Die Sicherheit der Bank- und Finanzsysteme wird zunehmend durch die steigende Anzahl von Cyber-Angriffen und ihre Findigkeit auf die Probe gestellt. Ist man zwischen Sicherheitslösungen und neuen Gesetzen vorbereitet, den Kampf an allen Fronten aufzunehmen?
Im Februar erklärten mehrere niederländische Finanzorganisationen, Ziel eines massiven DDoS-Angriffs (Distributed Denial of Service – Dezentrale Dienstverweigerung) gewesen zu sein, bei dem es zu erheblichen Serviceausfällen gekommen sei. Zum selben Zeitpunkt deckte ein von der Zentralbank der Russischen Föderation veröffentlichter Bericht auf, dass Hacker seit 2016 fast 5 Mio. Euro veruntreut hätten, indem sie sich des Swift-Systems bedienten, das zur Kommunikation zwischen den Banken genutzt wird.
Noch eindrucksvoller ist folgende Zahl: Im Jahr 2016 ist es Cyberkriminellen gelungen, eine Rekordsumme von 81 Mio. Dollar von der Zentralbank Bangladeschs zu erbeuten. Und die Liste der „Cyber-Raubüberfälle“ ist noch länger ...
Banken – ein beliebtes Angriffsziel, das von höherer Stelle geschützt werden muss
Der Bankensektor ist in den letzten Jahren zu einem beliebten Angriffsziel für Cyberkriminelle geworden. Das kommt nicht überraschend, glaubt man dem Chief Information Security Officer (CISO) einer großen französischen Bank, der namentlich lieber nicht genannt werden möchte: „Die Tatsache, dass das Internet als eine Art „Transportnetzwerk für den Geldverkehr“ genutzt wird, bedeutet für den Bankensektor verständlicherweise höhere Risiken. Gleichzeitig ist dies ein besonderer Anreiz für die Bankräuber 2.0. “
Eine sehr gefährliche Situation, die im Jahr 2013 dazu geführt hat, dass die wichtigsten französischen Banken im Rahmen des verabschiedeten Gesetzes über ein Programm zur Verteidigungsfinanzierung (Loi de Programmation Militaire, LPM, mehr hierzu weiter unten) als Organisationen von wesentlicher Bedeutung (Organismes d‘importance Vitale, OIV) klassifiziert wurden.
Ob die Schwachstelle beim Menschen, der Informatik oder der Hardware zu finden ist, Hacker nutzen jede Sicherheitslücke
Einem Sinnspruch zufolge sitzen die meisten Computerprobleme zwischen Tastatur und Stuhl. Cyberkriminelle nehmen dies zum Anlass, um insbesondere die Mitarbeiter von Banken ins Visier zu nehmen. Ein gutes Beispiel hierfür ist der Carbanak-Hack aus dem Jahr 2015. Einer Hackergruppe gelang es, die Arbeitsplätze von Mitarbeitern bei rund 100 Banken in über 30 Ländern, einschließlich Frankreich, über personalisierte E-Mails (Spear-Phishing oder gezieltes Phishing) zu infiltrieren. Über diese E-Mails konnten die Hacker in das IT-System der Banken eindringen und dort Backdoors installieren. Diese „Hintertürchen“, deren Funktionen der Benutzer nicht kennt, ermöglichen den geheimen Zugriff auf den Arbeitsplatz oder die Software des Opfers, sodass dessen Aktivitäten überwacht oder gezielt gesteuert werden können.
Der Fantasie der Hacker scheinen keine Grenzen gesetzt zu sein, und sie nutzen verschiedene Techniken für ihre Hacks. Beim Jackpotting zum Beispiel werden Bankautomaten mit Hilfe eines einfachen USB-Sticks und eines Computers geleert. 2017 wurden auf diese Weise in einer einzigen Nacht acht Automaten russischer Banken geleert und insgesamt schätzungsweise ein Betrag im Wert von 800.000 Dollar erbeutet. Und diese Geschichte hat sich Anfang 2018 in Frankreich wiederholt, als ein Hacker auf frischer Tat gefasst wurde, der einen Geldautomat der Caisse d‘Épargne gekapert hatte. Es war ihm gelungen, mehr als 21.000 Euro zu stehlen.
