Cyberangriffe auf Banken: Was „5.000 pro Minute“ wirklich bedeutet

Du öffnest die Banking-App, prüfst den Kontostand, überweist Geld. Alles wirkt ruhig und selbstverständlich. Genau das ist das Ziel, denn im Hintergrund arbeiten Banken und Aufsichtsbehörden daran, dass digitale Angriffe nicht bis zu dir durchschlagen. Trotzdem tauchen immer wieder Zahlen auf, die erst einmal beunruhigen. Mehrere Tausend Angriffe pro Minute, teils sogar pro Sekunde, das klingt nach Dauerkrise.

Der Haken ist, dass solche Kennzahlen oft verschiedene Dinge meinen. Manchmal geht es um jede einzelne Kontaktaufnahme aus dem Netz, die ein Schutzsystem registriert, manchmal nur um ernsthafte Angriffsversuche, manchmal um bestätigte Vorfälle. Eine Firewall, ein Intrusion-Detection-System und ein Login-Server zählen jeweils anders. Und je nachdem, ob man doppelte Ereignisse zusammenfasst, kann eine Zahl stark schwanken.

Wer die Mechanik dahinter versteht, liest „5.000 pro Minute“ nicht als Alarmmeldung, sondern als Messwert. Dann wird auch klar, warum Banken trotzdem investieren müssen. Denn aus viel „Rauschen“ kann sich sehr gezielt ein echter Schaden entwickeln.

Als 2026 die Zahl von mehr als 5.000 Cyberangriffen pro Minute genannt wurde, war der Kontext wichtig. In der zugrunde liegenden Aussage wurde beschrieben, dass diese Ereignisse an der Firewall abprallen. Eine Firewall ist vereinfacht gesagt ein digitaler Türsteher. Sie entscheidet anhand von Regeln, welche Anfragen hinein dürfen und welche draußen bleiben. Was sie blockt, wird häufig als „Angriff“ mitgezählt, obwohl es in vielen Fällen nur ein automatisierter Versuch ist, irgendwo eine offene Tür zu finden.

Das Internet ist voll von solchen automatischen Suchläufen. Programme scannen Adressen, probieren Standard-Passwörter aus oder testen bekannte Sicherheitslücken in Webdiensten. Das passiert nicht nur Banken. Jede größere Organisation mit öffentlich erreichbaren Systemen sieht ähnliche Muster. Die hohe Zahl entsteht also nicht zwingend, weil ein Angreifer eine bestimmte Bank im Visier hat, sondern weil Angreifer Werkzeuge im großen Stil streuen.

Viele registrierte „Angriffe“ sind Kontaktversuche, die am Rand des Netzes enden. Die eigentliche Frage lautet, wie gut die Systeme echte Angriffe von massenhaftem Hintergrundrauschen trennen.

Hilfreich ist ein Blick darauf, welche Arten von Ereignissen hinter solchen Zählern stecken können. Je nach System werden dabei sehr unterschiedliche Dinge in einen Topf geworfen. Das macht Vergleiche schwer, erklärt aber, warum Zahlen so groß wirken können.

Wenn Zahlen oder Vergleiche in strukturierter Form klarer sind, kann eine Tabelle verwendet werden.

Die wichtige Unterscheidung ist also diese. Ein registriertes Ereignis ist ein Messpunkt. Ein Sicherheitsvorfall bedeutet, dass tatsächlich etwas Unerwünschtes passiert ist, etwa ein kompromittiertes Konto oder ein ausgefallener Dienst. Hohe Zahlen sind für sich genommen kein Beweis, dass „alles unsicher“ ist. Sie sind eher ein Hinweis darauf, wie viel Abwehrarbeit im Hintergrund permanent läuft.

Auch wenn viele Zähler mit automatisierten Ereignissen gefüttert werden, bleibt der Finanzsektor attraktiv. Der Grund ist simpel. Dort gibt es Geldflüsse, Identitäten und viele vernetzte Dienste. Und Banken sind nicht nur Apps und Websites. Dazu gehören auch Zahlungssysteme, Schnittstellen zu Händlern, Rechenzentren, Dienstleister und interne Netzwerke. Je mehr digitale Verbindungen, desto mehr mögliche Angriffspunkte.

