Sicherer Kreislauf

Diebe erbeuteten 2016 über 81 Millionen US Dollar bei einem spektakulären Bankraub. Dieser fand allerdings nicht physisch, sondern virtuell statt, und zwar bei der Notenbank von Bangladesch. Dabei kam es wohl auch zu einem erfolgreichen Angriff auf das Zahlungssystem Swift, mit dem weltweit der Zahlungsverkehr abgewickelt wird. Auch in Ecuador kam es 2015 zu einem ähnlichen Fall, bei dem an die neun Millionen US Dollar virtuell erbeutet wurden. Auch wenn es sich hierbei eher um Ausnahmen und besonders spektakuläre Fälle handelt, zeigen sie, dass das Finanzsystem als solches sich einer ständigen Bedrohung durch Hacker und Cyberkriminelle bewusst sein muss.

Hierzulande zählen Banken und Versicherer gemäß bestimmter Kriterien zu den kritischen Infrastrukturen des Finanzsektors und unterliegen damit den Regularien und Anforderungen des BSI und der Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht). Laut einer Studie des Dienstleisters Accenture, für die weltweit 275 Sicherheitsbeauftragte von Finanzdienstleistern befragt worden sind, sind 36 Prozent der unternommenen Angriffe („breach attempts“) erfolgreich. Ein großes Problem besteht zudem neben einem erfolgreichen Angriff auch in der Dauer, diesen zu entdecken. Die allermeisten Probleme werden dabei durch Mitarbeiter aufgedeckt und gemeldet. Das Entdecken selbst kann dabei sogar Monate in Anspruch nehmen, wie die Umfrage zeigt.

Die Möglichkeiten, Prozesse in Geldinstituten zu manipulieren und Daten abzugreifen oder umzuleiten, sind mittlerweile zahlreich geworden und nicht alleine auf virtuelle Angriffe von außen beschränkt.

Neben Angriffen, die auf Bankmitarbeiter und interne IT-Strukturen abzielen, sind es überwiegend Versuche, die Kunden der Banken als vermeintlich leichtere Opfer über verschiedene Angriffsarten zur Herausgabe von Daten oder gleich zur Tätigung von Geldtransfers zu veranlassen. Das „Phishing“, also der massenhafte Versand gefälschter E-Mails mit dem Ziel, dem Adressaten vertrauliche Informationen zu entlocken, trifft Bankangestellte und Kunden gleichermaßen. „Wir beobachten, dass solche Versuche, Daten abzugreifen, in Wellen stattfinden und dass solche Wellen nicht gleichmäßig über die Kreditwirtshaft hinweg verteilt sind, sondern oftmals auf bestimmte Institutsgruppen fokussiert werden können“, erläutert André Nash, Abteilungsdirektor beim Bundesverband deutscher Banken. Eher auf Kundenseite zu verorten sind Angriffsarten wie „Smishing“, das Abgreifen sensibler Informationen per SMS-Aufforderung oder das „Vishing“, das Daten mittels gefälschter automatisierter Telefonanrufe erlangen will. Auch „Key-Logger“ werden oft genutzt, um bei Privatanwendern Passwörter und Zugangsinformationen mitzulesen.

Eine Methode, die mitunter besonders schwierig zu erkennen ist, wenn sie mit Aufwand durchgeführt wird, ist der „Business E-Mail Compromise“. Hierbei werden entweder von Geschäftsführern oder Mitarbeitern E-Mail-Konten gehackt, um mit deren Absenderadresse einer anderen Stelle eine anscheinend legitime Aufforderung für einen Zahlungsvorgang vorzutäuschen. Nicht selten werden solche E-Mails mit einer gewissen Dringlichkeit und der Verpflichtung zum Stillschweigen verschickt, da es sich etwa um einen bevorstehenden noch geheimen „Deal“ handelt. Dasselbe Prinzip funktioniert auch mit E-Mail-Konten von Mitarbeitern, die an Geschäftspartner vermeint-
liche „echte“ Zahlungsaufforderungen versenden.

Die Methoden, die bei Bankkunden zur Anwendung kommen, können auch direkt auf Mitarbeiter der Bank zielen. Das bereits erwähnte Phishing und der Einsatz von Trojanern erfordert eine hohe Wachsamkeit, bevor auf augenscheinliche legitime Links geklickt oder Formulare ausgefüllt werden sollen.

