- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Cybersicherheit im Banken- und Finanzwesen


Oleg Kolesnikov: "Wenn man sich nur die jüngste Serie von Datenschutzverletzungen im Banken- und Finanzwesen ansieht dann kann man derzeit von einem signifikanten Risiko ausgehen"
"Wir konnten beobachten, dass Angreifer Malware und Cybersicherheitsmethoden dazu nutzen, Bankenangestellte von ihrer Tätigkeit an Zahlungs-, Clearing- und Abrechnungssystemen abzulenken"



Wie schätzt Oleg Kolesnikov, VP of Threat Research Cybersecurity, Red Team bei securonix, den gegenwärtigen Stand der Cybersicherheit im Banken- und Finanzwesen ein? Und daran anschließend gleich eine zweite Frage. Wie hoch ist das Risiko bei potenziell gefährdeten Mitarbeiterkonten oder seitens eines Innentäters innerhalb der Bank selbst?

Oleg Kolesnikov: Wenn man sich nur die jüngste Serie von Datenschutzverletzungen im Banken- und Finanzwesen ansieht - nehmen wir Cosmos, FastCash, Moneytaker, Lazarus und andere als Beispiel - dann kann man derzeit von einem signifikanten Risiko ausgehen. Einem Risiko, das gleichermaßen leicht zu hackende Konten von Angestellten betrifft wie auch potenzielle Insiderbedrohungen. Dazu kommen zielgerichtete Spear-Phishing-Angriffe und mehrstufige Malware-Kampagnen. Wir beobachten schon länger den Trend, dass Angreifer inzwischen ein tieferes Verständnis für die IT-Infrastruktur in Banken und für deren einzelne Komponenten entwickelt haben wie etwa das SWIFT-Netz, quasi das Herzstück des Bankennetzwerks, oder ATM-Maschinen.

Der Cosmos-Angriff basiert beispielsweise auf einem eigens entwickelten fortschrittlichen ATM-Switch. Über die implantierte Malware waren die Angreifer in der Lage auf die fünfstellige Nummer des Karten-ausgebenden Instituts im internationalen Kundenzahlungsverkehr PAN (PAN = Primary Account Number) und Kundendaten zuzugreifen. Bei diesem kombinierten SWIFT/ATM-Angriff wurden umgerechnet 13.5 Millionen Dollar bei der größten Genossenschaftsbank Indiens gestohlen.

Wir konnten ebenfalls beobachten, dass Angreifer Malware und Cybersicherheitsmethoden dazu nutzen, Bankenangestellte von ihrer Tätigkeit an Zahlungs-, Clearing- und Abrechnungssystemen abzulenken. Alles Systeme auf die Hacker es abgesehen haben. Ein Beispiel für einen solchen Vorfall war KillDisk, eine destruktive Wiper-Malware, die bei einem SWIFT-basierten Angriff auf die Banco de Chile im letzten Jahr benutzt wurde.

Auch die Ryuk/Hermes-Ransomware und der Banking-Trojaner Trickbot haben es nicht mehr nur auf Bankdaten selbst abgesehen, sondern auch auf Passwörter, Cookies, Browser-Verläufe und Autofill-Informationen. Diese Angriffe haben direkt den Bankkunden im Visier und richten sich gegen den Akquirer/CNP-Prozess. Dazu nutzen die Angreifer Schwachstellen innerhalb der Lieferkette von Kreditkarten. Ein ganz ähnliches Verfahren wie es übrigens auch bei dem schlagzeilenträchtigen Angriff auf die Kundendaten von British Airways verwendet wurde.

Und dann gibt es natürlich noch die von Ihnen bereits angesprochenen Insider-Attacken. Sie stellen ebenfalls ein nicht zu unterschätzendes Risiko dar. Ein Beispiel aus dem Februar des letzten Jahres: der SWIFT-basierte Angriff auf die PNB-Bank, bei dem ein Schaden von rund 1.8 Milliarden Dollar durch betrügerische Transaktionen entstanden ist. Ausgangspunkt: zwei Beschäftigte der Bank, ein Loan Manager und ein weiterer Angestellter arbeiteten mit dem Kreditempfänger (einem angeblichen Komplizen) zusammen um dessen SWIFT-Zugang zu missbrauchen. Innerhalb von nur einem Jahr wurden mehr als 150 betrügerische Transaktionen veranlasst.

