Auswertung: Bafin bemängelt IT-Vorfälle im Finanzsektor
Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hat nach eigenen Angaben(öffnet im neuen Fenster) jetzt erstmals Daten zu den größten Risiken für den Finanzsektor in Deutschland veröffentlicht. Darin nennt die Behörde aber nicht Cyberangriffe als das größte Problem für die Finanzunternehmen, sondern intern verursachte "Betriebsvorfälle" .
Im vergangenen Jahr hat die Finanzbranche der Bafin 235 Zahlungsvorfälle gemeldet, die als "nicht beabsichtigt" eingestuft wurden. Nur 5,1 Prozent dieser Vorfälle seien sicherheitsrelevant, also auf Cyberangriffe zurückzuführen.
Rund 94,9 Prozent der Vorfälle basierten dagegen auf "internen, operationellen Fehlern" . Zur Verdeutlichung ihrer Kritik verwendete die Behörde ein Bild des Passworts "12345678" .
Vor allem Prozess- und Systemfehler
Am häufigsten wurden laut Bafin Prozess- und Systemfehler genannt, die Ursache für 78 Prozent der Vorfälle waren. Das zeige, dass nicht nur ein starker Schutz gegenüber externen Angriffen wichtig ist, die Unternehmen müssten auch ihre eigenen Systeme und Prozesse "im Griff haben" .
Weitere Risiken entstünden nach Ansicht der Behörde zudem durch den Trend zur Auslagerung von IT-Prozessen an externe Dienstleister. Der Finanzsektor biete dann eine größere Angriffsfläche, wenn etwa ein Vorfall bei einem Dienstleister gleich mehrere Institute betrifft. Das könne "im Extremfall den Finanzsektor stark beeinträchtigen" .
2023 sei in rund 40 Prozent der Fälle die Ursache für einen gemeldeten Zahlungsvorfall nicht bei dem Finanzinstitut selber gelegen, sondern bei einem seiner Dienstleister.
Auswirkungen der Vorfälle
Die überwiegende Mehrheit der Vorfälle hat die Verfügbarkeit von zahlungsbezogenen Diensten wie Online- oder Mobile-Banking betroffen oder zu Verzögerungen bei Finanztransfers geführt, so die Bafin. Insgesamt sind im vergangenen Jahr mehr als sieben Millionen Nutzer durch die Vorfälle betroffen gewesen. Durchschnittlich wirkten sie sich auf knapp über 30.000 Nutzer aus.
Das gesamte beeinträchtigte Finanzvolumen liegt nach Schätzungen der Institute bei knapp 53 Milliarden Euro. Genaue Zahlen liegen jedoch nicht vor, weil es sich bei dieser Summe um keinen direkten wirtschaftlichen Schaden handele, sondern vor allem um verzögerte oder nicht in Auftrag gegebene Transaktionen.
Trotz der Kritik an "überwiegend hausgemachten Vorfällen" betonte die Bafin die weiterhin hohe Gefahr durch Cyberangriffe. So seien gleich mehrere der Finanzunternehmen im vergangenen Jahr Opfer von Ransomware-Attacken geworden. In einem Fall sei sogar eine "doppelte Erpressung" durchgeführt worden, bei der nicht nur Daten verschlüsselt, sondern auch geklaut wurden.