DFS verschärft Cybersicherheitsregeln für Finanzbranche

Die New Yorker Finanzaufsicht DFS hat umfassende neue Cybersicherheitsrichtlinien für Banken und Versicherungen erlassen. Angesichts einer drastischen Zunahme KI-gestützter Angriffe und mobiler Bedrohungen stehen über 3.900 beaufsichtigte Institute mit Vermögenswerten von mehr als 5,7 Billionen Euro vor neuen Herausforderungen. Die Behörde spricht von einer „hochgradig angespannten Bedrohungslage".

Warum die neuen Regeln jetzt kommen

Die Bedrohung durch Cyberkriminalität hat eine neue Dimension erreicht. Täglich werden rund 3,4 Milliarden betrügerische Nachrichten versendet, viele davon mit QR-Codes – sogenanntes „Quishing" – das um 150 Prozent zugnommen hat. Besonders alarmierend: Rund 86 Prozent aller Phishing-Kampagnen werden inzwischen von Künstlicher Intelligenz gesteuert. Die Täter generieren damit täuschend echte, personalisierte Nachrichten in nie dagewesenem Umfang.

Angesichts der rasanten Zunahme KI-gesteuerter Phishing-Angriffe benötigen Unternehmen heute eine proaktive Hacker-Abwehr. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen Cyberkriminalität und psychologische Manipulationstaktiken schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Der Visa-Biannual Threats Report für das Frühjahr 2026 zeigt das Ausmaß: Allein zwischen Juli und Dezember 2025 näherte sich das weltweite Betrugsvolumen der Milliardengrenze. Ransomware-Angriffe stiegen um 26 Prozent im Vergleich zum Vorjahr. Immerhin: Nur noch 23 Prozent der Opfer waren bereit, Lösegeld zu zahlen – ein historischer Tiefstand.

Mobile Bedrohung: Banken im Visier

Die Verlagerung zum Mobile Banking hat neue Angriffsflächen geschaffen. Analysten prognostizieren, dass Schäden durch Smartphone-Angriffe bis Ende 2026 auf 442 Milliarden Euro ansteigen könnten. Die Zahl der Banking-Trojaner explodierte regelrecht: Im ersten Quartal 2026 stieg sie um 196 Prozent auf 1,24 Millionen Fälle.

Ein aktueller Fall aus Deutschland zeigt die konkrete Gefahr: Am 22. Mai 2026 verlor ein 73-Jähriger im Landkreis Potsdam-Mittelmark einen hohen fünfstelligen Betrag. Ein angeblicher Finanzberater hatte per Telefon Fernzugriff auf sein Online-Banking erhalten. Ähnliche Vorfälle wurden aus Stade gemeldet, wo falsche Microsoft-Mitarbeiter mehrere Opfer um tausende Euro brachten.

Die DFS-Richtlinien im Detail

Die New Yorker Aufsicht fordert von den Finanzinstituten eine proaktive Sicherheitsstrategie. Im Zentrum stehen:

• Deaktivierung ungenutzter Netzwerkports
• Strenge Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme
• Verpflichtende Schulungsprogramme für Mitarbeiter – menschliches Versagen bleibt die größte Schwachstelle

Besonderes Augenmerk liegt auf der Überwachung von Drittanbietern. Erst Ende Mai bestätigte Trump Mobile, dass Kundendaten – darunter Namen, Adressen und Telefonnummern – durch eine Schwachstelle bei einem externen Dienstleister im offenen Internet landeten. Zwar wurden keine Finanzdaten kompromittiert, der Vorfall zeigt jedoch die Risiken vernetzter digitaler Ökosysteme.

Infrastruktur-Angriffe und internationale Erfolge

Parallel zu den Regulierungsbemühungen gehen Strafverfolgungsbehörden gegen die technische Infrastruktur der Angreifer vor. Am 22. Mai 2026 verhafteten kanadische und US-Behörden den 23-jährigen Jacob Butler in Ottawa. Er soll das „KimWolf"-Botnetz betrieben haben, das fast zwei Millionen Geräte infizierte und DDoS-Angriffe mit einer Kapazität von 30 Terabit pro Sekunde ermöglichte. Mehr als 25.000 Attacken sollen so durchgeführt worden sein, mit Schäden von über einer Million Euro pro Opfer.