Ein weiteres Phänomen ist das Social Engineering, das auch bei der Unternehmensspionage häufig zum Einsatz kommt. Hier werden über offen zugängliche Quellen wie Social Media Accounts, aber auch Netzwerkplattformen Informationen über Mitarbeiter, hierarchische Strukturen und Verantwortlichkeiten gesammelt, um anschließend speziell auf die Person abzielende, möglichst authentisch wirkende E-Mails an Dritte oder den Betreffenden selbst zu versenden. „Je mehr Informationen über die Zielperson verfügbar sind, desto mehr Authentizität lässt sich herstellen und Mitarbeiter damit zu letztlich schädigenden Handlungen verleiten“, so Nash. Häufig ist ein mögliches Einfallstor für Malware das Versenden manipulierter Bewerbungen, bei denen die Anhänge entsprechend präpariert sind.

Neben den virtuellen Attacken müssen gerade Banken aber auch physisch sicherstellen, dass vertrauliche Informationen nicht in falsche Hände gelangen. Dazu gehören ein entsprechendes Zutrittskontrollsystem, auch und gerade dort, wo sensible Informationen – und sei es nur vorübergehend – gelagert sind, beispielsweise in eigenen Druckerräumen. Wie die Bafin festgestellt hat, gibt es aus europäischer Sicht sektorweite Schwachstellen. Zu diesen gehören unzureichende Überwachung von dritten Dienstleistern, ein unzureichendes Testen von Prozessen und Technologien sowie auch von Personen (Compliance), mangelnde Investitionen in die Fähigkeit, Angriffe zu erkennen sowie der Fokus eher auf die Technik und einer damit einhergehenden Vernachlässigung des Faktors Mensch. Laut der Studie von Accenture sehen 48 Prozent der Befragten ein Problem für die Cybersicherheit bei den Mitarbeitern.

Die IT-Technik entwickelt sich kontinuierlich weiter, weswegen Banken und Versicherer mit entsprechenden Maßnahmen durchaus in der Lage sind, ihre Systeme vergleichsweise sicher zu machen. Daher ist es aus Sicht der Angreifer auch nur unter bestimmten Bedingungen lukrativ, direkte Angriffe auf ein Geldinstitut zu fahren. Im Falle der Zentralbank von Bangladesch war ein Grund für den Erfolg veraltete und ungenügend abgesicherte Technik. Daher ist aus Kosten-Nutzen-Sicht der Einsatz von Phishing-E-Mails immer noch erfolgversprechend. Daher muss neben dem Stand der Technik der IT-Infrastruktur und Sicherheit vor allem der „Faktor“ Mensch in den Fokus gerückt werden. Einige Geldhäuser verbreiten etwa Broschüren, in denen vor den verschiedenen Risiken gewarnt und erklärt wird, wie man sich als Kunde schützen kann. So sollten beispielsweise Freigaben von Zahlungen nach dem vier-Augen-Prinzip geschehen, Grenzwertüberwachung bei Beträgen eingeführt und Arbeitsplatzrotation und Pflichturlaub für Zahlungsverkehrsmitarbeiter umgesetzt werden. Mitarbeiter gerade in sensiblen Unternehmensbereichen sollten Cyber-Security-Awareness-Trainings absolvieren und hinsichtlich Social-Engineering-Angriffen geschult sein.

Für Banken auf der anderen Seite sind eine ganze Reihe von Maßnahmen, die in den verschiedenen Regelwerken der Aufsichtsbehörden gefordert sind, Pflicht. Die Bafin hat bereits 2017 die „Bankaufsichtliche Anforderungen an die IT“ (BAIT) veröffentlicht, anhand derer die Banken ihre IT-Strategie auszurichten haben.

Auch wenn die Bedrohung im Cyber-Raum für Geldhäuser und deren Kunden in den letzten Jahren nicht signifikant an Zahl zugenommen hat, sind durch die zunehmende Vernetzung, auch durch neue Serviceleistungen und Bezahlangebote, die Risiken breiter gestreut. Während vor allem Geschäftskunden selbst ein Auge auf ihre Prozesse haben müssen, sind die Banken gefordert, dort wo noch nicht geschehen, ihre IT auf den Stand der Technik zu bringen, um es Angreifern so schwer wie möglich zu machen. Für Banken ist dies überlebenswichtig, denn das in sie gesetzte Vertrauen ist mindestens ebenso wichtig wie das eingebrachte Kapital. Um Mängel rechtzeitig aufzudecken, überlegt daher die Bafin, die IT-Sicherheitssysteme der Banken mittels „Stresstests“ zu evaluieren. Hendrick Lehmann, freier Mitarbeiter von PROTECTOR