Die Bedrohungen der Finanzdienstleister

Mehr als 143 Millionen Amerikaner waren vom Datendiebstahl bei Equifax betroffen und ihre Zahl wächst weiter. Dieser Art von Bedrohungen der Cybersicherheit sind auch Banken und Finanzdienstleister ausgesetzt. Einer der Hauptgründe dafür ist, dass Methoden und Technologien nicht auf dem neuesten Stand sind. 

Und wie in vielen anderen Branchen, die besonders im Visier von Cyberkriminellen sind, ist es nicht ganz einfach mit den sich stetig wandelnden Bedrohungen Schritt zu halten. Zudem sind die Angreifer durchaus versiert genug auch neuartigen Cybersicherheitsmaßnahmen zur Gefahrenabwehr etwas entgegen zu setzen.

Anzeige

Dieses fortwährende Katz-und-Maus-Spiel ist mittlerweile allen Führungskräften gegenwärtig. IBM CEO Ginni Rometty nennt Cyberkriminalität die “größte derzeitige Bedrohung” für jedes Unternehmen weltweit. Das liegt unter anderem daran, dass Experten davon ausgehen, dass Ransomware allein im Jahr 2017 Kosten von 5 Milliarden Dollar verursacht hat – ein Anstieg um das 15-fache seit 2015. Da beliefen sich die Kosten auf „nur“ 325 Millionen Dollar. Zu diesen Schäden zählen etwa Störungen von Geschäftsabläufen und Prozessen, Datenverlust, eine beeinträchtigte Produktion, Reputationsschäden, zusätzlich nötig werdende Mitarbeiterschulungen und Disaster Recovery.

Ransomware ist aber nicht die einzige Bedrohung vor der Unternehmen sich in Acht nehmen müssen. Es gibt andere unmittelbare Bedrohungen, wie zum Beispiel Trojaner. Hier gilt es innerhalb der Banken- und Finanzbranche ein tieferes Verständnis dafür zu entwickeln, an welchen Stellen dringend in die Cybersicherheit investiert werden müsste. 

Erst kürzlich sahen sich südamerikanische Banken mit einer Cybersicherheitsbedrohung durch einen Trojaner-Virus konfrontiert. Angreifer wollten sich in den Besitz von Anmeldeinformationen bringen. Angesichts dessen sollte man die potenziellen Quellen kennen, über die Malware in ein Netzwerk eingeschleppt werden kann. 

Erhöhtes Risiko durch Vertragspartner und Drittanbieter

Banken und Finanzdienstleister stützen sich häufig auf Partnerschaften, um die mit der Einhaltung von Vorschriften verbundenen Kosten zu senken. Das heißt. statt Lösungen zu entwickeln, die dazu beitragen, Compliance intern zu erfüllen, arbeitet man an dieser Stelle gerne mit Cloud-Anbietern oder anderen externen Partnern zusammen. Dabei sollte man allerdings nicht vergessen, dass ein Unternehmen nur so stark ist wie der schwächste Drittanbieter. Gibt es bei ihm ein Sicherheitsproblem oder ist er aktuell einer Bedrohung ausgesetzt, können auch die Partner potenziell betroffen sein.
Vor diesem Hintergrund ist es sinnvoll sämtliche Drittanbieter-Verträge zu überprüfen insbesondere was die Vorkehrungen in Sachen Cybersicherheit anbelangt:

  • Wer ist verantwortlich für den Schutz Ihrer Daten?
  • Welche Vorschriften müssen Sie befolgen, um konform zu bleiben?
  • Wer ist verantwortlich, wenn doch etwas schiefläuft?
  • Ist eine Organisation nicht in der Lage diese Fragen zufriedenstellend zu beantworten, kann sie das über den Rufschaden hinaus einiges kosten. Cloud-basierte Anwendungen sind praktisch und leicht einzusetzen. Man sollte aber nicht darauf verzichten sich zu vergewissern wie es um den Datenschutz steht:
  • Wo werden Ihre Daten gespeichert?
  • Wer hat Zugang zu dem Ort, wo Ihre Daten gespeichert werden?
  • Wie schützt der Cloud-basierte Dienstanbieter Ihre Daten, insbesondere wenn diese übertragen und gespeichert werden?

DDoS-Angriffe über das IoT

Cloud-basierte Technologien sind nur ein Beispiel dafür, dass neue Technologien selten ohne neuartige Bedrohungen zu haben sind. Genau das mussten 2016 etliche Unternehmen eher schmerzhaft erkennen, als der größte bisher bekannte DDoS-Angriff (Distributed Denial of Service) über das Internet der Dinge (IoT) stattfand. Dieser Angriff richtete sich gegen ungesicherte IoT-Geräte. Das aus ihnen zusammengeführte Botnetz richtete einiges an Chaos an, stark frequentierte Seiten wie Twitter und Amazon fielen zeitweise ganz aus. Bedrohungsszenarien wie diese werden dank der Verbreitung von IoT-Geräten wie Fitness-Tracker, Tablets, Smart Home Devices um nur einige zu nennen, immer komplexer. 

