Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Bank

Wenn man sich die jüngstenn Datenschutzverletzungen im Banken- und Finanzwesen ansieht, dann kann man derzeit von einem signifikanten Risiko ausgehen. Einem Risiko, das gleichermaßen leicht zu hackende Konten von Angestellten betrifft wie auch potenzielle Insiderbedrohungen. Oleg Kolesniko, Senior Director of Threat Research bei Securonix, beantowrtet Fragen zum Stand der Sicherheit im Finanzsektor.

Frage: Wie schätzen Sie den gegenwärtigen Stand der Cybersicherheit im Banken- und Finanzwesen ein? Und daran anschließend gleich eine zweite Frage. Wie hoch ist das Risiko bei potenziell gefährdeten Mitarbeiterkonten oder seitens eines Innentäters innerhalb der Bank selbst?

Oleg Kolesnikov: Wenn man sich nur die jüngste Serie von Datenschutzverletzungen im Banken- und Finanzwesen ansieht - nehmen wir Cosmos, FastCash, Moneytaker, Lazarus und andere als Beispiel - dann kann man derzeit von einem signifikanten Risiko ausgehen. Einem Risiko, das gleichermaßen leicht zu hackende Konten von Angestellten betrifft wie auch potenzielle Insiderbedrohungen. Dazu kommen zielgerichtete Spear-Phishing-Angriffe und mehrstufige Malware-Kampagnen. Wir beobachten schon länger den Trend, dass Angreifer inzwischen ein tieferes Verständnis für die IT-Infrastruktur in Banken und für deren einzelne Komponenten entwickelt haben wie etwa das SWIFT-Netz, quasi das Herzstück des Bankennetzwerks, oder ATM-Maschinen. Der Cosmos-Angriff basiert beispielsweise auf einem eigens entwickelten fortschrittlichen ATM-Switch. Über die implantierte Malware waren die Angreifer in der Lage auf die fünfstellige Nummer des kartenausgebenden Instituts im internationalen Kundenzahlungsverkehr PAN (PAN = Primary Account Number) und Kundendaten zuzugreifen. Bei diesem kombinierten SWIFT/ATM-Angriff wurden umgerechnet 13.5 Millionen Dollar bei der größten Genossenschaftsbank Indiens gestohlen.

Wir konnten ebenfalls beobachten, dass Angreifer Malware und Cybersicherheitsmethoden dazu nutzen, Bankenangestellte von ihrer Tätigkeit an Zahlungs-, Clearing- und Abrechnungssystemen abzulenken. Alles Systeme auf die Hacker es abgesehen haben. Ein Beispiel für einen solchen Vorfall war KillDisk, eine destruktive Wiper-Malware, die bei einem SWIFT-basierten Angriff auf die Banco de Chile im letzten Jahr benutzt wurde. Auch die Ryuk/Hermes-Ransomware und der Banking-Trojaner Trickbot haben es nicht mehr nur auf Bankdaten selbst abgesehen, sondern auch auf Passwörter, Cookies, Browser-Verläufe und Autofill-Informationen. Diese Angriffe haben direkt den Bankkunden im Visier und richten sich gegen den Akquirer/CNP-Prozess. Dazu nutzen die Angreifer Schwachstellen innerhalb der Lieferkette von Kreditkarten. Ein ganz ähnliches Verfahren wie es übrigens auch bei dem schlagzeilenträchtigen Angriff auf die Kundendaten von British Airways verwendet wurde.

