Die CEOs unserer Banken nehmen Cyber-Crime gar nicht richtig ernst

IT-Sicherheit wird immer wichtiger, aber zu viele Unternehmen nehmen die Thematik immer noch zu wenig ernst. Gerade Banken haben mit hoch diffizilen Kundendaten, Kundengeldern und der Reputation ungeheuer viel zu verlieren. Wird eine Bank gehackt und Geld von Kunden abgezogen, wäre das verheerend für die betroffene Bank. Genau das passiert aber laufend, nur erfährt es die Öffentlichkeit selten.

Wenn es um die Frage der IT-Sicherheit geht, verhalten sich fast alle CEOs und Verwaltungsräte von Banken und Finanzdienstleistern gleich: „Bei uns ist alles sicher“, bestätigen sie und verweisen sofort an ihre IT- und Risk-Manager.

Der Grund: Sie verstehen nichts von IT, interessieren sich nicht dafür und wollen das Thema möglichst schnell von ihrem Tisch haben. Gerade diese Tatsache macht die Situation so ungeheuer brisant. Sicherheit zu delegieren funktioniert überaus schlecht bis gar nicht. Ist das vielleicht ein Grund, warum täglich neue Horrormeldungen über gehackte Unternehmen und Banken erscheinen?

Vergangene Woche wurde der amerikanische Finanzdienstleister Equifax gehackt. Offenbar wurden einige Vorstandsmitglieder darüber informiert, die dann sofort Teile ihrer Aktienpakete abgestossen hatten, bevor der Hack öffentlich wurde, der Aktienkurs fiel, Kunden klagten und die Flucht ergriffen.

Leider ist es so, dass viele CEOs und Verwaltungsräte die falschen Fragen stellen, wenn es um die IT-Sicherheit ihrer Unternehmen geht. Gleichzeitig versuchen die Verantwortlichen in der IT alle Risiken so gut wie möglich zu verpacken, um die Vorfälle nicht in der Chefetage eskalieren zu lassen; sind sie es doch gewohnt, von ihren Chefs aufgrund von technischem Unverständnis nicht verstanden zu werden und gegen Windmühlen zu kämpfen. Vielerorts verhindern auch Sparkurse, dass die Sicherheit permanent auf dem höchsten Stand ist.

Den Angestellten in den IT-Abteilungen darf man keinen Vorwurf machen, denn letztendlich ist bei ihnen die Angst vor dem Arbeitsplatzverlust enorm gross. In der Chefetage sind sie viel beliebter, wenn sie aufzeigen, welche neuen Business-Möglichkeiten sie mit Hilfe von Computern und Software schaffen können. Das sind die Botschaften, die unwissende CEOs und Verwaltungsräte meist hören wollen.

Reale Gefahren anzusprechen, gerade wenn sie nach wenigen Sätzen inhaltlich nicht mehr folgen können, gilt es unbedingt zu vermeiden, denn dafür ist kein Budget da und die Gefahr eines Imageverlustes, sollten Lücken bekannt werden, einfach zu gross.

Diese Strategie des Ignorierens und Vertuschens spielt den Angreifern allerdings direkt in die Hände. Wie soll die IT-Abteilung sich selber prüfen, wenn grösseres Interesse besteht, unauffällig zu bleiben? Darüber hinaus kennen die IT-Abteilungen weder den Wert der einzelnen Business-Bereiche noch die Kosten, die bei Verlust und Manipulation durch Hacker herbeigeführt werden.

Fragen Sie einmal Ihren IT-Administrator, ob sein Server zur kritischen Masse gehört oder nicht. Man sieht dann fast immer ein Schulterzucken. Seine Aufgabe sei die Systemverwaltung, nicht die Sicherung der Werte des Unternehmens. So werden in kritischen Situationen sogar Ferien gewährt, weil die Chefs nicht anwesend sind und man abwartet, bis sie wieder zurückkommen.

Ob in der Zwischenzeit etwas passiert ist, merkt hinterher selten jemand. Warum sollte der IT-Administrator auch danach suchen? Würden Fehler gefunden, könnte ihm das negativ ausgelegt werden. Dummerweise spielen die IT-Leute durch dieses Nicht-Handeln den Angreifern direkt in die Hände. Hat ein krimineller Hacker die Bank erst mal gehackt, tut er meist alles dafür, unentdeckt zu bleiben.

