Sina Fröhndrich: In London gibt es heute den ganzen Tag eine groß angelegte Übung. Es wird überprüft, wie gut das Finanzsystem geschützt ist, sollte es von Hackern angegriffen werden. Diese Übung sei eine der bislang größten, hieß es, und da wird unter anderem überprüft, wie die Banken ihre Geldautomaten ausstatten, wenn es einen Angriff auf die IT geben sollte. Über diesen Test in London und über die Sicherheit deutscher Banken habe ich mit Peter Roßbach gesprochen. Er ist Wirtschaftsinformatiker an der Frankfurt School of Finance. Frage an ihn: Wie oft wird eigentlich überhaupt überprüft, ob Banken vor Hackerangriffen geschützt sind?
Peter Roßbach: Ich weiß, dass die Amerikaner Tests in dieser Richtung durchführen, und die Engländer haben meines Wissens 2011 den ersten großen Test gemacht und wiederholen den jetzt noch mal. Ob es dazwischen in kleineren Rahmen Tests gab oder gibt, kann ich Ihnen nicht sagen.
Fröhndrich: Jetzt ist heute die Rede davon, dass das da in London eine der größten Übungen sei, die es bisher überhaupt gegeben hat. Weist denn das auf eine bestimmte Gefährdungslage hin, oder wie muss man das einordnen?
Roßbach: Ich würde mal sagen, dass es nicht auf eine besondere Gefährdungslage hinweist, sondern dass einfach im Rahmen der Testzyklen heute ein Test in der Richtung gemacht wird. Natürlich ist es so, dass international die Zahl der Hackerangriffe zunimmt. England ist auch, ich sage mal, aufgrund der Stärke, der Dominanz des Finanzsystems in diesem Land, besonders gefährdet in der Richtung. Aber dass da jetzt tatsächlich eine Gefährdung explizit zugenommen hat, aufgrund derer dieser Test durchgeführt wird, würde ich verneinen.
Fröhndrich: Wenn Sie jetzt sagen, Hackerangriffe nehmen insgesamt zu - wenn wir dann jetzt mal auf die deutschen Banken schauen, wie gut sind die denn vor Hackerangriffen geschützt, vor diesen Cyber-Kriminellen?
Roßbach: Die deutschen Banken, die würde ich mal in ihrem Geschütztsein als sehr, sehr hoch einstufen. Die investieren sehr viel Geld in diesen IT-Sicherheitsschutz, allein aus dem Grund, weil die auch wissen, dass sie nicht lange überleben könnten, wenn ihr System wirklich penetriert würde. Die Schätzungen gehen von ein bis drei Stunden aus, die so ein Banksystem überhaupt weg sein dürfte, um überleben zu können.
Fröhndrich: Wenn Sie sagen, da wird genügend investiert, da hat die BAFIN vor Kurzem, die Bankaufsicht, moniert, dass wenn bei Banken gespart wird, dann doch erst mal in der IT-Abteilung. Ist das dann nicht doch eher das falsche Signal?
Roßbach: Na ja, es kommt immer darauf an. Die IT-Abteilung ist ja sehr viel mehr als die IT-Sicherheit selbst. Und dass natürlich in den IT-Abteilungen gespart wird, wenn es eng wird, das ist mir auch bekannt. Aber das sind dann andere Abteilungen und nicht das, was die Sicherheit letztlich beinhaltet. Ich weiß, dass die Banken sehr, sehr hohe Aufwendungen in das Thema IT-Sicherheit reinstecken, auch regelmäßig sich testen, testen lassen auch von externen Dienstleistern. Die wissen einfach allein um ihr Überleben, um die Problematik und stecken da genügend Geld rein, aus meiner Sicht.
Fröhndrich: Und wenn diese Tests dann so wichtig sind für das Überleben der Banken, lassen Sie uns noch mal kurz auf die Hackerangriffe schauen. Welche Art von Hackerangriffen gibt es denn da und wie genau können die eine Bank gefährden?
Roßbach: Einerseits gibt es immer wieder Versuche von Hackern, in die Banksysteme selbst reinzukommen. Andererseits sind häufige Versuche auch - das ist etwas, was zum Beispiel im Rahmen der sogenannten Botnetze öfters stattfindet -, da versucht man Banken durch technische Angriffe abzunabeln vom Internet. Das wird dann zum Beispiel benutzt, um Schutzgelder zu erpressen und so weiter. Auf der anderen Seite gibt es natürlich die Möglichkeit, auch an die Kunden der Bank heranzugehen, Thema Sicherheit im Online-Banking. Das sind so die drei großen Typen von Angriffen, denen Banken ausgesetzt sind.
