"Wiener Zeitung: Im Financial Sector Advisory Center FinSAC in Wien beraten Sie Banken und Finanzinstitutionen beim Thema Cybersecurity. Was sind dabei die größten Herausforderungen?

Aquiles Almansi: Das FinSAC bietet - unter anderem mit Unterstützung durch das österreichische Finanzministerium - einer Reihe von Ländern technische Unterstützung an. Unser Spezialgebiet ist Krisenmanagement, und wir bieten Simulationen an, eine Art War Games für Finanzministerien, Zentralbanken und andere Finanzinstitutionen. Wir haben bemerkt, dass innerhalb dieser Institutionen die Einstellung vorherrscht, dass Cyberattacken das Problem der IT-Abteilung sind. Sie sind es aber nicht ausschließlich, denn viele Cyberzwischenfälle bringen Bankdirektoren in eine Situation, in der sie Businessentscheidungen treffen müssen, die sie nicht an die IT abgeben können. Ewa wenn diese Entscheidung bedeutet, die tragenden Services einer Institution vorübergehend auszusetzen. Auch Dinge wie das Teilen von Informationen über Cyberangriffe mit anderen Institutionen ist Chefsache und nichts für die Technikabteilung.

Sie meinen also transnationale Kooperation?

Nicht nur das, manchmal hat man im selben Finanzsystem verschiedene Akteure, die nicht miteinander reden und Informationen über Malware nicht austauschen. Man braucht für so was einen institutionellen Rahmen und Prozesse. Es geht etwa darum, Software upzudaten, aber auch um Kommunikationsprozesse zwischen denen, die einen Eindringling im System wahrnehmen und jenen, die die Entscheidungen treffen. Aber Sie können sich darauf verlassen, dass selbst bei den großen Banken der Welt immer noch Menschen im Vorstand sitzen, die keine Ahnung von Cybersecurity und der Verletzlichkeit ihrer Netzwerke haben.

Ihr Ziel ist also, dass Akteure aus verschiedenen Teilbereichen der Cybersicherheit und des Finanzwesens am selben Strang ziehen?

Genau. Ein Beispiel wäre etwa, dass Ihre IT-Leute im Land X feststellen, dass jemand versucht, ihr Netzwerk anzugreifen. Was sie tun müssten, ist etwa einen Notfalldienst für Cybersecurity anzurufen, der sich dann an sein Pendant in jenem Land wendet, aus dem der Angriff kommt. Dieser würde dann mit den Internetanbieter kommunizieren, und jener könnte dann die Verbindung des Angreifercomputers kappen und ihn ausfindig machen. Und für Manager ist es eben manchmal so, dass sie merken, dass sie nicht einmal wissen, dass diese Typen existieren, mit denen sie eigentlich eng zusammenarbeiten sollten.

Was macht gerade Finanzinstitutionen so anfällig für Cyberangriffe? Gibt es außer dem vielen Geld Faktoren, die sie zu besonders beliebten Zielen machen?

Das Finanzsystem hat einige Eigenschaften, die dafür verantwortlich sind. Es war in den meisten Ländern jener Sektor, der voll von digitalen Systemen abhängig war. Eine Bank ist im Grunde eine Datenbank. Sie hat auch eine Menge User Interfaces, also viele Menschen bieten sich dafür an, die Schwachstelle des Systems zu werden. Das viele Geld ist natürlich auch ein Grund und, dass eine Störung im Finanzsektor auch schnell zu sozialen Unruhen und politischer Instabilität in einem Land führen kann. Es ist sehr wahrscheinlich, dass der Finanzsektor in der Zukunft viel mehr aus diesen Gründen attackiert werden wird.

Als Ziel für Cyberterrorismus?

Ja. Oder vielleicht nicht Terrorismus im ursprünglichen Sinn, aber wenn Sie die Zeitungen der letzten Wochen lesen, dann sehen Sie, dass das System, das für die Wahlen in Illinois zuständig ist, gehackt wurde. Man kann auf diese Weise Unsicherheit über das Wahlergebnis kreieren, was ein politisches Problem wird. Beim Finanzsystem sind die Auswirkungen noch viel schlimmer.

Tragen Fälle wie die Cyberattacke auf die Nationalbank von Bangladesch Anfang des Jahres zu einem Vertrauensverlust bei?

In Bangladesh wurden über das Swift-System, das von etwa 11.000 Finanzinstitutionen auf der ganzen Welt verwendet wird, mehr als 100 Millionen Dollar gestohlen. Es wurde gehackt. So etwas kann einen enormen Vertrauensverlust herbeiführen und ein enormer Störfaktor sein.

Nach dem Vorfall hat JP Morgan intern den Zugang zu SWIFT-Codes limitiert. Gab es mehrere solche Reaktionen bei anderen Instituten?

Das Geld, das in der Nationalbank von Bangladesch gestohlen worden ist, ist mit etwa 80 Überweisungen weggeschafft worden. Das Ganze ist nur deshalb aufgefallen, weil jemand einen Tippfehler in dem Überweisungsauftrag entdeckte und um Bestätigung bat. Und natürlich hatte die Nationalbank von Bangladesch keine Ahnung, wovon er sprach, denn sie hatte diese Aufträge nicht gegeben. Es ist schwer zu sagen, wie sich die Geldinstitute seither schützen, und sie haben auch wenig Anlass, diese Information mit irgendjemandem zu teilen, denn dann wüsste man sofort wieder, wie man ihre Maßnahmen umgehen kann. Es gibt kein idiotensicheres System.

Wie groß ist die Gefahr von Cybercrime von innerhalb der Institutionen - etwa von Mitarbeitern, die einfach Codes leaken?

Ich glaube, davon gibt es heute nicht mehr als vor 30 Jahren. Geändert hat sich nur die Art, wie man das machen kann. Heute geht das einfach per USB-Stick. Klar gibt es Leute, die Zugang zu ihrem Account gewähren oder firmeninterne Information verraten. Aber das Problem sind selten die Diebe, sondern es sind die Idioten. Irgendwer bekommt ein E-Mail, das aussieht, als wäre es vom Chef, und beginnt auf dessen vermeintlichen Auftrag hin Geld irgendwohin zu überweisen. Oder jemand klickt auf einen falschen Link - das wäre der Klassiker. Vor einigen Jahren gab es einen Fall mit einer größeren Bank; da hat jemand eine Art Spion als Malware ins System geschleust, die dann Prozesse beobachtete, bis die Diebe wussten, wer Zugriff auf was hat. Dann nutzten sie den Account, den sie brauchten. Das Resultat waren Bankomaten, die zu einer bestimmten Zeit begannen, Geld auszuspucken. Die Diebe wurden dann in den USA erwischt.

Es gab vor kurzer Zeit auch einen Angriff auf die Österreichische Nationalbank. War das ein Versagen der Managementetage, wie Sie es beschreiben?

Dieser Fall ist ein weiteres Beispiel dafür, wie wichtig Cybersecurity heute für alle Organisationen und auf allen Ebenen geworden ist. Die Tatsache, dass eine bestimmte Institution attackiert wurde, heißt nicht, dass sie nicht richtig darauf vorbereitet war, mit der Attacke umzugehen. Cyberattacken passieren überall und andauernd und haben oft politische Motive.