Fallen im Netz

• Cyberkriminelle gehen bei Attacken auf Unternehmen und Banken immer aggressiver vor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer „angespannten IT-Sicherheitslage“.
• Die Corona-Pandemie hat die IT-Sicherheitslage weiter verschärft. Viele Menschen arbeiten von Zuhause aus und wählen sich über das private Netzwerk bei ihrer Firma ein. Das erhöht die Angriffsfläche für Cyberkriminelle.
• Die Volksbanken und Raiffeisenbanken sind den Angriffen aber nicht schutzlos ausgeliefert. Besonders wichtig ist eine regelmäßige und umfassende Schulung der Mitarbeiter.
• Die VR-Bank Mittelfranken West gibt zum Beispiel Tipps für sicheres mobiles Arbeiten und hat ein virtuelles privates Netzwerk für mobile Endgeräte eingerichtet, über das sich die Nutzer geschützt in das Banknetzwerk einwählen können.
• Die VR-Bank Rottal-Inn wertet unter anderem die Warnmeldungen der Fiducia & GAD tagesaktuell aus und gibt diese bei Bedarf an die Mitarbeiter weiter. Außerdem hat sie die Sicherheitsrichtlinien beim telefonischen Banking verschärft.

Manchmal sind die Täter einfach nur dreist. Rund 170 Fälle von versuchtem Cyberbetrug verzeichnete die VR-Bank Mittelfranken West im vergangenen Jahr, darunter auch diesen: Ein Anrufer meldete sich im Kundenservicecenter der Bank und forderte mit Nachdruck eine eilige Überweisung ins Ausland. Der Anrufer gab sich als Geschäftsführerin einer GmbH aus, sprach jedoch mit einer tiefen Männerstimme. Das kam der Mitarbeiterin am Telefon komisch vor. Als sie nachhakte, konnte der Mann zwar noch das im Handelsregister frei zugängliche Geburtsdatum der Geschäftsführerin nennen, aber bei der Privatadresse setzte es aus. Überweisung abgelehnt, Cyberbetrug verhindert.

So dilettantisch dieser Betrugsversuch ausgeführt wurde, so professionell gehen andere Kriminelle vor. Da war es eine gute Nachricht, als das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende Januar 2021 bekannt gab, die IT-Infrastruktur des Schadprogramms „Emotet“ sei zerschlagen worden. BSI-Präsident Arne Schönbohm hatte den Trojaner vor drei Jahren als „König der Schadsoftware“ bezeichnet. Bis zu seinem vorläufigen Ende – Experten schließen eine Wiederauferstehung nicht aus – sorgte „Emotet“ für Millionenschäden und eine lange Liste von Geschädigten: Krankenhäuser mussten ihren medizinischen Betrieb einstellen, Gerichte und Stadtverwaltungen wurden lahmgelegt, unzählige Unternehmen hatten keinen Zugriff auf wichtige Geschäftsdaten und digitale Prozesse. Auch Zehntausende Rechner von Privatpersonen wurden infiziert. Anschließend manipulierte der Schädling das Online-Banking oder spionierte Passwörter aus.

Auch wenn der „König der Schadsoftware“ geschlagen ist, sollte sich kein Unternehmen in Sicherheit wiegen. Denn unzählige Schadprogramme sind kaum weniger gefährlich als „Emotet“. Die aktuelle Gefährdungslage sei „angespannt“ und geprägt von Cyber-Attacken in immer neuen Varianten und mit immer ausgefeilteren Methoden, warnt das BSI. Die Zahl der Schadprogramme übersteige die Milliardengrenze, täglich kämen etwa 320.000 neue Versionen hinzu. Schon vor Beginn der Corona-Pandemie beobachtete das Amt eine „gesteigerte Aggressivität der Erpressungsmethoden bei Ransomware-Angriffen“, bei denen Daten verschlüsselt und nur gegen Lösegeld wieder freigegeben werden, sowie immer mehr Fälle des so genannten „Big Game Hunting“, also hochprofessionellen und gezielten Angriffen auf zahlungskräftige Ziele.

