ADVERTORIAL
BANKINGNEWS: Wie schätzen Sie den gegenwärtigen Stand der Cybersicherheit im Banken- und Finanzwesen ein? Welche Bereiche sind besonders risikobehaftet?
Frank Augenstein: Wenn man es provokant formuliert, dann gibt es genau zwei Arten von Unternehmen: Die, die bereits gehackt wurden und die, denen es noch bevorsteht. Der weltweite Financial Services Marktes ist laut einer Erhebung von 2019 rund 22 Trillionen US-Dollar schwer. Das bietet Angreifern reichlich Gelegenheit. Und die Ziele sind lukrativ. Nicht nur finanziell, sondern auch Kundendaten, Kontoinformationen und Transaktionen sind für Cyberkriminelle interessant. Entsprechend stark ist der Druck, den gut ausgestattete und zahlenmäßig überlegene Angreifer ausüben.
Im Windschatten unerwarteter Ereignisse wie der Corona-Pandemie wurden allein im ersten Jahr rund 70 Prozent aller Firmen im Bereich Banken und Finanzen Opfer eines Cyberangriffs. Gleichzeitig haben sich Probleme, die bereits vor der Pandemie bestanden, verschärft. Dazu zählen das Management von Supply-Chain-Risiken, knappe Budgets und Ressourcen, aber auch fehlende Schulungen und ein eher reaktiver Ansatz bei der Cybersicherheit. Potenzielle Angreifer nutzen die Möglichkeiten, die durch Remote-Working-Modelle entstanden sind.
Das gilt sowohl für die Arbeit aus dem Homeoffice als auch für das Online-Banking. Viele Unternehmen der Branche haben in zusätzliche Hardware investiert und mussten in sehr kurzer Zeit Konzepte entwickeln, wie Benutzer von außen auf interne Systeme zugreifen können. Dazu kommen die privaten Geräte der Nutzer, die keiner Aufsicht und Kontrolle unterliegen. Immer noch wird vielfach davon ausgegangen, dass ein so stark regulierter und Compliance-Anforderungen unterliegender Bereich wie die Finanzbranche automatisch sicher sein müsse. Das ist ein Mythos. Einem Bericht der Federal Reserve Bank of New York zufolge würde ein einziger Cyberangriff auf eine der größten US-Banken vermutlich große Auswirkungen auf das globale Finanzsystem haben. Mit einem wachsenden, von technologischer Innovation getriebenen Fintech-Sektor wachsen die Risiken.
Worin liegen, Ihrer Einschätzung nach, die größten Risiken für die Branche und welche Methoden kommen dabei bevorzugt zum Einsatz?
Das ist in erster Linie Hacking, wobei besonders Ransomware-Angriffe eine Rolle spielen. Hier hat sich die Lage sowohl durch den Einsatz von Ransomware-as-a-Service (RaaS) verschärft als auch durch sogenannte „Double Extorsion“-Strategien. Dabei wird der Zahlungsdruck auf die Opfer wird verstärkt, indem man droht, sensibles oder brisantes Datenmaterial zu veröffentlichen. Eine weitere Bedrohung liegt im Social Engineering, wobei oftmals gezielte Phishing-Angriffe, sogenanntes Spear-Phishing, eingesetzt werden. In diesem Fall werden die E-Mails speziell auf kleine Gruppen oder einzelne Personen zugeschnitten, was die potenzielle Trefferquote deutlich erhöht. Beim “CEO Fraud” versuchen die Angreifer Entscheidungsträger so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen.
Zudem ist es schwer zu verhindern, dass beispielsweise privilegierte Benutzer sensible oder personenbezogene Daten missbrauchen, auf die sie legitime Zugriffsreiche haben. Doch hier gilt es zu differenzieren. Insider-Bedrohungen gehen über verärgerte Mitarbeiter hinaus und umfassen auch kompromittierte oder unvorsichtige Benutzer. Die erweiterte Angriffsfläche durch hybride Arbeitsmodelle erschwert es grundsätzlich, Risiken einzudämmen. Nicht zuletzt hat sich die Angriffsfläche infolge der Corona-Krise deutlich verbreitert und unterliegt permanenten Veränderungen. Das Schadenspotenzial steigt.
Haben sich angesichts dessen die strategischen Prioritäten beim Thema Cybersicherheit verändert, und wenn ja, inwiefern? Sind diese technologisch und in Bezug auf die Prozesse angemessen?