Und dann gibt es natürlich noch die von Ihnen bereits angesprochenen Insider-Attacken. Sie stellen ebenfalls ein nicht zu unterschätzendes Risiko dar. Ein Beispiel aus dem Februar des letzten Jahres: der SWIFT-basierte Angriff auf die PNB-Bank, bei dem ein Schaden von rund 1.8 Milliarden Dollar durch betrügerische Transaktionen entstanden ist. Ausgangspunkt: zwei Beschäftigte der Bank, ein Loan Manager und ein weiterer Angestellter arbeiteten mit dem Kreditempfänger (einem angeblichen Komplizen) zusammen um dessen SWIFT-Zugang zu missbrauchen. Innerhalb von nur einem Jahr wurden mehr als 150 betrügerische Transaktionen veranlasst. Technisch möglich wurden die ambitionierten Betrügereien durch eine Lücke innerhalb der internen Kontrollen (CBS). Weder gab es ein automatisiertes Monitoring noch eine Integration zwischen den SWIFT- und den CBS-Protokollen.

Mitarbeiter waren gezwungen sämtliche Log-Aktivitäten manuell zu überwachen. Effektiv haben die Angestellten sich also selbst überwacht. Das Ganze ging wie gesagt über einen Zeitraum von über einem Jahr. Die STR/FIR-Berichte wurden erst angefordert als bereits annähernd 2 Milliarden Dollar gestohlen worden waren. In beiden Fällen hätten Cybersicherheitskontrollen einiges dazu beigetragen, den Schaden in Grenzen zu halten. Eine der wichtigsten Komponenten um Risiken zu begrenzen ist die Fähigkeit eine Bankenumgebung umfassend zu überwachen.

Frage: Welche Schritte sollte der Banken- und Finanzsektor unternehmen um sich in Zukunft besser gegen Angriffe zu wappnen und das Risiko von Betrug und schwerwiegenden Datenschutzverletzungen zu senken?

Oleg Kolesnikov: Wir haben gerade in jüngster Zeit einige folgenschwere Angriffe auf den Banken- und Finanzsektor beobachtet. Cosmos, FastCASH, Lazarus,
Cobalt, Moneytaker, Lurk und einige weitere mehr. Es gibt wenigstens drei grundlegende Schritte wie Banken die Risiken am besten minimieren. Das gilt gleichermaßen für Insider-Attacken wie für Angriffe bei denen ein unschuldiger Nutzer zum „Patient Zero“ bei einer Phishing- oder Drive-by-Download-Attacke wird.

1. Transparenz bei der Aufdeckung von Sicherheitsvorfällen, „blinde Flecke“ adressieren

Banken und andere Finanzinstitute sollten Tools installieren, welche die erforderlichen Daten sammeln. Nur so lässt sich Transparenz herstellen und Sicherheitslücken abdecken. Beginnen Sie beim potenziell schwächsten Glied innerhalb der Kette. Einer dieser Bereiche in vielen der uns bekannten Fälle ist die mangelnde Sichtbarkeit auf der ATM- und der Netzwerkebene. Ein blinder Fleck, der von Angreifern über die unterschiedlichsten Vektoren angegriffen und ausgenutzt wird (Unstimmigkeiten bei den Switches, als zentraler Ausgangspunkt für eine Malware, Ausnutzen des CBS-Prozesses, LMNR/sMB Relay-Attacken usw.). Ein weiterer Schwachpunkt ist die mangelnde Transparenz

bei mobilen Geräten und bei Backend-/oder Logical Terminal (LT)-Geräten und deren Verhalten. Es fehlt meistenteils die Einsicht in SWIFT SAA/LT-Protokolle. Oftmals ist es nicht möglich, die nötigen Verknüpfungen zwischen einem bestimmten (Cyber-)Verhalten und den Zahlungs-, Clearing- und Abrechnungssystemen und deren vielfältigen Verbindungen (zu FMUs - CHIPS/CHAPS, Euroclear, Eurex, LCH.Ciearnet, SIA, TARGET2, CLS Bank etc.) herzustellen. Das gleiche gilt für die weitreichenden Verknüpfungen der Interbanken-Überweisungssysteme oder den Kunden-Backends. Auch hier fehlt in aller Regel die Einsicht in die Protoll- und Eventdaten. Solche Kunden-Backend-Systeme wurden erst vor einigen Wochen beim Angriff auf die Bank of Mexico ausgenutzt. Bei dieser Cyberattacke wurden allein 15 Millionen Dollar erbeutet.