Obwohl die IT-Infrastruktur der Volksbanken und Raiffeisenbanken durch die Rechenzentrale Fiducia & GAD gut geschützt ist, gerät auch sie immer wieder in das Visier von Kriminellen. „Banken sind per se ein besonders attraktives Angriffsziel, weil hier mit Geld umgegangen wird“, sagt Stefan Schmutterer, Cyberrisk-Experte bei der R+V. Der genossenschaftliche Versicherungskonzern bietet Unternehmen und Banken sogenannte Cyberrisk-Policen an, die Schäden durch Cybervorfälle abdecken. Die Bedrohung nehme zu, stellt Schmutterer fest. „Wir sehen, dass sich Hacker international verbünden, Know-how und Daten austauschen, um gemeinsam effektivere Angriffsmethoden zu entwickeln.“ Über 80 Prozent der Schadensfälle bei Banken seien auf Verschlüsselungstrojaner – sogenannte Ransomware – zurückzuführen, so Schmutterer. Die Kriminellen verschlüsseln mit der Schadsoftware wichtige Daten und geben diese erst wieder frei, wenn das Unternehmen Lösegeld gezahlt hat. Auch der Diebstahl von Zugangsdaten – etwa für das Online-Banking – sei weiterhin ein großes Problem.

Ein umfassender Schutz gegen Cyberschäden kann Unternehmen im schlimmsten Fall die Existenz retten. Die Versicherungspartner bieten den Firmenkunden der Volksbanken und Raiffeisenbanken solche Policen an. Die R+V zum Beispiel hat zwei Cyberversicherungen im Portfolio: Das Standardprodukt richtet sich an Unternehmen mit einem Jahresumsatz bis zu zehn Millionen Euro, für größere Firmen wird der Versicherungsumfang nach einer umfassenden Risikoanalyse individuell vereinbart. Die Standardpolice ist bei der R+V eine sogenannte Allgefahrenversicherung. Das heißt, sie schließt sowohl eigene Cyberschäden als auch solche von Dritten ein, ohne dass diese vorher im Vertrag festgelegt werden müssen.

Der Versicherungsfall tritt ein, wenn eine sogenannte „Informationssicherheitsverletzung“ vorliegt, also ein Schaden beim Gebrauch von IT- und Telekommunikationsgeräten des Versicherungsnehmers entsteht, wie Cyberrisk-Experte Stefan Schmutterer von der R+V erklärt. Abgedeckt sind in der Standardversion Schäden von 25.000 bis 500.000 Euro, bei größeren Unternehmen kann der Versicherungsschutz bis zu drei Millionen Euro betragen.

Die R+V bietet bei der Cyberrisk-Versicherung neben der Schadensregulierung zusätzliche Assistenz-Dienstleistungen an. Dazu gehört eine Notfall-Hotline, deren Mitarbeiter sich auf die Systeme des Versicherungsnehmers aufschalten können, um den Schaden zu analysieren und gegebenenfalls zu beheben. Außerdem wird dem Kunden bei Bedarf ein Dienstleister vermittelt, der ihm das Netzwerk neu aufsetzt. „Der Kunde soll die Systeme so schnell wie möglich wieder benutzen können. Deshalb bieten wir diesen zusätzlichen Service an“, erklärt Schmutterer.

Corona hat das Gefährdungspotenzial nochmal deutlich erhöht. „Das betrifft zwei zentrale Punkte“, erklärt Johannes Krupp, IT-Sicherheitsforscher am CISPA Helmholtz-Zentrum für Informationssicherheit in Saarbrücken. Erstens arbeiten immer mehr Menschen wegen Corona von zu Hause aus und nutzen dafür vielfach eigene Geräte. „Durch die Vermischung von Heim- und Firmennetzwerken wird die IT von Unternehmen von außen zugänglich. Das erhöht die Angriffsfläche für Cyberkriminelle erheblich“, sagt Krupp. Zweitens ergeben sich durch Corona ganz neue Angriffsziele, die es vorher nicht gegeben hat, zum Beispiel Schulen oder Unternehmen, die beim Aufbau eines Netzwerks in der Eile den IT- und Datenschutz vernachlässigt haben, um in der Corona-Krise handlungsfähig zu bleiben.

Im schlimmsten Fall kann diese Schlamperei existenzbedrohend sein. „Diese neuen Netzwerke sind ein attraktives Angriffsziel für Cybertäter, die Sicherheitslücken gnadenlos ausnutzen.“ Auch Krupp beobachtet immer perfidere Methoden der Kriminellen, etwa beim Einsatz von Ransomware. „Die Täter gehen dazu über, die Daten nicht mehr nur lokal zu verschlüsseln, sondern sie zu exportieren.“ Zahlen die Unternehmen kein Lösegeld, drohen die Kriminellen damit, sensible Informationen wie Kundendaten weiterzugeben oder zu veröffentlichen. „Da kann ein Unternehmen schnell ein schweres Problem mit dem Datenschutz bekommen“, sagt Krupp.

