Cyberrisiken im Finanzsektor

Die Digitalisierung der Branche schreitet rasant voran und die Bedrohungen entwickeln sich laufend weiter: Den komplexen Bedrohungen muss ein ebenso vielschichtiges und kontinuierliches Sicherheitsmodell entgegengesetzt werden.

„In der Finanzbranche wächst die Furcht vor Cyberangriffen“ – so titelte jüngst das Handelsblatt. Aus gutem Grund: Der Sektor „rund ums Geld“ gehört weltweit zu den am stärksten von Cyberangriffen betroffenen Branchen – und im Zentrum der Verteidigungstaktik von Banken und Finanzdienstleistern stehen Penetrationstests.

Bedrohungslage: Alarmstufe Rot

Zwischen Januar 2023 und Juni 2024 verzeichnete die European Union Agency for Cybersecurity 488 Cyberangriffe auf den Finanzsektor. In 46 Prozent der Fälle waren Kreditinstitute betroffen. Unterschiedlichste Erhebungen und Reports liefern ähnlich alarmierende Daten zur steigenden Cyberbedrohung in der Finanzwelt. So haben sich laut der Europäischen Zentralbank die Cybervorfälle, die große Banken gemeldet haben, zwischen 2022 und 2024 verdoppelt – und eine Statista-Umfrage aus diesem Jahr ergab, dass 80 Prozent der Banken und Versicherer im deutschsprachigen Raum in den letzten zwei Jahren Ziel von mindestens einem Cyberangriff waren. Für das Jahr 2030 betrachten 64 Prozent der befragten Unternehmen Cyberangriffe sogar als die größte generelle Herausforderung für die Finanzbranche noch vor der Digitalisierung und Verschlechterung der Kreditqualität.

Hinter diesen Zahlen stehen konkrete, hochwirksame Angriffsszenarien: Ransomware-Attacken auf Kernbankensysteme oder kritische Dienstleister, Krypto-Diebstahl aus Wallet- oder Custody-Lösungen, gezielte Manipulation von Zahlungsprozessen beispielsweise im SWIFT-Umfeld oder Credential- und Identity-Angriffe auf Benutzerkonten. Für Banken ist dabei nicht nur entscheidend, ob ein Angriff grundsätzlich möglich ist, sondern wie schnell er erkannt und eingedämmt wird. Kennzahlen wie Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR) sind zentrale Risikofaktoren, um das tatsächliche Schadenspotenzial eines Angriffs realistisch einzuschätzen. Denn lange Erkennungs- oder Reaktionszeiten können aus einem begrenzten Sicherheitsvorfall schnell ein existenzbedrohendes Ereignis machen.

Verteidigung: umfassende Penetrationstests

Im Rahmen von Penetrationstests werden Schwachstellen in einem System identifiziert und ausgenutzt, um seine Sicherheit zu bewerten. Im Wesentlichen geht es darum, wie ein Angreifer zu denken, um reale Cyberangriffe auf IT-Infrastrukturen, Anwendungen oder Cloud-Umgebungen zu simulieren, bevor deren Lücken ausgenutzt werden.

Stark vernetzte Systeme und das komplexe Geflecht aus Finanzinstituten, Drittanbietern und den Kunden selbst bieten bei Banken und Finanzdienstleistern mehr als genug Angriffsfläche, und der branchenübergreifend zu beobachtende Trend zum Einsatz softwarebasierter Pentests muss für diesen Sektor besonders differenziert betrachtet werden. Die Risikoanalyse von 13 für das Finanzwesen relevanten Technologien in einem aktuellen Report des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist hier augenöffnend – und verdeutlicht, warum Aufsichtsbehörden weltweit auf intelligente Penetrationstest setzen, die menschliche Expertise mit Automatisierung kombinieren. Diese Anforderungen spiegeln sich u. a. in Regularien wie TIBER-EU, BAIT, MaRisk, DORA, den EBA-Guidelines sowie ISO/IEC 27001 wider, die nicht nur technische Schwachstellen, sondern auch Prozesse sowie Erkennungs- und Reaktionsfähigkeit adressieren.

Grenzen softwarebasierter Pentests

Eine punktuelle oder gar automatisierte Testing-Strategie reicht nicht mehr aus. Denn softwarebasierte Penetrationstests wie SAST/DAST-Tools (automatisierte Schwachstellenscanner) können Systeme nur zu einem bestimmten Zeitpunkt prüfen und nicht die aktuelle Bedrohungslage vollständig abbilden. Dafür ist die IT-Landschaft in Banken zu dynamisch.

