BANKINGNEWS: Wie schรคtzen Sie den gegenwรคrtigen Stand der Cybersicherheit im Banken- und Finanzwesen ein? Welche Bereiche sind besonders risikobehaftet?
Frank Augenstein: Wenn man es provokant formuliert, dann gibt es genau zwei Arten von Unternehmen: Die, die bereits gehackt wurden und die, denen es noch bevorsteht. Der weltweite Financial Services Marktes ist laut einer Erhebung von 2019 rund 22 Trillionen US-Dollar schwer. Das bietet Angreifern reichlich Gelegenheit. Und die Ziele sind lukrativ. Nicht nur finanziell, sondern auch Kundendaten, Kontoinformationen und Transaktionen sind fรผr Cyberkriminelle interessant. Entsprechend stark ist der Druck, den gut ausgestattete und zahlenmรครig รผberlegene Angreifer ausรผben. Im Windschatten unerwarteter Ereignisse wie der Corona-Pandemie wurden allein im ersten Jahr rund 70 Prozent aller Firmen im Bereich Banken und Finanzen Opfer eines Cyberangriffs. Gleichzeitig haben sich Probleme, die bereits vor der Pandemie bestanden, verschรคrft. Dazu zรคhlen das Management von Supply-Chain-Risiken, knappe Budgets und Ressourcen, aber auch fehlende Schulungen und ein eher reaktiver Ansatz bei der Cybersicherheit. Potenzielle Angreifer nutzen die Mรถglichkeiten, die durch Remote-Working-Modelle entstanden sind. Das gilt sowohl fรผr die Arbeit aus dem Homeoffice als auch fรผr das Online-Banking. Viele Unternehmen der Branche haben in zusรคtzliche Hardware investiert und mussten in sehr kurzer Zeit Konzepte entwickeln, wie Benutzer von auรen auf interne Systeme zugreifen kรถnnen. Dazu kommen die privaten Gerรคte der Nutzer, die keiner Aufsicht und Kontrolle unterliegen. Immer noch wird vielfach davon ausgegangen, dass ein so stark regulierter und Compliance-Anforderungen unterliegender Bereich wie die Finanzbranche automatisch sicher sein mรผsse. Das ist ein Mythos. Einem Bericht der Federal Reserve Bank of New York zufolge wรผrde ein einziger Cyberangriff auf eine der grรถรten US-Banken vermutlich groรe Auswirkungen auf das globale Finanzsystem haben. Mit einem wachsenden, von technologischer Innovation getriebenen Fintech-Sektor wachsen die Risiken.
Worin liegen, Ihrer Einschรคtzung nach, die grรถรten Risiken fรผr die Branche und welche Methoden kommen dabei bevorzugt zum Einsatz?
Das ist in erster Linie Hacking, wobei besonders Ransomware-Angriffe eine Rolle spielen. Hier hat sich die Lage sowohl durch den Einsatz von Ransomware-as-a-Service (RaaS) verschรคrft als auch durch sogenannte โDouble Extorsionโ-Strategien. Dabei wird der Zahlungsdruck auf die Opfer wird verstรคrkt, indem man droht, sensibles oder brisantes Datenmaterial zu verรถffentlichen. Eine weitere Bedrohung liegt im Social Engineering, wobei oftmals gezielte Phishing-Angriffe, sogenanntes Spear-Phishing, eingesetzt werden. In diesem Fall werden dieโฏE-Mailsโฏspeziell auf kleine Gruppen oder einzelne Personen zugeschnitten, was die potenzielle Trefferquote deutlich erhรถht.โฏBeimโฏโCEOโฏFraudโโฏversuchen die Angreifer Entscheidungstrรคgerโฏso zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements รberweisungen von hohen Geldbetrรคgen veranlassen. Zudem ist es schwer zu verhindern, dass beispielsweise privilegierte Benutzer sensible oder personenbezogene Daten missbrauchen, auf die sie legitime Zugriffsreiche haben. Doch hier gilt es zu differenzieren. Insider-Bedrohungen gehen รผber verรคrgerte Mitarbeiter hinaus und umfassen auch kompromittierte oder unvorsichtige Benutzer. Die erweiterte Angriffsflรคche durch hybride Arbeitsmodelle erschwert es grundsรคtzlich, Risiken einzudรคmmen. Nicht zuletzt hat sich die Angriffsflรคche infolge der Corona-Krise deutlich verbreitert und unterliegt permanenten Verรคnderungen. Das Schadenspotenzial steigt.
Haben sich angesichts dessen die strategischen Prioritรคten beim Thema Cybersicherheit verรคndert, und wenn ja, inwiefern? Sind diese technologisch und in Bezug auf die Prozesse angemessen?
