EZB fordert von Banken Aktionsplan gegen Cyberangriffe

«Neuartige KI-Modelle können Softwareschwachstellen aufspüren und diese in einer noch nie da gewesenen Geschwindigkeit ausnutzen», schreibt Claudia Buch, Chefin der EZB-Bankenaufsicht, in einem Brief an die CEOs der grössten europäischen Banken.

Diese müssten deshalb die Widerstandsfähigkeit ihrer Informations- und Kommunikationstechnologiesysteme erhöhen und Schwachstellen schneller beseitigen, heisst es unter anderem in dem Schreiben, das am Dienstag veröffentlicht wurde.

Die Banken fordert sie auf, einen Aktionsplan zur Stärkung ihrer IT-Sicherheit zu entwickeln und diesen bis zum 31. Oktober bei den für sie zuständigen Aufsichtsteams der EZB einzureichen.

Zudem ermahnte Buch die CEOs, umgehend Mängel zu beheben, die die EZB bei den Instituten bei Vor-Ort-Prüfungen sowie in einem Cyberstresstest 2024 festgestellt hat. «Angesichts der verschärften Bedrohungslage stellen bisher nicht behobene Schwachstellen ein signifikantes Risiko für die operationale Resilienz dar», betont Buch.

Grosses Thema noch grösser

Die EZB hat die Banken bereits mehrfach aufgefordert, ihre Schutzmassnahmen gegen Hackerangriffe zu verstärken. Mit ihrem Brief an die CEOs unterstreicht Buch, dass dieses Thema für die Bankenaufsicht angesichts neuer KI-Modelle derzeit höchste Priorität hat und dass sie darauf auch bei der Prüfung der Geldhäuser einen starken Fokus legen wird.

Spätestens seit der Ankündigung des neuen KI-Modells «Mythos» von Anthropic im vergangenen April sind Banken, Finanz- und Sicherheitsbehörden in Alarmbereitschaft. Mythos kann Sicherheitslücken in IT-Systemen in einem bisher ungekannten Ausmass finden und ausnutzen und stellt für die meisten Finanzinstitute deshalb zunächst eine Bedrohung dar.

Da eine breite Einführung aus Sicht von Anthropic «zu gefährlich» gewesen wäre, hat es der US-Konzern vorab amerikanischen Organisationen und Unternehmen aus dem Technologie- und Finanzsektor zur Verfügung gestellt. Die US-Regierung hat den Verkauf an ausländische Firmen zeitweise ganz untersagt, dieses pauschale Verbot jedoch kürzlich wieder aufgehoben.

Europäische Banker und Finanzaufseher sind deshalb zuversichtlich, dass auch europäische Geldhäuser in den kommenden Tagen Zugriff auf Mythos erhalten werden. Aus Sicht von Experten ist es allerdings wichtig, dass Banken ihre IT-Systeme auch ohne einen Zugang zu Mythos stärken.

Mehr Tempo bei Sicherheitsupdates

Die EZB fordert von den Banken im Rahmen ihrer Aktionspläne kurzfristige und mittel- bis langfristige Massnahmen. Dringend sicherstellen müssen die Institute, dass sie Sicherheitsupdates schneller installieren. In der Vergangenheit brauchten manche Institute dazu bis zu drei Monate, künftig muss dies aus Sicht von Experten innerhalb weniger Stunden geschehen.

Ferner sollen die Institute sicherstellen, dass sie im Fall eines erfolgreichen Cyberangriffs schnell reagieren und ihre Systeme wiederherstellen können. Auch der Informationsaustausch mit anderen Beteiligten müsse verbessert werden, schrieb Buch.