Ein typisches Alltagsmuster beginnt nicht mit Hightech, sondern mit Täuschung. Social Engineering bedeutet, dass Menschen manipuliert werden, etwa über E-Mails, Chat-Nachrichten oder gefälschte Login-Seiten. Der technische Teil ist dann oft nur der zweite Schritt. ENISA, die EU-Agentur für Cybersicherheit, hat in einer Auswertung öffentlich bekannt gewordener Vorfälle im Finanzsektor für den Zeitraum Januar 2023 bis Juni 2024 insgesamt 488 Fälle betrachtet. Kreditinstitute machten dabei 46 % aus, das waren 301 Fälle. Solche Zahlen zeigen Trends, sie bilden aber nur das ab, was öffentlich sichtbar wird oder berichtet wurde.

Ein weiterer Klassiker ist die Störung der Verfügbarkeit. DDoS steht für Distributed Denial of Service. Viele Geräte schicken gleichzeitig Anfragen an einen Dienst, bis er langsamer wird oder ausfällt. Für Kunden sieht das dann wie eine Störung aus, etwa wenn die App nicht lädt oder Zahlungen hängen bleiben. Nicht jede DDoS-Welle ist technisch extrem. Aber sie kann genau dann treffen, wenn Teams ohnehin ausgelastet sind oder wenn parallel ein gezielter Einbruch versucht wird.

Am schwersten wiegen meist Angriffe, die nicht nur „klopfen“, sondern in interne Systeme gelangen. Das kann über gestohlene Zugangsdaten passieren, über schlecht abgesicherte Fernzugänge oder über Sicherheitslücken in Software. Und es gibt einen Faktor, der häufig unterschätzt wird. Viele kritische Funktionen hängen von Drittanbietern ab, etwa von Cloud-Diensten, Wartungsfirmen oder spezialisierten Softwarekomponenten. Ein Angriff auf die Lieferkette kann sich dann wie ein Dominoeffekt ausbreiten.

Für dich als Nutzer ist entscheidend, was sichtbar wird. Du merkst einen Angriff meist erst dann, wenn ein Dienst ausfällt oder wenn Betrug versucht wird. Die großen Zahlen im Hintergrund sind dagegen oft ein Zeichen, dass Schutzsysteme ständig sortieren und aussieben müssen.

Hohe Ereigniszahlen können beruhigen und beunruhigen zugleich. Beruhigend ist, dass vieles abgefangen wird. Beunruhigend ist, dass die Verteidigung nie Pause hat. In der Praxis kommt es darauf an, welche Signale in der Masse herausstechen. Ein einzelner fehlgeschlagener Login ist meist nichts. Tausende Login-Versuche über viele Konten hinweg, verteilt über verschiedene Länder und Geräte, können dagegen eine echte Angriffskampagne sein.

Sicherheitsprofis sprechen oft von Detektion und Reaktion. Detektion heißt, verdächtige Muster zu erkennen, möglichst früh. Reaktion heißt, den Angriff zu stoppen, Schäden zu begrenzen und Systeme wieder sauber zu betreiben. Die schwierigste Disziplin ist dabei nicht das Blocken. Es ist das schnelle und sichere Entscheiden unter Unsicherheit.

Ein Begriff, der dabei öfter fällt, ist Resilienz. Das bedeutet nicht, dass nichts passieren darf. Es bedeutet, dass ein System auch unter Stress weiter funktioniert oder schnell wiederhergestellt werden kann. Genau hier setzen viele neuere Anforderungen an. DORA, die EU-Verordnung zur digitalen operationellen Resilienz im Finanzsektor, gilt seit dem 17.01.2025. Sie fordert unter anderem klare Prozesse für IT-Risiken, einheitlichere Meldungen von Vorfällen und regelmäßige Tests. Besonders wichtig ist der Blick auf Dienstleister, weil Ausfälle und Schwachstellen dort direkte Folgen haben können.

Tests sind dabei mehr als ein Haken auf einer Checkliste. Beim sogenannten Threat-led Penetration Testing wird ein realistisches Angriffsszenario nachgestellt. TIBER-EU ist ein Rahmenwerk, das solche Tests im europäischen Umfeld strukturiert. Die Idee dahinter klingt abstrakt, ist aber sehr konkret. Man prüft nicht nur, ob ein System theoretisch sicher ist, sondern ob Teams einen Angriff in der Praxis entdecken, koordinieren und beenden können.