Die Zahl schwerwiegender Datenschutzverletzungen wรคchst stetig. Angreifer haben es sehr schnell verstanden, รผber eine Vielzahl verschiedener Angriffsvektoren Kapital aus der aktuellen Lage zu schlagen. Manuelle Sicherheitsmaรnahmen kommen da nicht mehr mit. Statt aber den Sensationsgehalt krimineller Aktivitรคten weiter in den Vordergrund zu stellen, sollte man sich wieder intensiv den Grundlagen der Cybersicherheit zuwenden. Der Aufbau eines soliden Fundaments aus gehรคrteten Systemen mag weniger spektakulรคr erscheinen als der Einsatz der allerneuesten Tools. Aber es ist eine wirksame Methode, Risiken zu senken. Dazu muss man die eigene Umgebung kennen und Transparenz schaffen. Selbst wenn Sie davon ausgehen, รผber eine gute Systeminventarisierung zu verfรผgen, sind blinde Flecke trotzdem mehr als wahrscheinlich. Die Zahl der mit dem Netzwerk verbundenen Gerรคte nimmt exponentiell zu. Vergessen Sie nicht die Systeme, die sich auรerhalb Ihrer sprichwรถrtlichen vier Wรคnde befinden. Auch fรผr die sind Sie verantwortlich. Sobald Sie wissen, welche Systeme in einer Umgebung vorhanden sind, sollten Sie deren Konfiguration auf Fehler รผberprรผfen. Fehlkonfigurationen und die Verรคnderung einstmals sicherer Konfigurationen รผber Zeit, der sogenannte Konfigurationsdrift, bieten Angreifern ideale Ansatzpunkte. Das Auffinden, Priorisieren und Beheben von Sicherheitslรผcken ist ein nie endender, aber immens wichtiger Prozess zur Risikominderung. Der Schlรผssel liegt darin, Prioritรคten zu setzen, welche Sicherheitslรผcken und Schwachstellen Sie angehen wollen und in welcher Reihenfolge. Um ein kontinuierliches Schwachstellen-Management und Monitoring kommt kein Unternehmen herum. Die Realitรคt zeigt, dass IT-Systeme im Banking der Bedrohungslage bei Weitem nicht angemessen sind: Trotz zunehmender Digitalisierung kรถnnen Schwachstellen seit Jahren nicht zuverlรคssig beseitigt werden. Die verschiedenen Assets sind nicht bekannt und zugeordnet, daher kaum zu managen. Dazu kommen Ausnahmen wie โnicht-patchbare Systemeโ. Die Risiko-Akzeptanz toleriert einen bestimmten Unsicherheitsfaktor, aber die Schwachstelle bleibt.
Worin sehen Sie mittel- und langfristig die schwerwiegendsten Folgen dieser Praxis?
Die unerwartete Krise hat die Schwachstellen einer reaktiven Strategie deutlich zu Tage treten lassen. Altlasten holen die Firmen jetzt ein, entweder beim nรคchsten Audit oder der nรคchsten Datenschutzverletzung. An die Stelle der Schadensbegrenzung muss langfristige Belastbarkeit treten. Sicherheit sollte ihren integrativen Platz in der technologischen Infrastruktur haben. Auf dieser Infrastruktur basiert dann alles, was ein Unternehmen tut. Sie schafft nicht einfach nur Abhilfe, wenn Probleme auftauchen. Ansรคtze wie eine โJust-in-Timeโ-Infrastruktur und Agilitรคt spielen bei technischen Innovationen eine wichtige Rolle. Man muss sich aber die Frage stellen, wie angreifbar sie ein Unternehmen machen, und wie man die Risiken handhaben will. Das gilt umso mehr fรผr Cloud-basierte Strategien. Sie erweitern Rechenzentren um zusรคtzliche Ressourcen in einem noch vergleichsweise neuen Technologieumfeld โ dazu braucht man Expertise und entsprechendes Personal. Standards wie der Payment Card Industry Data Security Standard (PCI DSS) sollen in bestimmten Bereichen Abhilfe schaffen. Stichwort PCI DSS v4.0. Zum jetzigen Zeitpunkt sieht es so aus, als wรผrde das PCI Security Standards Council die Version 4.0 Ende dieses Jahres fertigstellen. Derzeit ist noch wenig รผber die neue Version bekannt.
Welches sind die wichtigsten Ziele des รผberarbeitenden Standards?
PCI DSS v4.0 soll beispielsweise die Flexibilitรคt erhรถhen und zusรคtzliche Methoden anfรผhren, die einen hรถheren Sicherheitslevel unterstรผtzen. Historisch gesehen war der Standard in dieser Hinsicht schon immer tauglich. Er hat in der Vergangenheit beispielsweise Methoden wie das File Integrity Monitoring (FIM) und Vulnerability Management (VM) eingefรผhrt.
