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeSonderauswertungCorona2019.pdf?__blob=publicationFile&v=3
5 https://www.fbi.gov/news/pressrel/press-releases/fbi-releases-the-internet-crime-complaint-center-2020-internet-crime-report-including-covid-19-scam-statistics
6 https://www.baesystems.com/en/cybersecurity/article/covid-cyber-crime-74-per-cent-of-financial-institutions-experience-significant-spike-in-threats-linked-to-covid-19
7 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595