Unternehmen aus der Finanzbranche tun gut daran, diese Bedrohungen sehr ernst zu nehmen, wenn sie verhindern wollen, dass die eigenen Kunden in Panik geraten. 

Wenn über einen IoT-Hack die Website durch eine DDoS-Attacke lahmgelegt wird, können Kunden sich weder auf ihren Konten einloggen noch eine App verwenden. Bis der Angriff unter Kontrolle ist, sind also keinerlei finanzielle Transaktionen möglich. Das ist dem Ruf eines Bankhauses oder Finanzdienstleisters eher wenig zuträglich. 

Dies ist nur einer von vielen Gründen, warum Senatoren in den USA einen parteiübergreifenden Gesetzentwurf eingebracht haben, um mit Cyberbedrohungen verbundene Risiken im IoT zu senken. Gerätehersteller sollen demnach Mindestanforderungen bei der Cybersicherheit erfüllen (z. B. sollte es möglich sein, die Geräte zu patchen, um Schwachstellen zu beheben und um das Standardpasswort ändern zu können). Dieser Gesetzentwurf soll zwar die Gefahren eines böswilligen Einsatzes von IoT-Geräten verringern, aber er nimmt Finanzinstitute nicht die Verantwortung, Vermögenswerte zu schützen.
Da hilft es nur selbst einen Notfallplan zu haben und gegebenenfalls eine separate Technologie zum Schutz vor DDoS-Angriffen in Betracht zu ziehen. 

Weitere Tipps zum Schutz vor DDoS-Attacken erhalten Sie hier.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Bedrohungen aus dem eigenen Unternehmen 

Abgesehen von externen Gefahren ist es ebenso wichtig, nach innen zu schauen. Tatsächlich konstatiert der IBM 2016 CyberSecurity Intelligence Index, dass 60% der Bedrohungen für ein Institut der Branche von innen kommen. Dabei ist der Finanzsektor eine der drei Branchen, die Cyberkriminelle am häufigsten attackieren. Von diesen Bedrohungen wurden drei Viertel vorsätzlich ausgeführt, zum Beispiel von verärgerten Angestellten, die dem Unternehmen schaden wollten. Das verbleibende Viertel wurde durch menschliche Fehler verursacht (z. B. durch einen Mitarbeiter, der unwissentlich eine verdächtige Datei herunterlädt und die Malware sich in allen Systemen der Bank verbreiten kann). Logischerweise funktionieren bei Innentäter die üblichen Tools zur Gefahrenabwehr nur eingeschränkt. Das ist auch einer der Gründe dafür, warum solche Bedrohungen oftmals lange unentdeckt bleiben und großen Schaden anrichten. 

Selbst strengere Sicherheitsrichtlinien haben nicht unbedingt den gewünschten Erfolg, wenn die Mitarbeitenden damit unzufrieden sind (was sich wiederum nachteilig auf die Produktivität auswirken kann). 

Am besten konzentriert man sich deshalb auf den Schutz der wertvollsten Vermögenswerte. Welche Mitarbeiter haben Zugriff auf diese Ressourcen und Systeme und müssen sie wirklich darauf zugreifen können? Führen Sie Richtlinien für die Zugriffskontrolle ein, um das Risiko zu senken. Phishing-Angriffe sind nach wie vor einer der häufigsten Einstiegspunkte für Angreifer. 

Geben Sie Ihren Mitarbeitern Tipps wie sie betrügerische E-Mails oder Websites erkennen und führen Sie Simulationstests durch, um sich zu schützen.

Cybersicherheit schläft nie

Die beschriebenen Bedrohungsszenarien sind schwerwiegend und man sollte sie auch so behandeln. Cyberattacken entwickeln sich ständig weiter. Den Überblick über die neuesten Bedrohungen zu behalten ist bereits die halbe Miete bevor Sie daran gehen Technologien und Schutzmaßnahmen zu implementieren. Es ist eine Frage des ‘wann’ und nicht des ‘ob’ Sie angegriffen werden.

Autor: Evan Morris ist Network Security Manager bei MWR Infosecurity und begeisterter Blog-Autor, insbesondere zu Themen wie Technologie, Cybersicherheit und Bedrohungen. Nicht zuletzt verfügt der Autor über große Erfahrung im Themengebiet Ethical Hacking. Dieser Artikel ist zuerst auf www.globalsign.com erschienen. 

www.globalsign.de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.