Die Studie deckt auf, in welchem Umfang Finanzinstitute in den vergangenen Monaten das Ziel von Cyberangriffen waren, welche Methoden Hacker bisher angewendet haben und welche für die kommenden Monate erwartet werden.
Lediglich rund sieben Prozent der Studienbefragten gaben an, in den letzten zwölf Monaten keinem Cyberangriff zum Opfer gefallen zu sein. Mit 76 Prozent verzeichnete die Mehrheit der Befragten zwischen einer und 20 erfolgreicher Attacken. Fast jedes zehnte Finanzinstitut hatte mit 21 bis 50 Attacken zu kämpfen, rund vier Prozent sogar mit über 50. Besonders betroffen sind Großunternehmen mit mehr als zehn Milliarden Euro Umsatz, von denen fast jedes zweite (46 Prozent) schon Opfer von mindestens zehn Angriffen war.
Hacker können allerdings mit einfachen, altmodischen Taktiken kaum noch Erfolge erzielen, da ihre Sie nutzen daher häufiger komplexe Szenarien, wie etwa Angriffe über die Geschäftslogik (Business Process Compromise). Dabei suchen Hacker gezielt nach Schlupflöchern in den Unternehmensprozessen im Sinne von Logikfehlern, die sie für ihre Zwecke ausnutzen können. 51 Prozent der Befragten berichten von Credentials-Diebstahl, insbesondere durch Social-Engineering-Angriffe wie Phishing. Auf Platz drei der häufigsten Angriffsszenarien liegt Ransomware mit knapp 39 Prozent, gefolgt von Insider Threats mit 38 Prozent und Attacken auf Datenbanken (beispielsweise über Brute-Force-Angriffe) mit 37 Prozent.
Knapp 54 Prozent der Befragten gaben an, dass Business Process Compromise in den letzten beiden Jahren gestiegen bis stark gestiegen sei. „Ein Grund für diesen Anstieg ist sicher, dass die Entwicklung von Anwendungen meist auf der Basis moderner Frameworks erfolgt, die sicherer sind und weniger technische Schwachstellen beinhalten – abgesehen natürlich von Ausnahmen, wie etwa der Log4Shell-Sicherheitslücke. Im Gegenzug werden Unternehmensprozesse immer komplexer, die Digitalisierung nimmt zu, was zu Sicherheitslücken führt, die für Hacker besonders lukrativ sind“, sagt Phil Leatham, Senior Account Executive von YesWeHack Deutschland. Jeder zweite Befragte (51 Prozent) geht davon aus, dass Ransomware in den kommenden zwölf Monaten noch zunehmen bis stark zunehmen wird. Eine ähnliche Entwicklung wird für Angriffe auf Webanwendungen (48 Prozent) sowie auf Datenbanken (46 Prozent) vorhergesagt.
Die Komplexität der Angriffe nimmt zu, aber Banken, Versicherungen und Finanzdienstleister sind dafür gerüstet: Nur rund ein Prozent der Institute erfüllen die neuesten „Bankaufsichtlichen Anforderungen an die IT“ – kurz BAIT – noch nicht. Diese schreiben regelmäßige Schwachstellen-Scans, Penetrationstests bzw. Simulation von Angriffen vor. 71 Prozent prüfen ihre IT-Systeme und Anwendungen mithilfe einmaliger Penetrationstests unabhängiger Dienstleister, 60 Prozent mithilfe einmaliger Tests durch unternehmenseigene Prüfer. 39 Prozent setzen auf eine regelmäßige Überprüfung im Rahmen von Bug-Bounty-Programmen externer Dienstleister. In vielen Unternehmen werden mehrere Prüfszenarien umgesetzt.
Für die Studie wurden im Februar und März 2022 208 Expert*innen aus Banken, Versicherungen oder Finanzdienstleistern aus Deutschland, Österreich und der Schweiz befragt.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.