Banken, Versicherer und IT-Dienstleister stehen verstärkt im Visier von Cyberkriminellen. Professionalisierte Ransomware-Gruppen und KI-gestützte Angriffe verursachen weltweit Schäden in Milliardenhöhe. Neue Sicherheitsarchitekturen wie SOAR und Cybersecurity Mesh helfen, Risiken frühzeitig zu erkennen und abzuwehren.
Banken und Finanzdienstleister stehen verstärkt im Visier von Cyberangriffen. Moderne Sicherheitsarchitekturen sollen die Resilienz stärken.
Die Angriffswellen auf Banken, Finanzdienstleister und Versicherungen nehmen weltweit ständig zu, genauso wie die Schäden, Ausfälle und Reputationsverluste. Zunehmend geraten auch IT-Dienstleister ins Fadenkreuz. Doch es gibt zahlreiche Technologien, um Attacken frühzeitig zu erkennen und automatisiert abzuwehren.
Banken und Versicherungen sind für böswillige Akteure aus mehreren Gründen ein lohnendes Ziel: Sie verwalten viel Geld, sitzen auf großen Datenschätzen, haben oft hunderttausende von Kunden und sind leicht erpressbar, weil ihr Business stark auf Vertrauen basiert. Bei einem erfolgreichen Angriff lässt sich also direkt Geld erbeuten, oder auch Geld erpressen oder mit den abgezogenen Daten Geld verdienen (durch Verkauf oder wiederum durch Erpressung).
Die Hackerszene hat sich in der jüngsten Vergangenheit enorm professionalisiert und bietet ihre Dienste auch als RaaS (Ransomware as a Service) an. Zu den Angriffsvektoren zählen bekannte Methoden wie Phishing, Ransomware und Identitätsdiebstahl, zunehmend kommt aber auch KI zum Einsatz.
Die Schäden, die Cyberangriffe weltweit verursachen, sollen laut Cybercrime Magazine in 2024 die schwindelerregende Höhe von 9.500 Milliarden US-Dollar erreicht haben. Das entspricht dem Doppelten des Bruttoinlandsprodukts von ganz Deutschland. Aktuell wächst die Schadenssumme jährlich um 15 Prozent, vor zehn Jahren waren es nur 3.000 Milliarden US-Dollar. Dass diese Summe geringer wird, ist nicht zu erwarten. Ende Juni 2025 hat ein russisches Gericht vier hochgefährliche Hacker schuldig gesprochen und in die Freiheit entlassen.
Und die Hacker machen auch vor prominenten Institutionen nicht halt. Im November 2023 wurde die amerikanische Finanzdienstleistungssparte der weltweit größten Bank, der Industrial and Commercial Bank of China (ICBC) erfolgreich angegriffen und legte die Handelssysteme in Peking und New York für US-Staatsanleihen lahm.
Die Bafin, die Bundesanstalt für Finanzdienstleistungsaufsicht, wurde im September 2023 mit einer DDos-Attacke auf die Webseite angegriffen. Diese Attacke konnte nach Stunden erfolgreich abgewehrt werden. Es entstanden keine Schäden.
Richtig groß war der Schaden beim erfolgreichen Eindringen beim IT-Dienstleister Majorel, der diverse Banken () und Versicherungen beim Konto-Umzug von Kunden unterstützt. Betroffen waren in der Folge unter anderem die Kunden der Deutschen Bank, der Ing DiBa, Comdirect und Postbank. Bei den mehreren 10.000 Kunden hat aller Wahrscheinlichkeit nach die Hackgruppierung Clop vollständige Namen und IBAN-Daten erbeutet und später im Darknet zum Verkauf angeboten. Weltweit waren mehr als 100 Institute betroffen. Zum Einsatz kam dabei die LockBit 3.0, eine Ransomware as a Service.
Die typischen Einfallstore sind nach wie vor Phishing-Attacken, das Ausnutzen von Zero-Day-Exploits und Sicherheitslücken in Anwendungssoftware. Hierbei kommt auch KI zum Einsatz, um entsprechende Schwachstellen zu finden und Code für deren Ausnutzung zu generieren.
Künstliche Intelligenz kann aber auch für die Abwehr und für präventive und analytische Maßnahmen eingesetzt werden, um Angriffen schon im Vorfeld auf die Spur zu kommen.
