Cyberangriffe auf Finanzdienstleister Aus Sicherheitsfehlern lernen
Anbieter zum Thema
Die Finanzbranche ist nach wie vor das beliebteste Angriffsziel bei Hackern. Obwohl der finanzielle Schaden immens ist, investieren viele Banken und Versicherungen noch immer zurückhaltend in ihre IT-Sicherheit.

Auch in Deutschland nehmen die Cyber-Attacken auf Finanzdienstleister zu: als jüngere Beispiele dienen der Distributed Denial of Service-Angriff (DDoS) auf die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die massiven Störungen des DKB Online Bankings im Januar 2020. Laut einer Studie von Verizon haben rund 76 Prozent aller Cyberattacken das Ziel Geldwerte zu erbeuten. Dies zeigt, dass sich im digitalen Zeitalter die Kriminalität vom klassischen Banküberfall in den Cyber-Raum verlagert. Die Frage ist nun, wie sich Finanzdienstleister gegen die wachsende Gefahr wehren und aus früheren Fehlern lernen können.
Passwörter abschaffen
Vorbeugen ist immer besser als heilen, das heißt: Weil Passwörter die ewige Krux der Cybersicherheit sind, sollten sie vollständig eliminiert werden. Dies zeigte sich auch Anfang des Jahres beim Angriff auf Travelex, einem internationalen Anbieter für Währungsumtausch. Über Phishing-E-Mails oder Social Engineering manipulierten die Hacker die Anwender, damit diese ihre Daten gutgläubig an Unbefugte aushändigen. Mit diesem Trick infiltrierten die Angreifer das IT-System von Travelex und stellten hohe Lösegeldforderungen an das Unternehmen. Laut Wandera, einem Unternehmen für Cloud-Sicherheit, macht Phishing rund 57 Prozent der Cyber-Angriffe auf Finanzdienstleister aus. Der branchenübergreifende Durchschnitt liegt bei 42 Prozent, was zeigt, dass der Finanzsektor ein attraktives Ziel für Cyber-Kriminelle ist. Gäbe es keine Passwörter als Authentifizierungsmethode, wäre diese Zahl zweifellos niedriger. Aber es gibt bereits Lösungen: Zero-Sign-On, Software- und Hardware-Token, Analysen zum Netzwerkverhalten oder biometrische Authentifizierung. Unternehmen sollten sich an entsprechende Anbieter wenden und diese Authentifizierungsalternativen standardisieren, damit sie die Achillesferse Passwort endlich beseitigen.
Zero-Trust statt blindem Vertrauen
Die Abschaffung der Passwörter ist integraler Bestandteil eines Zero-Trust-Ansatzes. Dieses Sicherheitskonzept beruht auf der Überzeugung, dass es für die Unternehmens-IT kein „automatisches Vertrauen“ geben darf – weder intern noch extern. Der Ansatz behandelt jede Person, die sich mit dem Unternehmensnetzwerk verbinden möchte, als Prüffall und potentiell manipulierten Benutzer.
Die moderne Arbeit wird häufig mit mobilen Endgeräten erledigt und damit außerhalb der traditionellen Sicherheitskontrollen, die zum Schutz des Netzwerks entwickelt wurden. Wenn mobile Geräte, wie Laptops, verloren gehen oder unrechtmäßig gebraucht werden, können sie das gesamte Ökosystem gefährden. Bevor einem Benutzer Zugang zu Unternehmensressourcen gewährt wird, validiert Zero-Trust deshalb das Gerät, ermittelt den Benutzerkontext und prüft das Netzwerk. Sensible Daten werden damit sowohl intern als auch extern geschützt.
Kontrollen aufstocken
Cyberangriffe sind längst zur traurigen Realität geworden. Deswegen ist die Schadensbegrenzung ein zentraler Bestandteil aller Sicherheitsstrategien. Ein Angriff muss erkannt und eingedämmt, das Problem diagnostiziert und alle Hintertüren zum Netzwerk verriegelt werden.
Häufig bleiben bei Cyber-Angriffen Viren unentdeckt, die Datenlecks verursachen. Travelex brauchte zum Beispiel acht Monate, um die Schwachstelle in seinen Sicherheitskonfigurationen zu identifizieren. Auch die Attacke auf die DKB hielt die IT-Sicherheitsteams der Bank länger in Atem. Zeit ist Geld, daher ist die Früherkennung entscheidend. IBM stellte fest, dass der wirtschaftliche Schaden von Unternehmen, die einen Sicherheitsverletzung in weniger als 30 Tagen entdeckten, um mehr als eine Million Dollar geringer ist.