Die Attacken treffen große wie kleine Unternehmen gleichermaßen, sagt Krupp. Kein Unternehmen dürfe der Illusion unterliegen, es sei zu klein oder uninteressant für Cyberkriminelle, und sich deshalb in Sicherheit wiegen. „Die Täter greifen jeden an, der ihnen die Gelegenheit dazu gibt, egal ob groß oder klein. Dabei nehmen sie auch gerne Zufallsopfer, denn eine Malware kann man sich schnell einfangen“, sagt der IT-Sicherheitsforscher. „Sobald sich die Cyberkriminellen in den Systemen festgesetzt haben, werden sie sich sicher anschauen, ob man da nicht mehr rausholen kann, auch bei einer kleinen Bank.“

Neben den gängigen Vorsichtsmaßnahmen, wie sie zum Beispiel in den IT-Grundschutz-Standards des BSI festgelegt sind, empfiehlt Krupp, regelmäßig die Backup-Strategie und das sogenannte Patch-Management zu prüfen und zu aktualisieren. „Patches“ sind Datenpakete, mit denen die Hersteller Programmfehler und Sicherheitslücken von Anwendungen schließen. „Ein modernes Patch-Management sollte Updates und Patches nicht nur einspielen, sondern auch zurücknehmen können“, sagt Krupp. Denn inzwischen kommt es vor, dass Cyberkriminelle Softwarehersteller hacken und ihre Schadprogramme in die Patches einbetten, die dann sozusagen ganz offiziell per Update in die IT-Systeme der Kunden eingeschleust werden. Jüngstes und in der IT-Branche viel beachtetes Beispiel ist der „Solarwinds-Hack“. Den Hackern war es gelungen, eine Hintertür in die Patches der Netzwerksoftware „Orion“ von Solarwinds einzubauen. Durch die automatisch heruntergeladenen Aktualisierungen konnten die Hacker mehr als 250 amerikanische Behörden, Ministerien und Unternehmen infiltrieren und 18.000 Netzwerke ausspionieren.

Die R+V hat für Firmenkunden der Volksbanken und Raiffeisenbanken, die eine Cyberrisk-Police abschließen, vier goldene Regeln formuliert. Wer diese Vorgaben beachtet, erhält – auch unabhängig von einer Versicherung – einen guten Grundschutz vor Cyberattacken:

1. Backups erstellen und testen: Damit Daten bei einer Cyberattacke nicht unwiederbringlich verloren gehen, sollten diese regelmäßig auf einem zweiten System gesichert werden. Dabei ist auch regelmäßig zu prüfen, ob die Sicherungssysteme funktionieren und das Backup auf dem aktuellen Stand ist.
2. Ein vernünftiges Patch-Management für alle Systeme: Patches beheben Programmierfehler in Anwendungen und schließen Sicherheitslücken. Deshalb sollten sie immer zeitnah installiert werden. Damit alle Anwendungen immer auf dem neuesten Stand sind und der Überblick nicht verloren geht, braucht es ein vernünftiges Patch-Management.
3. Lizenz-Management: Versicherungsschutz bei der R+V erhält nur, wer ausschließlich mit legaler Software arbeitet. Eigentlich eine Selbstverständlichkeit, aber im Alltag kann es schnell passieren, dass bei den Lizenzen etwas durcheinander kommt. Mit einem umfassenden Lizenz-Management behalten die Nutzer den Überblick und sie werden vor bösen Überraschungen geschützt, weil sich beim wahllosen Download von Anwendungen doch einmal ein schwarzes Schaf einschleichen kann.
4. Rechte-Management: Je mehr Rechte das Opfer von Cyberkriminellen besitzt, desto schneller können sich die Täter im Netzwerk festsetzen und zum Beispiel weitere Rechner infizieren. Deshalb ist es wichtig, genau festzulegen, welcher Mitarbeiter welche Rechte hat, um Fremden den Zugriff auf die eigenen Systeme möglichst zu erschweren. Die Vergabe der Rechte sollte zudem regelmäßig überprüft werden. „Es ist zum Beispiel keine gute Idee, bei der täglichen Arbeit mit Administratoren-Rechten zu arbeiten, wenn man sie nicht braucht“, sagt Cyberrisk-Experte Stefan Schmutterer von der R+V.

