Wie gut sind die großen Banken im Euroraum gegen Angriffe auf ihre IT-Systeme gewappnet? Wie schnell sind Geldhäuser im Ernstfall in der Lage, Cyberattacken abzuwehren? Die Aufseher der Europäischen Zentralbank (EZB) wollen es genauer wissen und starten Anfang 2024 ihren ersten Stresstest zu Cyberrisiken ("Cyber Resilience Stress Test")."Es wird ein schwerer Cyberangriff simuliert, der den Geschäftsbetrieb unterbricht.

Wie gut sind die großen Banken im Euroraum gegen Angriffe auf ihre IT-Systeme gewappnet? Wie schnell sind Geldhäuser im Ernstfall in der Lage, Cyberattacken abzuwehren? Die Aufseher der Europäischen Zentralbank (EZB) wollen es genauer wissen und starten Anfang 2024 ihren ersten Stresstest zu Cyberrisiken ("Cyber Resilience Stress Test").

"Es wird ein schwerer Cyberangriff simuliert, der den Geschäftsbetrieb unterbricht. Aus Sicht der Institute wird es also ernst", hatte Anneli Tuominen, die Mitglied im Aufsichtsgremium der EZB-Bankenaufsicht ist, im November der "Börsen-Zeitung" gesagt. "Wir wollen wissen, wie die Banken auf einen Cyberangriff reagieren, sich von ihm erholen und den normalen Geschäftsbetrieb wieder aufnehmen. Unser Hauptziel ist, dabei die Schwachstellen der Banken zu ermitteln."

Die Branche erwartet am 2. Januar einen detaillierten Fragebogen mit fast 500 Fragen zu potenziellen Auswirkungen eines Cyberangriff-Szenarios sowie den dann greifenden Notfallplänen.

Fast alle von der EZB direkt beaufsichtigten Banken im Test

Fast alle der derzeit 113 direkt von der EZB beaufsichtigten Banken werden nach damaligen Angaben von Tuominen einbezogen. Etwa 20 davon müssen sich voraussichtlich ab März einem erweiterten Test stellen, bei dem sie detailliertere Informationen einreichen müssen.

Die EZB beaufsichtigt seit November 2014 die führenden Banken im Euroraum direkt. Dazu gehören derzeit aus Deutschland Deutsche Bank DE0005140008 und Commerzbank DE000CBK1001, DZ Bank und Dekabank sowie Deutschlands größte deutsche Sparkasse, die Hamburger Haspa, außerdem die Deutsche Apotheker- und Ärztebank (Apo-Bank), die Volkswagen DE0007664039 Bank sowie diverse Landesbanken (BayernLB, LBBW, Helaba, Nord LB).

Genau hinschauen will die EZB dort, wo Banken IT-Prozesse an Drittanbieter übergeben, um Geld zu sparen. "Das geht nicht unbedingt mit gutem Risikomanagement einher", sagte Tuominen. IT- oder Cloud-Anbieter seien "sicherlich ein Thema, mit dem wir uns eingehender beschäftigen müssen".

Zunehmende Zahl von Cyberangriffen alarmiert EZB-Bankenaufsicht

Die gewaltigen Datenmengen in den IT-Systemen von Banken locken immer wieder Kriminelle an. Die EZB-Aufsicht registrierte zuletzt mehr Cyberangriffe als vor der Corona-Pandemie. Die Bedrohung habe zugenommen. Bislang habe es keinen so schwerwiegenden Angriff gegeben, dass einzelne Institute oder gar das gesamte Bankensystem destabilisiert worden wäre, bilanzierte Tuominen. Doch sie warnte: "Eine erfolgreiche Attacke ist jederzeit möglich."

Seit der weltweiten Finanz- und Wirtschaftskrise 2008/2009 prüfen Aufseher rund um den Globus mit Stresstests regelmäßig, wie anfällig die Geschäftsmodelle von Banken im Krisenfall wären. Geldhäuser müssen dabei bestimmte Szenarien durchrechnen und belegen, dass sie auch unter widrigen Umständen - etwa bei einem Wirtschaftseinbruch, einem Absturz der Immobilienpreise oder steigenden Kreditausfällen - ausreichend Kapital hätten, um ihr Geschäft fortzuführen. Ist das nicht der Fall, verlangt die Aufsicht dickere Kapitalpuffer.

Banken und Sparkassen: Moderne Sicherheitsverfahren etabliert

Die Deutsche Kreditwirtschaft (DK) betont mit Blick auf Cyberrisiken: "Banken und Sparkassen setzen umfangreiche Maßnahmen zur Gewährleistung der Cybersicherheit um, die aus den Säulen der Prävention, Detektion und Reaktion bestehen." Die Dachorganisation der fünf großen Bankenverbände in Deutschland teilte mit: "Für die IT-Systeme der Banken ist die automatisierte Überwachung und -analyse sicherheitsrelevanter Ereignisse sowie von Schwachstellen bereits etabliert."

Das schütze Kundinnen und Kunden allerdings nicht vollends vor kriminellen Machenschaften: "Da die Betrüger die modernen Sicherheitsverfahren der Banken und Sparkassen nicht mehr überwinden können, haben sie sich darauf verlegt, die Kunden am Telefon oder per Email zu übertölpeln", warnte die DK.