Die Finanzaufsicht Bafin erkennt bei Banken ein hohes Risiko für Cyberangriffe. Darüber informiert Benedikt Queng, Referent in der Gruppe IT-Aufsicht/Cybersicherheit, in einem Artikel auf der Website der Behörde. Zwar würden rund 95 Prozent der IT-Vorfälle bei Geldinstituten durch "hausgemachte" Probleme wie technische Fehler oder menschliches Versagen verursacht. Trotzdem sei die Gefahr von Cyberattacken erheblich.

Insgesamt sind nach Angaben der Aufseher im vergangenen Jahr 235 Meldungen von Banken über schwerwiegende IT-Probleme bei der Behörde eingegangen. Das sind 17,5 Prozent mehr als 2022. Sogenannte Sicherheitsvorfälle – in erster Linie Hackerangriffe – machten der Bafin zufolge allerdings nur gut fünf Prozent der Meldungen aus.

Zu 40 Prozent nicht bei den Banken selbst
Zudem lagen die Ursachen für die im Jahr 2023 gemeldeten Vorfälle der Bafin-Analyse zufolge zu 40 Prozent nicht bei den Banken selbst, sondern bei externen Dienstleistern. Die gemeldeten Vorfälle wirken sich auf unterschiedliche Schutzziele aus, heißt es in dem Bafin-Artikel. Die überwiegende Mehrheit habe die Verfügbarkeit von zahlungsbezogenen Diensten wie das Online- oder Mobile-Banking betroffen oder das Transferieren von Beträgen verzögert.

Bestimmte Meldeschwellen
Für den niedrigen Anteil an Sicherheitsvorfällen könnte es verschiedene Gründe geben, vermutet die Bafin. So sei es möglich, dass es den Instituten 2023 gelungen ist, viele Angriffe erfolgreich abzuwehren oder dass Attacken keine Auswirkungen auf zahlungsbezogene Dienste hatten. Denkbar sei auch, dass die Folgen mancher Cyberattacken die Meldeschwellen nicht überschritten hatten.

Wichtig zu wissen: Welche IT-Vorfälle Banken melden müssen, regelt ein Bafin-Rundschreiben, das die entsprechenden Anforderungen der zweiten Zahlungsdiensterichtlinie PSD2 in nationales Recht umgesetzt hat. Dabei gelten bestimmte Schwellenwerte. Nur wenn diese überschritten sind, müssen Kreditinstitute die Bafin informieren. Meldekriterien können etwa die Zahl der betroffenen Kunden oder das Transaktionsvolumen sein. 

Nur nicht in Sicherheit wiegen
Der geringe Anteil an Sicherheitsvorfällen bedeute folglich nicht, dass es im vergangenen Jahr tatsächlich nur wenige Cyberattacken gegeben habe oder dass die Gefahr, Opfer eines solchen Angriffs zu werden, niedrig war. "Ganz im Gegenteil: Das Risiko ist nach wie vor hoch", schreibt Bafin-Experte Queng in seinem Artikel. (am)