BaFin: Mit Notfallplänen zu mehr Cyber-Sicherheit?

Die IT-Investitionen der deutschen Versicherungswirtschaft haben ein Rekordniveau erreicht. Nach einer Erhebung des GDV haben die Versicherer hierzulande im vergangenen Jahr 5,9 Milliarden Euro für den Aus- und Umbau ihrer IT-Infrastruktur ausgegeben. Das ist so viel wie nie zuvor.

Die Bafin weist in ihrer aktuellen Studie "Risiken im Fokus 2024" darauf hin, dass Cyber-Angriffe weltweit und in Deutschland zunehmen. Der Finanzsektor ist besonders gefährdet, da hier besonders wertvolle Daten verwaltet werden. Ransomware und DDoS-Angriffe werden als häufige Bedrohungen genannt. Die zunehmende Digitalisierung vergrößert die Angriffsfläche.

BaFin erhöht das Meldewesen zu Cyber-Angriffen und führt Krisenübungen durch.

Als Reaktion darauf verstärkt die BaFin das Meldewesen, erhöht also den administrativen Aufwand, ohne faktischen Einfluss auf die tatsächliche Sicherheit der Systeme. Die neue EU-Verordnung DORA wird umgesetzt, die Aufsicht über IT-Dienstleister im Finanzsektor wird intensiviert. Es wird nationale und internationale Cyber Defense Initiativen und Krisenübungen geben, um die Widerstandsfähigkeit gegen Cyber-Bedrohungen zu erhöhen.

An der realen Bedrohungslage wird sich dadurch wenig ändern, und die Gründe dafür sind vielschichtig.

Hacken ist in Deutschland verboten. Für Kriminelle ebenso wie für Sicherheitsforscher. Und weil es sich dabei um ein Bestätigungsverbot für so genannte ethische Hacker handelt, ist Deutschland in Sachen IT-Sicherheit im internationalen Vergleich völlig ins Hintertreffen geraten. Damit hacken nicht mehr die Guten, um Schwachstellen zu melden und schließen zu lassen, sondern nur noch die Kriminellen.

Die Politiker haben anscheinend kein Verständnis für die Zusammenhänge in diesem komplizierten Neuland. Im Jahr 2021 wies eine IT-Forscherin des Chaos Computer Clubs die CDU auf eine Schwachstelle in ihrer Smartphone-App hin. Was machte die damalige Regierungspartei? Sie erstattete Strafanzeige gegen die Sicherheitsexpertin. Der Fall zeigt das rechtliche Dilemma ethischer Hacker. Der Chaos Computer Club kündigte daraufhin an, der CDU keine Sicherheitslücken mehr zu melden.

Das Thema IT-Sicherheit wurde in der Vergangenheit von der Politik und auch vom BSI nicht wirklich ernst genommen.  Jahrelang ging man davon aus, dass sich das Sicherheitsniveau allein durch das Wachstum der Sicherheitsindustrie aufgrund steigender Umsätze verbessern würde. Erst nach spektakulären Cyberangriffen hat die Regierung 2017 Cybersicherheit zur Chefsache gemacht. Doch das war zu spät, denn die Entwicklung brauchbarer Sicherheitsverfahren und -techniken braucht seine Zeit.

Das Cyber-Risiko ist eine alltägliche Bedrohung, die sich nicht so schnell aus der Welt schaffen lässt.

Verfassen Sie den ersten Kommentar