Fröhndrich: …, sagt Peter Roßbach, Wirtschaftsinformatiker, und mit ihm haben wir darüber gesprochen, wie gut deutsche Banken vor Hackerangriffen geschützt sind.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Peter Roßbach: Ich weiß, dass die Amerikaner Tests in dieser Richtung durchführen, und die Engländer haben meines Wissens 2011 den ersten großen Test gemacht und wiederholen den jetzt noch mal. Ob es dazwischen in kleineren Rahmen Tests gab oder gibt, kann ich Ihnen nicht sagen.
Fröhndrich: Jetzt ist heute die Rede davon, dass das da in London eine der größten Übungen sei, die es bisher überhaupt gegeben hat. Weist denn das auf eine bestimmte Gefährdungslage hin, oder wie muss man das einordnen?
Roßbach: Ich würde mal sagen, dass es nicht auf eine besondere Gefährdungslage hinweist, sondern dass einfach im Rahmen der Testzyklen heute ein Test in der Richtung gemacht wird. Natürlich ist es so, dass international die Zahl der Hackerangriffe zunimmt. England ist auch, ich sage mal, aufgrund der Stärke, der Dominanz des Finanzsystems in diesem Land, besonders gefährdet in der Richtung. Aber dass da jetzt tatsächlich eine Gefährdung explizit zugenommen hat, aufgrund derer dieser Test durchgeführt wird, würde ich verneinen.
Fröhndrich: Wenn Sie jetzt sagen, Hackerangriffe nehmen insgesamt zu - wenn wir dann jetzt mal auf die deutschen Banken schauen, wie gut sind die denn vor Hackerangriffen geschützt, vor diesen Cyber-Kriminellen?
Roßbach: Die deutschen Banken, die würde ich mal in ihrem Geschütztsein als sehr, sehr hoch einstufen. Die investieren sehr viel Geld in diesen IT-Sicherheitsschutz, allein aus dem Grund, weil die auch wissen, dass sie nicht lange überleben könnten, wenn ihr System wirklich penetriert würde. Die Schätzungen gehen von ein bis drei Stunden aus, die so ein Banksystem überhaupt weg sein dürfte, um überleben zu können.
Fröhndrich: Wenn Sie sagen, da wird genügend investiert, da hat die BAFIN vor Kurzem, die Bankaufsicht, moniert, dass wenn bei Banken gespart wird, dann doch erst mal in der IT-Abteilung. Ist das dann nicht doch eher das falsche Signal?
Roßbach: Na ja, es kommt immer darauf an. Die IT-Abteilung ist ja sehr viel mehr als die IT-Sicherheit selbst. Und dass natürlich in den IT-Abteilungen gespart wird, wenn es eng wird, das ist mir auch bekannt. Aber das sind dann andere Abteilungen und nicht das, was die Sicherheit letztlich beinhaltet. Ich weiß, dass die Banken sehr, sehr hohe Aufwendungen in das Thema IT-Sicherheit reinstecken, auch regelmäßig sich testen, testen lassen auch von externen Dienstleistern. Die wissen einfach allein um ihr Überleben, um die Problematik und stecken da genügend Geld rein, aus meiner Sicht.
Fröhndrich: Und wenn diese Tests dann so wichtig sind für das Überleben der Banken, lassen Sie uns noch mal kurz auf die Hackerangriffe schauen. Welche Art von Hackerangriffen gibt es denn da und wie genau können die eine Bank gefährden?
Roßbach: Einerseits gibt es immer wieder Versuche von Hackern, in die Banksysteme selbst reinzukommen. Andererseits sind häufige Versuche auch - das ist etwas, was zum Beispiel im Rahmen der sogenannten Botnetze öfters stattfindet -, da versucht man Banken durch technische Angriffe abzunabeln vom Internet. Das wird dann zum Beispiel benutzt, um Schutzgelder zu erpressen und so weiter. Auf der anderen Seite gibt es natürlich die Möglichkeit, auch an die Kunden der Bank heranzugehen, Thema Sicherheit im Online-Banking. Das sind so die drei großen Typen von Angriffen, denen Banken ausgesetzt sind.
Fröhndrich: …, sagt Peter Roßbach, Wirtschaftsinformatiker, und mit ihm haben wir darüber gesprochen, wie gut deutsche Banken vor Hackerangriffen geschützt sind.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.