Wenn IT-Abteilungen Penetration-Tester beauftragen, dann meist die schwächeren, weil die IT-Verantwortlichen nur bestätigt haben wollen, dass alles sicher ist. Diejenigen, die die Sicherheit der Bank ernst nehmen und noch etwas von Moral und Ethik halten, verlangen zwei unabhängige Reports; einen ohne Lücken zum Präsentieren und einen echten zum Abarbeiten. Solche Anfragen haben wir zunehmend. Aber oftmals lautet der Auftrag: Fasst die Systeme bloss nicht an. Wir wissen, dass sie unsicher sind und wollen kein Aufsehen erregen.

Am häufigsten stehlen sich viele aus der Verantwortung, indem sie alles weiterleiten. Ihre Chefs verstehen schliesslich nichts davon. Da nimmt man gerne Produkte, die „alle benutzen“ (wenn es schief geht, kann uns keiner einen Vorwurf machen), oder man lagert die Daten gleich an einen externen Dienstleister aus – in die Cloud –, bei dem angeblich immer alles sicher ist und der sich um die Sicherheit kümmert.

Der externe Anbieter spielt selbstverständlich gerne mit, da er einerseits nicht in der Haftung steht und im Schadensfall höchstens einen Kunden verliert.

Die Motivation, echte Sicherheit aufrecht zu halten, schwächt sich auf jeder Stufe und in jeder Instanz, in der sie weiter delegiert wird. Das Marketing der Dienstleister und der Vertrieb von Herstellern und Dienstleistern schwören darauf, alles abzusichern. Vertraglich bestätigen werden sie dies aber bestimmt nicht, und das brauchen sie auch selten.

Alle sind froh darüber, wenn sie die Verantwortung abgegeben haben. An diesem Punkt kommt die Risk-Abteilung ins Spiel. Sie soll überprüfen, ob Sämtliches gut abgesichert ist. Bekanntlich sind dort aber selten IT-Experten am Werk, so dass sie erst einmal Hilfe von extern besorgen.

Wir hatten einen Fall, bei dem uns die Risk-Abteilung einer Bank beauftragt hatte, sie zu hacken. Die interne IT-Abteilung und der externe Provider (der grösste in der Schweiz) wurden vorab informiert. Wir durften auch nur am Wochenende arbeiten, und der Risk-Manager hat uns permanent über die Schulter geschaut. Es hat nicht lange gedauert, bis wir den Server gehackt hatten. Das System war zu 100% in unseren Händen. Kriminelle hätten kaum bezifferbare Schäden anrichten können.

Das Interessante daran war, dass der Risk-Manager am Tag danach ein Meeting mit dem IT-Leiter seiner Bank und dem externen Provider einberufen hatte. Er ging strategisch vor und fragte, ob sie etwas bemerkt hätten. Die Antwort war einstimmig: Nein, alles läuft prima und Sie sind sicher bei uns. Die Verantwortlichen beim Provider hatten keine Ahnung, dass der Server längst gehackt und in Händen Dritter war.

Wenn CEOs und Verwaltungsräte ihr Denken und Handeln in Bezug auf die Sicherheit nicht grundsätzlich ändern, prognostiziere ich den Banken düstere Zeiten. Niemand erwartet, dass sie selber das komplexe IT-Knowhow aufbauen. Sie würden jedoch gut daran tun, zumindest die Kontrollmechanismen selber in die Hand zu nehmen.

Konkret bedeutet das, dass die Vorstände die Budgets für die besten Penetration Tester verantworten. Doch welche sind gut und welche verkaufen sich nur gut? Eine verlässliche Art, das herauszufinden, ist, zwei Penetration Tester parallel zu beauftragen. Das kostet zwar etwas mehr, ist aber mittel- und langfristig die klügere Investition. Prävention ist definitiv günstiger, als nach einem Angriff den Schaden zu beheben. Die Kosten für den Imageverlust, wenn der Angriff bekannt wird, kommen dann noch obendrauf.

Gute Penetration Tester sind echte Hacker und wissen sehr wohl, wie hoch die Schäden sind, die sie gerade abgewehrt haben. Wer diese fähigen Leute motivieren will, sollte nicht mit Sparkurs und Budgetknappheit argumentieren. Zudem kommt in fast 100% der Fälle die Antwort: Bei uns ist noch nie etwas passiert, und wir tun seit Jahren, mit Hilfe der besten Experten, alles, um die Sicherheit für unsere Kunden zu garantieren.

Nur: Garantien zu geben, ist grob fahrlässig. Echte Hacker finden immer neue Wege – die Technik und schlaue Köpfe machen das möglich.

Also: Wenn die CEOs und Verwaltungsräte von Banken und Finanzdienstleistern die Gunst ihrer Kunden künftig noch ernst nehmen, dann sollten sie dringend auf die Leute hören, die die Kunst des Hackens verstehen und sie auch anzuwenden wissen. Blindes Vertrauen in die eigenen IT-Zuständigen und die externen Cybersecurity Firmen ist in der heutigen Zeit schlichtweg fahrlässig.