Die Zahl schwerwiegender Datenschutzverletzungen wächst stetig. Angreifer haben es sehr schnell verstanden, über eine Vielzahl verschiedener Angriffsvektoren Kapital aus der aktuellen Lage zu schlagen. Manuelle Sicherheitsmaßnahmen kommen da nicht mehr mit. Statt aber den Sensationsgehalt krimineller Aktivitäten weiter in den Vordergrund zu stellen, sollte man sich wieder intensiv den Grundlagen der Cybersicherheit zuwenden. Der Aufbau eines soliden Fundaments aus gehärteten Systemen mag weniger spektakulär erscheinen als der Einsatz der allerneuesten Tools. Aber es ist eine wirksame Methode, Risiken zu senken. Dazu muss man die eigene Umgebung kennen und Transparenz schaffen. Selbst wenn Sie davon ausgehen, über eine gute Systeminventarisierung zu verfügen, sind blinde Flecke trotzdem mehr als wahrscheinlich.
Die Zahl der mit dem Netzwerk verbundenen Geräte nimmt exponentiell zu. Vergessen Sie nicht die Systeme, die sich außerhalb Ihrer sprichwörtlichen vier Wände befinden. Auch für die sind Sie verantwortlich. Sobald Sie wissen, welche Systeme in einer Umgebung vorhanden sind, sollten Sie deren Konfiguration auf Fehler überprüfen. Fehlkonfigurationen und die Veränderung einstmals sicherer Konfigurationen über Zeit, der sogenannte Konfigurationsdrift, bieten Angreifern ideale Ansatzpunkte. Das Auffinden, Priorisieren und Beheben von Sicherheitslücken ist ein nie endender, aber immens wichtiger Prozess zur Risikominderung. Der Schlüssel liegt darin, Prioritäten zu setzen, welche Sicherheitslücken und Schwachstellen Sie angehen wollen und in welcher Reihenfolge. Um ein kontinuierliches Schwachstellen-Management und Monitoring kommt kein Unternehmen herum.
Die Realität zeigt, dass IT-Systeme im Banking der Bedrohungslage bei Weitem nicht angemessen sind: Trotz zunehmender Digitalisierung können Schwachstellen seit Jahren nicht zuverlässig beseitigt werden. Die verschiedenen Assets sind nicht bekannt und zugeordnet, daher kaum zu managen. Dazu kommen Ausnahmen wie „nicht-patchbare Systeme“. Die Risiko-Akzeptanz toleriert einen bestimmten Unsicherheitsfaktor, aber die Schwachstelle bleibt.
Worin sehen Sie mittel- und langfristig die schwerwiegendsten Folgen dieser Praxis?
Die unerwartete Krise hat die Schwachstellen einer reaktiven Strategie deutlich zu Tage treten lassen. Altlasten holen die Firmen jetzt ein, entweder beim nächsten Audit oder der nächsten Datenschutzverletzung. An die Stelle der Schadensbegrenzung muss langfristige Belastbarkeit treten. Sicherheit sollte ihren integrativen Platz in der technologischen Infrastruktur haben. Auf dieser Infrastruktur basiert dann alles, was ein Unternehmen tut. Sie schafft nicht einfach nur Abhilfe, wenn Probleme auftauchen. Ansätze wie eine „Just-in-Time“-Infrastruktur und Agilität spielen bei technischen Innovationen eine wichtige Rolle. Man muss sich aber die Frage stellen, wie angreifbar sie ein Unternehmen machen, und wie man die Risiken handhaben will. Das gilt umso mehr für Cloud-basierte Strategien. Sie erweitern Rechenzentren um zusätzliche Ressourcen in einem noch vergleichsweise neuen Technologieumfeld – dazu braucht man Expertise und entsprechendes Personal.
Standards wie der Payment Card Industry Data Security Standard (PCI DSS) sollen in bestimmten Bereichen Abhilfe schaffen. Stichwort PCI DSS v4.0. Zum jetzigen Zeitpunkt sieht es so aus, als würde das PCI Security Standards Council die Version 4.0 Ende dieses Jahres fertigstellen. Derzeit ist noch wenig über die neue Version bekannt.
Welches sind die wichtigsten Ziele des überarbeitenden Standards?
PCI DSS v4.0 soll beispielsweise die Flexibilität erhöhen und zusätzliche Methoden anführen, die einen höheren Sicherheitslevel unterstützen. Historisch gesehen war der Standard in dieser Hinsicht schon immer tauglich. Er hat in der Vergangenheit beispielsweise Methoden wie das File Integrity Monitoring (FIM) und Vulnerability Management (VM) eingeführt.