Technisch möglich wurden die ambitionierten Betrügereien durch eine Lücke innerhalb der internen Kontrollen (CBS). Weder gab es ein automatisiertes Monitoring noch eine Integration zwischen den SWIFT- und den CBS-Protokollen. Mitarbeiter waren gezwungen sämtliche Log-Aktivitäten manuell zu überwachen. Effektiv haben die Angestellten sich also selbst überwacht. Das Ganze ging wie gesagt über einen Zeitraum von über einem Jahr. Die STR/FIR-Berichte wurden erst angefordert als bereits annähernd 2 Milliarden Dollar gestohlen worden waren. In beiden Fällen hätten Cybersicherheitskontrollen einiges dazu beigetragen, den Schaden in Grenzen zu halten. Eine der wichtigsten Komponenten um Risiken zu begrenzen ist die Fähigkeit eine Bankenumgebung umfassend zu überwachen.

Frage: Welche Schritte sollte der Banken- und Finanzsektor unternehmen um sich in Zukunft besser gegen Angriffe zu wappnen und das Risiko von Betrug und schwerwiegenden Datenschutzverletzungen zu senken?

Oleg Kolesnikov:
Wir haben gerade in jüngster Zeit einige folgenschwere Angriffe auf den Banken- und Finanzsektor beobachtet. Cosmos, FastCASH, Lazarus,
Cobalt, Moneytaker, Lurk und einige weitere mehr. Es gibt wenigstens drei grundlegende Schritte wie Banken die Risiken am besten minimieren. Das gilt gleichermaßen für Insider-Attacken wie für Angriffe bei denen ein unschuldiger Nutzer zum "Patient Zero" bei einer Phishing- oder Drive-by-Download-Attacke wird.

1. Transparenz bei der Aufdeckung von Sicherheitsvorfällen, "blinde Flecke" adressieren – Banken und andere Finanzinstitute sollten Tools installieren, welche die erforderlichen Daten sammeln. Nur so lässt sich Transparenz herstellen und Sicherheitslücken abdecken. Beginnen Sie beim potenziell schwächsten Glied innerhalb der Kette. Einer dieser Bereiche in vielen der uns bekannten Fälle ist die mangelnde Sichtbarkeit auf der ATM- und der Netzwerkebene. Ein blinder Fleck, der von Angreifern über die unterschiedlichsten Vektoren angegriffen und ausgenutzt wird (Unstimmigkeiten bei den Switches, als zentraler Ausgangspunkt für eine Malware, Ausnutzen des CBS-Prozesses, LMNR/sMB Relay-Attacken usw.). Ein weiterer Schwachpunkt ist die mangelnde Transparenz

bei mobilen Geräten und bei Backend-/oder Logical Terminal (LT)-Geräten und deren Verhalten. Es fehlt meistenteils die Einsicht in SWIFT SAA/LT-Protokolle. Oftmals ist es nicht möglich, die nötigen Verknüpfungen zwischen einem bestimmten (Cyber-)Verhalten und den Zahlungs-, Clearing- und Abrechnungssystemen und deren vielfältigen Verbindungen (zu FMUs - CHIPS/CHAPS, Euroclear, Eurex, LCH.Ciearnet, SIA, TARGET2, CLS Bank etc.) herzustellen. Das gleiche gilt für die weitreichenden Verknüpfungen der Interbanken-Überweisungssysteme oder den Kunden-Backends. Auch hier fehlt in aller Regel die Einsicht in die Protoll- und Eventdaten. Solche Kunden-Backend-Systeme wurden erst vor einigen Wochen beim Angriff auf die Bank of Mexico ausgenutzt. Bei dieser Cyberattacke wurden allein 15 Millionen Dollar erbeutet.

2. Gegnerische Angriffe simulieren – Um verdächtige Anzeichen und Angriffe möglichst frühzeitig zu erkennen muss man die potenzielle Angriffsfläche kennen, einschließlich möglicher blinder Flecke. Dazu ist es unerlässlich die eigenen Sicherheitsmaßnahmen kontinuierlich zu überprüfen. Red Team-Angriffe mit simulierten Attacken tragen dazu bei die Wirksamkeit der Kontrollen zu validieren und die generelle Sicherheitslage besser als zuvor zu verstehen. Übungen zur Gefahrenabwehr bei der sämtliche Nutzer einbezogen werden dienen dazu die Angriffsfläche zu minimieren.

Einen Simulator für Phishing-Angriffe unter Microsoft O365 und weitere Tools finden Sie hier:
https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Announcing-the-Public-Preview-of-Attack-Simulator-for-Office-365/ba-p/162412

Für diesen wichtigen Schritt braucht man weder große IT-Sicherheitsabteilungen noch riesige Budgets. Es gibt etliche automatisierte Tools, mit denen man Datenschutzverletzungen und Angriffe simulieren kann. Darunter kommerzielle, aber auch frei zugängliche Tools (u.a. Attack iQ, Cymulate, Atomic Red Team).

