Thought Leadership
Die Digitalisierung des Finanzsektors und die Verarbeitung großer Mengen sensibler Daten machen Finanzdienstleister zunehmend zur Zielscheibe für Cyberkriminelle. Angreifer setzen dabei auf bewährte Methoden wie Social Engineering, Phishing oder Ransomware, um Systeme zu kompromittieren, Informationen abzugreifen, Unternehmen zu erpressen oder Betriebsstörungen zu verursachen.
Besonders häufig wählen sie Angriffspfade, die sich im Arbeitsalltag etabliert haben. Mit Malware infizierte Dokumente stellen immer noch eine oft unterschätzte Bedrohung dar. Die meisten Finanzdienstleister sind mit Cyberangriffen vertraut und haben jahrelang daran gearbeitet, ihre Abwehrmaßnahmen und Reaktionsstrategien gegen Cyberbedrohungen zu optimieren. Allerdings entwickeln organisierte Cyberkriminelle immer neue Angriffsmethoden. Malware in Dokumenten ist eine solche Methode. Zwar ist der Versuch, bösartigen Code in einem scheinbar harmlosen Dokument zu verstecken, einer der ältesten Tricks überhaupt, doch durch die Art, wie Unternehmen heutzutage arbeiten, ist diese Taktik zu einem unterschätzten und äußerst effektiven Angriffsvektor geworden.
Malware in Dokumenten: Alte Bedrohung in modernen Arbeitsumgebungen
Unternehmen sind zunehmend von cloudbasierten Produktivitätswerkzeugen wie Microsoft 365, Google Drive und Dropbox abhängig. Regelmäßig laden Mitarbeiter Dateien und Dokumente über diese Plattformen hoch, kombinieren, archivieren, teilen und laden Dokumente wieder herunter. Obwohl die meisten Unternehmen über Sicherheitssysteme verfügen, um herkömmliche bösartige Anhänge zu erkennen, werden cloudbasierte Dateien häufig nicht erkannt. Angreifer nutzen diese Arbeitsabläufe aus und betten schädlichen Code in Word-Dokumente, Zip-Dateiarchive, PDFs und Excel-Tabellen ein.
Zu den gängigen Techniken gehören bösartige Makros, die in Office-Dokumenten versteckt sind und beim Öffnen schädliche Skripte ausführen, sowie in PDFs eingebettetes JavaScript, das Anmeldedaten stehlen oder zusätzliche Malware herunterladen kann. Angreifer tarnen Dateien häufig mit gefälschten Datei-Endungen und scheinbar harmlosen Namen wie „Rechnung.pdf“. Social-Engineering-Taktiken erhöhen die Wahrscheinlichkeit, dass Mitarbeiter solch getarnte Dateien öffnen, indem Angreifer sich als vertrauenswürdige Kontakte oder leitende Angestellte ausgeben.
Ziele und Taktiken von Cyberkriminellen
Cyberkriminelle, die Finanzinstitute ins Visier nehmen, sind in der Regel auf monetären Gewinn aus. Datenexfiltration ist eines der häufigsten Ziele von Angreifern, wobei sie es auf die riesigen Bestände sensibler Kundendaten abgesehen haben, darunter Zahlungsinformationen, Zugangsdaten zu Konten und Kreditkartendetails. Gestohlene Daten sind im Dark Web überaus wertvoll und lassen sich an andere Cyberkriminelle verkaufen oder für Identitätsbetrug verwenden.
Einige kriminelle Gruppen versuchen auch, sich direkt Zugang zu internen Bankensystemen zu verschaffen, um Transaktionen zu manipulieren oder Anmeldedaten zu stehlen, mit denen sie Geld von Kundenkonten abzweigen können.
Herausforderungen beim Schutz vor bösartigen Dokumenten
Angesichts der nahezu ständigen Bedrohung durch Cyberangriffe und strenger regulatorischer Anforderungen haben die meisten Finanzinstitute stark in perimeterbasierte Abwehrmaßnahmen, Endpunktsicherheit und Mitarbeiterschulungen investiert. Allerdings übersehen sie dabei oft die Sicherheitsrisiken, die von den Dokumenten selbst ausgehen.
Sicherheitstools und -richtlinien haben Mühe, mit den Praktiken der cloudbasierten Filesharing-Nutzung Schritt zu halten. Diese Schwachstelle ermöglicht es Angreifern, gängige Dateiformate als Einfallstor für sensible Systeme zu nutzen.
Einer der häufigsten Fehler besteht darin, sich ausschließlich auf traditionelle Malware-Erkennung zu verlassen. Viele Unternehmen setzen auf signaturbasierte Antiviren-Tools, die jedoch Malware übersehen können, die in eingebetteten Objekten in PDF- und Office-Dateien versteckt ist, sowie komplexere Bedrohungen wie Zero-Day-Exploits oder skriptbasierte Angriffe.
