Anfällige Web Apps, DoS-Attacken, Skimming Angriffe auf Unternehmen der Finanzindustrie

Autor / Redakteur: Lorenz Kuhlee / Stephan Augsten

In der heutigen „global economy“ ist der Handel sowohl für Firmen als auch für Verbraucher deutlich einfacher geworden, Finanzsysteme sind weltweit problemlos zugänglich. Wie die Data Breach Investigations Reports von Verizon zeigen, erfolgen 75 Prozent aller Cyber-Angriffe auf Finanzinstitute nach nur drei Angriffsmustern.

Firma zum Thema

Finanzinstitute haben mit drei Hauptproblemen zu kämpfen, zwei davon betreffen allerdings auch andere Branchen.
Finanzinstitute haben mit drei Hauptproblemen zu kämpfen, zwei davon betreffen allerdings auch andere Branchen.
(Bild: Robert Mizerek - Fotolia.com)

Unternehmen der Finanz- und der Versicherungsbranche stehen beim Schutz von Informationen vor ganz eigenen Herausforderungen. Sie sind auch gegen routinemäßig verübte opportunistische Attacken von Übeltätern, die das Internet nach leichter Beute durchstöbern, nicht immun.

Ihr Status als besonders „hochwertiges“ Ziel führt außerdem dazu, dass sie deutlich mehr zielgerichtete, beharrlich durchgeführte kriminelle Handlungen auf sich ziehen. Aus diesem Grund sind ihre Sicherheitskontrollen und -prozesse im Allgemeinen weiter ausgereift. Der Umgang mit Sicherheitsvorfällen scheint jedoch das geringere Problem zu sein, wenn die Existenz von Finanzinstituten auf dem Spiel steht.

Dennoch: ein erfolgreicher Angriff auf ein Finanzinstitut kann irreparablen Schaden verursachen. Beziffern ließe der sich konkret in gestohlenen oder unterschlagenen Ressourcen, weniger konkret, jedoch nicht minder bedeutsam, in Konsequenzen für die Marke und den Ruf des Hauses. Nach unseren Erkenntnissen decken gerade einmal drei der angesprochenen Bedrohungsmuster über 75 Prozent der Sicherheitsvorfälle bei Finanzdienstleistern ab.

Angriffsmethode Nr. 1 – Web-Apps ausnutzen

Angriffe über Web-Apps machen 27 Prozent der analysierten Vorfälle aus. Dabei verschaffen sich Angreifer beispielsweise mit gestohlenen Zugangsdaten den Zugriff oder sie nutzen Schwachstellen in Web-Apps aus – etwa bei Content Management Systemen (CMS) oder E-Commerce-Plattformen.

Unternehmen der Finanzbranche nutzen für ihre Serviceleistungen vermehrt webbasierte Tools. Vom Private- oder Corporate-Banking bis hin zu Versicherungen, Zahlungsverkehr und Handel – die meisten Bankdienstleistungen sind heute über Browser zugänglich. Das macht sie für diese Art von Angriffen extrem anfällig.

Im Kielwasser der Finanzkrise ist immer noch enorm viel Feindseligkeit gegenüber Banken und anderen Finanzinstitutionen zu spüren. Dies erklärt, warum in unseren diesjährigen Daten knapp zwei von drei Web-App-Angriffen ideologisch motivierten Aktivistengruppen zuzuordnen waren. Hier geht es eher darum, Störungen und Schäden zu verursachen, als um den Diebstahl von Zahlungskartendaten.

Rein technisch ist es schwierig, sich gegen solche Attacken zur Wehr zu setzen, denn die Angreifer verfügen über ein breites Spektrum an Techniken und kombinieren diese, um in derartige Online-Systeme einzubrechen.

Was kann man als Unternehmen tun?

  • Multifaktor-Authentifizierung einsetzen: Und zwar nicht nur für Kunden, sondern auch für alle Formen von administrativem Zugang.
  • Den Wechsel zu einem statischen CMS erwägen: Anstatt für den Content jeder Anfrage Code auszuführen vorab Seiten generieren, um so die Chancen für einen Angriff zu mindern.
  • Ausschlussrichtlinien durchsetzen: Accounts nach wiederholtem Anmelde-Fehlversuch sperren, um so brachiale Attacken abzuwehren.
  • Ausgehende Verbindungen überwachen: Wenn es keinen guten Grund gibt, warum ein Server Millionen Pakete an Systeme einer fremden Regierung versenden sollte, dem Server diese Möglichkeit nehmen.

Angriffsmethode Nr. 2 – DoS-Attacken

26 Prozent der analysierten Sicherheitsvorfälle waren DoS-Attacken (Denial of Service). Dabei kommen in der Regel Armeen von Zombie-PCs (Botnetze) und leistungsstarke Server zum Einsatz. Sie überlasten die Systeme und Anwendungen von Unternehmen mit böswilligem Datenverkehr, wodurch normale geschäftliche Abläufe zum Erliegen kommen.

DoS-Angriffe haben seit 2011 um 115 Prozent zugenommen, gleichzeitig haben die Angreifer ihre Methoden verfeinert. In der Vergangenheit kam oft Malware zum Einsatz, um die PCs nichtsahnender Privathaushalte für kriminelle Botnetze zu vereinnahmen. Heute haben die Bösewichte es auf Server abgesehen: Die sind leistungsstärker und verfügen über Verbindungen mit hoher Bandbreite, wodurch der Angreifer wesentlich größere Attacken starten kann.