3. Konzentrieren Sie sich auf die Früherkennung von Angriffen mittels Automation/Security Analytics Tools
Der Bankensektor kämpft wie viele Branchen mit einer dünnen Personaldecke im Bereich IT-Sicherheit und mit fehlenden Budgets. Angesichts dessen ist es sinnvoll automatisierte Tools einzusetzen. SIEM-Lösungen sammeln automatisch alle anfallenden Daten, analysieren sie und lösen entsprechende Maßnahmen aus. Moderne Software nutzt dazu maschinelles Lernen, eine Untergruppe der künstlichen Intelligenz. Solche Lösungen senken den Personal- und Analyseaufwand und übernehmen zahlreiche der anfallenden Routineaufgaben bei Sicherheitsuntersuchungen automatisch.

Was noch wichtiger ist: Auf der Basis von maschinellem Lernen sind solche Lösungen in der Lage, ein Verhalten zu erkennen, dass von dem vorher in dieser Umgebung als "normal" definiertem Verhalten abweicht. Dadurch ist es möglich, anomales Verhalten zu erkennen, die einzelnen Punkte miteinander zu verbinden und so Angriffe schon in einem sehr frühen Stadium zu erkennen. Das wiederum trägt dazu bei, den durch Betrug und Datendiebstahl entstehenden Schaden zu begrenzen.

Am Beispiel des Lazarus-Angriffs: Automatisierte Sicherheitstools hätten hier an verschiedenen Stellen geholfen. Sie hätten beispielsweise die betrügerischen Transaktionen als solche erkannt und mehr noch hätten sie die Transaktionsanomalien mit dem Benutzer in Verbindung bringen können von dessen Konto die Bedrohung ursprünglich ausgegangen war. Auch die für solche Attacken typischen anschließenden Seitwärtsbewegungen im Netzwerk wären ebenso wenig unentdeckt geblieben wie die LSO/RSO Kompromittierung, das Umgehen der Multi-Faktor-Authentifizierung und so weiter. Natürlich kann man solche Tools auch mit den bereits existierenden AML/STR-Sicherheitsprozessen kombinieren und so die Chancen kritischer Risiken weiter vermindern
(securonix: ra)
eingetragen: 06.02.19
Newsletterlauf: 13.03.19

securonix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Interviews

  • Praktisch alle Unternehmen werden angegriffen

    Von Cyberkriminalität sind schon lange nicht mehr nur öffentliche Einrichtungen und Großunternehmen betroffen. Beispielsweise via E-Mail sind alle Unternehmen potenzielle Opfer. Warum deshalb eine Cyberschutz-Versicherung eine sinnvolle Ergänzung zu angemessenen Sicherheitsmaßnahmen darstellt, erklärt Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit, im Interview. Laut einer eco-Studie haben nur rund fünf Prozent der Unternehmen eine Cyberschutz-Versicherung abgeschlossen. Wie erklärt sich der geringe Anteil?

  • Übertriebener Hype um KI

    Eset hat eine Studie dazu veröffentlicht wie der Hype um Künstliche Intelligenz (KI) sich auf die Haltung von Unternehmen in punkto IT-Sicherheit auswirkt. 75 Prozent der von Eset befragten IT-Entscheider bewerten künstliche Intelligenz tatsächlich als ein Art Wunderwaffe in der Cybersicherheit. Gleichzeitig räumen aber 53 Prozent ein, dass sie den Unterschied zwischen künstlicher Intelligenz und maschinellem Lernen nicht vollständig verstehen. Dazu zwei Fragen an Martin Grauel, EMEA Technical Sales Manager bei One Identity.

  • Wissen, Training, Fähigkeiten: überflüssig

    Entwicklern von Malware wird immer häufiger der Prozess gemacht, und die "Blackhat Industry" rückt damit noch von einer weiteren Seite ins Bewusstsein einer breiten Öffentlichkeit. Dazu Fragen an Sascha Dubbel, Senior Sales Engineer bei Cylance.

  • Trend: DDoS-Angriffe in Verbindung mit Erpressung

    Nach den DDoS-Attacken im letzten und im laufenden Jahr äußert sich Marcel Leitel, Security Sales Engineer beim Spezialisten für automatisierte DDoS-Abwehr, Corero Network Security. Seine Einschätzung: "Ja, es sieht ganz so aus als seien DDoS-Angriffe in Verbindung mit Erpressung ein wachsender Trend."

  • Der kriminelle Untergrund im Dark Web

    Den Begriff Dark Web hat jeder schon einmal gehört. Die meisten verstehen darunter eine düstere Unterwelt für Cyberkriminelle, die von den meisten Internetbenutzern möglichst gemieden wird. Doch was genau ist das Dark Web, wie wird es genutzt und welche Auswirkungen hat es auf die Cyber-Sicherheit. Sophos Sicherheitsexperte Chet Wisniewski bringt etwas Licht ins dunkle Netz.