Eines der Hauptziele von PCI DSS v4.0 wird sein, Sicherheit als kontinuierlichen Prozess zu fรถrdern, so dass die betreffenden Unternehmen รผber einen lรคngeren Zeitraum hinweg konform bleiben. Schlussendlich soll der Standard Validierungsmethoden und -verfahren weiter verbessern, um Firmen in ihren Compliance-Bemรผhungen zu unterstรผtzen. Nach der Fertigstellung von PCI DSS v4.0 wird es eine lรคngere รbergangszeit geben, damit Unternehmen auf die neueste Version des Standards umstellen kรถnnen.
Welche Probleme kรถnnen wรคhrend dieser รbergangszeit auf Banken zukommen?
PCI DSS v.3.2.1 bleibt nach der Fertigstellung von v4.0 noch 18 Monate in Kraft. Diese รbergangszeit verschรคrft mรถglicherweise einige Probleme. Erstens besteht die Gefahr eines sogenannten Konfigurationsdrifts. Sichere Konfigurationen neigen รผber die Zeit dazu von der ursprรผnglich sicheren Grundlinie abweichen. Zweitens sind Firmen gehalten sich der anstrengenden Aufgabe unterziehen, die Compliance gegenรผber Auditoren nachzuweisen. Abhรคngig von der Anzahl der Assets, der Tests und der Kontrollen braucht man fรผr die Durchfรผhrung eines Audits sehr viel Zeit und muss einiges an Aufwand betreiben. Schlieรlich benรถtigen Unternehmen historische Daten, um die Compliance รผber einen lรคngeren Zeitraum nachweisen zu kรถnnen. Abhรคngig von den verfรผgbaren Ressourcen und der Grรถรe der Umgebungen, ist es unter Umstรคnden gar nicht praktikabel alle Systeme zu prรผfen. Eine Entscheidung, die zumindest dazu fรผhren kann, dass bestimmte Arten von Bedrohungen weiterhin unerkannt bleiben. Oder Unternehmen entscheiden sich, in eine PCI DSS Compliance-Lรถsung zu investieren, sind aber gar nicht in der Lage deren Potenzial auszuschรถpfen. PCI DSS setzt voraus, dass Unternehmen รผber Log-Management-, FIM- und VM-Funktionen verfรผgen. Das kann sich als ziemlich kostspielig erweisen, wenn Unternehmen dabei jeweils auf einen anderen Anbieter zurรผckgreifen. Eine FIM-Lรถsung schlรคgt beispielsweise bei รnderungen Alarm, bietet aber keinen Kontext zu diesen Alarmen. Eine VM-Lรถsung fรผhrt vielleicht regelmรครige Scans durch und identifiziert Schwachstellen, aber sie gibt keine Anleitung wie man die Sicherheitslรผcken am besten schlieรt. Konfigurationsdrifts sind offensichtlich eines der grundlegenden Probleme. Die manuelle Konfigurationsรผberwachung ist extrem zeitaufwรคndig und fรผhrt tendenziell dazu, von einem regelmรครigen Scan-Rhythmus abzuweichen. Compliance-Vorgaben wiederum beziehen oft nur eine Teilmenge dieser Systeme in eine Prรผfung ein.
Wie lรคsst sich gegensteuern und wie bereiten Banken und Finanzdienstleister sich am besten auf die verรคnderten Anforderungen vor?
Aus strategischer Sicht ist die sichere Konfiguration ein guter Ausgangspunkt. Die sehr viel grรถรere Herausforderung liegt darin sie dauerhaft zu pflegen. Unternehmen sollten fรผr die betreffende Umgebung ein konkretes Ziel vor Augen haben und daran festhalten. Nur das gewรคhrleistet, dass die Systeme in den Umgebungen der Karteninhaber auch tatsรคchlich in dem gewรผnschten Zustand bleiben. Im Idealfall ist eine Lรถsung so ausgestattet, dass ein Unternehmen damit nicht nur die Compliance mit PCI DSS, sondern auch mit weiteren wichtigen Standards wie CIS, ISO 27001 und anderen mehr nachweisen kann. Das passiert รผber die Bereitstellung von sofort einsatzbereiten Audit-Berichtsvorlagen und automatisierten Compliance-Reports. Darรผber verbindet sich so eine Lรถsung mit allen Assets/Systemen im Geltungsbereich und testet sie daraufhin, ob sie eine Compliance-Prรผfung bestehen oder nicht. Das spart Unternehmen viel Zeit, die sonst in die manuelle รberprรผfung flieรen wรผrde. Im Idealfall zeigen die auf dieser Basis erstellten Berichte nicht nur Compliance auf, sondern sie protokollieren auch รnderungen an den betreffenden Assets. So gewinnt man Transparenz und behรคlt den รberblick รผber die Systeme. Das wiederum hilft, Konfigurationsdrifts schnell zu beheben und Compliance langfristig sicherzustellen.
Frank Augenstein
Frank Augenstein ist Senior Sales Engineer DACH bei Tripwire.
Dennis Witzmann ist ehemaliger Redakteur beim BANKINGCLUB.