KI-gestützte Risikobewertungsplattformen nutzen Machine-Learning-Algorithmen, um umfangreiche Bestandsdaten zu analysieren, Muster zu erkennen und potenzielle Sicherheitsbedrohungen zu ermitteln. Eine weltweit tätige Bank arbeitet beispielsweise an der Implementierung einer ML-Plattform, die durch die Analyse großer Datensätze Schwachstellen vorhersagen und verdächtige Aktivitäten erkennen kann. Dieses Vorhersagetool reduziert Fehlalarme erheblich und verbesserte die Genauigkeit bei der Identifizierung von Bedrohungen. Diese Methodik nennt sich Predictive Threat Intelligence.
Über KI-Echtzeitanalysen, die historische Transaktionen mit aktuellen Transaktionen abgleichen, können Systeme verdächtige Aktivitäten wie plötzlich große Abhebungen von selten genutzten Konten erkennen und Maßnahmen ergreifen. Solche Systeme sind lernfähig, um die Genauigkeit zu erhöhen und Fehlalarme zu vermeiden.
Außerdem können KI-Tools den verschlüsselten Netzwerkverkehr überwachen, um ungewöhnliche Aktivitäten zu erkennen. Das kann beispielsweise ein Datenversand mit hohe Datenmengen zu einem unbekannten Server sein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Banken müssen Cybersecurity konsolidieren und orchestrieren
Banken und Finanzdienstleister setzen schon seit Jahren diverse Security-Software ein, um an verschiedenen Fronten für größtmögliche Sicherheit zu sorgen. In Zukunft wird es aber notwendig sein, nicht nur „viel“ einzusetzen, sondern darauf zu achten, diese zu integrieren. Das Stichwort hierzu lautet: Extended Detection and Response (XDR). Diese vereint zahlreiche Sicherheitsprodukte in einem zusammenhängenden System, um Cyberangriffe wesentlich zuverlässiger und schneller zu erkennen und darauf zu regieren.
Die Reaktionszeit kann darüber entscheiden, wie groß der Schaden überhaupt wird. Hilfreich sind dafür sogenannte SOAR-Plattformen (Security Orchestration, Automation and Response). Sie verkürzen die Reaktionszeiten und minimieren menschliche Fehler, die in Krisensituationen häufiger auftreten. Sie funktionieren wie eine Brandmeldeanlage, die sofort die Sprinkler einschaltet und gleichzeitig die Feuerwehr informiert.
Cybersecurity Mesh Architecture
Um Reaktionszeiten weiter zu verkürzen und das Gesamtsystem stabiler gegen Störungen zu machen, empfiehlt sich der Einsatz einer Cybersecurity-Mesh-Architektur (CSMA). Dieses Sicherheitskonzept dient dazu, hochgradig verteilte und dynamische IT-Umgebungen abzusichern. Im Gegensatz zu klassischen, perimeterbasierten Sicherheitsmodellen setzt CSMA auf eine dezentrale, flexible und skalierbare Architektur, bei der Sicherheitskontrollen näher an den zu schützenden Assets – wie Geräten, Anwendungen oder Nutzern – implementiert werden.
Die Design-Prinzipien dahinter sind: Dezentralisierung, Interoperabilität, Identitätszentrierung, Skalierung und Resilienz. Mit einer CSMA erfolgen Sicherheitskontrollen dezentral in verschiedenen Ebenen nah an den zu schützenden IT-Assets. So lassen sich auch IoT-Geräte und Remote-Arbeitsplätze effektiv schützen.
Hierzu werden einzelne Security-Tools und -Dienste zu einem kollaborativen Ökosystem verknüpft, das durch zentrale Policy- und Datenmanagement-Ebenen orchestriert wird. Die Identität von Nutzern und Geräten wird zum neuen Sicherheitsperimeter. Zugriffe werden granular und kontextabhängig gesteuert, was die Umsetzung von Zero-Trust-Prinzipien wie Least Privilege und kontinuierlicher Authentifizierung erleichtert. Außerdem werden durch die Verteilung der Sicherheitskontrollen Single Points of Failure vermieden, was die Ausfallsicherheit und Anpassungsfähigkeit an neue Bedrohungen erhöht.
