Olaf Schwarz: "Man kann den Kunden angreifen, oder man greift die Bank an."
Olaf Schwarz: "Man kann den Kunden angreifen, oder man greift die Bank an."
© Getty Images/iStockphoto/Filograph/istockphoto.com

Interview

Wie sich Banken vor Cyberangriffen schützen

Patrick Dax

Olaf Schwarz, Information Security Officer bei der Direktbank ING DiBa Austria über Cyberangriffe auf Banken, Ransomware und Sicherheitsschulungen für Mitarbeiter.

Dieser Artikel ist älter als ein Jahr!

futurezone: Welchen Angriffen sind Sie ausgesetzt?
Olaf Schwarz: Um illegal Geld zu bekommen, kann man den Kunden angreifen, oder man greift die Bank an. DDoS-Angriffe (Anm.: Distributed Denial of Service, dabei werden Server mit Anfragen überhäuft) sind für Direktbanken natürlich ein Thema, da müssen wir gut aufgestellt sein. Wir haben ein so genanntes Playbook, dort ist festgehalten, was im Falle eines Angriffs zu tun ist, damit wir rasch und geordnet reagieren können und jeder weiß, was er zu tun hat. Wir gehen auch so weit, dass wir solche Angriffe simulieren, um festzustellen, was funktioniert und was nicht. Natürlich gibt es auch direkte Angriffe auf den Zahlungsverkehr, wie man am Beispiel des Angriffs auf die Zentralbank von Bangladesch nur allzu deutlich gesehen hat.
Wir müssen uns aber auch mit den anderen Themen, wie beispielsweise Ransomware beschäftigen.

Olaf Schwarz, Ing DiBa

© Pepi Zawodsky/Ing DiBa

Haben Sie einen Bitcoin-Vorrat um Lösegeld für verschlüsselte Rechner zu bezahlen?
Wenn man bezahlt, finanziert man das Geschäftsmodell der Kriminellen. Es gibt Leute, die argumentieren, dass es wirtschaftlich sinnvoller ist, zu bezahlen, als den Aufwand zu haben, die Geräte oder die Daten wiederherzustellen. Gerade als Bank ist man aber schlecht beraten, das Geschäftsmodell von Kriminellen zu finanzieren.

Wie schützen Sie sich gegen Ransomware-Angriffe?
Ransomware ist Schadsoftware und dafür gibt es bestehende Mechanismen. Wir haben natürlich Virenfilter und wir erlauben auch nicht jedem USB-Stick anzustecken oder Dateien von allen möglichen Webseiten herunterzuladen. Man muss aber immer eine Balance finden. Unsere Mitarbeiter müssen arbeiten können. Die Aufforderung an die Personalabteilung, keine Anhänge aus E-Mails zu öffnen, funktioniert in der Realität einfach nicht, weil es zu ihren Aufgaben gehört, Lebensläufe von Bewerbern zu lesen.

Was tun Sie, wenn ein Angriff erfolgreich ist?
Man muss miteinplanen, dass es passiert und dass man Angriffe dann schnell eindämmen kann. Es macht aber natürlich einen Unterschied, ob ein Rechner verschlüsselt wird, den man schnell wieder aufsetzen kann, oder ob die Rechner aller Mitarbeiter betroffen sind. Es gibt jedoch kein Patentrezept, dass man in allen Fällen anwenden kann und alles wird wieder gut. Trotzdem hilft eine gute Vorbereitung, dazu es gehört es auch, die Reaktion auf Angriffe zu üben.

Mit wie vielen Angriffen haben Sie es zu tun?
Gott sei Dank kenne ich die absolute Zahl nicht. Es gibt viele automatisierte Angriffe, die nicht wirklich ein Thema sein sollten. Gegen solche Dinge sind wir gut gewappnet. Wenn man jeden einzelnen Angriff explizit behandeln muss, läuft irgendetwas falsch.

Österreichische Firmen wurden zuletzt zunehmend Opfer von CEO-Fraud, bei denen Mitarbeiter im Namen des Chefs aufgefordert werden, Geld zu überweisen, und Rechnungsbetrug. Haben Sie damit auch zu tun?
Das haben wir natürlich auch. In verschiedenen Ausprägungen. Bei CEO-Frauds sind die Schadenszahlen aktuell groß, aber das versetzt mich nicht in Panik, weil es einfache Mittel gibt, etwas dagegen zu tun. Ich brauche vernünftige Prozesse. Diese müssen eingehalten werden, dann kann ich das sehr gut eindämmen. Schwierig wird es bei Angriffen, wo man komplexe Lösungen braucht, oder es auch noch gar keine Lösungen gibt.

Der menschliche Faktor ist häufig die Schwachstelle. Wie schulen Sie Ihre Mitarbeiter?
Jeder neue Mitarbeiter bekommt eine Basis-Schulung. Dabei erklären wir zum Beispiel Phishing-E-Mails oder Gefahren durch gefälschte Webseiten. Für viele Fälle gibt es einfache Tipps. Wenn man die beherzigt, ist man schon ziemlich weit. Wir machen aber auch Übungen mit unserem Management, da geht es beispielsweise auch um Krisenkommunikation. Verdeckte Tests setzten wir ebenfalls ein, um zu sehen, wie gut wir gewappnet sind. Wenn man bei Mitarbeitern das Bewusstsein für Sicherheit stärken will, muss man vernünftig damit umgehen und schauen, dass man für einzelne Gruppen - wenn notwendig - individuelle Lösungen findet. Allgemein kann man aber sagen, dass der erhobene Zeigefinger immer eine schlechte Wahl ist.

Wie funktioniert die Zusammenarbeit in der Branche?
Über Cert.at werden die so genannten Trust Circle für verschiedene Branchen organisiert, die Finanzbranche ist hier natürlich auch berücksichtigt. Wir treffen uns also regelmäßig und tauschen uns aus. Das hilft.

Was könnte verbessert werden?
Gut wären Möglichkeiten, um Daten untereinander auszutauschen. Etwa zu Konten, die dazu genutzt werden, um kriminelle Gelder zu verschleiern. Das würde die Zusammenarbeit effizienter und effektiver gestalten. Man muss aber aufpassen, dass man nicht zu weit geht, denn Datenschutz und Bankgeheimnis gibt es aus gutem Grund.

Disclaimer: Dieser Artikel entstand im Rahmen einer Kooperation mit der ING-DiBa. Die redaktionelle Verantwortung obliegt alleine der futurezone-Redaktion.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 13.01.2017, 8:13 Uhr

Patrick Dax

pdax

Kommt aus dem Team der “alten” ORF-Futurezone. Beschäftigt sich schwerpunktmäßig mit Innovationen, Start-ups, Urheberrecht, Netzpolitik und Medien. Kinder und Tiere behandelt er gut.

mehr lesen
Patrick Dax

Kommentare