Anfällige Web Apps, DoS-Attacken, Skimming

Angriffe auf Unternehmen der Finanzindustrie

| Autor / Redakteur: Lorenz Kuhlee / Stephan Augsten

Finanzinstitute haben mit drei Hauptproblemen zu kämpfen, zwei davon betreffen allerdings auch andere Branchen.
Finanzinstitute haben mit drei Hauptproblemen zu kämpfen, zwei davon betreffen allerdings auch andere Branchen. (Bild: Robert Mizerek - Fotolia.com)

In der heutigen „global economy“ ist der Handel sowohl für Firmen als auch für Verbraucher deutlich einfacher geworden, Finanzsysteme sind weltweit problemlos zugänglich. Wie die Data Breach Investigations Reports von Verizon zeigen, erfolgen 75 Prozent aller Cyber-Angriffe auf Finanzinstitute nach nur drei Angriffsmustern.

Unternehmen der Finanz- und der Versicherungsbranche stehen beim Schutz von Informationen vor ganz eigenen Herausforderungen. Sie sind auch gegen routinemäßig verübte opportunistische Attacken von Übeltätern, die das Internet nach leichter Beute durchstöbern, nicht immun.

Ihr Status als besonders „hochwertiges“ Ziel führt außerdem dazu, dass sie deutlich mehr zielgerichtete, beharrlich durchgeführte kriminelle Handlungen auf sich ziehen. Aus diesem Grund sind ihre Sicherheitskontrollen und -prozesse im Allgemeinen weiter ausgereift. Der Umgang mit Sicherheitsvorfällen scheint jedoch das geringere Problem zu sein, wenn die Existenz von Finanzinstituten auf dem Spiel steht.

Dennoch: ein erfolgreicher Angriff auf ein Finanzinstitut kann irreparablen Schaden verursachen. Beziffern ließe der sich konkret in gestohlenen oder unterschlagenen Ressourcen, weniger konkret, jedoch nicht minder bedeutsam, in Konsequenzen für die Marke und den Ruf des Hauses. Nach unseren Erkenntnissen decken gerade einmal drei der angesprochenen Bedrohungsmuster über 75 Prozent der Sicherheitsvorfälle bei Finanzdienstleistern ab.

Angriffsmethode Nr. 1 – Web-Apps ausnutzen

Angriffe über Web-Apps machen 27 Prozent der analysierten Vorfälle aus. Dabei verschaffen sich Angreifer beispielsweise mit gestohlenen Zugangsdaten den Zugriff oder sie nutzen Schwachstellen in Web-Apps aus – etwa bei Content Management Systemen (CMS) oder E-Commerce-Plattformen.

Unternehmen der Finanzbranche nutzen für ihre Serviceleistungen vermehrt webbasierte Tools. Vom Private- oder Corporate-Banking bis hin zu Versicherungen, Zahlungsverkehr und Handel – die meisten Bankdienstleistungen sind heute über Browser zugänglich. Das macht sie für diese Art von Angriffen extrem anfällig.

Im Kielwasser der Finanzkrise ist immer noch enorm viel Feindseligkeit gegenüber Banken und anderen Finanzinstitutionen zu spüren. Dies erklärt, warum in unseren diesjährigen Daten knapp zwei von drei Web-App-Angriffen ideologisch motivierten Aktivistengruppen zuzuordnen waren. Hier geht es eher darum, Störungen und Schäden zu verursachen, als um den Diebstahl von Zahlungskartendaten.

Rein technisch ist es schwierig, sich gegen solche Attacken zur Wehr zu setzen, denn die Angreifer verfügen über ein breites Spektrum an Techniken und kombinieren diese, um in derartige Online-Systeme einzubrechen.

Was kann man als Unternehmen tun?

  • Multifaktor-Authentifizierung einsetzen: Und zwar nicht nur für Kunden, sondern auch für alle Formen von administrativem Zugang.
  • Den Wechsel zu einem statischen CMS erwägen: Anstatt für den Content jeder Anfrage Code auszuführen vorab Seiten generieren, um so die Chancen für einen Angriff zu mindern.
  • Ausschlussrichtlinien durchsetzen: Accounts nach wiederholtem Anmelde-Fehlversuch sperren, um so brachiale Attacken abzuwehren.
  • Ausgehende Verbindungen überwachen: Wenn es keinen guten Grund gibt, warum ein Server Millionen Pakete an Systeme einer fremden Regierung versenden sollte, dem Server diese Möglichkeit nehmen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42772338 / Sicherheitsvorfälle)