Technisch besteht ein CSMA aus vernetzten Systemen wie Firewalls, Intrusion Detection und Prevention Systemen und Secure Access Gateways, die zentral orchestriert werden. Das zentrale Management der dezentralen Komponenten sorgt für die systemweite Durchsetzung einheitlicher Richtlinien. Letztlich kann man sich CSMA als Integrationsplattform bestehenden Sicherheitssysteme vorstellen.
Die Mesh-Architektur verbessert damit die Sichtbarkeit und Kontrolle über alle eventuell weit verteilten Assets, beschleunigt sowohl Erkennung als auch Reaktion von Angriffen. Sie erhöht die Widerstandsfähigkeit gegenüber modernen Angriffsvektoren und kann auch in komplexen modernen IT-Infrastrukturen mit hybriden Cloud-Anwendungen und Remote Work eingesetzt werden.
Zeit zu handeln
Die stetig steigenden Zahlen zu Angriffen auf Finanzdienstleister und Banken sowie die zunehmend komplexer werdenden IT-Landschaften im Finanzsektor zwingen Unternehmen dazu, ihr Sicherheitsarchitektur zu überdenken und zu modernisieren. Mit modernen Ansätzen wie SOAR und CSMA stehen passenden Konzepte zur Verfügung, die sich bereits bewährt haben. Unternehmen sollten nicht zögern, diese Technologien zu adaptieren, denn die Hacker sind weiter auf Beutezug.
Über den Autor: Thomas Gassenbauer ist Head of Banking & Insurance Central Europe sowie Managing Director Schweiz bei Cognizant. Er verfügt über mehr als 30 Jahre Erfahrung in IT- und Business-Dienstleistungen und war zuvor in leitenden Positionen bei IBM und Novartis tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/a4/03/a403b58818bfede9bc83c0e9318a1cbe/0120389761v3.jpeg "8 von 10 Unternehmen in Deutschland waren 2023 von Datendiebstahl, Spionage oder Sabotage betroffen und der Schaden dadurch wuchs gegenüber 2023 von 206 Mrd. Euro auf die Rekordsumme von 2657 Mrd. Euro. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/e2/a2e22a84a0eafc61709cfcff2f9ea63c/0125032264v2.jpeg "Trotz des Rückgangs von Ransomware-Angriffen und Erfolgen internationaler Strafverfolgungsbehörden, warnt das BKA vor einer anhaltenden Bedrohung im Cyberraum. (Bild: bykst - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/eb/56/eb56a3ebc5cd967fd25182c419b730d0/0120414927v2.jpeg "Auch wenn die Umsetzung von DORA erhebliche Aufwände verursacht: Finanzinstitute müssen die Vorschriften von DORA umsetzen und das kommt ihnen bei ihrer operativen Widerstandsfähigkeit sowie Sicherheit zugute. (Bild: Katynn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/49/8c492dbc32faeaec860a3d78ec24cd64/0118694753v2.jpeg "Die neu überarbeiteten Anforderungen der BaFin zur Nutzung von Cloud-Systemen zeigen, dass Cloud Compliance und Security weiterhin zentrale Themen für Finanzinstitute sind. (Bild: Negro Elkha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/79/9179ff076512797f895e4f69bb7c31f8/0118831225v6.jpeg "Hacker verschaffen sich nur durch Kreditkartennummern Zutritt zu Bezahl-Apps. Kein Pin, kein Passwort und auch keine weitere Indentifikation sind für diese Methode notwendig. (Bild: Nuthawut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/c7/45c7019603343cb24ccf2e0f27351ca6/0125079443v1.jpeg "Bei Banken und Versicherungen steigt die Anzahl der Dienstleister entlang der gesamten Wertschöpfungskette kontinuierlich an. Dadurch entstehen hochkomplexe Strukturen mit ganz eigenen Risiken. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/e4/58e4ec37256a808e104fecfc2005c59f/0127687373v2.jpeg "Eine Hybrid-Mesh-Architektur verbindet fragmentierte Sicherheitsinseln zu einem integrierten Schutznetz, das Angriffe erkennt und aktiv eindämmt. (Bild: © Melinda Nagy - stock.adobe.com)")