Digitalisierung, Cybersicherheit, disruptive Innovationen und neue Geschäftsmodelle – die Bankenwelt müht sich mit vielen Themen. Vor allem klassische Banken müssen ihre Geschäftsmodelle überdenken, wollen sie zukunftsfähig bleiben. Ein wichtiger Schritt liegt in einem neuen und zugleich vernetzten Denken als wesentlicher Schlüsselfaktor in Zeiten des digitalen Bankschalters. Nur so lassen sich Risiken besser erkennen und die Chancen für heute und morgen wahren. Welche Ansätze das sind, und wie der Transformationsprozess gelingen kann, darüber sprachen wir mit dem Sicherheitsexperten Herbert Saurugg.
Herr Saurugg, wie tätigen Sie Ihre Bankgeschäfte?
Herbert Saurugg: Seit ich einen Internetzugang habe, also seit 20 Jahren, so gut wie ausschließlich über Online Banking.
Was ist Ihre Meinung: Sollten Kunden wieder verstärkt auf die Old-School-Variante setzen und lieber zum Bankschalter gehen, um ihre Transaktionen durchzuführen. Und wäre das in Zeiten zunehmender Cyberangriffe ein probates Mittel, um sich vor Attacken zu schützen?
Herbert Saurugg: Natürlich wäre das auf den ersten Blick sicherer, aber ehrlich, würden Sie das heute wirklich noch wollen? Ich auf jeden Fall nicht! Ganz abgesehen davon, dass immer mehr Bankfilialen aus Kostengründen geschlossen werden und es einen ganz schönen Aufwand für beide Seiten bedeuten würde. Bei mir ist in den letzten zwanzig Jahren nie etwas schiefgegangen, zumindest soweit ich das beobachtet habe. Eine größere Falschbuchung wurde nicht durch einen Cyber-Angriff ausgelöst, aber durch meine Achtsamkeit korrigiert. Wie man so hört, haben aber Banken in den vergangenen Jahrzehnten auch oft Dinge im Hintergrund glattgebügelt, noch bevor es die Kunden bemerken konnten. Der Aufwand dafür soll deutlich gestiegen sein, sodass es auch zunehmend in die Kosten geht.
Nichtsdestotrotz ist der Bankensektor sicher einer der sichersten, da man hier mit der dunklen Seite des Internets schon sehr lange und sehr intensive Erfahrungen gemacht hat. Trotzdem werden noch immer Erfolge beim digitalen Bankraub erzielt, wie man ja fallweise aus den Medien erfährt. Vor allem, wenn es um ganz große Beträge geht. Ich denke, dass Online Banking für den Einzelnen auch weiterhin sehr sicher ist, wenn man gewisse Grundregeln beachtet und den gesunden Menschenverstand einschaltet. Mit der heutigen Zwei-Faktor-Authentifizierung muss man schon ziemlich viel falsch machen, damit man bestohlen werden kann. Der Missbrauch passiert eher auf anderen Ebenen, vor allem durch Social Engineering, wo der gesunde Menschenverstand überlistet wird, oder die Gier diesen ausschaltet.
Die durchgehende Digitalisierung und Vernetzung macht auch vor dem Finanzsektor nicht Halt. Banken propagieren das Bezahlen per App als leichte und zugleich sichere Möglichkeit. Teilen Sie vor allem den letzten Part der Aussage?
Herbert Saurugg: Durch die durchgehende Digitalisierung können vor allem teure Medienbrüche verhindert und damit natürlich auch Kosten eingespart werden. Ich denke schon, dass hier für alle Seiten positive Effekte entstehen. Ob die Kosteneinsparungen auch beim Kunden ankommen, ist eine andere Frage.
Ob die Apps sicher sind? Zumindest so lange bis das Gegenteil bewiesen wurde. Ich bin recht zuversichtlich, dass die Banken hier kein leichtfertiges Risiko eingehen. Man muss aufpassen, dass hier das Geschäftsinteresse nicht höher priorisiert wird als die Sicherheitsüberlegungen.
Trotz allem denke ich, dass das Risiko für den Einzelnen von dieser Seite her doch überschaubar bleibt. Natürlich gilt auch hier wieder das vorhin gesagte: Gesunden Menschenverstand einschalten und Achtung: Gier frisst Hirn.
Wenn die Brieftasche gestohlen wird oder verloren geht, ist das Geld auch weg. Noch schneller und einfacher als im digitalen Umfeld. Daher muss man hier durchaus die Kirche im Dorf lassen, auch wenn sich Sicherheitsrisiken verschieben.
Bleiben wir noch kurz beim Thema Digitalisierung. Junge Start-up-Unternehmen, die sogenannten FinTechs machen den etablierten Geldhäusern massiv Konkurrenz. Welche Weichen müssen die Großen der Zunft stellen, um zukünftig wettbewerbsfähig zu bleiben und gleichzeitig die notwenige Sicherheit im Bankgeschäft nicht zu vernachlässigen?
