
Aktuelle (Cyber-) Bedrohungslage in Deutschland aus Sicht des Bundesamts für Verfassungsschutz
Der im Jahr 2022 etablierte FIRM Round Table (RT) Payments hatte sich in 2024 das Vertiefungsthema „Cyber-Risiken & Datensicherheit“ vorgenommen. Das Thema wurde schon am Anfang als Teil der holistischen Themenlandkarte und als eines der relevantesten Risiken im Zahlungsverkehr identifiziert. Es wurde dann in 2023 weiter aufgegriffen im Rahmen unserer Diskussionen zu Operativer Resilienz und unserem daraus resultierenden White Paper „Risikomanagement und operative Resilienz im Zahlungsverkehr“[1]. Dieses warf unter anderem Fragen & Empfehlungen im Zusammenhang mit Cyber-Risiken und zur möglichen Stärkung des Betriebsmodells von Banken und Zahlungsverkehrsdienstleistern auf. In der Diskussion mit den am RT teilnehmenden Instituten ergaben sich dann als Handlungsempfehlungen u.a. ein besserer Austausch zur Gefährdungs- und Bedrohungslage zwischen den Banken, um sich bezüglich möglicher Risiken, Notfälle und Gefährdungsszenarien in der Branche, aber auch mit anderen Anbietern von kritischer Infrastruktur (wie z.B. der Luftfahrtindustrie oder Energieversorgern) abzustimmen. Insbesondere wurde auch der kollektive Wunsch geäußert, nachrichtendienstliche Erkenntnisse von deutschen Sicherheitsbehörden zur Einschätzung aktueller Risiken zu erhalten. Diesem Wunsch konnten wir in 2024 mit einem hoch interessanten Fachvortrag des Bundesamts für Verfassungsschutz (BfV) nachkommen. Als Vorträger konnten wir zwei Vertreter aus der Cyber- und Spionageabwehr bzw. dem Bereich Prävention in Wirtschaft, Wissenschaft, Politik und Verwaltung gewinnen.
Bundesverfassungsschutz zu Gast
Letzterer Bereich fungiert als Single Point of Contact (SPOC) des BfV für die genannten Zielgruppen – und ist somit ein hervorragender Partner für FIRM mit einem ähnlichen dreiteiligen Aufsatz aus Banken, Universitäten, Regulatorik, unterstützt durch entsprechende Beratungsfirmen. Entsprechend hebt das BfV auch die Wichtigkeit eines beiderseitigen Austausches von relevanten Informationen hervor.
Wer die Cyber-Bedrohungslage verstehen möchte, muss sich zwangsläufig auch mit der geopolitischen Situation in der Welt beschäftigen. Nicht überraschend sind hier die aktuellen Großkonflikte Russland/Ukraine und China/USA zu nennen, mit weiteren Fokusländern auf dem BfV-Radar wie Iran, Nord-Korea und Syrien. Viele dieser Länder setzen auch Spionage als Mittel einer „hybriden Kriegsführung“ ein. In Europa inklusive Deutschlands verschärfen und verbreiten sich globale Attacken aus diesen kritischen Ländern, wobei die Ziele eben multidimensional sein können und neben politischen Institutionen auch die kritische Infrastruktur beinhalten. Zusätzlich zu gezielten Cyber-Attacken reicht da oft schon der frei verfügbare Zugang zu sensiblen Daten aus („Open Source“).
Das BfV möchte deswegen seine Zielgruppen für aktuelle Angriffsvektoren sensibilisieren und wirbt hierbei für seine existierenden Informationsquellen wie z. B. die „Sicherheitshinweise für die Wirtschaft“, die „Informationsblätter zum Wirtschaftsschutz“ oder den „Cyber-Brief“ (liefert konkrete technische Hinweise – sogenannte „Indicators of Compromise“/IoC), die sämtlich auch auf www.verfassungsschutz.de zur Verfügung stehen und über den X-Kanal @BfV_Bund (vormals Twitter) beworben werden.
