Cyber Security Report 2019

Six zeigt die Cyberbedrohungen für den Finanzplatz Schweiz

Uhr

Die Schweizer Finanzbranche ist im vergangenen Jahr vergleichsweise glimpflich davongekommen – andere Finanzplätze werden deutlich häufiger Opfer von Cyberangriffen. Ein Bericht von Six gibt einen neuen Einblick in die Bedrohungslage von Banken und Versicherern.

Drei CISOs aus der Finanzbranche im Gespräch: Phil Venables von Goldman Sachs, Neal Pollard von der UBS und Piergiacomo Ferrari von Generali. (v.l., Source: Netzmedien)
Drei CISOs aus der Finanzbranche im Gespräch: Phil Venables von Goldman Sachs, Neal Pollard von der UBS und Piergiacomo Ferrari von Generali. (v.l., Source: Netzmedien)

Ein verlässliches Bild der Bedrohungslage im Cyberraum ist schwer zu bekommen. Experten gehen von einer sehr hohen Dunkelziffer aus, wie eine Befragung von ISACA, dem Verband für Spezialisten aus dem IT-Audit-Bereich, zeigte. "Cyberkriminalität nicht zu melden – selbst wenn die Offenlegung gesetzlich vorgeschrieben ist – scheint die Norm zu sein", liess sich Greg Touhill, Vorstandsmitglied beim ISACA und ehemaliger Cybersicherheitschef der US-Regierung, in der Mitteilung zu den Befragungsergebnissen zitieren.

Sicherheitsexperten sind auf Informationsaustausch angewiesen. Um diesen zu fördern, gründete die Six, welche die Infrastruktur für den Finanzplatz Schweiz betreibt, vor anderthalb Jahren eine Plattform. Der "Cyber Security Hub" soll es teilnehmenden Banken und Versicherern ermöglichen, Informationen über Schwachstellen und Attacken miteinander zu teilen. Ein Ergebnis dieser Zusammenarbeit ist der "Cyber Security Report 2019", den Six an einem Event in Zürich präsentierte. Der Bericht soll die Cyberbedrohungen für die Schweizer Finanzbranche aufzeigen.

Zusammen kämpft es sich besser

Die Branche stecke mitten im Rüstungswettlauf gegen die Schadsoftwareindustrie, sagte Thomas Koch, Chief Security Officer von Six, als er die Gäste im Konferenzzentrum von Six in Zürich-West begrüsste. Cyberkriminelle würden mehr und mehr ausgeklügelte Methoden einsetzen und vor allem gezielter angreifen. Die Bemühungen zur grenzüberschreitenden Bekämpfung von Cybergefahren würden derweil behindert. "Rechtshilfebegehren an andere Staaten dauern mitunter Monate. Bis man soweit ist, sind die Täter schon längst über alle Berge."

Koch plädierte für mehr Zusammenarbeit, international wie auch zwischen verschiedenen Organisationen. "Manche Herausforderungen sind aber hausgemacht." Die Fixkosten für die IT-Sicherheit seien nach wie vor zu hoch. Und auch der Fachkräftemangel mache der Security-Branche zu schaffen.

Thomas Koch, Chief Security Officer, Six. (Source: Netzmedien)

Six mausert sich zum Sicherheitsanbieter

Andererseits sei Cybersicherheit eine grosse Chance, sagte Koch. So sieht es denn auch die Six, die mit der IT-Sicherheit der Banken ein grosses Geschäft wittert. Mit dem Argument der hohen Fixkosten will das Unternehmen insbesondere kleinere und mittelgrosse Banken als Kunden für das hauseigene Security Operations Center (SOC) gewinnen. Vor anderthalb Jahren brachte die Six das Angebot – Managed Security für Finanzdienstleister – auf den Markt.

Bislang zählt die Six erst sieben Kunden, die einzelne Module des Angebots in Anspruch nehmen, wie Six-Sprecher Jürg Schneider auf Anfrage sagt. Das höre sich zwar nach wenig an, doch es gelte zu beachten, dass es üblicherweise 12 bis 18 Monaten dauere, bis die entsprechenden Vertragsabschlüsse unter Dach und Fach seien. Angesichts dessen sei man mit dem Geschäftsgang zufrieden. Vor allem auch deswegen, weil sich das Unternehmen gute Chancen ausrechnet. Zum einen will Six von Skaleneffekten profitieren – als Infrastrukturbetreiberin spiele es keine Rolle, ob man den Schutz für eine oder für 20 Banken übernehme. Zum anderen sind die potenziellen Kunden auch die Aktionäre von Six.