Herbert Saurugg: Meine persönliche Einschätzung ist, dass wir in den nächsten Jahren massive Umbrüche und Turbulenzen erleben werden. Auch in diesem Sektor. Einerseits steht das weltweite Finanzsystem auf sehr tönernen Füßen, auch wenn das oft abgestritten oder anders dargestellt wird. Aber auch die großen Krisen, die ab 2007 durch das Finanzsystem ausgelöst wurden, wurden nicht vorhergesehen oder in ihrer Tragweite erkannt. Die Ursachen wurden im Wesentlichen nicht behoben, daher haben wir hier weiterhin ein systemisches Risiko, das uns wahrscheinlich in absehbarer Zukunft um die Ohren fliegen wird. Diesmal aber ohne Auffangnetze, denn die haben wir schon in den letzten zehn Jahren aufgebraucht. Zum anderen gerät unser dogmatisches Wirtschaftswachstumssystem zunehmend unter Druck. Sollten sich aktuelle Hype-Themen, wie etwa Blockchains, durchsetzen, was ich für realistisch halte und die auch sehr gut in die generelle Dezentralisierungstendenz bei der Transformation zur Netzwerkgesellschaft passen, dann würde das auch den Bankensektor auf den Kopf stellen. Die Automatisierung wird wohl auch diesen Sektor früher als später überrollen. Genau genommen passiert das ja schon seit vielen Jahren, nur die Geschwindigkeit wird weiter zunehmen.
Um mit diesen Entwicklungen mithalten zu können, muss man die Dinge neu denken und verstehen, was bei dieser fundamentalen Transformation überhaupt passiert, und warum bisher bewährte Modelle nicht mehr funktionieren. Ein zentraler Punkt ist dabei, dass durch die Vernetzung die Komplexität steigt und komplexe Systeme sich nicht zentral steuern lassen. Die gut gemeinte Top-Down-Bankenregulierung, welche auch jede kleine Geschäftsbank gleichermaßen betrifft, erdrückt das System. Der eigentliche Zweck dieser Banken, die regionale Kreditvergabe ist kaum mehr möglich. Daher findet hier bereits eine "Schöpferische Zerstörung" statt. Neue Lösungen werden die zu lösenden Probleme einfach besser und schneller lösen und damit die alten Systeme überflüssig machen. Siehe etwa Crowdfunding.
Wobei mir wichtig ist, dass es nicht um ein Entweder-Oder, sondern immer um ein Sowohl-Als-Auch geht. Das heißt, es wird sicher auch weiterhin Nischen für das traditionelle Geldgeschäft geben, aber die Bedeutung wird zurückgehen. Zum anderen ermöglichen dezentrale Lösungen, wie etwa mit dem Blockchain-Verfahren, kostengünstige komplementäre regionale Währungs- und Tauschsysteme, die wiederum das Banksystem überflüssig machen. Wer daher weiterhin in alten Mustern denkt, wird diese Entwicklungen und die damit verbundenen Chancen verschlafen.
Das hat jetzt relativ wenig mit Ihrer eigentlichen Frage zu tun, aber wenn man diese übergeordneten Themen nicht versteht oder auf dem Radar hat, dann wird man viel Energie in Lösungen investieren, die bald niemand mehr brauchen wird. Das gilt übrigens nicht nur für den Finanzdienstleistungssektor.
Welche Risiken sehen Sie in punkto Cybersicherheit mittelfristig auf die Banken zukommen?
Herbert Saurugg: Wie gesagt, Banken waren sicher bei den Cyber-Angriffszielen ganz vorne dabei und haben so ziemlich die meiste Erfahrung in diesem Bereich gesammelt, da es hier natürlich etwas zu holen gibt. Nachdem hier schon ein sehr hohes Sicherheitsniveau erreicht wurde, kommen zunehmend andere Sektoren ins Visier von Cyber-Kriminellen.
Seit dem letzten Jahr gibt es beispielsweise eine explosionsartige Zunahme von erpresserischer Verschlüsselungs-Schadsoftware, die nun viele treffen kann und trifft. Warum einen aufwendigen Angriff auf eine Bank durchführen, wenn man einfacher zu Geld kommen kann? Wenngleich sich natürlich der Aufwand durchaus auch wieder lohnen kann, wenn man die ganz großen Angriffe anschaut, wo es dann um Milliardenbeträge geht. Leider kann man sich hier nicht zurücklehnen und die mögliche Schadenfreude genießen. Ein Angreifer muss nur einmal erfolgreich sein, der Verteidiger jedes Mal. Ich denke daher, dass die weit größere Gefahr für den Bankensektor derzeit von einer ganz anderen Richtung mit den absehbaren disruptiven Entwicklungen kommt. Nichtsdestotrotz muss man auch in diesem Sektor weiter am Ball bleiben, denn die Gegenseite schläft trotzdem nicht.
