Europas oberste Finanzaufsicht wird seinen ersten Test starten, wie der Sektor auf einen schwerwiegenden Verstoß gegen seine Cyber-Abwehr reagieren würde, nachdem die Angriffe auf die Banken der Region nach der russischen Invasion in der Ukraine zugenommen haben.
Die Europäische Zentralbank wird alle großen Kreditgeber in der Eurozone auffordern, bis zum nächsten Jahr detailliert anzugeben, wie sie „auf einen erfolgreichen Cyberangriff reagieren und sich davon erholen würden“, sagte ihr Aufsichtschef am Donnerstag.
„Wir wissen, dass Cyberangriffe deutlich zugenommen haben“, Andrea Enria erzählt Litauische Zeitung Verslo žinios. „Wir können das keiner bestimmten Quelle zuordnen, aber es ist eine Tatsache, dass die Zahl dieser Angriffe seit dem Krieg zugenommen hat [in Ukraine] gestartet.“
Enria sagte, die zunehmende Besorgnis über das Risiko von Cyberangriffen bedeute, dass die EZB „einen thematischen Stresstest zur Cyber-Resilienz“ einleite, um „ein besseres Verständnis dafür zu liefern, wo die Stärken und Schwächen der Banken liegen“.
Die EZB ist dabei, ein Szenario zu entwerfen, das einen theoretischen Verstoß gegen die Cyber-Abwehr des Finanzsystems beinhaltet, das an alle von ihr beaufsichtigten 111-Banken gesendet wird, um zu bewerten, wie sie reagieren würden. Enria sagte, dass die Ergebnisse bis Mitte nächsten Jahres vorliegen würden.
Die Besorgnis über die Anfälligkeit des europäischen Finanzsystems für Störungen durch Hacker hat zugenommen, nachdem ein Ransomware-Angriff auf Ion Markets, einen in Irland ansässigen Anbieter von Finanzdaten, in diesem Jahr Teile des riesigen Derivatemarktes gestört hat. Der Angriff wurde von LockBit behauptet, einer Gruppe, von der angenommen wird, dass sie in Russland ansässig ist und kürzlich Royal Mail, den britischen Postdienst, angegriffen hat.
Fabio Panetta, Vorstandsmitglied der EZB, genannt diese Woche, dass der Hack bei Ion Markets „zeigt, wie ein Angriff auf einen Softwareanbieter auf seine Kunden übergreifen kann“. Während die breiteren Folgen in diesem Fall begrenzt waren, sagte Panetta: „Wir können Szenarien nicht ignorieren, in denen sich die Angriffe schnell ausgebreitet und das Finanzsystem gestört haben könnten.“
Der Cyber-Stresstest der EZB folgt ähnlichen Übungen anderer Finanzbehörden. Die Bank von England gestartet ein „freiwilliger Cyber-Stresstest“ im Jahr 2021, um die Auswirkungen eines Angriffs auf das Zahlungssystem zu modellieren.
Die Federal Reserve führt mit anderen zuständigen Behörden regelmäßig „gemeinsame Cyber-Sicherheitsprüfungen“ der größten US-Banken durch. Die Fed genannt im vergangenen Jahr habe sie „genau beobachtet“, wie Russlands umfassende Invasion in der Ukraine und andere geopolitische Ereignisse zu einer „potenziellen Zunahme von Cyberangriffen führen könnten, die sich auf kritische Infrastrukturen einschließlich des Finanzdienstleistungssektors auswirken könnten“.
Die Aufsichtsbehörden der EZB beobachten die zunehmende Abhängigkeit von Banken von externen Dienstleistern, da diese anfällig für Cyberangriffe sein könnten, die sich auf das gesamte Finanzsystem auswirken. Beispielsweise verlassen sich Banken bei der Bereitstellung von Cloud-Computing-Diensten stark auf große US-amerikanische Technologieunternehmen wie Amazon und Microsoft.
„Viele Banken lagern kritische Funktionen aus, entweder an andere Unternehmen ihrer Gruppe oder an externe Anbieter, Drittanbieter von Dienstleistungen, die sich oft in anderen Gerichtsbarkeiten befinden – manchmal in Russland selbst, manchmal in Indien oder anderen Gerichtsbarkeiten auf der ganzen Welt. “, sagte Enria.