Die Bank of England hat Ergebnisse eines im November 2013 durchgeführten Simulations-Cyberangriffs für britische Finanzinstitute veröffentlicht. Die Übung, bekannt als Waking Shark II, zeigte ganz hervorragend branchenübergreifende Kommunikation und Koordination auf.

Allerdings kam dabei auch heraus, dass der britische Finanzsektor anfällig ist für Angriffe. Ein Vorschlag, welcher bei den Analysen der Übung herauskam, war, dass eine einzige Instanz für die Leitung der Kommunikation zwischen Instituten des Finanzsektors verantwortlich sein sollte. Unternehmen müssten Attacken auch an Strafverfolgungsbehörden und Aufsichtsbehörden melden.

An der Übung nahmen etwa 220 Personen teil, einschließlich 14 Banken, sechs Infrastrukturanbieter des Finanzmarktes sowie die Bank of England, die Finanzdienstleitungsaufsicht, das Finanzministerium und andere Regierungsbehörden. Sie sollte den gesamten Banken-Sektor einem massiven Stress-Test unterziehen und war an aktuelle Cybervorfälle angelehnt.

Ziel der Übung war es, den britischen Finanzsektor drei Tage lang anzugreifen mit dem Ziel, beträchtliche Unterbrechungen innerhalb des Großhandelsmarktes und der Unterstützungsinfrastruktur anzurichten. Die drei Tage waren in Wirklichkeit lediglich vier Stunden, die in Phasen unterteilt waren. Jede Phase spielte mit verschiedenen technischen und unternehmerischen Auswirkungen und wie die Unternehmen sich dabei verhalten würden. Ziel war es, die Kommunikationsabläufe zu testen, nicht die eigentlichen Abwehrmechanismen der einzelnen Banken.

Angriffsszenarien beinhalteten Denial of Service- und Malware-Attacken, die die Unternehmenswebseiten und andere aufs das Internet ausgerichtete Systeme lahmlegten, sowie Attacken, die Firmennetzwerke unterbrachen. Auch branchenspezifische Abläufe wurden damit vermischt.

Im Großen und Ganzen zeigten die Ergebnisse eine Verbesserung gegenüber der Übung im Jahr 2011. Und zumindest auf dem Papier sieht die Übung durchaus anspruchsvoll aus. Dennoch wurde sie von einigen Banken als nicht anspruchsvoll genug bezeichnet. Manche teilnehmenden Banken hatten sich beispielsweise eine größere Gewichtung der Bereiche Cyber-Spionage und Malware vorgestellt. Es wurde für künftige Übungen auch vorgeschlagen, dass Telefonunternehmen wie British Telecom an die Übung mit einbezogen werden.

Artikel von zdnet.com, 05.02.2014: Wargames test UK banks‘ resolve against massive cyber-attack
Artikel von theregister.co.uk, 06.02.2014: We want it HARDER: City bankers survive simulated cyber-war