Durch häufig durchgeführte Bedrohungsanalysen werden harmlose oder aktive Viren früher erkannt. Die Überwachung jedes Geräts, Benutzers, jeder Anwendung und jedes Netzwerks spart deshalb wertvolle Zeit, da die Ursache von Sicherheitsproblemen schnell identifiziert werden kann. Damit können Unternehmen ihre IT-Ressourcen auf wirklich kritische Bereiche zu konzentrieren.
Strenge IT-Sicherheitshygiene
Wie gut die Risiken eingedämmt werden, hängt davon ab, wie nahtlos menschliches Fachwissen und technologischen Abläufe Hand in Hand gehen. Datenschutzverletzungen treten oft dann auf, wenn mindestens eine der beiden Seiten nachlässig wird. Bevor Unternehmen ihre Sicherheitsstrategien umsetzen, sollten sie deshalb zuerst das Arbeitsumfeld der Mitarbeiter bedenken: Entscheidend ist, dass Mitarbeiter die Geräte auch nützen wollen. Das heißt, Unternehmen sollten geeignete Geräte zur Verfügung stellen, mit denen die Mitarbeiter effizient arbeiten. Falls das nicht der Fall ist, sichern Unternehmen eine Umgebung, die später niemand nutzt.
Sicherheit ist nicht selbstverständlich. Daher ist eine gute Sicherheitsorganisation notwendig. Sobald die optimale Arbeitsumgebung für die Mitarbeiter hergestellt ist, müssen Unternehmen ihre Teams über die implementierten Sicherheitsprotokolle und bewährte Prozesse aufklären. Firmen sind schon an Bedrohungen von außen gewöhnt, auf interne Sicherheitsrisiken sind sie aber oft schlecht vorbereitet. Wenn Unternehmen auf dem neuesten Stand der Sicherheitsstrategien sind, können Vorfälle wie diese vermieden werden.
Geräte registrieren
Für viele Mitarbeiter sind mobile Endgeräte die wichtigsten Instrumente zur Verwaltung der Business-Daten. Für die Sicherheit dieser Geräte muss ein eigener Perimeter eingerichtet werden.
Die Risikoeindämmung in dieser neuen Umgebung ist oft schwierig, besonders wenn sich ein unentdeckter Virus im System befindet. Datenverletzungen können jedoch durch Unified Endpoint Management (UEM) begrenzt werden. UEM ist die Grundlage für eine sichere Unternehmensmobilität. In Übereinstimmung mit dem Zero-Trust-Ansatz bietet das Endpoint Management die Möglichkeit, die Daten auf den Geräten aus der Ferne zu löschen.
Travelex bewertete seine Geräte mit einer Risiko-Ampel: je nachdem, wie kritisch sie für das Unternehmen waren, wurden sie als rot, gelb oder grün eingestuft.
UEM-Systeme wehren Geräte-, Netzwerk- und App-Bedrohungen ab und verhindern, dass unbefugte Anwendungen Daten sammeln. Der Inhalt der infizierten Bereiche wird gelöscht, sodass Cyberkriminelle keine Daten einsehen oder replizieren können. Die Risiko-Geräte, die Travelex als rot und gelb eingestuft hat, wären sicherlich sofort vom UEM-System automatisch unter Kontrolle gebracht worden.
Alle oben genannten Maßnahmen zur Vorbeugung und Eindämmung von Risiken hängen voneinander ab. Sie erleichtern den Unternehmen die Last der Cybersicherheit beträchtlich und sind Teil eines zuverlässigen und konsistenten Sicherheitssystems. Ein Hacker braucht nur einen einzigen Schwachpunkt zu entdecken, um seinen Angriff starten zu können, wie es bei Travelex der Fall war. Da die Cybersicherheit für Finanzunternehmen immer wichtiger wird, bauen diese ihre Systeme deutlich aus und geraten nicht mehr in negative Schlagzeilen.
Über den Autor: Peter Machat ist Vice President EMEA Central bei MobileIron.
(ID:46753785)