Andreas Dombret, Mitglied des Vorstands der Deutschen Bundesbank, sagte im vergangenen Jahr: "Der Finanzsektor ist nicht nur ein wichtiges Ziel von Cyberattacken, sondern auch anfällig für fast jedes erdenkliche Cyberrisiko. Das ist bedauerlich für den Finanzsektor, aber gut für andere Branchen, denn der Finanzsektor wird dadurch zur Quelle von vorbildlichen Praktiken, also von "best practices", die auch in anderen Teilen der Wirtschaft anwendbar sind." Würden Sie diese "Vorbildfunktion" der Banken unterstreichen?
Herbert Saurugg: Ja und nein. Wie bereits angesprochen, hat der Bankensektor sicher sehr viel Erfahrung und Know-how, was die Abwehr und den Umgang mit Cyber-Angriffen betrifft, wovon andere lernen können und das auch genutzt werden sollte.
Auf der anderen Seite ist es noch immer ein Unterschied, ob ich hauptsächlich virtuelle Systeme verteidigen muss oder dahinter physische Infrastruktursysteme stehen, bei denen ein Ausfall ganz andere Folgewirkungen nach sich ziehen könnte, als wenn virtuell Geld weg ist, das man vielleicht sogar noch zurückholen kann.
Der Finanzsektor hat auch eindrucksvoll bewiesen, dass "too-big-to- fail"-Systeme enorme gesellschaftliche Schäden verursachen können. Daher sollten wir vor allem davon lernen. Leider geschieht aber derzeit eher das Gegenteil. In vielen Sektoren passieren große Aufkäufe und Fusionen, wodurch noch mehr "too-big-to-fail"-Systeme entstehen. Die Reedereibranche steht schon unter massivem Druck, andere wie die Pharmaindustrie werden folgen. Und wenn es in diesen Bereichen zu krachen beginnt, dann wird das auch auf uns alle Auswirkungen haben. Jetzt bin ich zwar wieder etwas vom Thema abgekommen, aber ehrlich gesagt, macht mir das mehr Sorgen, als die unmittelbare Cyber-Bedrohung für Banken.
Stellen wir uns folgendes Szenario vor: Sie sind in verantwortlicher Position in einer Bank und müssen die strategische Ausrichtung hin zu mehr digitalen Angeboten federführend begleiten. Was würden Sie tun, und welche Sicherungsmechanismen würden Sie überdenken und gegebenenfalls neu aufsetzen?
Herbert Saurugg: Zum Glück bin ich nicht in einer solchen Position und ich möchte auf keinen Fall und um nichts in der Welt mit jemandem in dieser Position tauschen. Nichtsdestotrotz gibt es aus der systemischen Betrachtung einige Grundregeln für ein lebensfähiges Systemdesign, die wohl auch hier erfolgreich angewendet werden könnten.
Die erste lautet, Energie- und Ressourcenbedarfssenkung, da damit die Abhängigkeiten und Verwundbarkeiten gesenkt werden können. Das heißt etwa auch einfachere Systeme, die noch überblickt und beherrscht werden können: sowohl vom Nutzer als auch vom Designer aus Sicherheitssicht. Wir haben aber leider eine gegenteilige Tendenz, da die Hardware-Ressourcen das hergeben und auch billiger werden, und wir uns auf der anderen Seite nicht die Zeit nehmen, Dinge auch wieder mal auszumisten und zu vereinfachen. Damit steigt natürlich auch wieder die potenzielle Verwundbarkeit.
Der zweite Aspekt ist Dezentralität und Reichweitenbegrenzung, damit sich Störungen oder Schäden nicht weitreichend ausbreiten können beziehungsweise komplexe Systeme noch "steuerbar" bleiben. Natürlich bedeutet das keine Isolierung, denn das würde ja gegen die Digitalisierung sprechen. Aber man kann den Austausch mit anderen Systemen auf das Notwendigste beschränken. Damit sinkt auch wieder das Missbrauchspotenzial. Und man wird damit auch wieder flexibler und anpassungsfähiger und wäre näher an den tatsächlichen Kundenbedürfnissen. Dieser Aspekt betrifft vor allem die Management-Organisation.
