Von Cyber-Angriffen betroffene Kunden wie Finanzinstitute zu angemessener Reaktion aufgefordert

[datensicherheit.de, 28.07.2023] Sascha Plathen, „Country Director Germany“ bei Trellix, nimmt aktuelle Cyber-Angriffe auf den deutschen Bankensektor zum Anlass für eine Stellungnahme: Er betont darin die Ernsthaftigkeit der Bedrohung durch Datenlecks für die Cyber-Sicherheit der gesamten „Financial Services & Insurance“-Branche (FSI) und fordert betroffene Kunden wie Finanzinstitute zu einer angemessenen Reaktion auf.

Foto: Trellix

Sascha Plathen: Möglichst viele Menschen über Phishing-Prävention informieren!

Daten können von Cyber-Kriminellen auch zum Verfassen sehr überzeugender Phishing-E-Mails missbraucht werden

„Datenlecks stellen eine ernstzunehmende Bedrohung der Cyber-Sicherheit für die gesamte FSI-Branche dar, auf die sowohl die betroffenen Kunden als auch die Finanzinstitute angemessen reagieren müssen.“ Bei den jüngsten Cyber-Angriffen auf namhafte Bankinstitute in Deutschland hätten die gehackten Daten zwar nicht ausgereicht, um direkt auf Kundenkonten zuzugreifen oder Überweisungen zu tätigen, aber Kriminelle könnten sie zum Beispiel nutzen, um Abbuchungsaufträge zu erteilen. Er warnt: „Die Daten könnten von Kriminellen auch dazu verwendet werden, überzeugendere Phishing-E-Mails zu verfassen, um die Opfer zur Angabe weiterer Informationen zu verleiten.“ Diese würden es den Hackern ermöglichen, Geld direkt von den Konten abzuheben.

Cyber-Angriffe klares Signal, in Funktionen und Rolle des CISO und der SOC-Teams zu investieren

Für Finanzunternehmen sollten diese Cyber-Angriffe „ein klares Signal“ sein, wie wichtig es sei, in die Funktionen und Rolle des CISO und der SOC-Teams zu investieren. „Wie die aktuelle Trellix-Studie ,Mind of the CISO 2023‘ zeigt, sind Cyber-Sicherheitsvorfälle für Unternehmen eine Realität, dennoch haben 98 Prozent der CISOs in Deutschland Schwierigkeiten, ausreichende Unterstützung vom Management zu erhalten.“

Unterbesetzte Teams kämpfen gegen Cyber-Bedrohungen

SecOps stehen laut Plathen „täglich vor Herausforderungen wie einer Fülle vernetzter Tools, mangelnder Transparenz, einer Flut von Warnmeldungen und langsamen Reaktionszyklen“ – und das alles bei unterbesetzten Teams. Mit ihrer neuen internationalen Initiative „Mind of the CISO“ konzentrierten sie sich deshalb gezielt auf die Bedürfnisse der CISO-Community.

Wissen verbreiten und Austausch über Methoden und Technologien zur Cyber-Sicherheit fördern

Der „CISO Council“ werde durch wichtige Funktionen wie Forschungsaktivitäten und Bildungsinhalten gestärkt. Ziel sei es, Wissen zu verbreiten und den Austausch über Methoden und Technologien zu fördern, die Unternehmen dabei helfen, widerstandsfähig und geschützt zu bleiben. Dabei seien Technologien zur erweiterten Erkennung und Reaktion (Extended Detection and Response, XDR) ideal, um volle Transparenz und Kontrolle zu erlangen, die Erkennungsgeschwindigkeit und -genauigkeit zu erhöhen und die Sicherheitsmaßnahmen zu beschleunigen.

XDR: Schlüsselrolle bei effektiver Prävention, Erkennung und Reaktion auf Cyber-Bedrohungen

Plathen abschließend: „Es ist daher wichtig, dass möglichst viele Menschen über Phishing-Prävention informiert sind und Organisationen ihre Sicherheitssysteme optimieren, um E-Mail- und Endpoint-Schutz zu gewährleisten.“ Zu diesem Zweck spiele der XDR-Einsatz eine Schlüsselrolle bei der effektiven Prävention, Erkennung und Reaktion auf Cyber-Bedrohungen – „und das nicht nur im FSI-Bereich“.

