Finanzinstitute sind beliebte Ziel von Cyberkriminellen. Wenn intensivierte Cyberattacken auf eine wachsende virtuelle Angriffsfläche treffen, spitzt sich die Bedrohungslage kritisch zu. Banken und Sparkassen müssen sich 2022 auf zehn Angriffsmuster und IT-Sicherheitstrends einstellen.

Cyber-Security-Trends für Banken und Sparkassen

Die wichtigsten Cyber-Security-Trends für Banken und Sparkassen.

Partner des Bank Blogs

 

Die Absicherung digitaler Geschäftsprozesse wird für die Finanzindustrie immer bedeutender. Neue Digitalprodukte und eine zunehmende Vernetzung mit Partnern und externen Dienstleistern lassen die virtuelle Angriffsfläche von Instituten immens wachsen. Gleichzeitig intensivieren Cyberkriminelle ihre Attacken auf den Finanzsektor. Ein blühendes Cybercrime-as-a-Service-Geschäft und autonom agierende Angriffswerkzeuge tragen ihren Teil dazu bei, die Hemmschwelle für Angriffe weiter zu senken.

Aufgrund dieser Gemengelage hat auch die BaFin das Thema „IT- und Cyberrisiken“ als aktuellen Aufsichtsschwerpunkt definiert. Ferner zählt die „Operative Resilienz“ zu den Mittelfristzielen der Aufsicht für die Jahre 2022 bis 2025. Durch intensivierte Kontrollen will die BaFin frühzeitig Schwachstellen in der IT-Sicherheit von beaufsichtigten Unternehmen aufdecken und beheben. BaFin-Präsident Mark Branson sieht Cyberrisiken auf der operationellen Seite als „Risiko Nummer 1“ für den Sektor.

Der Finanzsektor ist Hauptangriffsziel von Cyberkriminellen.

Viele Banken sehen sich daher einer doppelten Kontrolle ausgesetzt:

  • Einerseits wird ihre IT-Sicherheit permanent von externen Angreifern auf die Probe gestellt.
  • Andererseits prüft die BaFin die Umsetzung der geltenden regulatorischen Vorgaben.

10 Cyber-Security-Trends für 2022

Für das Jahr 2022 sind die folgenden Angriffsmuster und IT-Sicherheitstrends entscheidend:

1. Digitale Erpressung boomt

Erpressung mithilfe von DDoS-Angriffen oder Verschlüsselungstrojanern ist zu einem lukrativen Geschäft für das organisierte Verbrechen geworden. Angriffe im Namen von Hackergruppierungen wie Fancy Bear oder Fancy Lazarus haben 2021 massiv zugenommen. Für 2022 ist ein weiterer Anstieg von Intensität und Anzahl solcher Angriffe zu erwarten.

2. Komplexere & stärkere DDoS-Angriffe

Angreifer setzen verstärkt auf Multivektor-Attacken, die mehrere Angriffsarten kombinieren und oftmals parallel auf unterschiedlichen Netzwerkschichten ausgeführt werden. Durch den Einsatz hoch verstärkender Protokolle wie DNS, NTP, TFTP oder Memcached erhöhen Cyberkriminelle die Schlagkraft ihrer Angriffe um ein Vielfaches. Durch solche Reflection-Attacken werden Angriffe immer größer.

3. Finanzindustrie im Fokus

Kriminelle sind primär auf das schnelle Geld aus. Besonders oft angegriffen werden daher Organisationen mit lukrativen Assets. Laut der Boston Consulting Group werden Banken und Finanzdienstleister 300-mal häufiger attackiert als andere Firmen. Accenture rechnet für die globale Finanzbranche zwischen 2019 und 2023 mit Cybercrime-bedingten Verlusten von etwa 347 Milliarden US-Dollar. Die Allianz stuft in ihrem Risk Barometer 2021 Cybervorfälle als den größten Risikofaktor für die Finanzindustrie ein. An dieser Bedrohungslandschaft wird sich auch 2022 nichts ändern. Im Gegenteil: Es ist eher mit einer Verschärfung zu rechnen.