Der dritte Aspekt ist die Fehlerfreundlichkeit und -toleranz. Der bekannte IT-Sicherheitsexperte Bruce Schneier hat das kürzlich treffend auf den Punkt gebracht: Wir sollen endlich damit aufhören, zu versuchen, Menschen zu patchen, da das einfach nicht funktioniert. Menschen werden immer kreativer sein, im Positiven wie im Negativen, als die gestressten Entwickler von technischen (Sicherheits-)Lösungen. Eine sehr einfache Methode, um damit umzugehen, sind Plausibilitätsprüfungen, die im Bankensektor sehr erfolgreich eingesetzt werden, aber trotzdem sonst noch sehr häufig vernachlässigt werden. Denken Sie nur an die jüngsten Vorfälle rund um den "Fake President Fraud", bei denen hohe Summen erbeutet werden konnten. Eine einfache Rückfrage, ob das wirklich stimmt, hätte das verhindern können. Dazu passt auch Diversität, was zwar zu einem Mehraufwand für den Betreiber führen kann, aber Monokulturen sind halt anfälliger für Angriffe und lohnendere Ziele.
Blicken wir noch auf die teils düsteren Szenarien des Crashs mit einem Teil- oder Totalausfall von Systemen. Wäre es nicht klug und vielleicht auch sicherer, wenn der Bürger einen Teil seines Geldes bar unter dem "Kopfkissen" aufbewahren würde?
Herbert Saurugg: Auch hier gilt wieder sowohl als auch. Es ist auf jeden Fall sinnvoll, dass man eine gewisse Menge an kleinen Geldscheinen und Münzen zu Hause hat, um bei größeren Infrastrukturproblemen oder sogar -ausfällen noch eine gewisse Handlungsfähigkeit aufrechterhalten zu können. Denken Sie nur an die immer wieder auftretenden weitreichenden Bankautomatenstörungen. Ich denke natürlich auch an die Aus- und Folgewirkungen eines europaweiten Strom- und Infrastrukturausfall, Stichwort Blackout, durch den unser Leben auch eine Zeit lang auf den Kopf gestellt werden wird und wo es sicher hilfreich ist, wenn man nicht auf elektronisches Geld angewiesen ist.
Auf der anderen Seite ergibt es keinen Sinn, wenn man größere Mengen an Bargeld unter dem "Kopfkissen" bunkert, etwa aus der durchaus berechtigten Sorge vor einem Finanzcrash. Denn wenn das eintritt, dann wird wahrscheinlich auch das physische Geld seine Bedeutung und den Wert verlieren. Daher wäre es hier wichtiger, in Alternativen zu denken. Alleine schon die Auseinandersetzung mit dieser Möglichkeit schafft wahrscheinlich zusätzliche Handlungsoptionen, die man unvorbereitet nicht hat. Schon Albert Einstein soll gesagt haben, dass man Probleme nicht mit der gleichen Denkweise lösen kann, mit der man sie geschaffen hat. Das gilt sowohl für den Cyber-Bereich als auch für viele andere aktuelle Herausforderungen. Wenn man sich wirklich auf mögliche turbulente Entwicklungen vorbereiten möchte, dann beginnt das bei der einfachen Vorsorge, um etwa als Familie mehrere Tage autark auskommen zu können, denn hier besteht derzeit die größte gesellschaftliche Verwundbarkeit. Egal, wodurch diese Versorgungsunterbrechung ausgelöst wird.
Obwohl wir nun schon sehr breit und auch düster geworden sind, möchte ich trotzdem zum Abschluss betonen, dass wir die positiven Seiten der Digitalisierung weiterhin nutzen sollten. Wir müssen uns aber zugleich bewusst machen, dass damit auch Schattenseiten beziehungsweise massive gesellschaftliche Veränderungen verbunden sind.
Leider sind wir noch sehr in einem linearen, einfachen Ursache-Wirkungs-Denken verhaftet, das aber immer weniger zur Lösung von Problemen beiträgt. Wir haben daher bereits einen ziemlich hohen Aufholbedarf, um hinter den Folgen der von uns geschaffenen technischen Vernetzung herzukommen. Dieses Rad lässt sich auch nicht mehr zurückdrehen. Daher müssen wir vor allem an unseren Denkmodellen arbeiten, denn vernetztes Denken und Kooperation sind wesentliche Schlüsselelemente für eine erfolgreiche Zukunft, auch um Sicherheitsprobleme zu adressieren. Da können wir wohl auch einiges von Cyber-Kriminellen lernen, die das schon sehr effizient machen, nur leider mit einer falschen Zielsetzung.
Herbert Saurugg, MSc, Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen, war 15 Jahre Berufsoffizier des Österreichischen Bundesheeres, zuletzt im Bereich IKT-/Cyber-Sicherheit. Seit 2012 beschäftigt er sich mit den möglichen Folgen der steigenden Vernetzung und Komplexität, insbesondere mit dem europäischen Stromversorgungssystem sowie einem europaweiten Strom- und Infrastrukturausfall ("Blackout"). Er betreibt dazu einen umfangreichen Fachblog.