Weitere Informationen zum Thema:

Trellix
Bericht von 2023: The Mind of the CISO / Mehr als 500 Sicherheitsverantwortliche berichten, was SOC-Teams bremst – und wie Sie am besten vorankommen

Trellix, Harold Rivas, 12.07.2023
Introducing Trellix’s Mind of the CISO Initiative

Bundeskriminalamt nahm im Laufe der Ermittlungen zum Cyber-Angriff zwei Verdächtige fest

[datensicherheit.de, 11.10.2022] „Das Bundeskriminalamt (BKA) hat im Zuge der Ermittlungen aufgrund eines verheerenden Cyber-Angriffs, der laut den Ermittlern mit Hilfe von Phishing-Techniken rund vier Millionen Euro von seinen Opfern erbeutet hat, drei Wohnungen durchsucht“, berichtet Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Zwei Verdächtige seien dabei festgenommen und angeklagt worden. Das Verfahren gegen die dritte Person hänge von den Ergebnissen der weiteren Ermittlungen ab.

Foto: KnowBe4

Jelle Wieringa rät, Aufmerksamkeit der Mitarbeiter mithilfe simulierter Phishing-Mails regelmäßig zu testen

Cyber-Kompromittierung durch fortgeschrittenes Phishing

Laut dem BKA habe der Erfolg des groß angelegten Betrugs auf ungewöhnlich detailgetreuen und überzeugenden Mitteilungen beruht, „deren Absender sich als die Banken der Opfer ausgaben“. In den E-Mails sei den getäuschten Kunden dann mitgeteilt worden, „dass sich nahende Änderungen am Sicherheitssystem der Bank auf ihre Konten auswirken würden und dass sie einem Link folgen sollten, um weiterhin auf ihre Konten zugreifen zu können“.

Dieser schadhafte Link habe dann zu einer täuschend echt wirkenden Phishing-Seite geführt. Dort seien die Phishing-Opfer aufgefordert worden, ihre Anmeldedaten und eine aktuelle TAN einzugeben, „was es den Betrügern wiederum ermöglichte, alle Daten auf dem Konto des jeweiligen Opfers einzusehen – einschließlich der Höhe und der Verfügbarkeit von Guthaben“. Die weitere Kontaktaufnahme mit den Opfern habe diese veranlasst, weitere TANs herauszugeben, welche „die Kriminellen dazu nutzten, die Gelder der Opfer abzuheben“.

Crime-as-a-Service: Verschiedene Tools für Cyber-Angriffe im DarkWeb

Die Vorgehensweise bei dieser Betrugsmethode sei auch in anderer Hinsicht interessant, so Wieringa: „Zum einen nutzten die Bedrohungsakteure DDoS-Angriffe (Distributed Denial of Service) gegen Banken-Websites als Ablenkungsmanöver für ihren Angriff. Die legitimen Websites waren infolgedessen nur eingeschränkt verfügbar, wohingegen die Phishing-Websites erreichbar blieben.“ Ein weiterer interessanter Aspekt dieses Vorfalls stelle die angebliche Zusammenarbeit der Angreifer mit anderen Cyber-Kriminellen dar, welche in diesem Fall, wie schon oft beobachtet, verschiedene Tools für Cyber-Angriffe als sogenanntes „Crime-as-a-Service“ im DarkWeb weiterverkauft hätten.

Diese Betrugsmethode zeige zudem, wie weit Cyber-Kriminelle gingen, um einen Angriff erfolgreich zu gestalten. Wieringa erläutert: „Sie erstellen nicht nur falsche Websites, sondern versuchen auch, die ursprüngliche Website zu zerstören, um die Nutzer auf ihre gefälschten schadhaften Websites zu drängen.“ Der Betrag, den die Kriminellen laut Angaben der Behörden gestohlen haben sollen, sei beachtlich. Dieses besonders raffinierte Verbrechen scheine vor allem Einzelpersonen betroffen zu haben, jedoch ließen das Ausmaß und die Vorgehensweise vermuten, „dass auch Organisationen dafür anfällig sind“.

Nicht nur im Cyberspace: Umfassender Schutz gegen Phishing-Angriffe jeder Art

Die effektivste und kostengünstigste Maßnahme zur Vorbeugung solcher Angriffe stelle ein umfassendes „Security Awareness Training“ dar. Die Aufmerksamkeit der Mitarbeiter werde mithilfe von simulierten Phishing-Mails getestet. Das Ziel dieser Trainings sei es, „eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen verschiedener Angriffstechniken zu erreichen“.