Informationsaustausch hinter verschlossenen Türen

Was den Hub angeht, seien 57 Mitglieder an Bord – darunter nicht nur Schweizer Banken und Versicherer, sondern auch ausländische Finanzinstitute, die eine Niederlassung in der Schweiz haben. Zweck des Hubs sei eine Zusammenarbeit "auf Augenhöhe und hinter verschlossenen Türen", sagt Schneider.

Die einzelnen Mitglieder wollen nicht namentlich genannt werden. Kaum ein Finanzinstitut möchte zugeben, dass es beispielsweise Opfer einer DDoS-Attacke, eines Überlastungsangriffs geworden sei – wohl aus Furcht vor einem Reputationsschaden.

Finanzplatz Schweiz noch unter dem Radar der Angreifer

Vor allem unter Schweizer Banken bestehe kaum Anreiz, Cybervorfälle zu melden, sagte Bernhard Distl, Cyber Security Expert bei Six. Deswegen verstehe sich der Hub als ein gemeinschaftliches, nicht-kommerzielles Projekt, das offen sei für alle durch die Finma regulierten Finanzdienstleister.

Bernhard Distl, Cyber Security Expert, Six. (Source: Netzmedien)

Distl präsentierte die Ergebnisse des Cyber Security Report. Der Hauptbefund: Schweizer Finanzdienstleister sind im vergangenen Jahr vergleichsweise verschont geblieben. Andere Finanzplätze sind wesentlich häufiger von Cyberattacken betroffen.

Als Grund nannte Distl die geopolitische Situation und die Struktur des hiesigen Finanzplatzes. Das heisst, es gibt hierzulande relativ viele Vermögensverwalter und wenige grosse Retailbanken wie beispielsweise die Raiffeisenbank. Diese seien typischerweise durch das Geschäft mit EC-Karten und Bankomaten ein leichteres Ziel für Cyberkriminelle. Sind wir hierzulande also gut gewappnet? "Realistisch gesehen ist es vielmehr so, dass wir weniger auf dem Radar sind", sagte Distl.

Schweizer Finanzbranche verzeichnet zehn Angriffe pro Monat

Im Durchschnitt melden Schweizer Finanzdienstleister bis zu zehn Fällen pro Monat. Zum Vergleich: In Singapur haben Finanzdienstleister ähnlich viele Cyberattacken verzeichnet, wobei die Fälle dort etwas häufiger sind als in der Schweiz.

Anzahl gemeldeter Vorfälle in der Schweiz. (Source: Cyber Security Report 2019, Six)

In Deutschland gibt es bereits doppelt so viele gemeldete Vorfälle. In Grossbritannien ist die Rede von 100 bis 200 Vorfällen pro Monat. Und in den USA sind es monatlich mindestens 500.

Anzahl gemeldeter Vorfälle in den USA. Zum Vergleich mit der vorherigen Darstellung: Die vertikale Achse ist logarithmisch skaliert. Das bedeutet, die Schritte zwischen den wagerechten Linien markieren einen Anstieg um den Faktor 10. Ein bisschen höher auf der Skala heisst also: viel mehr gemeldete Vorfälle. (Source: Cyber Security Report 2019, Six)

Die häufigsten Angriffe auf Schweizer Finanzdienstleister sind Phishing-Attacken. So nennen sich die Versuche, mit gefälschter E-Mail, Kurznachricht oder Website an Daten zu gelangen, beispielsweise an Passwörter oder Kreditkartendaten. Den Ergebnissen zufolge gehen insgesamt 55 bis 75 Prozent aller Cyberangriffe auf solche Versuche zurück.

Retailbanken sind besonders betroffen

Die Autoren des Berichts gruppieren die hiesigen Finanzdienstleister in drei Kategorien, die jeweils unterschiedliche Cybervorfälle gemeldet haben.

Unter "Tier-3-Organisationen" fallen beispielsweise Versicherungen und Investment-Banken. Die Hälfte der gemeldeten Vorfälle dieser Unternehmen waren unspezifische Phishing-Attacken, bei denen die Angreifer kein bestimmtes Ziel anvisierten. In solchen Fällen versuchen die Täter beispielsweise mit einem Rundmail, die Adressaten auf eine Phishing-Website zu locken. Bei weiteren 25 Prozent der gemeldeten Vorfälle handelt es sich um gezieltes Phishing. In diesen Fällen haben es die Angreifer auf bestimmte Personen abgesehen.