DoS-Angriffe dienen selten dem Diebstahl von Daten, dennoch können sie dem Ruf und den betrieblichen Abläufen eines Unternehmens extrem schaden. DoS-Attacken bringen Online-Banking zum Erliegen, ebenso das Kursstellen und Richtlinien-Management bei Handelsplattformen, ja sogar interne Systeme, die über Schnittstellen zum Internet verfügen.

Die Folgen solcher stundenweisen, ganz zu schweigen tagelanger Systemausfälle und die Kosten des Ressourcenaufwands zu ihrer Behebung, können enorm sein. Laut unseren Daten sind alle Arten von Unternehmen von DoS-Attacken betroffen, ob groß oder klein, bekannt oder weniger bekannt.

Was kann man als Unternehmen tun?

  • Wichtige Assets trennen: Die wichtigsten Systeme in getrennten Netzwerken betreiben, damit sie bei Angriffen auf andere Server nicht betroffen sind.
  • Anti-DoS-Lösungen testen: Nicht installieren und dann vergessen.
  • Planen Sie: Wichtige Teams des operativen Betriebs müssen wissen, wie sie zu reagieren haben, wenn es zu einem Angriff kommt. Backup-Plan bereithalten, falls die primäre Anti-DoS-Lösung nicht funktioniert.

Angriffsmethode Nr. 3 – Skimming

Während die beiden bereits genannten Angriffsmethoden auch diverse andere Branchen betreffen, ist Skimming auf die Finanzindustrie beschränkt und macht 22 Prozent der dort registrierten Vorfälle aus. Ein Kartenlesegerät wird von Kriminellen manipuliert und ein "Skimmer" installiert, der automatisch Kartendaten "abschöpft", sobald ein Kunde seine Karte benutzt. Gewöhnlich sind Bargeldautomaten bevorzugtes Ziel.

Abwehrmaßnahmen gegen diese drei Vorgehensweisen tragen wesentlich dazu bei, das Gefahrenpotenzial für Finanzdienstleister zu reduzieren. Das hört sich einfach an – und ist es auch. Durch eine detaillierte Analyse solcher Angriffsmuster lassen sich die individuellen Sicherheitsstrategien exakt anpassen.

Für Skimming-Angriffe sind Angehörige des organisierten Verbrechens verantwortlich. Ihre Taktiken werden immer ausgereifter – manche nutzen 3D-Druckertechnologie zum Nachbau von Geldautomatenteilen. Diese von echten zu unterscheiden, ist extrem schwierig. Sie lassen sich in Sekundenschnelle installieren und übertragen die Karteninformationen per Funk zu den Cyberkriminellen. Die Folge: Die meisten Datenverletzungen werden erst anhand von Unregelmäßigkeiten in den Kontoauszügen entdeckt.

Was kann man als Unternehmen tun?

  • Manipulationsgeschützte Automaten verwenden: Geldautomaten werden zunehmend mit Blick hierauf entwickelt.
  • Kontrollvorrichtungen einsetzen, die Manipulationsversuche belegen: Mit Hilfe von Videoüberwachung lassen sich rein optische Anomalitäten aufdecken.
  • Die Nutzer auffordern, wachsam zu sein, und um sofortige Mitteilung von Auffälligkeiten bitten:
  • Geldautomaten regelmäßig inspizieren. Geldautomaten so oft wie möglich von Mitarbeitern überprüfen lassen, um das Zeitfenster, in dem ein Skimming-Gerät installiert sein könnte, möglichst klein zu halten.

Jederzeit aufmerksam bleiben

Unternehmen in allen vertikalen Märkten sollten sich darüber im Klaren sein, dass niemand gegen Datenverletzungen immun ist. Der Kampf gegen die Cyberkriminalität ist nach wie vor in vollem Gange, der Blick der Angreifer ist fest auf die Beute gerichtet – Daten im Besitz von Kreditinstituten. Bedenkt man nun noch, dass es viel länger dauert, bis Unternehmen solche Datenverletzungen entdecken (häufig Wochen oder Monate), als die Kriminellen brauchen, um ein System zu infiltrieren – oft nur Minuten oder Stunden – dann muss einfach zielgerichteter vorgegangen werden.

Zur Minderung des Risikos müssen die Unternehmen grundsätzliche Aspekte eines Informations-Risikomanagementprogramms implementieren und diese Anfangsinvestition regelmäßig pflegen. Hierunter fallen Netzwerke und technologische Grundvoraussetzungen zur Verteidigung von Daten, also Firewalls, Antivirus-Technologien, Identitäts- und Zugangsmanagement, aber auch die nicht-technischen Aspekte von Security- und Risiko-Management sowie Prozess-Entwicklung.

Scanning-Services zur Aufdeckung von Schwachstellen in Web-Anwendungen dienen der Vorbeugung und werden als Software-as-a-Service (SaaS) angeboten. DoS Defense Detection and Mitigation Services analysieren den Datenverkehr auf Netzwerkebene, und ein PCI Compliance Service unterstützt Unternehmen bei der Umstellung ihrer Technologien und Prozesse, damit Kartendaten vor Skimming und webbasierten Angriffen geschützt sind.

Anders ausgedrückt: Gehen Sie offensiv, nicht defensiv vor, denn Cyberkriminalität ist schlicht und einfach Realität. Und glauben Sie nicht mal einen Moment lang, sie könnte von allein verschwinden.

Über den Autor

Lorenz Kuhlee ist Consultant für Network Security im Risk Team EMEA bei Verizon.

(ID:42772338)