Dabei sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. „Organisationen können dadurch sehr effektiv vor Phishing-Angriffen geschützt werden, indem die Mitarbeiter in die Lage versetzt werden als ,menschliche Firewall’ zu agieren“, betont Wieringa abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 29.09.2022
Cybercrime: Beschuldigte sollen laut BKA Bankkunden um mindestens vier Millionen Euro betrogen haben / BKA meldet Durchsuchungen, Festnahme und laufende Ermittlungen

Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

[datensicherheit.de, 12.10.2021] Es sei einfach und nehme wenig Zeit in Anspruch: Die Konsolidierung aller Internet-Aktivitäten auf dem Smartphone. Dieser kleine Helfer werde zur Online-Bank und Kreditkarte, zum Postfach und Kaufhaus. Jedoch witterten wenige Menschen hierbei eine Gefahr, denn das Mobiltelefon sei so selbstverständlich in den Alltag eingezogen, dass man häufig schnell etwas anklicke, ohne sich weitere Gedanken über Cyber-Attacken zu machen. „Das ist trügerisch, denn ein Smartphone ist nichts Anderes als ein tragbarer Computer und sollte entsprechend geschützt werden“, stellt Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH, klar.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Smartphones nichts Anderes als tragbare Computer und sollten entsprechend geschützt werden!

Verbraucherzentrale NRW warnt vor Phishing-Mails, welche Online-Banking-Zugriffsdaten erschleichen sollen

Derzeit warne die Verbraucherzentrale NRW vor Phishing-Mails, die es auf Online-Banking-Zugriffsdaten und andere personenbezogene Daten abgesehen hätten. Unter Vorwänden, die meist mit einem vermeintlichen Zeitdruck einhergingen, wie einer angeblich erforderlichen Konto-Aktion, setzten Kriminelle ihre Opfer unter Druck und wollten sie zu Kurzschluss-Handlungen verleiten. „Jedoch sollte man sich besonders hier die Zeit nehmen, um den Absender und die Forderung genau auf ihre Stimmigkeit zu prüfen“, rät Schönig.
Die Kreissparkasse Köln warne ebenfalls vor Phishing-Mails, die in ihrem Namen sensible Daten und Aktionen forderten. Dazu gehöre die von Zeit zu Zeit erforderliche Verifizierung des Online-Banking-Zugangs – „doch wer dem Link in der E-Mail folgt, landet auf einer gefälschten Seite und sollte die Aktion sofort abbrechen, denn sonst droht die Gefahr seine personengebundenen Informationen an die Hacker zu verlieren“. Es würden beispielsweise Online-Banking-Zugangsdaten, Informationen über die Sparkassen-Card und persönliche Daten erfragt oder auf andere Weise abgegriffen. Weitere Banken, wie die Volksbank und die Commerzbank, seien ebenfalls in letzter Zeit von solchen falschen E-Mails in ihrem Namen betroffen gewesen.

Abbildung: Screenshot Red. datensicherheit.de

Beispiel für eine gut gemachte Phishing-Mail – man beachte indes die unseriöse Absenderadresse!

Phishing-Mails mit reißerischen Betreffzeilen

Als Faustregel gilt laut Schönig: „Wenn Sie aufgefordert werden, eine Testüberweisung zu tätigen oder persönliche Daten – wie die PIN – über E-Mail preiszugeben, sollten Sie den Absender genau prüfen und sich im Zweifel an Ihre Bank wenden!“ Schon der Verlust vermeintlich harmloser Daten könne gefährlich werden, denn mit diesem Wissen könnten Betrüger möglicherweise bereits unter falschem Namen bei der Bank anrufen.
Mit reißerischen Betreffzeilen wie „Neue Auflagen durch Corona!“ oder „Wichtige Interaktion erforderlich!“ versuchten Cyber-Kriminelle außerdem Aufmerksamkeit zu erregen. Daneben seien Nachrichten im Umlauf, welche statt eines Links einen QR-Code enthielten, welcher auf die betrügerische Web-Seite führe.

