Ab diesem Monat wird die Europäische Zentralbank Cyber-Stresstests bei Banken durchführen, um deren Widerstandsfähigkeit gegen Cyberangriffe zu überprüfen.

Die Behörde verlangt von 109 europäischen Banken, bis Mitte 2024 Schwachstellenanalysen und Bewertungen des Vorfallsmanagements durchzuführen.

Simulation von Cyber-Angriffen

Bei jedem Test werden die Bankaufsichtsbehörden einen störenden Cyberangriff simulieren, der sich negativ auf den Geschäftsbetrieb auswirken könnte. Der CISO überwacht dann, wie die Finanzorganisation auf den Angriff reagiert und sich davon erholt, und wie schnell sie zum normalen Betrieb zurückkehrt.

“Unser Hauptziel ist es, die Schwachstellen der Banken zu identifizieren”, sagte Anneli Tuominen, Mitglied des Aufsichtsrates der EZB, im November. “Wir planen auch, ihnen auf der Grundlage der Testergebnisse Feedback zu geben - zum Beispiel zur Notwendigkeit, die Branchenstandards für Cyber-Hygiene in der gesamten Organisation umzusetzen.”

Die Aufsichtsbehörde kündigte Pläne für einen Cyber-Stresstest im März 2023 an, da sie befürchtet, dass eine neue Cyber-Bedrohung infolge des russischen Einmarschs in der Ukraine die kritische Infrastruktur Europas lahmlegen könnte. Die EZB erklärte, dass seit dem Einmarsch in der Ukraine eine Zunahme von Denial-of-Service-Angriffen und Ransomware-Attacken gegen Drittanbieter auf öffentliche und private Organisationen in Europa zu verzeichnen sei (siehe: EZB will Cyber-Stresstest für Banken durchführen).

Welche Banken betroffen sind

Etwa 109 Banken in Europa werden dem Cyber-Stresstest unterzogen, von denen 28 an dem erweiterten Test teilnehmen müssen.

Die Tests umfassen Fragebögen, in denen die Banken aufgefordert werden, schriftliche Nachweise zu erbringen, sowie praktische Übungen zur Erkennung von Schwachstellen und zum Informationsaustausch.

Zusätzlich zu den Banken wird die EZB auch die Anforderungen an die Cyber-Hygiene von Finanzdienstleistern bewerten.

“Banken versuchen, Geld zu sparen, indem sie einige ihrer IT-Prozesse auslagern, aber das ist nicht immer mit einem guten Risikomanagement vereinbar”, sagte Tuominen. Die Banken müssen auch die mit der Auslagerung verbundenen Risiken verstehen.

Banken sind aktuell nicht ausreichend geschützt

Obwohl die europäischen Finanzinstitute von der Zunahme der Angriffe im Zusammenhang mit dem Russland-Ukraine-Krieg weitgehend verschont geblieben sind, hat die EZB in einer kürzlich durchgeführten Untersuchung festgestellt, dass die Vermögensverwaltung der Banken nach wie vor unzureichend ist, so dass sie anfällig für Hackerangriffe sind.

Die EZB stellte fest, dass die Banken zu wenig über Cyber-Vorfälle, schlechtes Identitäts- und Zugangsmanagement und schlechtes Datenmanagement berichten. Die Bewertung ergab auch, dass schlechtes Softwaremanagement bis 2022 zu erheblichen Ausfallzeiten führen wird.

Tuominen sagte, die Übung werde den Banken helfen, potenzielle Schwachstellen zu erkennen und sich besser auf erfolgreiche Angriffe vorzubereiten, die jederzeit stattfinden könnten.