Cyber-Attacken: FMA und OeNB testeten Reaktionsfähigkeit der Banken
02. Juli 2019
Unterstützt vom „Kuratorium Sicheres Österreich“ (KSÖ), wurde in einem Cyber-Planspiel die Widerstandsfähigkeit des Finanzsektors gegen verschiedene Cyberangriffe getestet.
Teilgenommen haben zehn repräsentative Kreditinstitute, deren IT-Provider, das „Computer Emergency Response Team Austria“ (CERT.at) und das Innenministerium. Da laut internationalen Studien rund zwei Drittel der Cyber-Schäden durch Fehlverhalten von Mitarbeitern verursacht oder zumindest begünstigt werden, lag bei diesem Planspiel der Fokus auf dem Faktor Mensch. Gestresst wurde insbesondere die Zusammenarbeit zwischen Kreditinstituten und Aufsicht sowie den anderen cybersecurity-relevanten Institutionen im Falle eines Hackerangriffs.
Erster institutsübergreifender Cyber-Stresstest
Das Ausgangsszenario des eintägigen Cybersecurity-Planspiels, an dem mehr als 100 Experten teilnahmen, bildeten insgesamt 170 individualisierte Hackerangriffe, auf die die Teams aus den beteiligten Kreditinstituten und Institutionen zu reagieren hatten. Die Attacken reichten dabei von Lösegeld-Erpressung mit Ransomware, der Kompromittierung von „Root-CAs“ (Zertifizierungsstellen für Wurzelzertifikate) und von „Online Banking Apps“, der Lahmlegung von Bankomaten und Websites, dem Ausfall des Electronic Bankings, Manipulationen von Kontoständen und -transaktionen, Verlust von Kundendaten, „Phishing Mails“ und DDoS-Attacken (Distributed Denial of Services-Attacken) bis hin zu Kundenbeschwerden und Shitstorms in Social Media.
Getestet wurden dabei die institutsinternen Vorbereitungen auf derartige Angriffe, die internen Kommunikations- und Entscheidungsstrukturen, die organisatorischen und technischen Back-up-Lösungen, Information und Kommunikation mit den aufsichtlichen Institutionen sowie die externe Kommunikation mit den Kunden sowie der breiten Öffentlichkeit.
Einhaltung der IT-Sicherheitsleitfäden als Prüfungsschwerpunkt 2019
Die weltweite digitale Vernetzung bringt laut dem Vorstand der FMA den Teilnehmern auf den Finanzmärkten viele neue Chancen und Möglichkeiten, berge aber gleichzeitig enormen Risiken. Daher habe die FMA im Vorjahr ein Paket von IT-Sicherheits-Leitfäden erlassen, die klare Vorgaben für die Governance dieser Risiken darlegen. Die Einhaltung der Vorgaben der IT-Sicherheitsleitfäden bilde dementsprechend auch einen Prüfschwerpunkt der Aufsicht in diesem Jahr.
Das Cyber-Planspiel hat die Implementierung der Vorgaben, die organisatorische wie infrastrukturelle Vorbereitung in der realitätsnahen, praktischen Anwendung getestet. Darauf aufbauend wird die Aufsicht ihre regulatorische und aufsichtliche Strategie weiterentwickeln und diese in weiteren Cyberstresstests prüfen und evaluieren.
(Quelle: FMA)
Autoren
Redaktion
Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...