Auch Geldautomaten können das Ziel von Malware (Schadsoftware) sein. Alice und Ripper gehören zu den bekanntesten Schadprogrammen, die sich über einen USB-Port über das Netzwerk des Geräts oder direkt über sein Betriebssystem installieren lassen. Die berüchtigte Gruppe von Cyberkriminellen namens Cobalt hat auf diese Weise seit 2013 ein Dutzend europäischer Länder um einen Betrag in unbekannter Höhe „erleichtert“.
Eine andere eingesetzte Methode umfasst den Einsatz von sogenannten Skimmern. Mit diesen Vorrichtungen können die Daten von Bankkarten ausgelesen werden (einige Skimmer sind Aufsatzgeräte, die in ihrem Aussehen dem Automaten bzw. Teilen des Automaten nachempfunden sind, andere Skimmer werden im Lesegerät des Geldautomaten installiert).
Das sind die Backdoors, die Banken am meisten fürchten.
Annick Baudet, Senior Account Manager bei Stormshield,
„Von all diesen Verfahren sind es unbestreitbar die von den Cyberkriminellen installierten Backdoors, die den Banken die größte Angst machen“, erklärt Annick Baudet, Senior Account Manager bei Stormshield, „denn diese Art von Verfahren kann die Tür zu Ihren IT-Systemen weit und dauerhaft öffnen.“ Dies ist auch der Grund, warum sich Bankinstitute zum Schutz mit hochentwickelten Lösungen ausstatten müssen, wie z. B. mit Firewalls mit doppelter Sicherheitsbarriere: Durch Einsatz von unterschiedlichen Technologien wird die Wahrscheinlichkeit, bösartige Datenströme zu erkennen, wesentlich erhöht. Mit diesen Lösungen kann das IT-System der Bank tatsächlich isoliert werden, indem zwischen System und Internet Mechanismen geschaltet werden, die Datenströme auf ihre Ordnungsmäßigkeit hin überprüfen.
Zahlreiche neue Regelungen zum Schutz des Bankensektors
Angesichts dieser Bedrohung werden die Institutionen aktiv. Die französische Finanzaufsichtsbehörde (Autorité des marchés financiers, AMF) und die Nationale Agentur für Sicherheit der Informationssysteme (Agence Nationale de la Sécurité des Systèmes d'information, ANSSI) haben im Februar eine stärkere Zusammenarbeit im Bereich der Sicherheit von Informationssystemen angekündigt. Die ANSSI und die französische Aufsichtsbehörde für Banken und Versicherungen (Autorité de contrôle prudentiel et de résolution dans les secteurs de la banque et de l'assurance, ACPR) haben eine ähnliche Vereinbarung unterzeichnet. Diese beiden Vereinbarungen sehen einen regelmäßigen Informationsaustausch über Ereignisse vor, welche die Sicherheit von IT-Systemen betreffen bzw. gefährden, sowie eine Zusammenarbeit auf dem Gebiet der IT-Sicherheit und bei der Bewältigung von möglichen Krisensituationen.
Und auch die Gesetzgebung wird schärfer. An drei wichtigen Regelungen führt nun kein Weg mehr vorbei:
- die zweite Zahlungsdienstrichtlinie (PSD2), die im Januar 2018 in Kraft getreten ist;
- die europäische Datenschutzgrundverordnung (DGSVO), in welcher die ab Mai 2018 von den Unternehmen zu erfüllenden Sicherheitsanforderungen festgelegt sind;
- die Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) der Europäischen Union, welche es den Mitgliedsstaaten zur Auflage macht, nationale Kapazitäten und Kompetenzen für Cyber-Sicherheit zu schaffen und die Sicherheit ihrer Betreiber grundlegender Dienste zu erhöhen. Nach Inkrafttreten der Richtlinie am 9. Mai werden die Mitgliedsstaaten sechs Monate Zeit haben, um die Auswahl der Betreiber zu verfeinern.