Wachsendes Problem Cyber crime
Neben Spionage und Sabotage, für die das BfV zuständig, ist aber auch Cyber Crime ein wachsendes Problem. Die Motive und Vorgehensweisen von staatlichen und kriminellen Akteuren können sich durchaus überschneiden. Dazu gehören finanzielle Motive (Kryptowährungen spielen hier eine zunehmende Rolle), Datenverschlüsselung (z.B. über Ransomware-Angriffe), Systemüberlastung (DDoS-Attacken), Cyber-Spionage und -Sabotage), Hack & Leak oder Hack und Publish (Desinformationen auf Basis vermeintlich echter Informationen).
Die RT-Teilnehmer erhielten dann konkrete Beispiele, wie man Zugang zu z.B. kritischen Unternehmensstrukturen/-netzwerken im Web erhalten kann (z.B. ermöglicht durch die Zwangserfordernis, diverse Gebäudedaten bei Neubauten zu veröffentlichen). Im Netz lassen sich auch fertige Anleitungen zur Ausspionierung runterladen und zunehmend über Artifical Intelligence (AI) ausbauen und automatisieren. Eines der größten Probleme ist, überhaupt rauszufinden, dass das eigene Unternehmen gehackt wurde, da diese Zugänge zum Teil erst deutlich später tatsächlich ausgenutzt werden können („later moves“). Entsprechend sollten alle Banken ihre Systeme fortlaufend nach unbemerkten Zugängen („backdoors“), ungewöhnlichen Spitzen im Netzwerk-Verkehr und verwischten Spuren (mittels sogenannter „Log Cleaners“) analysieren.
Präventive Maßnahmen
Als präventive Maßnahmen sollte sich jedes Unternehmen folgende Fragen stellen: Welche Unternehmensinformationen sind öffentlich zugänglich und wie sensible sind diese Daten? Gibt es alte Webseiten oder Protokolle? Wie gut ist meine Advanced Threat Protection (Patches, Passwort-Hygiene, etc.)? Wie ist das Cyber-Bewusstsein in der Mitarbeiterschaft (Schulungen)? Wo kann ich mit entsprechenden „Datensparmaßnahmen“ eventuell Risiken reduzieren (z.B. bei Stellenausschreibungen sensible Details zur eingesetzten Unternehmenssoftware weglassen)?
Zum Ende unseres RTs gab es eine rege Frage-und-Antwort Runde mit den teilnehmenden Banken insbesondere zur Relevanz des Themas im Zahlungsverkehr. Grundsätzlich sieht der BfV als potentielle Ziele: Online-Transaktionen, Überweisungen („Enkeltrick“), CEO-Fraud (zunehmend durch AI unterstützt) und Krypto. Politisch motivierte Hacker greifen verstärkt Unternehmen an, die in irgendeiner Form und Weise gegen das entsprechende Land aus dessen Sicht agieren. Es wird geraten, großflächige Scans zu fahren, um Vorbereitungshandlungen („Pre-Positioning“) zu identifizieren. DDoS-Attacken und zielgerichtete IoS sind schon aktuelle Realität für Banken. Außerdem muss man natürlich auch die für den Zahlungsverkehr genutzten Outsourcings und entsprechenden Vendoren im Blick behalten („Supply Chain Attacks“).
Der RT 2024 war angesichts der großen Teilnehmer-Anzahl und den vielen Fragen ein großer Erfolg und es gab bereits erste Ideen zu weiteren Gesprächskreisen (auf „Tech-Ebene“) und vielleicht gemeinsamen Krisenübungen.
Motiviert durch dieses positive Feedback planen die 3 unten aufgeführten RT-Koordinatoren bereits Aktivitäten für das nächste Jahr. Momentan angedacht sind ein weiteres Interview mit allen Banken zum aktuellen Stand bzgl. nicht-finanzieller Risiken im Zahlungsverkehr, weitere Fachvorträge (z.B. von einer ausländischen Großbank und/oder eines ZV-Dienstleisters) und eventuell ein Update zum Digitalen Euro im 4. Quartal.
Falls Sie Feedback oder Wünsche zu unserer bisherigen Planung für 2025 haben, können Sie sich gerne über die FIRM-Geschäftsstelle bei uns melden.
[1] https://firm.fm/positionspapier-payments-veroeffentlicht/