Eines der Hauptziele von PCI DSS v4.0 wird sein, Sicherheit als kontinuierlichen Prozess zu fördern, so dass die betreffenden Unternehmen über einen längeren Zeitraum hinweg konform bleiben. Schlussendlich soll der Standard Validierungsmethoden und -verfahren weiter verbessern, um Firmen in ihren Compliance-Bemühungen zu unterstützen.Nach der Fertigstellung von PCI DSS v4.0 wird es eine längere Übergangszeit geben, damit Unternehmen auf die neueste Version des Standards umstellen können.
Welche Probleme können während dieser Übergangszeit auf Banken zukommen?
PCI DSS v.3.2.1 bleibt nach der Fertigstellung von v4.0 noch 18 Monate in Kraft. Diese Übergangszeit verschärft möglicherweise einige Probleme. Erstens besteht die Gefahr eines sogenannten Konfigurationsdrifts. Sichere Konfigurationen neigen über die Zeit dazu von der ursprünglich sicheren Grundlinie abweichen.
Zweitens sind Firmen gehalten sich der anstrengenden Aufgabe unterziehen, die Compliance gegenüber Auditoren nachzuweisen. Abhängig von der Anzahl der Assets, der Tests und der Kontrollen braucht man für die Durchführung eines Audits sehr viel Zeit und muss einiges an Aufwand betreiben. Schließlich benötigen Unternehmen historische Daten, um die Compliance über einen längeren Zeitraum nachweisen zu können. Abhängig von den verfügbaren Ressourcen und der Größe der Umgebungen, ist es unter Umständen gar nicht praktikabel alle Systeme zu prüfen.Eine Entscheidung, die zumindest dazu führen kann, dass bestimmte Arten von Bedrohungen weiterhin unerkannt bleiben.
Oder Unternehmen entscheiden sich, in eine PCI DSS Compliance-Lösung zu investieren, sind aber gar nicht in der Lage deren Potenzial auszuschöpfen. PCI DSS setzt voraus, dass Unternehmen über Log-Management-, FIM- und VM-Funktionen verfügen. Das kann sich als ziemlich kostspielig erweisen, wenn Unternehmen dabei jeweils auf einen anderen Anbieter zurückgreifen. Eine FIM-Lösung schlägt beispielsweise bei Änderungen Alarm, bietet aber keinen Kontext zu diesen Alarmen. Eine VM-Lösung führt vielleicht regelmäßige Scans durch und identifiziert Schwachstellen, aber sie gibt keine Anleitung wie man die Sicherheitslücken am besten schließt.
Konfigurationsdrifts sind offensichtlich eines der grundlegenden Probleme. Die manuelle Konfigurationsüberwachung ist extrem zeitaufwändig und führt tendenziell dazu, von einem regelmäßigen Scan-Rhythmus abzuweichen. Compliance-Vorgaben wiederum beziehen oft nur eine Teilmenge dieser Systeme in eine Prüfung ein.
Wie lässt sich gegensteuern und wie bereiten Banken und Finanzdienstleister sich am besten auf die veränderten Anforderungen vor?
Aus strategischer Sicht ist die sichere Konfiguration ein guter Ausgangspunkt. Die sehr viel größere Herausforderung liegt darin sie dauerhaft zu pflegen. Unternehmen sollten für die betreffende Umgebung ein konkretes Ziel vor Augen haben und daran festhalten. Nur das gewährleistet, dass die Systeme in den Umgebungen der Karteninhaber auch tatsächlich in dem gewünschten Zustand bleiben.
Im Idealfall ist eine Lösung so ausgestattet, dass ein Unternehmen damit nicht nur die Compliance mit PCI DSS, sondern auch mit weiteren wichtigen Standards wie CIS, ISO 27001 und anderen mehr nachweisen kann. Das passiert über die Bereitstellung von sofort einsatzbereiten Audit-Berichtsvorlagen und automatisierten Compliance-Reports. Darüber verbindet sich so eine Lösung mit allen Assets/Systemen im Geltungsbereich und testet sie daraufhin, ob sie eine Compliance-Prüfung bestehen oder nicht. Das spart Unternehmen viel Zeit, die sonst in die manuelle Überprüfung fließen würde. Im Idealfall zeigen die auf dieser Basis erstellten Berichte nicht nur Compliance auf, sondern sie protokollieren auch Änderungen an den betreffenden Assets. So gewinnt man Transparenz und behält den Überblick über die Systeme. Das wiederum hilft, Konfigurationsdrifts schnell zu beheben und Compliance langfristig sicherzustellen.
Tipps: Sie möchten mehr zum Thema Cybercrime? Dann schauen Sie hier.