(Source: Cyber Security Report 2019, Six)

Unter Tier 2 befinden sich kleine und mittelgrosse Vermögensverwalter (Private Banking) und Finanzinfrastrukturbetreiber wie die Six. Zusätzlich zu Phishing-Angriffen (57 Prozent unspezifisch, 19 Prozent gezielt) haben es diese Unternehmen vergleichsweise häufiger mit Datenverlusten (9 Prozent) sowie Erpressungsversuchen (4 Prozent) zu tun. Erpressung geschieht im Cyberraum typischerweise durch Ransomware wie Wannacry. Der Verschlüsselungstrojaner treibt schon seit mehreren Jahren sein Unwesen. Die Art und Weise, wie Wannacry in Umlauf gesetzt wurde und Opfer erpresst, trägt Züge von gezielter Sabotage, erklärte die Melde- und Analysestelle Informationssicherung des Bundes (Melani). Lesen Sie hier mehr dazu.

(Source: Cyber Security Report 2019, Six)

Zum Tier 1 gehören grosse Retailbanken. Diese sehen sich mit denselben Bedrohungen konfrontiert wie die anderen beiden Gruppen – doch es kommen weitere Angriffsmethoden hinzu. Grosse Retailbanken sind den Ergebnissen zufolge regelmässig präzis geplanten Angriffen ausgesetzt. 9 Prozent der gemeldeten Vorfälle sind gezielte Malware-Attacken. Ferner verzeichnen Retailbanken häufig Darkweb-Aktivitäten (19 Prozent) und Datenverluste (9 Prozent).

(Source: Cyber Security Report 2019, Six)

Die Rolle des CISO: vom Nerd zum Übersetzer

Die Bedrohungslage erfordert ein Umdenken – darüber waren sich die Teilnehmer der Podiumsdiskussion einig. Das Gespräch drehte sich um die Rolle, die der Chief Information Security Officer (CISO) im Banking spielt. Und vor allem um die Frage, wie sich diese Rolle verändert. Für Neal Pollard, CISO der UBS, gehe es vor allem darum, allen Stakeholdern klarzumachen: "technische Risiken bedeuten Geschäftsrisiken".

Neal Pollard, Managing Director und Chief Information Security Officer, UBS. (Source: Netzmedien)

Je mehr Unternehmen von digitalen Diensten abhängig sind, desto härter sind die Konsequenzen eines Cybervorfalls – "deswegen dürfen wir die Cybersicherheit nicht nur den Sicherheitsexperten überlassen. Security ist jedermanns Job", sagte Phil Venables, Board Director und Senior Advisor bei Goldman Sachs. Die wichtigste Aufgabe des CISOs sei es heutzutage, übersetzen zu können, zu vermitteln und sich mit Kollegen wie auch mit Konkurrenten zu verständigen.

Phil Venables, Board Director und Senior Advisor (Risk and Cybersecurity), Goldman Sachs. (Source: Netzmedien)

Wie wichtig es für einen CISO ist, richtig zu kommunizieren, betonte auch Piergiacomo Ferrari, CISO von Generali. "Wir müssen mit den Leuten über alles mögliche sprechen, nur nicht über Security", sagte er. Der CISO müsse gewissermassen alles "Nerdige" ablegen können und in die Rolle des Kommunikators schlüpfen.

Fachkräftemangel: ein Problem der Professionalisierung, nicht des Arbeitsmarktes

Auf die Frage, was gegen Fachkräftemangel zu tun ist, reagierten die drei CISOs auf der Bühne erstaunlich gelassen. "Knappe Ressourcen gab es in der Geschichte immer wieder", sagte Ferrari. Er selbst versuche, nicht zu viele Fachleute einzustellen, die "stark vertikal spezialisiert" seien. Denn "das, was die heute besonders gut können, ist vielleicht schon morgen überholt". Viel interessanter seien für ihn junge Leute, die das Zeug dazu hätten, Brücken zu schlagen zwischen verschiedenen Abteilungen. Also weniger Spezialisten, mehr "Orchestrierer".

Piergiacomo Ferrari, CISO, Generali. (Source: Netzmedien)

Auch Phil Venables von Goldman Sachs zeigte sich skeptisch gegenüber dem vielbeschworenen Fachkräftemangel. "Wir brauchen nicht einfach mehr Fachleute. Aber wir müssen dafür sorgen, dass jene Security-Experten, die es heute gibt, ihren Job besser machen können." Im Grunde gehe es also nicht um ein Problem des Arbeitsmarktes, sondern um ein Problem der Produktivität und der Professionalisierung. Sicherheitsexperten bräuchten bessere Tools, die ihnen die Arbeit erleichtern würden. Und mehr Gefässe für eine institutionalisierte Zusammenarbeit, die nicht einfach nur auf persönlichen Beziehungen beruhten.

Webcode
DPF8_159481