Bereits am 7. April 2026 hatte die „Operation Masquerade" unter Führung von FBI und Justizministerium ein Botnetz der mit dem russischen GRU verbundenen Gruppe APT28 zerschlagen. Über 18.000 Router weltweit waren seit August 2025 kompromittiert worden, um Outlook-Zugangsdaten zu stehlen.

Software-Lücken: Hersteller unter Druck

Microsoft schloss kürzlich zwei Zero-Day-Sicherheitslücken in seiner Defender-Software (CVE-2026-41091 und CVE-2026-45498), die bereits aktiv ausgenutzt wurden. Auch Trend Micro warnte vor einer kritischen Schwachstelle (CVE-2026-34926) in seinen Apex-One-Servern. Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden angewiesen, die Patches bis Anfang Juni 2026 einzuspielen.

Die FCC hat zudem ein Importverbot für bestimmte ausländische Router-Marken verhängt, die einen dominanten Marktanteil halten – eine direkte Reaktion auf die zunehmende Gefährdung der Netzwerkinfrastruktur.

Das Ende der Passwörter?

Die Branche bewegt sich weg von traditionellen Authentifizierungsmethoden. Am 21. Mai 2026 kündigte Microsoft an, SMS-basierte Codes für Login und Account-Wiederherstellung schrittweise abzuschaffen. Grund sind die Risiken von SIM-Swapping und KI-optimiertem Phishing. Stattdessen setzt der Konzern auf Passkeys mit biometrischen Daten oder gerätespezifischen PINs.

Da herkömmliche Passwörter angesichts von Millionen gehackter Konten ein enormes Risiko darstellen, setzen Experten zunehmend auf moderne Alternativen. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie mit Passkeys bei Diensten wie Amazon oder WhatsApp maximale Sicherheit ohne Passwort-Stress erreichen. Kostenlosen PDF-Report zu Passkeys herunterladen

Auch im deutschen Bankensektor zeichnet sich ein Wandel ab: Die Sparkassen stellen bis Ende 2026 auf sicherere Push-TAN-Systeme um und beenden die Unterstützung älterer Authentifizierungs-Apps.

Google integrierte in seinen Android-Updates vom Mai 2026 neue Sicherheitsfunktionen. Dazu gehört eine Betrugserkennung, die Anrufe von mutmaßlichen Bankbetrügern automatisch beenden kann, sowie verbesserte Fernsperrfunktionen für Android 17.

Zehn Jahre DSGVO: Ein Meilenstein

Am 24. Mai 2026 jährt sich das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) zum zehnten Mal. Die EU-Kommission würdigt die Verordnung als globales Vorbild für Datenschutzgesetze, ergänzt durch den Digital Services Act (DSA), den Digital Markets Act (DMA) und den AI Act.

Die Wirkung zeigt sich auch in den USA: Nach Medienrecherchen und Senatsuntersuchungen hat die Zahl großer Datenhändler, die Löschseiten für Verbraucherdaten verstecken, deutlich abgenommen. Ein aktueller Senatsbericht beziffert die Verluste der Verbraucher durch Betrug und Identitätsdiebstahl im Zusammenhang mit Datenbroker-Leaks auf über 20 Milliarden Euro.

Ausblick: KI als Risiko und Chance

Die kommenden Monate versprechen keine Entspannung. Die Konvergenz von KI-Entwicklung und geopolitischer Instabilität wird die Bedrohungslage hoch halten. Die DFS-Richtlinien setzen einen neuen Standard, doch statische Verteidigung reicht nicht mehr. Der trend geht zu biometrischen Verfahren und hardwarebasierten Sicherheitsschlüsseln – SMS und Passwörter gelten zunehmend als nicht mehr haltbar.

Die Regulierungsbehörden werden zudem die Regeln für den KI-Einsatz im Finanzwesen weiter verschärfen. Der Fokus verschiebt sich von rein defensiven Maßnahmen hin zur Governance sogenannter „Frontier"-Modelle – und der Frage, wie diese sowohl systemische Risiken verursachen als auch verhindern können.

de | wissenschaft | 69404232 |