Kommentieren

Ihre E-Mail Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert. *

13 Kommentare zu “Die CEOs unserer Banken nehmen Cyber-Crime gar nicht richtig ernst

  1. Man kann das leicht verstehen, wenn man sich das Ziel des Topmanagements vergegenwärtigt. Ziel: «Für das Topmanagement der Banken ist nur eines relevant: Die Maximierung der Quartalsergebnisse zwecks Einstreichung ihrer Boni.»
    Alle anderen Problematiken sind irrelevant, solange sie nicht das Ziel tangieren und gemacht wird nur was, wenn die Problematik die Maximierung des Quartalsergebnisses tatsächlich zu beeinträchtigen droht. Solange für das Topmanagment die Abwälzung des Risikos auf andere möglich ist, oder sie trotz Fehlleistungen ihre Boni beziehen können, wird sich daran auch nichts ändern.
    Man darf auch nicht vergessen, dass die grössten Gefahren für Banken einerseits aus dem inneren, d.h. von Angestellten, kommen und andererseits von schlecht gesicherten Endgeräten der Kunden kommen und nicht von Hacker von aussen.

  2. Die grösste Gefahrenquelle für eine Bank sind ein Teil der CEOs und VR-Präsidenten selber, wie Ospel & Co. eindrücklich bewiesen.

  3. Die Teppichetage nimmt die IT nur als Kostenfaktor wahr. Kosten runter und gleichzeitig mehr Sicherheit? Das ist so, wie wenn man auf die Wachmänner beim Bargeldtransport verzichtet und verkündet, dass deshalb niemand die Bargeldtransporter ausrauben werde.

  4. Als „consultant“ der software-hersteller angedient, indem er behauptet lücken gefunden zu haben und dann erst mal geld sehen will, würde ich leiser treten.

    • Oha, sie scheinen bei einem software-hersteller zu arbeiten. ist natürlich oberpeinlich, wenn experten eure lücken entdecken, wenn das wirklich so sein sollte. wieso sollten solche leute dafür nicht honoriert werden, wenn sie eure arbeit besser machen? Ihr wollt uns anwendern nur eure produkte teuer verkaufen aber ob sie sicher sind, interessiert nicht. in der it scheint es viele menschen zu geben, die nur geld interessiert sind, vorallem bei den herstellern.

    • Sie verkaufen Ihre Produkte, so wie wir unsere Beratung verkaufen.
      Wenn wir Lücken bei Ihnen finden, dann können Sie die zu normalen Preisen kaufen oder es lassen. Sie haben es gelassen und die Schweizer Banken nachweislich 2 Jahre lang mit den gravierenden Lücken alleine gelassen. Wir haben zumindest noch einige darauf aufmerksam gemacht, dass der angebliche „Sicherheitshersteller“ nicht ganz so viel Wert legt auf Sicherheit, wie die Bank glaubt. Nicht mal nach unserem Preis haben Sie gefragt vor lauter Arroganz. Aber zum Trost, das machen sehr viele Hersteller so.

    • Die mir bekannten Hersteller arbeiten alle gerne mit pen-testern zusammen. Jeder macht fehler und ist froh wenn diese gefunden werden. Consultants, die mittels Solo arbeit suchen, helfen da aber nicht wirklich.

    • Die mir bekannten Hersteller haben Bug-Bounty Programme mit denen sie allen Geld zahlen, die Schwachstellen finden. Die haben es verstanden, andere heulen noch (in Foren) herum.

  5. Ja so ist das in der heutigen Welt. Kein CEO hat Zeit um sich echt um alles zu kümmer, aber auf dem Papier ist er für alles verantwortlich.

    Viel schlimmer sind die Internettechnikfreaks, die alle in das Zeugs reinpressen! Die versprechen immer kein Problem und wenn du nicht willst lieber Kunde, bist Du ein alter oder sturer Sack.

    Vielleicht müssten alle mal Inne halten und vielleicht sogar ein bisschen back to the Future! Nicht alles Alte war schlecht. Ja ich weiss für viele bin ich nun wieder ein alter Sack

  6. Im Online-Banking gibt es Überweisungslimite.

    Zudem kann man sich so aufstellen, daß die Bank mit dem Depot und die Bank für den Zahlungsverkehr verschiedene sind und das Auszahlungskonto der Depotbank jenes der Bank für den Zahlungsverkehr ist.

    So kann man von der Depotbank nur Zahlungen auf das Konto bei der Bank für den Zahlungsverkehr veranlassen.