Vorausgesetzt werden außerdem eine Viren-Software und eine Firewall, die alle Systeme schützen und Eindringlinge aufspüren. Damit sei ein guter Grundschutz gegeben, sagt Schmutterer. „Das ist alles kein Hexenwerk und auch von Unternehmen zu leisten, die keine eigene IT-Abteilung betreiben.“

In der Masse sind solche hochkomplexen Attacken wie bei Solarwinds jedoch eher die Ausnahme. „Ein Großteil der Schadprogramme kommt ganz klassisch per E-Mail“, sagt Krupp. Auch „Emotet“ verbreitete sich auf diesem Weg – und verwendete dabei einen perfiden Trick. Die Schadsoftware spionierte die Mail-Programme auf befallenen Rechnern aus und versendete daraufhin Nachrichten, die auf einer realen Mail-Korrespondenz aufbauten. Weil Absender und Inhalt der Mail vertraut waren, schöpften viele Empfänger keinen Verdacht und klickten auf den verseuchten Anhang. Damit öffneten sie den Hackern Tür und Tor. Angesichts solcher Angriffsszenarien könne man die Mitarbeiter nicht genug sensibilisieren. „Ungeschulte Mitarbeiter sind oftmals die größte Schwachstelle im Unternehmen“, sagt IT-Sicherheitsforscher Krupp.

Josef Regner weiß das. „Wir schulen und sensibilisieren unsere Mitarbeiter regelmäßig und auf ganz verschiedenen Wegen“, sagt der Notfallmanager und Datenschutzbeauftragte der VR-Bank Mittelfranken West. Das hat die Bank und ihre Kunden schon so manches Mal vor Cyberbetrug gerettet, wie im eingangs beschriebenen Fall des Anrufers, der sich als Geschäftsführerin einer GmbH ausgab. „Mit gesundem Menschenverstand kann man viel verhindern. Deswegen trainieren wir unsere Mitarbeiter darauf, vorsichtig zu sein.“ Als Beispiel nennt Regner eine Bewerbungs-Mail mit einer Excel-Datei als Anhang, die in einer Geschäftsstelle eingeht. „Bewerbungen gehen an die Personalabteilung und nicht an irgendeine allgemeine Adresse, da muss ich sofort misstrauisch werden.“

Die VR-Bank Mittelfranken West betreibt einen hohen Aufwand, um ihre Mitarbeiter regelmäßig zu schulen und zu sensibilisieren. Unter anderem informieren die IT-Mitarbeiter regelmäßig im Intranet-Portal der Bank und per Newsletter über aktuelle Sicherheitsthemen. Durch die Corona-Pandemie haben sich auch die Schulungsthemen verändert. „Vor Corona hatten 82 Mitarbeiter die Möglichkeit, mobil zu arbeiten, jetzt sind es schon über 300“, gibt Regner ein Beispiel. „Selbst für unsere Mitarbeiterinnen und Mitarbeiter aus dem Kundendialogcenter haben wir vollwertige mobile Arbeitsplätze eingerichtet, sodass sie von zu Hause aus arbeiten können.“ Die Bank betreibt ein eigenes virtuelles privates Netzwerk (VPN), damit die Mitarbeiter daheim sicher arbeiten können. Bei einem VPN verbindet sich der Rechner über einen virtuellen Datentunnel mit seinem Netzwerk. So wird der Rechner abgeschirmt und die Kommunikation vor fremdem Zugriff geschützt.

Zusätzliche Sicherheit geben sogenannte „Awareness-Schulungen“: Informationsschutz im Homeoffice oder zehn Tipps für sicheres mobiles Arbeiten im Rahmen der Datenschutzunterweisung. Die Mitarbeiterinnen und Mitarbeiter aus dem Kundendialogcenter wurden extra sensibilisiert, denn genauso wie die Kunden nutzen auch die Cyberkriminellen die neuen Kanäle. „Das Bewusstsein für Cybersicherheit muss laufend präsent sein und über das ganze Jahr verteilt geschult werden, damit die Mitarbeiter abgeholt werden und auf dem neuesten Stand sind“, sagt Regner.

