Der Russland-Ukraine-Konflikt ist keine rein militärische Auseinandersetzung, sondern markiert auch den Beginn einer neuen Generation von Cyberattacken. Der Cyberkrieg betrifft auch staatliche Organisationen und Finanzinstitute außerhalb der Ukraine, die sich kurzfristig gegen etwaige Angriffe rüsten müssen.
Die neue Generation der Cyberangriffe betrifft nicht nur ukrainische Organisationen und Unternehmen, sondern alle Personen, Unternehmen, Organisationen und Staaten, die sich durch Waffenlieferungen, Sanktionen oder öffentliche Stellungnahmen auf die Seite der Ukrainer stellen.
(Bild: Vitalii - stock.adobe.com)
Am 24. Februar hat Russland Krieg mit der Ukraine begonnen. Zumindest den sichtbaren. Doch es gibt auch einen Krieg im Verborgenen, einen Cyberkrieg. Russland nutzt gezielte Cyberangriffe, um empfindliche Stellen der Ukraine zu schwächen und so militärische Operationen zu unterstützen oder die Informationsverbreitung der Ukrainer zu hemmen. So haben russische Hacker unter anderem den Satellitenprovider Viasat angegriffen, über den die ukrainische Polizei und Armee kommunizieren.
Neue Generation der Cyberangriffe
Fakt ist: Cyberattacken haben eine neue Eskalationsstufe erreicht. Es sind nicht mehr (nur) einzelne Hacker(gruppen), die sich damit Geld, Macht oder Ansehen verschaffen wollen. Die neue Generation der Cyberangriffe betrifft nicht nur ukrainische Organisationen und Unternehmen, sondern alle Personen, Unternehmen, Organisationen und Staaten, die sich durch Waffenlieferungen, Sanktionen oder öffentliche Stellungnahmen auf die Seite der Ukrainer stellen. Besonders gefährdet sind vermutlich zunächst solche Ziele, die Teil der kritischen Infrastruktur sind oder über besonders sensible Daten verfügen. Unternehmen wie Finanzinstitute sind daher gut beraten, sämtliche zur Verfügung stehenden Ressourcen zu bündeln, um ihre Cyber Resilienz — also die Robustheit gegenüber Cyberattacken — zu stärken.
Konkrete Handlungsempfehlungen für Finanzinstitute
Nachfolgend erläutere ich die vier wichtigsten Ansatzpunkte und konkrete Handlungsempfehlungen, wie Banken und Versicherer sich kurzfristig noch besser auf etwaige Cyberangriffe vorbereiten können:
1. Planung ist wichtig, Übung ist überlebenswichtig
Es ist wichtig und richtig, Notfallpläne (Runbooks) in der Schublade liegen zu haben. Noch wichtiger ist es jedoch, diese Pläne regelmäßig auf Relevanz und Vollständigkeit zu überprüfen und vor allem mindestens einmal pro Jahr praktisch zu testen. Unternehmen sollten jetzt gründlich evaluieren, ob sie alle relevanten Angriffsszenarien berücksichtigt haben und diese aktuell sind. Für möglichst jedes Bedrohungsszenario sollten sie über ein Runbook mit den wichtigsten Rahmenbedingungen, Verantwortlichkeiten, Zeiten und Abläufen verfügen. Dabei können sie sich ggf. mit Verbündeten austauschen. Darüber hinaus sollten Unternehmen simulierte „Angriffe“ (z.B. mittels Red Team / Blue Team oder TIBER) durchführen, wenn die letzten länger als ein halbes Jahr zurückliegen. Denn nur, wenn alle Beteiligten genau wissen, was sie im Ernstfall wann und wie zu tun haben, greifen alle Maßnahmen Hand in Hand und erzielen so ihre maximale Wirksamkeit, auch in Zusammenarbeit mit staatlichen Behörden bzw. polizeilichen Dienststellen.
2. Internationale Standards bieten sinnvolle Orientierung
Es gibt zahlreiche Normen, Frameworks oder Richtlinien, die als internationaler Standard betrachtet werden und als Orientierung dienen können. Dazu gehören zum Beispiel das Cybersecurity Framework des National Institute of Standards and Technology (NIST), das Unternehmen für den Aufbau ihrer Cyber Resilience fünf Phasen — Identify, Protect, Detect, Respond und Recover — empfiehlt ebenso wie das MITRE ATT&CK Framework mit seinen bekannten Angriffsszenarios und feindlichen Taktiken. Die wichtigsten Standards sind im Schaubild dargestellt.
3. Potenzial der IT-Sicherheit ausschöpfen
Die vergangenen Monate haben gezeigt: Viele Finanzunternehmen schöpfen das Potenzial der IT-Sicherheit noch nicht (vollständig) aus. Unsere Erfahrungen führen deshalb zu zahlreichen Handlungsempfehlungen:
Maximieren Sie die Sicherheit der Zugänge zu den wichtigsten Systemen, indem Sie die Mehrfaktor-Authentifizierung aktivieren, ungenutzte oder abgelaufene Konten entfernen, VPN zur Anmeldung nutzen, nur Firmengeräte (PC/Notebook) in die Firmennetzwerke zulassen sowie ggf. Hochrisikosysteme isolieren.
