Outsourcing bei Banken schwächt die IT-Sicherheit

Der Trend zum Outsourcing im Kreditwesen führt zu Sicherheitslücken in den Netzwerken der Banken. Das ist eines der wichtigsten Ergebnisse einer Studie zur Identifizierung von Schwachstellen in Systemen der Großbanken. Sie wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Eschborner Unternehmensberatung Eurosec Chiffriertechnik & Sicherheit im Frühjahr dieses Jahres in Auftrag gegeben und steht im Zusammenhang mit dem staatlich anvisierten übergreifenden Schutz kritischer Infrastrukturen. Der Berichtsentwurf liegt seit kurzem vor und wird gegenwärtig von den BSI-Experten geprüft.

"Netzwerke und Großrechner in den Banken werden zunehmend von Externen betreut", sagte Eurosec-Geschäftsführer Thilo Zieschang. "Deren Sicherheitsstandards sind häufig nicht so ausgeprägt. Außerdem sourcen die Banken immer mehr ihre IT-Abteilungen in Tochterfirmen aus. Und die müssen an der Sicherheit sparen, um auf dem Markt konkurrenzfähig zu sein." Noch problematischer sei dieser Outsourcing-Trend bei der Bundeswehr. Die anhaltende Fusionswelle bei den Finanzdienstleistern erhöhe das Schadenspotenzial zusätzlich, da immer mehr Banken sich ein Rechenzentrum teilten. Darüber hinaus fehlten der Branche IT-Sicherheitsfachkräfte, da sie von Consulting-Firmen mit höheren Gehältern geködert würden, meint Zieschang.

Leichter anzugehen als die organisatorischen Schwachstellen sind technische Sicherheitslücken, da ihre Beseitigung meist billiger kommt. "Wir haben auch hier konkrete Probleme identifiziert, aber ich darf sie nicht nennen", sagte der Chef der IT-Sicherheits-Beratungsfirma. Im Vergleich zu anderen Branchen seien die Finanzinstitute am stärksten bemüht, Schwachstellen in ihren Netzwerken anzugehen. Aufgrund der nötigen Kompatibilität zum Beispiel bei den Zahlungsverkehrs-Standards müssen die Empfehlungen allerdings von allen Banken gemeinsam umgesetzt werden.

Die Studie ging von der Frage aus, wie schwer der Schaden eines terroristischen Angriffs auf die Netzwerke der Banken sein könne und bis zu welchem Grad der Schaden minimiert werden könne. Zieschang: "Man kann nicht alle IT-Sicherheitsprobleme lösen. Das ist wie bei Attentaten auf Politikern oder Giftanschlägen auf Wasserspeicher. Die können Sie auch nicht völlig ausschließen. Ein gewisses Restrisiko bleibt immer."

Zur Erstellung der Studie habe man hauptsächlich Interviews mit Mitarbeitern der Banken geführt. Eindringtests seien nicht vorgenommen worden. Solche Verwundbarkeitsprüfungen, bei denen Angriffe auf Systeme gestartet werden, mache Eurosec aber regelmäßig im Auftrag von Banken. Sie machen laut Zieschang zwei Drittel der Kunden aus. Nach Angaben des Referatsleiters für den Schutz kritischer Infrastrukturen im BSI, Joachim Weber, "ist die Studie nicht auf die programmiertechnische Stufe herabgestiegen". Ihr habe vielmehr ein "top-down-approach" zu Grunde gelegt. Näheres könne er momentan dazu nicht sagen, denn die Prüfung des "dicken Werks" werde noch bis September dauern. Danach werde das BSI in Zusammenarbeit mit Eurosec eine endgültige Fassung des Berichts erarbeiten. Die Umsetzung der Empfehlungen liegt ohnehin bei den Banken. Nach Ansicht von Eurosec-Geschäftsführer Zieschang wäre es wünschenswert, wenn es nicht bei der Studie bleibe, sondern "die IT-Sicherheit der Großbanken permanent kontrolliert wird". Dass das Outsourcing sich nicht auf den Finanzsektor beschränkt, zeigt die Vergabe der Studie an das Privatunternehmen: "Das kommt billiger als wenn wir im BSI das machen", meint Weber. (Ulrich Hottelet) / (jk)