Nur die gesetzlichen und aufsichtlichen Anforderungen (siehe Kasten) zu erfüllen, sei zu wenig, findet der Notfallmanager. „Wir beobachten permanent die Bedrohungslage, um schnell reagieren zu können.“ In den Räumen des IT-Managements hängt ein großer Monitor an der Wand, der neben allgemeinen IT-Sicherheitsinformationen laufend den Status der IT-Systeme in den Signalfarben Grün, Orange und Rot einblendet. „So sehen wir zum Beispiel sofort, wenn in einer Geschäftsstelle ein Router ausfällt, und könnten bei Gefahr im Verzug sofort eingreifen“, erklärt Regner. Telefonnummern, die bei Betrugsversuchen verwendet wurden, werden in der Telefonanlage mit dem Hinweis „Achtung Betrug!“ versehen, damit die Mitarbeiter bei einem erneuten Anruf sofort gewarnt sind.

Welche regulatorischen Anforderungen stellen Gesetzgeber und Aufsicht an die Informationssicherheit von Banken? „Fangen wir mal mit der Aufzählung an“, sagt Josef Regner von der VR-Bank Mittelfranken West. Neben allgemeinen Vorgaben wie der EU-Datenschutzgrundverordnung (DSGVO), dem IT-Sicherheitsgesetz, den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD), dem Telemediengesetz (TMG) oder dem Telekommunikationsgesetz (TKG), die für alle Unternehmen gelten, verlangt §25a Kreditwesengesetz (KWG) von den Banken eine ordnungsgemäße Geschäftsorganisation mit einem angemessenen und wirksamen Risikomanagement.

Diese Vorgaben werden in den „Mindestanforderungen an das Risikomanagement“ (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) präzisiert, insbesondere im Allgemeinen Teil (AT) 7, der die Bereiche Personal, technisch-organisatorische Ausstattung und Notfallkonzept umfasst. Darauf bauen wiederum die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) auf, die unter anderem die Mindestinhalte einer IT-Strategie festlegen. Die BaFin wird im zweiten Quartal 2021 Neufassungen der MaRisk und der BAIT veröffentlichen und die Regelwerke unter anderem um Anforderungen an die operative IT-Sicherheit und das IT-Notfallmanagement ergänzen. Zu den BAIT gehört auch die „Zuordnung der gängigen Standards, an denen sich das Institut orientiert“. In ihrer IT-Strategie beruft sich die VR-Bank Mittelfranken West auf den für Genossenschaftsbanken entwickelten „Standard für Ordnungsmäßigkeit der IT-Verfahren“ (SOIT). Daneben orientiert sich die Bank an allgemeingültigen Vorgaben wie der internationalen Norm ISO 27001 für Informationssicherheit in Unternehmen oder den IT-Standards des BSI. „So schließt sich der Kreis und wir sind wieder bei den Anforderungen, die für alle gelten“, sagt Regner.

Den Trick, Telefonnummern und Kontonummern, die schon einmal mit einem Betrugsversuch in Verbindung gebracht wurden, mit einem internen Warnhinweis zu versehen, kennt auch Josef Neuberger. „Einmal erbeutete Informationen werden von den Betrügern weitergegeben. Das betrifft vor allem Unternehmen mit Auslandsgeschäft, weil Betrüger Auslandsüberweisungen bevorzugen. Deshalb werden bestimmte Konten häufiger angegriffen“, berichtet der Informationssicherheitsbeauftragte der VR-Bank Rottal-Inn.

Über mangelnde Arbeit kann sich Neuberger nicht beklagen. „Die Cyberattacken und Betrugsversuche nehmen laufend zu“, berichtet Neuberger. „Die zunehmende Digitalisierung bringt auch bei uns zunehmende Anforderungen an die Informationssicherheit mit sich, nochmal beschleunigt durch Corona.“ Ähnlich wie die VR-Bank Mittelfranken West hat auch die VR-Bank Rottal-Inn ihre Führungskräfte mit sogenannten Convertibles ausgestattet. Die Geräte sind eine Kombination aus Laptop und Tablet, die sich sowohl über die Tastatur als auch über den Bildschirm bedienen lassen.

So sinnvoll diese Ausstattung für die Mitarbeiter ist, so wichtig ist es, die Sicherheit der Geräte nicht zu vernachlässigen. Auch die VR-Bank Rottal-Inn arbeitet mit einem eigenen VPN-Netzwerk, mit dem sich die Mitarbeiter bei Außenterminen oder von zu Hause aus geschützt in das Netzwerk der Bank einwählen können. Manche Einschränkungen lassen sich dabei jedoch nicht vermeiden. „Die Mitarbeiter können zum Beispiel von unterwegs oder von zu Hause nichts ausdrucken, weil hier Anforderungen des Datenschutzes und der Vertraulichkeit entgegenstehen“, sagt Neuberger.