Auch Aufsichten betonen seit einigen Jahren, dass Wiederherstellung oft der Engpass ist. Ein Cyber-Resilience-Stresstest im Bankensektor im Jahr 2024 umfasste nach Angaben der EZB 109 Banken. Dort zeigte sich, dass Grundlagen häufig vorhanden sind, aber die Umsetzung bei Recovery und der Zusammenarbeit mit Drittparteien unterschiedlich reif ist. Das passt zu dem, was die großen Zahlen im Alltag bedeuten. Es geht nicht nur um Abwehr, sondern um robuste Betriebsfähigkeit.

In den kommenden Jahren wird sich weniger die Existenz von Cyberangriffen ändern, sondern die Art, wie darüber gesprochen wird. Ein Grund ist Regulierung. Wenn Meldepflichten und Standards klarer werden, werden auch Kennzahlen vergleichbarer. Das ist für die Öffentlichkeit nicht immer bequem, weil es mehr sichtbare Meldungen geben kann. Es ist aber ein Schritt zu mehr Transparenz und besseren Lernprozessen im Sektor.

Ein zweiter Grund ist die technische Entwicklung. Angreifer nutzen längst Automatisierung. Das erklärt einen Teil der großen Zähler, etwa bei Scans und Login-Versuchen. Gleichzeitig professionalisiert sich die Verteidigung. Große Organisationen betreiben Sicherheitszentren, die Logdaten bündeln und Muster erkennen. Moderne Systeme helfen, die Flut an Ereignissen zu priorisieren, damit Analysten nicht in Alarmen untergehen. Das Ziel ist nicht, jede einzelne Anfrage zu verstehen, sondern die wenigen wirklich relevanten zu erkennen.

Auch die Art von Störungen verschiebt sich. DDoS bleibt ein Dauerproblem, weil es relativ leicht zu „mieten“ ist und kurzfristig Wirkung zeigt. Das BSI berichtete im Lagebericht 2024 für den Berichtszeitraum Juli 2023 bis Juni 2024, dass hochvolumige DDoS-Angriffe über 10.000 Mbit/s zeitweise einen deutlich erhöhten Anteil ausmachten, im Monatsmittel rund 13 %. Solche Werte sind eine Momentaufnahme, aber sie zeigen, dass Verfügbarkeit nicht nur eine Komfortfrage ist, sondern Teil der Sicherheitslage.

Der dritte Treiber ist die Lieferkette. Banken können ihre eigenen Systeme stark absichern, bleiben aber abhängig von Software, Netzbetreibern und spezialisierten Dienstleistern. Darum rückt das Thema Drittparteien-Risiko nach vorn, mit Vertragsregeln, gemeinsamen Tests und klaren Zuständigkeiten. Gerade in großen IT-Landschaften entscheiden oft Details darüber, ob ein Vorfall klein bleibt oder zu einem langen Ausfall wird.

Für Leserinnen und Leser ergibt sich daraus eine nüchterne, aber hilfreiche Perspektive. Zahlen wie „5.000 Cyberangriffe pro Minute“ sind ein Blick auf den Dauerbeschuss der Netzkante. Die spannendere Frage ist, ob Banken aus dieser Flut regelmäßig lernen und ob sie nach einem Vorfall schnell wieder stabil laufen. Genau darauf zielen Tests, Aufsicht und neue Standards.

Mehr als 5.000 Ereignisse pro Minute wirken dramatisch, sind aber vor allem eine Erinnerung daran, wie automatisiert Cyberangriffe heute ablaufen. In der Regel zählen solche Angaben das, was Schutzsysteme abwehren, nicht das, was erfolgreich war. Für Banken und Aufsicht ist das trotzdem kein Grund zur Entwarnung. Aus vielen kleinen Kontaktversuchen können sich gezielte Kampagnen entwickeln, besonders über gestohlene Zugangsdaten, Software-Schwachstellen oder Dienstleister in der Lieferkette.

Darum verschiebt sich der Fokus spürbar Richtung Resilienz. Standards wie DORA und Testverfahren wie TIBER-EU bringen mehr Struktur in Prozesse, Meldungen und Praxisübungen. Am Ende zählt, was du als Kundin oder Kunde direkt spürst. Funktionieren Zahlungen und Apps auch unter Druck, werden Betrugsversuche früh gestoppt, und können Institute nach Störungen schnell wieder normal arbeiten. Große Zahlen sind dabei kein Selbstzweck. Sie sind ein Ausgangspunkt, um Schutz, Reaktion und Wiederherstellung messbar besser zu machen.