Ein weiterer typischer Fehler ist das Vertrauen in Dateien von bekannten Absendern. Angreifer kompromittieren oft legitime Konten, um mit Malware infizierte Dokumente zu verbreiten. Nur weil eine Datei von einem vertrauenswürdigen Partner oder sogar einer internen Quelle stammt, bedeutet das nicht, dass sie sicher ist.
Das schiere Volumen der eingehenden Dateien bei Finanzunternehmen – täglich Tausende von Rechnungen, Kreditanträgen und Kontoauszügen – stellt zudem ein hohes Sicherheitsrisiko dar. Ohne eine robuste Prüfung und Bereinigung dieser Dateien können bösartige Dokumente unbemerkt ins System gelangen.
Schließlich sind sich die meisten Unternehmen zwar der potenziellen Gefahren durch bösartige Makros bewusst, übersehen jedoch häufig andere dokumentbasierte Bedrohungen wie ActiveX-Steuerelemente, OLE-Objekte und eingebettetes JavaScript, die beim Öffnen einer Datei schädliche Aktionen ausführen können.
Maßnahmen zum Schutz vor Malware in Dokumenten
Der Schutz von bösartigen Dokumenten erfordert im Finanzsektor einen mehrschichtigen Sicherheitsansatz. Cyberkriminelle verwenden verschiedene Techniken, um Malware zu verbreiten. Da reicht es nicht aus, sich auf eine einzige Lösung zu verlassen.
In erster Linie sollten Unternehmen strenge Richtlinien für zulässige Dateitypen implementieren, eine Benutzerauthentifizierung vor dem Hochladen von Dokumenten verlangen und Dateigrößenbeschränkungen festlegen. Allein diese Maßnahmen tragen dazu bei, das Hochladen bösartiger Inhalte von vornherein zu verhindern.
Sämtliche Dateien sollten sorgfältig geprüft werden, um sicherzustellen, dass sich hinter scheinbar zulässigen Formaten keine getarnten Bedrohungen verbergen. Ebenso wichtig ist ein gründlicher Malware-Scan. Denn durch proaktives Scannen lässt sich Schadsoftware mit hoher Sicherheit erkennen und stoppen, noch bevor sie kritische Finanzsysteme erreicht. Der Einsatz mehrerer Anti-Malware-Engines steigert dabei die Erkennungsrate und schließt blinde Flecken einzelner Scan-Tools. In Kombination mit verhaltensbasierter Advanced-Sandboxing-Technologie lassen sich auch bisher unbekannte Bedrohungen wirksam identifizieren – ein Aspekt, den der jüngste OPSWAT Threat Landscape Report1 besonders unterstreicht. Laut der Studie nehmen sowohl die Komplexität von Malware (plus 127 Prozent in den letzten 12 Monaten) als auch die Zahl unentdeckter Bedrohungen alarmierend zu: Eine von 14 Dateien erweist sich als schädlich, obwohl sie von Legacy-Systemen zunächst als sicher eingestuft wurde.
Darüber hinaus können Dateien versteckte Bedrohungen in Skripten und Makros enthalten, sodass es unerlässlich ist, sie zu bereinigen, bevor ein Anwender Zugriff darauf erhält. Technologien wie Deep Content Disarm and Reconstruction (CDR) dekonstruieren Dateien, entfernen potenziell schädliche Inhalte und setzen sie anschließend unter Wahrung der vollen Funktionalität wieder zusammen – so wird sichergestellt, dass sich die Dateien gefahrlos öffnen lassen.
Fortschrittliche E-Mail-Sicherheitstools, die Phishing-Versuche blockieren und Anhänge oder URLs auf schädliche Inhalte überprüfen, tragen ebenfalls entscheidend dazu bei, Risiken zu reduzieren und die Resilienz zu stärken.
Neben E-Mails sind auch andere Quellen für eingehende Dateien und Daten zu identifizieren und zu überprüfen – etwa webbasierte Anwendungen, die von Kunden, Geschäftspartnern oder Lieferanten genutzt werden. Auch Dateien, die zwischen verschiedenen Geschäftsbereichen im Unternehmen ausgetauscht werden, sollten einer entsprechenden Prüfung unterzogen werden.
Fazit: Mehrschichtiger Schutz gegen unterschätzte Bedrohung
Der Finanzdienstleistungssektor zählt zu den bevorzugten Zielen von Cyberkriminellen. Dokumentenbasierte Malware stellt dabei eine zunehmend ernstzunehmende, oft unterschätzte Bedrohung dar. Nur durch einen mehrschichtigen Ansatz zur proaktiven Prüfung aller eingehenden Dateien können Finanzinstitute ihre Anfälligkeit für Cyberangriffe erheblich verringern und kritische Systeme, sensible Daten sowie die Geschäftskontinuität schützen.