Typisches Phishing-Schema: Angeblich muss das Konto vorübergehend gesperrt werden…

Schönig ergänzt: „Im September 2021 wurde in diesem Zusammenhang zusätzlich von PayPal und Amazon berichtet. Am häufigsten ist die Betreffzeile ,Alarm: Dein Amazon-Konto wurde gesperrt‘ anzutreffen. Inhaltlich folgt die Nachricht einem typischen Phishing-Schema: Angeblich musste das Konto vorübergehend gesperrt werden und der Grund dafür seien Unstimmigkeiten in den hinterlegten Daten.“
Über den beigefügten Link solle man diese, wie die Rechnungsadresse, aktualisieren. Komme man dieser Aufforderung nicht in kurzer Zeit fristgerecht nach, dann würden alle offenen Bestellungen storniert. Diese Drohung und die geringe Frist sollten die Menschen verunsichern und zu unüberlegtem Handeln verleiten. Die beste Antwort darauf: „Den Phishing-Versuch unbeantwortet löschen!“

Smartphones mit Sicherheitslösung gegen Phishing schützen!

„Diese Fälle zeigen, wie wichtig die Smartphone-Sicherheit eigentlich ist und weswegen Sicherheitslösungen für Mobiltelefone aus dem Nischendasein treten müssen“, so Schönig. Diese Sicherheitsprodukte würden gegen Lösegeldforderungen durch Ransomware, Diebstahl von Daten und Zugangsinformationen durch Phishing helfen und vor infiltrierten, öffentlichen W-Lan-Netzwerken warnen.
„Smartphones haben dieses hohe Schutz-Niveau mehr als verdient, denn sie verwalten sehr viele Bereiche des Alltags und stehen in der Vertraulichkeit längst auf einer Stufe mit Tagebüchern.“

Weitere Informationen zum Thema:

verbraucherzentrale
Phishing-Radar: Aktuelle Warnungen

Kreissparkasse Köln
Aktuelle Sicherheitswarnungen des Computer-Notfallteams der Sparkassen-Finanzgruppe

Von unserem Gastautor Julian Totzek-Hallhuber, Solution Architekt bei Veracode

[datensicherheit.de, 28.02.2019] Banken und andere Finanzinstitutionen haben den Ruf, aufgrund der sensiblen Finanzinformationen, die sie verarbeiten, über ausgereifte Sicherheitsmaßnahmen zu verfügen. Allerdings zeigt der jüngste State of Software Security Report von Veracode, dass der Finanzsektor ebenso mit Sicherheit zu kämpfen hat, wie andere Branchen. Schlimmer noch, in mancher Hinsicht, tun sich Finanzinstitute deutlich schwerer in der Absicherung ihrer Anwendungen als andere Sektoren. Der Finanzsektor schneidet auf dem letzten Platz der 8 untersuchten Branchen ab, wenn es um die Geschwindigkeit geht, die es braucht, um Schwachstellen zu beheben.

Mehr als 70.000 Anwendungs-Scans über einen Zeitraum von 12 Monaten brachten die Erkenntnis, dass es durchschnittlich 29 Tage dauert, um etwa ein Viertel aller Code-Schwachstellen zu bereinigen. Bis auch die letzte behoben ist, vergeht sogar mehr als ein Jahr, nämlich 574 Tage im Durchschnitt.

Von allen Anwendungen, die von Banken in Gebrauch sind, stellen 67 Prozent ein Risiko dar, um sensible Informationen zu verlieren, wodurch sich externe Angreifer ausreichend Systemwissen aneignen können, um Zugriff auf das Netzwerk zu erhalten. Knapp dahinter landen mit 63 Prozent kryptographische Probleme und solche, die durch schlechte Code-Qualität hervorgerufen werden (51 Prozent).

Attraktives Ziel für Cyberkriminelle

„Finanzinstitutionen verfügen über hochsensible Informationen, daher sind sie ein hochattraktives Ziel für Cyber-Kriminelle“, sagt Julian Totzek-Hallhuber, Solution Architekt bei Veracode. „Die gute Nachricht ist, dass der Finanzsektor nicht das Problem hat, Schwachstellen nicht zu erkennen. Das Problem ist vielmehr, dass sie aufgrund der großen Menge an Daten nicht in der Lage sind, ihre Schwachstellen richtig zu priorisieren und schnellstmöglich zu beheben. Daher müssen die betreffenden Unternehmen daran arbeiten, die Fix-Rate zu verkürzen. Wenn sie selbst in der Lage sind, Fehler zu bemerken, können Hacker das auch. Ein möglichst kurzes Fenster zwischen Finden und Beheben von Schwachstellen in Anwendungen muss daher oberste Priorität für Sicherheitsverantwortliche haben.“

