„Wir wurden nicht gehackt. Niemand konnte in unsere Systeme eindringen und Daten abziehen“, positioniert sich Norbert Pieper, Pressesprecher der BaFin. So laufe die Webseite über eine andere Plattform. Dennoch bedeutet die Spam-Attacke ein Risiko: für die Verbraucher, die jene vermeintliche Bestätigungsmail erhalten haben. Darin seien sie aufgefordert worden einen Link aufzurufen, um zu bestätigen, dass sie bei der BaFin eine Beschwerde eingereicht hätten. Wer den Link aber tatsächlich aufrief, hätte sich Schadsoftware auf das IT-System laden können.

Anzeige

“Die BaFin rät dringend dazu, solche Links nicht anzuklicken. Die BaFin verschickt keine solchen E-Mails und fordert nie dazu auf, Links aufzurufen“, berichtet die Behörde auf ihrer Webseite. Die Aufsichtsbehörde geht davon aus, dass sie Ziel einer Bot-Attacke geworden sei.

Die Sicherheits-Anforderungen hat die Behörde inzwischen verschärft. So enthalte das Kontaktformular mittlerweile ein Captcha, das dazu dienen soll, Bot-Attacken zu verhindern. Hierfür müssen die Antragsteller eine Buchstabenfolge auf der Webseite eintippen, um zu bestätigen, dass sie kein Computerprogramm sind. Anscheinend hat die BaFin bisher auf dieses Verfahren verzichtet.

Der Vorgang zeigt, dass auch Aufsichtsbehörden vor IT-Attacken nicht sicher sind. Eigentlich soll die BaFin auch überwachen, ob sich Versicherer und Finanzdienstleister ausreichend gegen Hacker-Angriffe schützen: die Behörde ist auch für die digitale Aufsicht der Assekuranzen zuständig. Grundlage ist das sogenannte Rundschreiben zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), das zuletzt im März 2019 überarbeitet wurde. Hier hat die BaFin zuletzt starke Mängel festgestellt. Keiner der 16 stichprobenartig untersuchten Versicherer konnte 2020 alle Aufsichtsvorgaben erfüllen, speziell im Risiko- und Sicherheitsmanagement wurden teils schwerwiegende Versäumnisse festgestellt.