4. Anstieg von Cybercrime-as-a-Service

Digitale Angriffswerkzeuge und Attacken sind inzwischen kosteneffizient im offiziellen Teil des Internets erhältlich – man muss nicht einmal ins Darknet. Die kriminellen Plattformen tarnen sich als Security-Portale und als Penetration-Test-Tools. Das senkt die Hürden auch für Angreifer ohne IT-Kenntnisse. Mehr Attacken werden die Folge sein.

5. Angriffe auf die Software-Supply-Chain und IT-Dienstleister

Lukrative Angriffsziele werden von Cyberkriminellen nicht nur direkt mit ihren Attacken angegangen. Über angeschlossenen Dienstleister oder die Software-Supply-Chain der eingesetzten Tools können selbst gut gesicherte Firmen über Umwege ins Visier genommen werden. Ein bekanntes Beispiel ist die Attacke auf SolarWinds, durch die Angreifer unbemerkt in die Netzwerke unzähliger Behörden und Unternehmen in den USA und Europa eindringen konnten. Auch DDoS-Attacken erfolgen nicht selten auf angebundene IT-Dienstleister. Fallen ihre Systeme aus, betrifft das auch die ausgelagerten Prozesse von Banken und anderen Kunden.

6. Rückkehr der Botnetze

Anfang 2021 zerschlug eine internationale Polizeiaktion das schlagkräftige Emotet-Botnet. Doch neue Netzwerke auf Basis von Schädlingen wie Mēris, FreakOut oder BotenaGo verknüpfen Hunderttausende IoT-Geräte zu mächtigen Angriffsverbänden. Auch die bekannten Malware-Varianten Mirai und Emotet bauen weiterhin oder wieder Botnetze auf. In der Praxis zeigt sich dieser Trend vor allem an der deutlich gestiegenen Zahl beteiligter IP-Adressen bei groß angelegten DDoS-Angriffen (weit über 10.000).

7. Automatisierung von Cybercrime

Cyberkriminelle greifen zunehmend auf intelligente Algorithmen zurück, um ihre Angriffskampagnen zu optimieren. Die Möglichkeiten sind dabei vielfältig: KIs können beispielsweise selbständig Schwachstellen in Unternehmensnetzwerken aufdecken oder überzeugende Phishing-Meldungen in hoher Zahl erstellen. Der Trend zur Automatisierung von Cyberkriminalität wird sich fortsetzen.

8. Einzelangriffe durch Bots

Nicht nur volumetrische Denial-of-Service-Angriffe haben in jüngster Vergangenheit stark zugenommen, auch der schadhafte Bot-Traffic wächst. Vor allem die Anzahl der Probes (autonome Sonden) steigt extrem an. Kriminelle suchen vermehrt nach möglichen Angriffsvektoren und Schwachstellen von Webseiten. Dabei kommen verteilte Bots zum Einsatz, um Angriffe zu verschleiern. Besonders auffällig in diesem Zusammenhang ist Credential Stuffing, also das verteilte und organisierte Ausprobieren von User-/Passwortlisten, die von anderen Websites entwendet wurden. Auf diese Weise gelingt es Angreifern, Onlinekonten zu übernehmen oder gewinnbringend weiterzuverkaufen.

9, Intensivere Kontrollen von Informationssicherheit & Datenschutz

Bereits 2021 haben die Behörden europaweit Unternehmen auf die Einhaltung regulatorischer Anforderungen für Informationssicherheit und Datenschutz intensiver überprüft. Diese Tendenz wird sich 2022 noch verstärken, so die Einschätzung von IT-Rechtsexperten. Darüber hinaus sorgen neue Vorgaben infolge der MaRisk- und BAIT-Novellen für zusätzlichen Aufwand. Und mit DORA zeichnet sich schon die nächste Verordnung ab.

10. Outsourcing von IT-Sicherheit

DDoS, Malware, Viren, Trojaner, Phishing, Man-in-the-Middle, Bad Bots, APT– die Liste der digitalen Angriffsvektoren ist lang und wächst beständig. Der Aufbau einer umfassenden Abwehr wird immer komplexer und spezialisierter. Der Trend zu Security-as-a-Service wird daher weiter zunehmen. Dadurch entfallen inhouse Aufwände für Personal, Software, Hardware, Betrieb und Wartung von Sicherheitslösungen.