2. Gegnerische Angriffe simulieren

Um verdächtige Anzeichen und Angriffe möglichst frühzeitig zu erkennen muss man die potenzielle Angriffsfläche kennen, einschließlich möglicher blinder Flecke. Dazu ist es unerlässlich die eigenen Sicherheitsmaßnahmen kontinuierlich zu überprüfen. Red Team-Angriffe mit simulierten Attacken tragen dazu bei die Wirksamkeit der Kontrollen zu validieren und die generelle Sicherheitslage besser als zuvor zu verstehen. Übungen zur Gefahrenabwehr bei der sämtliche Nutzer einbezogen werden dienen dazu die Angriffsfläche zu minimieren.

Einen Simulator für Phishing-Angriffe unter Microsoft O365 und weitere Tools finden Sie hier.

Für diesen wichtigen Schritt braucht man weder große IT-Sicherheitsabteilungen noch riesige Budgets. Es gibt etliche automatisierte Tools, mit denen man Datenschutzverletzungen und Angriffe simulieren kann. Darunter kommerzielle, aber auch frei zugängliche Tools (u.a. Attack iQ, Cymulate, Atomic Red Team).

3. Konzentrieren Sie sich auf die Früherkennung von Angriffen mittels

Automation/Security Analytics Tools – Der Bankensektor kämpft wie viele Branchen mit einer dünnen Personaldecke im Bereich IT-Sicherheit und mit fehlenden Budgets. Angesichts dessen ist es sinnvoll automatisierte Tools einzusetzen. SIEM-Lösungen sammeln automatisch alle anfallenden Daten, analysieren sie und lösen entsprechende Maßnahmen aus. Moderne Software nutzt dazu maschinelles Lernen, eine Untergruppe der künstlichen Intelligenz. Solche Lösungen senken den Personal- und Analyseaufwand und übernehmen zahlreiche der anfallenden Routineaufgaben bei Sicherheitsuntersuchungen automatisch. Was noch wichtiger ist: Auf der Basis von maschinellem Lernen sind solche Lösungen in der Lage, ein Verhalten zu erkennen, dass von dem vorher in dieser Umgebung als „normal“ definiertem Verhalten abweicht. Dadurch ist es möglich, anomales Verhalten zu erkennen, die einzelnen Punkte miteinander zu verbinden und so Angriffe schon in einem sehr frühen Stadium zu erkennen. Das wiederum trägt dazu bei, den durch Betrug und Datendiebstahl entstehenden Schaden zu begrenzen.

Am Beispiel des Lazarus-Angriffs: Automatisierte Sicherheitstools hätten hier an verschiedenen Stellen geholfen. Sie hätten beispielsweise die betrügerischen Transaktionen als solche erkannt und mehr noch hätten sie die Transaktionsanomalien mit dem Benutzer in Verbindung bringen können von dessen Konto die Bedrohung ursprünglich ausgegangen war. Auch die für solche Attacken typischen anschließenden Seitwärtsbewegungen im Netzwerk wären ebenso wenig unentdeckt geblieben wie die LSO/RSO Kompromittierung, das Umgehen der Multi-Faktor-Authentifizierung und so weiter. Natürlich kann man solche Tools auch mit den bereits existierenden AML/STR-Sicherheitsprozessen kombinieren und so die Chancen kritischer Risiken weiter vermindern.

www.securonix.com
 

GRID LIST
Tb W190 H80 Crop Int C86f856faea721589e443742410ebac4

Gefahr für Game of Thrones Fans durch infizierte Videos

Das ThreatLabZ der Zscaler warnt rund um den Start der achten Staffel von Game of Thrones…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“…
Tb W190 H80 Crop Int 02a732366428f0b008fcb6021edc948f

Warum sich die Welt bereits im Cyberwar befindet

Obwohl einige Experten wie der Politikwissenschaftler Thomas Rid glauben, dass ein…
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…