Weitere Informationen zum Thema:

Veracode
State of Software Security Report

datensicherheit.de, 08.01.2019
Datensicherheit: Aktuelle Hacker-Attacke zeigt Nachholbedarf

datensicherheit.de, 12.10.2018
Gemalto Breach Level Index: 4,5 Milliarden Datensätze im ersten Halbjahr 2018 kompromittiert

[datensicherheit.de, 26.10.2018] Dem IT-Sicherheitsanbieter Palo Alto Networks ist es gelungen, die jüngsten Aktivitäten der bereits mehrfach in Erscheinung getretenen cyberkriminellen Cobalt Gang ans Licht zu bringen. Ausgehend von schädlichen Makros sowie spezifischen Signalen, die das Forscherteam in den Metadaten von manipulierten PDF-Dokumenten fand, war es möglich, TTPs (Taktiken, Techniken und Prozeduren) sowie Cluster-Infrastrukturen zu identifizieren, die aufgrund mehrerer Überschneidungen den Aktivitäten der Cobalt Gang zugeordnet werden konnten.

Heutzutage ist es für Angreifer mit fortgeschrittenen Fähigkeiten sehr einfach, problemlos verfügbare Commodity-Tools und -Malware einzusetzen. In Kombination mit sehr einfachen Methoden zur Erstauslieferung gelingt es den Angreifern, sich unauffällig zu verhalten und einer möglichen Erkennung zu entgehen. Einer der häufigsten Ansätze ist die Verwendung von Speer-Phishing-E-Mails und Social Engineering, um die Mitarbeiter von Unternehmen zu täuschen und deren Interesse zu wecken. Ebenso kommen häufig verwendete Exploits (z.B. CVE-2017-0199) zum Einsatz. Sobald die erste Infektion aufgetreten ist, gehen die Angreifer ausgefeilter vor, indem sie benutzerdefinierte Malware und fortschrittlichere Tools einsetzen.

Dieser Ansatz erschwert es Bedrohungsjägern und Netzwerkverteidigern, die Nadeln im Heuhaufen zu finden, die notwendig sind, um eine Kampagne und ihre Ziele zu identifizieren. Doch selbst wenn ein Angreifer Commodity-Builder und -Tools einsetzt, besteht immer die Möglichkeit, bestimmte Signale oder Merkmale zu finden, die helfen, die Infrastruktur eines Akteurs zu identifizieren und zu verfolgen. Eine der Gruppen, die dafür bekannt ist, ihren TTP-Fingerabdruck stets beizubehalten, ist die Cobalt Gang, die auch nach der Verhaftung ihres mutmaßlichen Anführers in Spanien in diesem Jahr nach wie vor noch aktiv ist.

In den letzten Wochen untersuchte Palo Alto Networks laufende Kampagnen der Cobalt Gang und nutzte die neuesten Informationen, die in Forschungsberichten veröffentlicht wurden, um die Entdeckung und Zuweisung neuer Infrastrukturen zu dieser Gruppe voranzutreiben. Infolgedessen konnte Palo Alto Networks obwohl die Verwendung eines gängigen Makro-Builders als auch spezifische Dokumenten-Metadaten identifizieren. Diese Hinweise haben es ermöglicht, Aktivitäten und Infrastrukturen im Zusammenhang mit der Cobalt Gang zu verfolgen und zu bündeln.

Eines der jüngsten Beispiele im Rahmen der Analyse der Kampagne zeigt die Einfachheit der von dieser Gruppe durchgeführten Angriffe. So wurden Mitarbeiter mehrerer Bankinstitute auf der ganzen Welt mit einer E-Mail mit dem Betreff „Confirmations on October 16, 2018“ adressiert. Dies untermauert die Tatsache, dass E-Mail immer noch einer der wichtigsten Angriffsvektoren ist, den die Forscher ständig beobachten.

Der Anhang ist nur ein PDF-Dokument ohne jede Art von Code oder Exploit, stattdessen setzen die Akteure auf Social Engineering und versuchen, den Benutzer über einen Link zum Herunterladen des bösartigen Makros zu bewegen. Zum Schutz vor statischen Analysetools sind eine leere com-Seite sowie einige Textseiten enthalten, die helfen, während der Analyse keine roten Flaggen zu provozieren, indem etwas Authentizität hinzugefügt wird. So kann die Erkennung durch herkömmliche Anti-Viren-Software vermieden werden, woraus in der ersten Angriffsstufe ein sehr effektiver Transport per E-Mail resultiert.

