• Cyberkriminelle haben keinen Zutritt. Die Bernerland Bank in Sumiswald hat nach einem Reality-Check ihre Sicherheitslücken behoben. · Bild: Chantal Bigler

18.03.2021
Emmental

Bernerland Bank legt Hackern das Handwerk

Cyberkriminelle sind im Vormarsch. Im Visier haben sie vor allem KMUs. Dessen sind sich auch die Verantwortlichen der Bernerland Bank AG bewusst. Deshalb haben sie eines ihrer IT-Systeme einem Reality-Check unterzogen. «Damit sind wir Cyberkriminellen eine Nasenlänge voraus», freuen sich Bettina Wüest, Mitglied der Geschäftsleitung, und Sina Johnsen, Kommunikationsverantwortliche der Bank in Sumiswald.

Sumiswald · Das Video hat es in sich und als Kunde der Bernerland Bank AG dürfte man beim Betrachten zweimal leer schlucken. Da berichten Bettina Wüest, Mitglied der Geschäftsleitung, und die Kommunikationsverantwortliche der Regionalbank, Sina Johnsen, freimütig von hochkritischen Sicherheitslücken in ihrer Bank. Der Kunde fragt sich am Ende des Videos besorgt, ob seine Daten und sein Geld bei diesem Bankinstitut sicher sind? Die Angst sei unbegründet, versichern Wüest und Johnsen glaubwürdig, aber alles schön der Reihe nach …
«Machen wir uns nichts vor, wir leben in einer digitalisierten Welt, in der Cyberkriminalität allgegenwärtig ist und Cyberkriminelle uns Privatpersonen und KMUs oft einen Schritt voraus sind», gibt Sina Johnsen zu verstehen. Die 35-jährige Niederönzerin macht klar, dass diese Tatsache die Bernerland Bank dazu bewogen hat, eines ihrer IT-Systeme auf Sicherheitslücken überprüfen zu lassen, nachdem sie von der Firma Bug Bounty Switzerland AG in Luzern kontaktiert und angefragt wurde, ob sie ihr IT-System einem Reality-Check unterziehen möchte.

Hochkritische Sicherheitslücken
Dabei decken sogenannt ethische Hacker kritische Sicherheitslücken in den IT-Systemen von KMUs auf, bevor dies Cyberkriminelle tun. Zudem wird mit diesem Test auch eine realistische Risikoeinschätzung des IT-Systems vorgenommen. Was dies im Fall der Bernerland Bank bedeutet, erklärt Bettina Wüest in besagtem Video, das von Bug Bounty zu Werbezwecken angefertigt wurde: «Bei uns konnten mit dem Bug-Bounty-Programm innerhalb von wenigen Stunden hochkritische Sicherheitslücken gefunden werden. Dank den detaillierten Reproduktionsanleitungen konnten wir diese sehr schnell schliessen.»
Damit kommt Sina Johnsen auf die eingangs gestellte Frage zurück. «Wir sind sehr erleichtert und froh, dass wir uns diesem Reality-Check unterzogen haben, ansonsten hätten wir bei einem kommenden Cyberangriff ein ernsthaftes Problem bekommen können.» Bettina Wüest empfiehlt auch anderen Banken und KMUs, sich einem solchen Reality-Check zu unterziehen.

BKW und Bund lassen sich testen
Die Firma Bug Bounty ist diesbezüglich kein unbeschriebenes Blatt in der Schweiz, hat sich doch kürzlich bereits die BKW diesem Test unterzogen und zeigt sich vom Ergebnis ebenfalls erfreut, wie Manuel Häfliger, Head of Cyber Security der BKW bestätigt: «Unsere Systeme und Anlagen gehören zu den kritischen Infrastrukturen der Schweiz. Für deren Schutz sind klassische Security-Tests nur noch begrenzt effektiv. Sehr effizient und innovativ ist hingegen die Zusammenarbeit mit ethischen Hackern, welche in Zusammenarbeit mit uns die System- und Applikationssicherheit massiv erhöhen.» Aber auch der Bund ist auf die Luzerner Firma aufmerksam geworden. Das Nationale Zentrum für Cybersicherheit plant, im April die ethischen Hacker der Firma Bug Bounty bei der Jagd nach Schwachstellen im IT-System der Bundesverwaltung einzusetzen. Dabei sollen die Hacker eine intern betriebene Anwendung teilweise angreifen.
Zurück zur Bernerland Bank und Sina Johnsen, die noch einmal darauf zu sprechen kommt, weshalb man dieses Experiment gewagt hat. «Wir sind ein modernes Finanzinstitut, das Neuerungen und Innovationen gegenüber sehr aufgeschlossen ist, weil wir unser Unternehmen laufend weiterentwickeln wollen, damit wir konkurrenzfähig bleiben und uns im hartumkämpften Markt behaupten können.» Nicht zuletzt aus diesen Gründen habe man beispielsweise vor einem Jahr, als die Corona-Pandemie die Schweiz erfasste, rasch gehandelt und bei allen Mitarbeitenden, bei denen es Sinn machte, Home-Office eingeführt.
Mittlerweile sei das Ende der Pandemie in Sichtweite, erwähnt Johnsen, und man mache sich Gedanken über die künftige Anwendung von Home-Office. «Die Möglichkeit, sein Arbeitspensum von zu Hause aus zu bewältigen, wird in Zukunft ein Bestandteil unserer Arbeitsweise bleiben, vielleicht nicht gerade in diesem Umfang wie heute, aber wir passen uns in diesem Bereich zweifellos den Entwicklungen auf dem Arbeitsmarkt an.»
So erschreckend der Einstieg in diese Geschichte war, so beruhigend und versöhnlich endet sie. Die Bernerland Bank hat ein Experiment gewagt, das nach einem ersten Schockerlebnis erfolgreich absolviert wurde. Zum Wohl aller Mitarbeitenden und der Kunden, die sich darauf verlassen können, dass die Bank auch künftig mit Argusaugen über ihre Daten und Gelder wacht.

Von Walter Ryser