Cyber-Resilienz für den Finanzsektor

ADVERTORIAL

Die Finanzbranche liegt an der Spitze, wenn es um Cyberangriffe geht. Durch den Umgang mit sensiblen Daten und hohen Vermögenswerten ist sie ein lohnendes Ziel für finanziell motivierte Cyberkriminelle. Aber auch politisch motivierte Akteure haben die Finanzbrache im Visier, denn durch ihre wirtschaftspolitische Bedeutung zählt sie in allen Industrienationen zu den kritischen Infrastrukturen (KRITIS). Da wundert es nicht, dass von europäischen und nationalen Aufsichtsbehörden eine Fülle von Richtlinien erlassen werden, um die Cyber-Resilienz des Finanzsektors zu erhöhen.

Regulatorische und gesetzliche Vorgaben

Die European Banking Authority (EBA) empfiehlt in ihren Leitlinien die Umsetzung eines gestaffelten Sicherheitskonzepts (Defence-in-Depth). Hierbei sollen Sicherheitsmaßnahmen (Controls) über mehrere Ebenen eingeführt werden, die Personen, Prozesse und die Technologie umfassen. Jede Ebene dient dabei als Sicherheitsnetz für die vorhergehende Ebene.

Der gestaffelte Ansatz soll zudem so verstanden werden, dass ein Risiko durch mehrere Sicherheitsmaßnahmen abgesichert wird, zum Beispiel durch Zwei-Faktor-Authentifizierung zusätzlich zu Netzwerksegmentierung und mehrfachen Firewalls. Zudem sollen Finanzinstitute Erkennungsmaßnahmen zur Feststellung möglicher Datenlecks, schädlichem Code und sonstiger Sicherheitsrisiken sowie von öffentlich bekannten Schwachstellen von Software und Hardware einführen.

Neben den europäischen und nationalen Leitlinien verlangt zudem die DSGVO (Europäische Datenschutz-Grundverordnung) geeignete Sicherheitsvorkehrungen im Umgang mit personenbezogenen Daten und stellt bei Verstößen empfindliche Strafen in Aussicht.

Bedrohungslandschaft und Sicherheitsansätze

Der stetig zunehmende Grad an Digitalisierung im Finanzbereich hebt die Gefährdungslage auf ein sehr hohes Niveau. Dies gilt umso mehr, wenn unter Wettbewerbs- und Zeitdruck digitale Geschäftsprozesse eingeführt werden müssen. Häufig bleibt nicht genügend Zeit, die mit den neuen Prozessen einhergehenden Cyberrisiken aus allen Gesichtspunkten zu evaluieren und die bestehenden Sicherheitskonzepte anzupassen.

Wichtig für eine hohe Cyber-Resilienz ist das lückenlose Ineinandergreifen der verschiedenen Security-Maßnahmen. Diese sollten ein engmaschiges, mehrschichtiges System bilden, in dem eine Cyberbedrohung, falls sie einer Security-Instanz entgeht, von einer anderen aufgehalten wird. Zu den gängigsten Komponenten eines solch mehrschichtigen Systems gehören Firewalls, Endpoint-Security-Lösungen, Intrusion Prevention Systems (IPS), Intrusion Detection Systems (IDS), Email- und Web-Gateways, Verfahren zur Zugangs- und Berechtigungskontrolle, aber auch Konzepte wie Netzwerksegmentierung.

Erkennung von erstmals aufgetretener Malware

Eine weitere wichtige Komponente sind Sandboxing-Technologien. Diese spielen eine entscheidende Rolle, wenn es um die Erkennung und Analyse von Advanced Malware geht. Unter dem Begriff Advanced Malware werden unterschiedliche Typen von Malware zusammengefasst: Zero-Day-Malware (erstmals auftretende Malware), hochentwickelte, evasive Malware (zum Beispiel polymorphe und metamorphe Malware, die ihre Form verändert) sowie komplexe, zielgerichtete Angriffe (zum Beispiel politisch motivierte Attacken auf ein definiertes Ziel).

Da für Advanced Malware in aller Regel noch keine „digitalen Fingerabdrücke“ (Signaturen) vorliegen, sind sie ein Fall für die Sandbox. Dort werden die verdächtigen Dateien in einer abgesicherten Umgebung ausgeführt und ihre Aktivitäten auf schädliche Verhaltensmuster analysiert.

Da verhaltensbasierte Erkennung nicht auf forensische Daten und bereits bekannte Signaturen angewiesen ist, kann auch erstmals aufgetretene Malware erkannt werden. Falls sich die Datei als Schadsoftware herausstellt, kann das Security Team anhand der gewonnenen Informationen (Threat Intelligence) umgehend die vorhandenen Systeme gegen die neu erkannte Gefahr härten. Sandboxing-Lösungen sind daher ein fester Bestandteil einer jeden ausgereiften Cybersecurity-Architektur.