FMA und OeNB testen in einem Planspiel die Reaktionsfähigkeit des österreichischen Bankensektors auf Cyberattacken

(, Wien)

Die Österreichische Finanzmarktaufsichtsbehörde (FMA) und die Oesterreichische Nationalbank (OeNB) haben heuer den ersten Cyberstresstest für den Finanzmarkt Österreich durchgeführt. Unterstützt vom „Kuratorium Sicheres Österreich“ (KSÖ), wurde in einem Cyberplanspiel die Widerstandsfähigkeit des Finanzsektors gegen verschiedene Cyberangriffe getestet. Teilgenommen haben zehn repräsentative Kreditinstitute, deren IT-Provider, das „Computer Emergency Response Team Austria“ (CERT.at) und das Bundesministerium für Inneres. Da laut internationalen Studien rund zwei Drittel der Cyberschäden durch Fehlverhalten von Mitarbeitenden verursacht oder zumindest begünstigt werden, lag bei diesem Planspiel der Fokus auf dem Faktor Mensch. Gestresst wurde insbesondere die Zusammenarbeit zwischen Kreditinstituten und Aufsicht sowie den anderen Cybersecurity-relevanten Institutionen im Falle eines Hackerangriffs.

Erster institutsübergreifender Cyberstresstest

„Das Cyberplanspiel hat gezeigt, dass die Kreditinstitute im Großen und Ganzen organisatorisch gut auf Cyberattacken vorbereitet sind, wobei jedoch die praktische Ausgestaltung sich als sehr unterschiedlich erwiesen hat“, so der Vorstand der FMA, Helmut Ettl und Klaus Kumpfmüller. „Die Ergebnisse werden nun im Detail analysiert, die Lehren daraus gezogen und in der Folge in der regulatorischen und aufsichtlichen Tätigkeit umgesetzt.“ OeNB-Vize-Gouverneur Andreas Ittner ergänzt: „Gerade bei der Abwehr von Cyberangriffen ist eine gemeinsame Vorgangsweise zur Sicherstellung der Stabilität des Finanzsektors essenziell. Wir begrüßen es daher sehr, dass sich hier Repräsentantinnen und Repräsentanten aller relevanten Institutionen am ersten institutsübergreifenden Cybersecurity-Planspiel für den Finanzsektor beteiligt haben.“

Das Ausgangsszenario des eintägigen Cybersecurity-Planspiels, an dem mehr als 100 Expertinnen und Experten teilnahmen, bildeten insgesamt 170 individualisierte Hackerangriffe, auf die die Teams aus den beteiligten Kreditinstituten und Institutionen zu reagieren hatten. Die Attacken reichten dabei von Lösegeld-Erpressung mit Ransomware, der Kompromittierung von „Root-CAs“[1] und von „Online Banking Apps“, der Lahmlegung von Bankomaten und Websites, dem Ausfall des Electronic Bankings, Manipulationen von Kontoständen und -transaktionen, Verlust von Kundendaten, „Phishing Mails“ und DDoS-Attacken[2] bis hin zu Kundenbeschwerden und Shitstorms in Social Media. Getestet wurden dabei die institutsinternen Vorbereitungen auf derartige Angriffe, die internen Kommunikations- und Entscheidungsstrukturen, die organisatorischen und technischen Back-up-Lösungen, Information und Kommunikation mit den aufsichtlichen Institutionen sowie die externe Kommunikation mit den Kundinnen und Kunden sowie der breiten Öffentlichkeit.

„Die weltweite digitale Vernetzung bringt den Teilnehmenden auf den Finanzmärkten viele neue Chancen und Möglichkeiten, birgt aber gleichzeitig enorme Risiken. Dementsprechend haben wir IT- und Cybersicherheit als strategischen Aufsichtsschwerpunkt festgelegt“, betten Ettl, Kumpfmüller und Ittner den Cyberstresstest in die Aufsichtsstrategie ein. Dazu habe die FMA im Vorjahr ein Paket von IT-Sicherheitsleitfäden erlassen, die klare Vorgaben für die Governance dieser Risiken darlegen. Die Einhaltung der Vorgaben der IT-Sicherheitsleitfäden bilde dementsprechend auch einen Prüfschwerpunkt der Aufsicht in diesem Jahr. Das Cyberplanspiel hat die Implementierung der Vorgaben, die organisatorische wie infrastrukturelle Vorbereitung in der realitätsnahen, praktischen Anwendung getestet. Darauf aufbauend wird die Aufsicht ihre regulatorische und aufsichtliche Strategie weiterentwickeln und diese in weiteren Cyberstresstests prüfen und evaluieren.

[1] Zertifizierungsstellen für Wurzelzertifikate.

[2] DDoS: Distributed Denial of Services.

  • Kontakt

    • Klaus Grubelnik
      Pressesprecher (FMA)
      Tel.: +43-1-24959-6006
      Mobil: +43-676-88249516

    • Christian Gutlederer
      Pressesprecher (OeNB)
      Tel.: (+43-1) 404 20-6900