Um die Vorgaben der Informationssicherheit umfassend zu erfüllen, gibt es bei der VR-Bank Rottal-Inn ein Informationssicherheits-Managementsystem (ISMS). Dem ISMS-Team gehören neben Neuberger als Informationssicherheitsbeauftragten auch die IT- und Datenschutz-Experten des Hauses an. „Das ist gesetzlich zwar nicht vorgeschrieben, aber es ist sehr sinnvoll, das technische Know-how zu bündeln. So können wir auch tiefere technische Probleme gemeinsam besprechen und lösen“, sagt Neuberger. Neben den von der Fiducia & GAD betreuten Systemen betreibt die Bank auch eigene Server, deren Schutz in der eigenen Verantwortung liegt. „Wir registrieren immer wieder Angriffe auf unsere DSL-Router, die wir deshalb entsprechend gut geschützt haben.“

Das Wichtigste sei jedoch, die Mitarbeiter und die Kunden zu informieren und zu sensibilisieren. Deshalb werten Neuberger und seine Mitarbeiter die Warnmeldungen aus dem Sicherheitsportal der Fiducia & GAD tagesaktuell aus und geben sie bei Bedarf an die Mitarbeiter weiter. Diese nehmen außerdem über das Portal VR-Bildung regelmäßig an sogenannten „Web Based Trainings“ zu aktuellen Themen rund um die Cybersicherheit teil. Ein Schwerpunkt der Cyberabwehr ist das Kundenservicecenter der Bank. „Telefonische Überweisungsaufträge sind bei uns immer noch sehr häufig, das wissen auch die Betrüger“, berichtet der Informationssicherheitsbeauftragte.

Deshalb hat die VR-Bank Rottal-Inn beim telefonischen Banking die Sicherheitsrichtlinien verschärft und die Betragsobergrenzen für telefonische Überweisungsaufträge abgesenkt. Bevor der Auftrag ausgeführt wird, muss der Kunde drei individuelle Sicherheitsfragen beantworten. „Denn die Betrüger sind in der Regel sehr gut informiert“, weiß Neuberger. Regelmäßig komme es vor, dass sowohl Mitarbeiter wie Kunden per E-Mail oder Telefon von Cyberkriminellen kontaktiert werden, um vertrauliche Daten abzufischen, die sie später verwenden können.

Die hohe Kunst bei der Cybersicherheit sei, die verschiedenen Interessen auszugleichen und eine ausgewogene Balance zwischen einem hohen Schutzniveau und einem vertretbaren Aufwand zu finden, meint Neuberger. Cybersicherheit koste Geld. Gleichzeitig sollen die Kunden und Mitarbeiter möglichst gut geschützt, aber nicht durch zu hohe Sicherheitsanforderungen überfordert werden. Und schließlich müsse noch die umfangreiche Regulatorik beachtet werden. „In diesem Spannungsfeld zu bestehen, ist nicht ganz einfach. Dienst nach Vorschrift ist sicher zu wenig, aber extreme Sicherheitsvorschriften führen irgendwann dazu, dass sie aus Bequemlichkeit umgangen werden“, sagt Neuberger.

Die VR-Bank Rottal-Inn scheint diesen Spagat zu meistern. „Informationssicherheit ist weiterhin einer der Prüfungsschwerpunkte der Bankenaufsicht. Vor einiger Zeit hatten wir dazu eine Sonderprüfung, die jede Bank mal treffen kann. Drei Mitarbeiter der Bundesbank waren drei Wochen lang bei uns im Haus und haben bei der Prüfung der Informationssicherheit keinen Stein auf dem anderen gelassen. Da waren wir dann schon froh, dass wir so gut aufgestellt sind“, sagt Neuberger. Um auf Nummer sicher zu gehen, hat die VR-Bank Rottal-Inn bei der Allianz eine Versicherung gegen Cyberrisiken abgeschlossen. „Aber die musste bisher nicht einspringen. Gott sei Dank“, sagt der Informationssicherheitsbeauftragte.

• Die Webseite der VR-Bank Mittelfranken West
• Die Webseite der VR-Bank Rottal-Inn
• Informationen zum IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik
• Die Webseite des CISPA Helmholtz-Zentrums für Informationssicherheit