IT-Teams weltweit müssten lernen, wie ein Hacker zu denken und zu agieren, sagt ein IT-Spezialist im Hinblick auf den großangelegten Stresstest der Banken-IT durch die EZB.
Großer Stresstest für die Finanzinstitute in Europa
Die Bankenaufsicht der Europäischen Zentralbank (EZB) hat mit einem groß angelegten Test bei rund 100 Banken im Euroraum die Widerstandsfähigkeit der Bank-IT-Systeme geprüft. Dabei wurden die IT-Systeme der Banken einem großangelegten Angriffsszenario ausgesetzt: „Die fortlaufende Initiative der EZB ist sehr zu begrüßen und spricht vor allem für eines: Den langfristigen Paradigmenwechsel in der IT-Sicherheit weg von der rein reaktiven Verteidigung“, erklärt Rainer M. Richter, langjähriger Spezialist in der IT-Sicherheit und Vice President EMEA & APAC beim Unternehmen Horizon3.ai.
Mit “NodeZero” hat Horizon3.ai professionelles Penetration Testing zu einer autonomen SaaS-Plattform weiterentwickelt, mit der IT-Infrastrukturen rund um die Uhr mit den aktuellsten Hackermethoden geprüft werden können. Die Lösung könnte einen wichtigen Beitrag zur europäischen und weltweiten Finanzsicherheit leisten und würde weiteren Stresstests der EZB sogar vorgreifen, um die Sicherheit und Integrität von Finanzinstituten zu überprüfen. „IT-Teams weltweit müssen lernen, wie ein Hacker zu denken und zu agieren. Nur so können Schwachstellen gefunden werden, bevor Hacker sie ausnutzen und IT-Teams in der Defensive feststecken“, beschreibt Richter weiter.
Punktuelle Kontrollen lassen Raum für Schwächen
Die Tests der EZB, die bisher auf wenige Tage angelegt waren und stets angekündigt werden, lassen viel Raum für Schwächen: „Die Angriffsvektoren der immer weiter kommerzialisierten Hackerbanden sind dynamisch und umfassen mehrere Formen von Attacken, um beispielsweise Zugangsdaten zu erbeuten und daraus mit kriminellem Engineering Erkenntnisse zur Penetration von Infrastrukturen zu generieren. Mit jedem Update einer Netzwerkkomponente ändern sich die Gegebenheiten, und nur fortlaufend durchgeführte Penetration Tests bieten die maximale Sicherheit. Das ist ohne die technologische Unterstützung einer autonomen Pentest-Lösung wie NodeZero nicht zu schaffen“, sagt Richter.
Die Finanzbranche ist zudem angehalten, die Vorgaben der EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act - DORA) zu erfüllen. Dort werden mindestens einmal jährlich Tests für unterschiedliche Bedrohungsszenarien vorgegeben. Die deutsche Kontrollbehörde BaFin wünscht zudem, dass Banken und Versicherungen die Schutzmaßnahmen intern umsetzen und nicht an Mehrmandantendienstleister auslagern.