Die Studie von YesWeHack wurde in Zusammenarbeit mit Foundry durchgeführt. Zwischen Februar und März 2022 befragten sie für die Datenerhebung 208 Expertinnen und Experten von Banken, Versicherungen und Finanzdienstleistern aus Deutschland, Österreich und der Schweiz über die Häufigkeit, die Art sowie die Abwehr von Cyberangriffen.

Unternehmen der Finanzbranche haben mit Hackern zu kämpfen

Die Ergebnisse der Befragung zeigen, dass nahezu jedes Unternehmen der Finanzbranche von Cyberangriffen betroffen ist. Lediglich sieben Prozent der Befragten gaben an, in den vergangenen zwölf Monaten nicht Opfer einer entsprechenden Attacke geworden zu sein. Stolze 76 Prozent verzeichneten im gleichen Zeitraum mindestens einen bzw. maximal 20 Angriffe. Elf Prozent sagten, zwischen 21 und 50 Übergriffe erlebt zu haben und vier Prozent wurden sogar mit über 50 Vorfällen konfrontiert. Wie häufig ein Finanzinstitut angegriffen wird hängt laut der Studie mit dessen Größe zusammen. Je umsatzstärker ein Unternehmen ist, desto beliebter ist es als Ziel für Hacker. Während bei Firmen mit einem Umsatz unter einer Milliarde Euro nur jede Sechste mehr als zehn Angriffe verzeichnete, waren bei Firmen mit einem Umsatz über zehn Milliarden Euro fast jede Zweite von mehr als zehn Hackerattacken betroffen.

Cyberkriminelle greifen auf immer komplexere Methoden zurück

Bei ihren Angriffen greifen die Hacker auf immer ausgeklügeltere Methoden zurück, da altmodische Vorgehensweisen aufgrund ihrer Bekanntheit kaum noch erfolgversprechend sind. Die beliebteste Taktik ist laut der Studie ein Ausnutzen von Schlupflöchern in den Unternehmensprozessen, was in Fachkreisen "Business Process Compromise" genannt wird. Hierbei suchen Cyberkriminelle gezielt nach Logikfehlern, die sie für ihre eigenen Zwecke nutzen können. 53 Prozent der Befragten erlebten Übergriffe auf diesem Gebiet. Die zweitbeliebteste Angriffsart ist mit 51 Prozent der "Credentials-Diebstahl". Dieser ist eine Art Identitätsdiebstahl, bei der Hacker durch Social-Engineering-Angriffe wie Phishing unter anderem wichtige Zugangsdaten ergaunern. Die dritthäufigste Methode der Cyberkriminellen für einen Überfall ist die Nutzung von Ransomware. Ransomware, auch Erpressungssoftware genannt, sind Schadprogramme mit denen der Angreifer nach dem Eindringen in das Computersystem den Zugriff und die Nutzung von Daten für den Computerinhaber sperren kann. Erst nach der Zahlung eines Lösegelds geben die Kriminellen in der Regel die Daten wieder frei, ansonsten sind sie für immer verloren. Rund 39 Prozent der Befragten wurden mit Ransomware attackiert. Neben Ransomware-Angriffen sahen sich auch noch 38 Prozent mit "Insider Threats" und 37 Prozent mit Attacken auf Datenbanken konfrontiert.

Welches Unternehmen mit welcher Attacke angegriffen wird, hängt erneut mit der Unternehmensgröße zusammen. Große Unternehmen sind beispielsweise öfter von Business Process Compromise betroffen. Phil Leatham, Senior Account Executive von YesWeHack Deutschland, erklärt diesen Umstand wie folgt: "Wenn Unternehmen wachsen, nimmt die Anzahl und die Komplexität von Prozessen exponentiell zu, was vermutlich zu mehr Schwachstellen führt." Der Credentials-Diebstahl wird daher im Gegenzug eher bei kleineren Unternehmen angewendet.

Unternehmen wappnen sich gegen Angreifer

Da die Angriffe weiter zunehmen und die Unternehmen stark bedrohen, rüstet sich die gesamte Finanzbranche immer besser gegen die Hacker. Mittlerweile haben sich die Finanzinstitute sogar sehr gut vor den immer komplexeren Übergriffen geschützt. Lediglich ein Prozent der Institute soll die neuesten "Bankaufsichtlichen Anforderungen an die IT", kurz "BAIT" genannt, noch nicht erfüllen. Der Rest habe sie schon implementiert. Die BAIT "schreiben regelmäßige Schwachstellen-Scans, Penetrationstests bzw. Simulation von Angriffen vor". 71 Prozent der Befragten gaben an, ihre IT-Systeme und Anwendungen über einmaliger Penetrationstests von unabhängigen Dienstleistern prüfen zu lassen. 60 Prozent führen entsprechende Tests selbst durch. 39 Prozent greifen außerdem auf eine regelmäßige Überprüfung im Rahmen von Bug-Bounty-Programmen externer Dienstleister zurück. Die Überschneidung der Prozentangaben resultiert dadurch, dass viele Unternehmen gleich mehrere der vorgestellten Prüfszenarien umsetzen.