Zu diesen zahlreichen Regelungen kommen noch die bereits geltenden Regelungen hinzu, wie beispielsweise der Standard PCI DSS (Payment Card Industry Data Security Standard) zum Schutz der Daten von Bankkarten oder auch zukünftige Regelungen wie das von SWIFT initiierte Customer Security Programme (CDP).
Und hierbei sind „opportunistischere“ Initiativen wie FIDO (Fast Identity Online) noch nicht berücksichtigt. FIDO ist ein starkes Authentifizierungsprotokoll für Online-Zahlungen, das von großen Unternehmen (u. a. Google, Microsoft, Amazon, Samsung, Lenovo, Gemalto) unterstützt wird, die dieses Protokoll angesichts der Einführung der PSD2 in Europa gern als Standard für den Markt etablieren würden.
Die LPM als Wegbereiter
Mit dem Gesetz über ein Programm zur Verteidigungsfinanzierung (Loi de Programmation Militaire, LPM), welches im Jahr 2013 verabschiedet wurde, hatte Frankreich Gelegenheit, sich einen Vorsprung gegenüber anderen Ländern zu verschaffen, indem die IT-Sicherheit der „Betreiber von essentieller Bedeutung“ (Opérateurs d‘Importance Vitale, OIV ), also der Organisationen , deren Aktivitäten für die Bevölkerung unverzichtbar sind, verstärkt wurde. Zwölf Branchen wurden als solche eingestuft, hierunter auch der Bankensektor. Der IT-Sicherheit dieser OIV muss ganz besondere Aufmerksamkeit gewidmet werden. Doppelte Sicherheitsbarriere und qualifizierte Lösung: Die ANSSI hat Anfang 2018 einen Leitfaden mit bewährten Praktiken für die OIV zur Umsetzung ihrer Sicherheitslösung veröffentlicht.
Sicherheitslücken und fehlende personelle Ressourcen bei den Banken
In diesem stark regulatorischen Kontext wurde im Jahr 2016 eine Studie von Accenture Security durchgeführt, die offenbarte, dass fast 10 % des IT-Budgets der Banken auf die Cyber-Sicherheit verwendet werde. Dennoch ist man nach Aussage des Beratungsriesen noch weit davon entfernt, zu erkennen, dass dieses Thema Priorität haben muss. Dies zeigt sich normalerweise an fehlenden internen Kompetenzen, sowohl was die Sicherheit der sensiblen Anwendungen oder Kundendaten als auch die Sensibilisierung und internen Schulungen betrifft.
„Wir erleben hier einen echten Widerspruch: Während die Informationssysteme immer komplexer werden und mit ständig steigenden Betriebskosten einhergehen, neigt der Bankensektor wie viele andere dazu, seinen internen Personalbestand abzubauen“, so Annick Baudet.
Schwieriges Gleichgewicht zwischen der Gewährleistung maximaler Sicherheit und der Benutzererfahrung
Mit Inkrafttreten der PSD2, anhand der die Entwicklung eines Open Banking (offener Zugriff auf Konten durch Dritte) eingeführt wird, werden verstärkte Sicherheitsmaßnahmen erforderlich. Eine der Herausforderungen wird es sein, für die Kunden eine sicherere Authentifizierung zu garantieren, wobei diese aber gleichzeitig auch relativ unkompliziert mit ergonomischen und effizienten Schnittstellen gestaltet sein muss, um die Kunden nicht abzuschrecken. „Für die Banken ist dies eine große Herausforderung, die sie neben den anderen großen Themen, wie das der LPM, bewältigen müssen. Für sie ist es daher angesichts dieser Herausforderungen unerlässlich, dass sie sich unterstützen und helfen lassen“, so die Schlussfolgerung von Annick Baudet.