Warum Cyberangriffe auf Banken immer länger, größer und schwerer zu stoppen sind

Mehrere Faktoren machen Banken für Angreifer besonders attraktiv:

• Direkter finanzieller Nutzen: Zugangsdaten und Kreditkarteninformationen lassen sich direkt monetarisieren.
• Konten mit hohem Wert: Kontoübernahmen können zu unmittelbarem finanziellen Schaden führen.
• Komplexe IT‑Landschaften: Viele Banken betreiben gleichzeitig alte Kernsysteme und moderne digitale Plattformen.
• Rasanter Ausbau digitaler Dienste: Mobile Banking, Fintech‑Integrationen und Open‑Banking‑APIs vergrößern die Angriffsfläche.

Außerdem erzeugen Störungen im Finanzsektor sofort öffentliche Aufmerksamkeit – ein zusätzlicher Anreiz für politisch motivierte Angreifer.

KI‑Botnetze und IoT‑„Zombie“-Netzwerke

Ein zentraler Treiber moderner Angriffe ist die enorme Skalierung automatisierter Botnetze. Akamai registrierte einen Anstieg fortgeschrittener Bot‑Aktivität um 147 % Ende 2025, wobei Angreifer zunehmend KI‑gestützte Techniken zur Umgehung von Sicherheitsmaßnahmen einsetzen .

Viele dieser Angriffe stammen aus sogenannten IoT‑Zombie‑Netzwerken – großen Gruppen kompromittierter Geräte wie Router, Kameras oder Smart‑Home‑Hardware.

Diese Netzwerke können gewaltige Datenmengen erzeugen und gleichzeitig legitimen Nutzerverkehr imitieren. KI‑gestützte Angriffsplattformen ermöglichen dabei unter anderem:

• dynamische Anpassung von Datenverkehrsmustern
• schnelle Rotation von IP‑Infrastrukturen
• Simulation menschlichen Surfverhaltens
• koordinierte Steuerung von Millionen Geräten

Dadurch werden klassische Schutzmechanismen wie statisches IP‑Blocking deutlich weniger wirksam.

110 Milliarden Webangriffe auf Finanzdienste

DDoS ist nur ein Teil des Problems. Akamai registrierte 110 Milliarden Webangriffe auf Finanzdienstleister zwischen 2024 und 2025. Damit liegt die Branche weltweit auf Platz zwei der am häufigsten angegriffenen Sektoren bei Web‑Application‑Attacken – hinter dem E‑Commerce .

Bemerkenswert ist, dass etwa 60 % dieser Angriffe direkt auf Banking‑Websites zielten . Kundenportale, Login‑Systeme und Zahlungsoberflächen sind damit zentrale Angriffspunkte.

Der Bericht warnt zudem vor einem schnell wachsenden Risiko durch APIs. Viele Unternehmen entwickeln neue Schnittstellen für Apps, Fintech‑Partner oder Open‑Banking‑Ökosysteme. Unzureichend dokumentierte oder sogenannte „Shadow‑APIs“ können dabei Funktionen freilegen, die Angreifer ausnutzen, bevor Sicherheitsteams sie überhaupt entdecken .

DNS und APIs als unterschätzte Schwachstellen

Neben Webanwendungen identifiziert Akamai auch die DNS‑Infrastruktur als oft unterschätzten Angriffspunkt in Finanzsystemen .

Fehlkonfigurationen oder mangelnde Kontrolle können Angreifern ermöglichen:

• Subdomains zu übernehmen
• legitime Dienste zu imitieren
• unerlaubte Sicherheitszertifikate auszustellen

Parallel wächst die Zahl der APIs rasant, da Banken Partnerschaften mit Fintech‑Unternehmen, Mobile‑Apps und Open‑Banking‑Plattformen ausbauen. Ohne klare Governance und Sichtbarkeit werden diese Schnittstellen schnell zu neuen Einstiegspunkten für Angreifer.

Hacktivismus und geopolitischer Cyberdruck

Nicht alle Angriffe sind finanziell motiviert. Ein Teil der Aktivitäten steht im Zusammenhang mit geopolitischen Konflikten und Hacktivismus.

Gruppen wie Keymous+ und DieNet wurden mit koordinierten DDoS‑Wellen in Verbindung gebracht. Nach Spannungen im Nahen Osten Anfang 2026 registrierten Sicherheitsforscher 149 hacktivistische DDoS‑Angriffe auf 110 Organisationen in 16 Ländern, wobei diese beiden Gruppen fast 70 % der Aktivitäten ausmachten .

Eine weitere Gruppe, Handala, wird laut Sicherheitsanalysen mit Cyberoperationen in Verbindung gebracht und soll Berichten zufolge Verbindungen zum iranischen Nachrichtendienstumfeld haben .

Solche Kampagnen richten sich häufig gleichzeitig gegen Regierungen, Telekommunikationsunternehmen und Finanzinstitutionen, um maximale Sichtbarkeit und Störung zu erzeugen.

Warum traditionelle Sicherheitsmodelle an Grenzen stoßen

Der zentrale Befund des Akamai‑Berichts: Moderne Cyberbedrohungen entwickeln sich schneller als viele klassische Sicherheitsarchitekturen.

Traditionelle Perimeter‑Strategien – etwa statische Firewalls, signaturbasierte Erkennung oder einfache IP‑Blockierung – stoßen an Grenzen bei:

• KI‑gesteuerten adaptiven Botnetzen
• riesigen IoT‑Angriffsnetzwerken
• schnell wachsenden API‑Ökosystemen
• langanhaltenden Multi‑Vektor‑DDoS‑Kampagnen

Die Sicherheitsstrategie, die Banken jetzt brauchen

Sicherheitsexperten empfehlen daher einen mehrschichtigen Ansatz mit stärkerer Automatisierung und Analyse:

• verhaltensbasierte Bedrohungserkennung statt statischer Signaturen
• Echtzeit‑Risikobewertung und Telemetriedaten über Nutzeraktivitäten
• vollständige API‑Erkennung und Governance
• konsequentes DNS‑Management
• skalierbare DDoS‑Abwehr und Austausch von Threat‑Intelligence

Die zentrale Botschaft des SOTI‑Reports ist eindeutig: Cyberangriffe auf Finanzinstitute werden zunehmend industrialisiert und automatisiert. Kriminelle Gruppen verfolgen Profit durch Betrug und Datendiebstahl, während Hacktivisten auf Störung und politische Wirkung abzielen – doch beide nutzen zunehmend dieselben Technologien, von KI‑Automatisierung bis zu gigantischen Botnetzen .

Für Banken und Fintech‑Plattformen bedeutet das: Widerstandsfähigkeit hängt künftig davon ab, Sicherheitssysteme zu entwickeln, die sich genauso schnell weiterentwickeln können wie die Bedrohungen selbst.