Nutzen Sie eine Anti-Malware-Software, deren Lizenzen noch aktuell sind und die sie regelmäßig updaten.
Führen Sie Schwachstellen-Scans für Systeme mit Internetzugang durch und beheben Sie möglichst alle, mindestens jedoch größere Probleme. Stellen Sie zudem die Aktualität Ihrer Software inkl. Patchständen sicher.
Richten Sie Sicherungsprozesse für kritische Systeme ein und erstellen Sie regelmäßig Offline-Kopien von wichtigen Geschäftsdaten.
Suchen Sie gezielt nach spezifischen Kompromissindikatoren (IOCs) auf der Grundlage von Taktiken, Techniken und Verfahren (TTPs), die mit am aktuellen Konflikt beteiligten kriminellen Gruppen in Verbindung stehen.
4. Cyber Security ist mehr als IT
Die Bedeutung von IT-Sicherheit ist unbestritten und inzwischen auch bei vielen Finanzinstituten verankert. Allerdings müssen Unternehmen Cyber Security über die IT-Sicherheit hinausdenken, um eine nachhaltige Cyber Resilience aufzubauen. Die beiden wichtigsten Ansatzpunkte sind:
Sensibilisieren Sie Ihre Mitarbeitenden: Mitarbeitende haben einen nicht zu unterschätzenden Einfluss auf die Cyber Resilience eines Unternehmens. Je besser sie über relevante Themen informiert sind und je schneller sie auf etwaige Bedrohungen reagieren, desto eher können persönliche Hackerangriffe abgewehrt oder zumindest ihre Auswirkungen eingedämmt werden. Daher sollten Unternehmen in speziellen Awareness Trainings ihre Belegschaft über das Risiko von Phishing und Fake-Websites rund um den Konflikt in Kenntnis setzen.
Identifizieren Sie Abhängigkeiten im Netzwerk: Wir erleben aktuell am Beispiel der Öl- und Gaslieferungen, wie hart uns eine (zu hohe) Abhängigkeit von einzelnen Geschäftspartnern treffen kann. Unternehmen sollten daher überprüfen, ob und wo sie auf Lieferanten und andere Geschäftspartner aus der Ukraine, Russland oder angrenzenden Ländern angewiesen sind. Denn: Sie benötigen nicht nur einen Notfallplan für den Fall, dass sie von der Lieferkette inkl. IT-Integration abgeschnitten werden. Sie sollten auch den Netzverkehr mit diesen Geschäftspartnern stärker überwachen, die Alarmbereitschaft erhöhen sowie Reaktions- und Ausfallsicherheitspläne anfertigen.
Sicherheit als oberste Priorität
Das sind viele Maßnahmen und Ansatzpunkte. Je nachdem, wo und in welchem Umfang Unternehmen noch Optimierungsbedarf haben, sollten sie darüber nachdenken, vorübergehend Unterstützung von externen Experten einzuholen, um trotz laufendem Betrieb in kurzer Zeit möglichst viele Sicherheitslücken zu schließen. Denn klar ist: Niemand kann vorhersagen, wie sich die Situation entwickeln wird sowie ob und wann ein Unternehmen ins Visier krimineller Hacker gerät. Deshalb ist Zeit derzeit nicht Geld, sondern erhöhter Schutz – gerade bei für Deutschland kritischen Firmen wie Finanzinstituten.
Wer dabei den etwaigen Kostenaufwand solcher Maßnahmen scheut, sollte sich eher fragen: Was würde es kosten, wenn Ihr Unternehmen einige Wochen handlungsunfähig wäre? Oder wenn sensible Unternehmensdaten oder Daten Ihrer Kunden in kriminelle Hände gelangten? Oder wenn das Vertrauen in Ihre Marke nachhaltig geschädigt würde und Sie dadurch Kunden verlören? Das sind keine unrealistischen Szenarien, sondern reale Folgen von Cyberangriffen. Meine Empfehlung lautet daher: Machen Sie die Sicherheit zu Ihrer obersten Unternehmenspriorität — gerade im Finanzsektor — und bündeln Sie alle verfügbaren Kräfte, um den Schutz Ihrer Organisation zu erhöhen. Bereiten Sie sich bestmöglich auf den Angriff des unsichtbaren Feindes vor.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2b/11/2b1111015f4de04522f66f4f91bddb9f/0126260608v2.jpeg "Mit ihrem Belohnungssystem des DDoSia-Projekts motivieren die Akteure hinter NoName andere, Überlastungsangriffe zu starten und so Punkte zu sammeln, die sie später gegen Kryptowährungen eintauschen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/45/c7/45c7019603343cb24ccf2e0f27351ca6/0125079443v1.jpeg "Bei Banken und Versicherungen steigt die Anzahl der Dienstleister entlang der gesamten Wertschöpfungskette kontinuierlich an. Dadurch entstehen hochkomplexe Strukturen mit ganz eigenen Risiken. (Bild: © Gorodenkoff - stock.adobe.com)")