Ihr Prüfumfang ist zudem begrenzt. Sie können zwar Standard-Schwachstellen schnell und repetitiv identifizieren, scheitern aber an komplexen Angriffswegen, Konfigurationsproblemen in Cloud-Setups und Lieferkettenrisiken. Insbesondere API-basierte Angriffe – etwa der Missbrauch von Authentifizierungs- oder Autorisierungslogik – werden von Scannern nur sehr eingeschränkt erfasst.

Moderne Bedrohungen wie KI-gestütztes Phishing, MFA-Fatigue-Angriffe, Token-Diebstahl oder Cloud-IAM-Fehlkonfigurationen entziehen sich ebenfalls der rein automatisierten Analyse. Das Beispiel eines typischen Angriffspfads, den ein Scanner nicht erkennen würde, verdeutlicht das Problem: Ein Angreifer kompromittiert per KI-Phishing ein Benutzerkonto, provoziert gezielt MFA-Fatigue, erhält Zugriff auf ein Cloud-Portal, nutzt dort eine falsch konfigurierte IAM-Rolle zur Privilegieneskalation und greift anschließend über interne APIs auf sensible Zahlungs- oder Kundendaten zu. Die Einzelkomponenten mögen isoliert unkritisch sein. Ihre Kombination jedoch ist hochgefährlich.

Ein weiteres zentrales Defizit softwarebasierter Tools ist, dass sie nicht prüfen können, ob ein Angriff vom Sicherheits-Monitoring erkannt und vom Incident-Response-Team effektiv gehandhabt würde. Doch genau diese Fähigkeit ist entscheidend für die operative Cyberresilienz eines Finanzinstituts.

Stattdessen: Fokus auf bedrohungsorientiertem Testen

Im Mittelpunkt moderner Penetrationstest-Modelle steht bedrohungsorientiertes bzw. Threat-Intelligence-basiertes Testen, bei dem reale Angriffs-TTPs (Taktiken, Techniken, Verfahren) abgebildet werden. Dafür braucht es menschliche Steuerungs- und Beurteilungsfähigkeiten.

Beim sogenannten „Threat-led Red Teaming“ simulieren Experten als „Ethical Hackers“ gezielte Cyberangriffe auf Systeme, Prozesse und Mitarbeiter unter realistischen Bedingungen. Dies ermöglicht eine belastbare Einschätzung der Abwehrfähigkeit von Banken und Finanzdienstleistern, deckt unentdeckte Angriffspfade auf und stärkt die Cybersicherheitsstrategie durch priorisierte, umsetzbare Maßnahmen. Beim „Purple Teaming“ arbeiten Angreifer (Red Team) und Verteidiger (Blue Team) in Echtzeit zusammen, um insbesondere Erkennungs- und Reaktionsfähigkeit messbar zu verbessern.

Praktische Konsequenzen für Finanzinstitute

Softwarebasierte Pentests haben ihren Platz, müssen aber in ein intelligentes, risikobasiertes und kontinuierliches Testprogramm eingebettet werden. Automatisierte Tools ermöglichen effiziente Routine-Checks. Für kritische, kunden- oder systemrelevante Funktionen sind jedoch regelmäßige bedrohungsorientierte Tests unverzichtbar. Nur so lässt sich Cyberresilienz nachhaltig aufbauen – technisch, organisatorisch und regulatorisch belastbar.

Zurück

Cyberrisiken FinanzsektorPenetrationstestsautomatisierte PentestsThreat-led Red TeamingPurple TeamingCyber-ResilienzDORATIBER-EUISO 27001Banken IT-SicherheitMTTD & MTTRCloud Security

Weitere Einträge

Klicke nie auf Links in Mails! Öffne nie eine Mail die dir komisch vorkommt! Antworte nie auf eine…
Weiterlesen

Angriff auf das kanadische Unterhaus Threat Actor nutzte eine kürzlich entdeckte…
Weiterlesen
WAS IST DIESE WOCHE IN DER HACKING-WELT PASSIERT?

US-Gerichtssystem gehackt – Zeugeninformationen kompromittiert Ein gezielter Angriff auf das…
Weiterlesen