Fortschreitende digitale Vernetzungen machen Unternehmen und Organisationen für Cyberrisiken immer verwundbarer. Dabei stellt die Finanzdienstleistungsbranche den für Cyberangreifer attraktivsten und am stärksten adressierten Sektor dar. Weltweit treffen rund 26 Prozent aller Zugriffe die Finanzbranche. Das schreibt die FMA in einer am Mittwoch vorgelegten Digitalisierungsstudie.

Auch in Österreich sei die Gefährdungslage schärfer geworden, würden die Angriffe signifikant häufiger und komplexer. Innerhalb der Finanzbranche sind meist die Banken bevorzugte Ziele von Cyberkriminellen. Während in manchen Sektoren insgesamt wenige Angriffe pro Jahr gezählt worden sind, reichen die Zahlenangaben in anderen Sektoren in den Millionenbereich.

Insgesamt sei die Anzahl der erfolgreichen Angriffe im Verhältnis zu den registrierten Attacken gering, schreibt die Finanzmarktaufsicht (FMA) nach einer umfassenden Umfrage und Datenerhebung in den heimischen Finanzhäusern (Banken, Versicherer, Wertpapierfirmen, Pensionskassen etc.), die im Jahr 2018 erfolgte und jetzt in die Studie ("Digitalisierung am österreichischen Finanzmarkt") einfloss.

Alte IT-Systeme könnten besonders anfällig hinsichtlich von Cyberrisiken sein. Das "Cyberrisiko" wird von der FMA grundsätzlich als Teil des IT-Risikos gesehen, das zum operationellen Risiko zählt.

Erst Minderheit hat sich abgesichert

Bedrohungsszenarien wie gezielter Datendiebstahl und Cyberterrorismus haben sich bisher bei den österreichischen Instituten nicht realisiert, berichtet die FMA nach der Umfrage. Ransomware werde häufig als ein Hauptmechanismus von Verlusten angeführt, wobei die Infektion mit Malware dabei oft über kontaminierte Phishing-Mails erfolge.

Gegen solche Risiken abgesichert hat sich erst eine Minderheit: 19 Prozent der Versicherungen verfügten zur Zeit der Befragung über mehrere und 22 Prozent über einen Versicherungsvertrag zur Abdeckung des eigenen Cyberrisikos. 35 Prozent der Banken hatten eine Versicherung, um sich gegen die Kosten aus Cyberangriffen abzusichern, 45 Prozent planten dies innerhalb der nächsten drei Jahre. Bei den Wertpapierdienstleistern waren es erst 8 Prozent.

Als ein Risiko für die Versicherungen, die solche Cyberpolizzen anbieten, gilt allerdings auch die schwierige Kalkulation der Prämien wegen geringer Erfahrungswerte mit Schadensfällen, außerdem ändert sich das Umfeld ständig.

Schäden durch digitale Angriffe gehen bei den Unternehmen an mehreren Stellen ins Geld: vom Gewinnentgang, verlorener Arbeitszeit und etwaigen rechtlichen Konsequenzen aus nicht verfügbaren Services über interne und externe Personalkosten für Wiederherstellungsmaßnahmen, physisch beschädigte oder aus Sicherheitsgründen entsorgte Hardware bis zum Datenverlust und Reputationsverlust.

Ein paar weitere Inhalte der Studie: Aus Datensicherheitsgründen ist in der Finanzbranche die Verwendung von E-Mails rückläufig. Chatbots sind praktisch nur bei Versicherungen schon im normalen Einsatz. Bei Banken haben in der Kundenbetreuung Telefonate (gefolgt von Mails und Apps für mobile Geräte) die bedeutendste Rolle bei den Kommunikationsmitteln. Live Chats, vollautomatische Chatbots und Videokonferenzen sollen hier in Zukunft vermehrt eingesetzt werden. "Robo-Advisors" werden am österreichischen Finanzmarkt vor allem von FinTechs entwickelt. Etablierte Konzerne nutzten bisher nur in Einzelfällen automatisierte Kundenberatung, die über simple Chatbots hinausgeht.

Lediglich Wertpapierdienstleister (54 Prozent) erachteten FinTechs als digitale Hauptmitbewerber. Im Gegensatz dazu sahen Versicherer FinTechs/InsurTechs eher als Kooperationspartner. Für jede zweite Bank sind hingegen große Technologiekonzerne wie Google und Amazon als digitale Quereinsteiger mittelfristig die größten Konkurrenten, während je ein weiteres Viertel andere (Konkurrenz-)Firmen aus dem Finanzbereich und FinTechs als maßgeblichste Mitbewerber ansieht. Versicherungen sind übrigens deutlich stärker auf Vergleichsportalen gelistet als Banken.