Das heruntergeladene schädliche Makro verwendet cmstp.exe, um ein „Scriptlet“ auszuführen, eine Technik, die bekannt dafür ist, AppLocker zu umgehen, und fährt mit den nächsten Schritten der Nutzlastzustellung fort. Das Ziel der jüngsten Forschungsaktivitäten war nicht die Nutzlastanalyse. Die Forscher konzentrierten sich stattdessen auf alle möglichen Aspekte der Angriffsdurchführung zur weiteren Verfolgung der Kampagne und der damit verbundenen Infrastruktur.

Wie die Analyse ergab, führt die Verwendung einer Standard-PDF-Datei mit einem eingebetteten Google-Redirect-Link zu einem sehr effektiven Social-Engineering-Angriff. Diese sogenannten Commodity-Angriffe werden häufig auch für gezieltere Angriffe eingesetzt, da sie die Identifizierung für Netzwerkverteidiger und Bedrohungsjäger erschweren. Durch die Fokussierung auf spezifische Aspekte der Makro-Builder und die Metadaten, die die Angreifer hinterlassen, können Bedrohungsjäger dennoch Mechanismen zur Verfolgung der Aktivitäten und Infrastruktur des Hackers heranziehen.

Weitere Informationen zum Thema:

Palo Alto Networks Blog
New Techniques to Uncover and Attribute Cobalt Gang Commodity Builders and Infrastructure Revealed

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen

[datensicherheit.de, 09.08.2018] Finanzdienstleister haben jahrzehntelang sehr hart am Cyberrisikomanagement gearbeitet. Der jüngste Bericht der Bank of England zeigt jedoch einen Anstieg jenes Anteils an Banken, die sagen, dass ein Cyberangriff das Risiko ist, das sie am schwierigsten bewältigen könnten.

Palo Alto Networks nimmt das Thema „Cybersecurity im Finanzsektor“ unter die Lupe und gibt fünf wesentlich Ratschläge.

Die Grundlagen der Finanzwirtschaft verändern sich nur langsam, doch die Technologie in diesem Sektor entwickelt sich in einem rasanten, weiter zunehmenden Tempo. Genau dies wird von den Cybergegnern ausgenutzt. Das häufigste Ziel für Kriminelle ist der finanzielle Gewinn. Durch die Digitalisierung von immer mehr Finanzprozessen wird der Weg zu kriminellen Einnahmen kürzer und die „Renditen“ werden größer.

Sicherlich hätte die Finanzbranche lernen müssen, wie man diese Angriffe verhindern kann. Hierzu gilt es jedoch auch die Auswirkungen eines immer komplexeren und sich weiterentwickelnden FinTech-Umfelds zu berücksichtigen. Die PSD2 (Payment Service Directive 2), eine EU-Richtlinie für Zahlungsdienstleister, zielt darauf ab, die Lieferkette für viele weitere Finanzdienstleister zu öffnen.

Mangelndes Sicherheitsbewusstsein

Hinzu kommt die bestehende technische Infrastruktur des Bankensektors. Die IT-Anbieter entwickeln ihre Technologie immer schneller weiter, aber selbst finanzkräftige Banken können nicht im gleichen Tempo auf neuere Plattformen migrieren. Schließlich gibt es noch den Faktor „Mensch“, einschließlich des schlechten Sicherheitsbewusstseins und des Mangels an Fachkräften und Expertenwissen im Bereich der Cybersicherheit.

Damit sich etwas ändert, sind nach Meinung von Palo Alto Networks die folgenden Maßnahmen erforderlich:

1. Finanzdienstleister müssen ihre komplexen digitalen Prozesse in Echtzeit sichtbar machen
   Das mag einfach klingen, aber allzu oft gibt es eine Trennung zwischen Technologie und Geschäft. Ohne eine ganzheitliche Ausrichtung lässt sich nicht definieren, ob Aktivitäten im Netzwerk regulär erfolgen oder ob sie einen bösartigen Hintergrund haben.
2. Schnellere Freigabe von Cybersicherheitsmaßnahmen bei Finanzinstituten
   Agile ist ein Begriff, der in Vorstandssitzungen von Banken und anderen Unternehmen häufig verwendet wird. Doch während DevOps-Teams heute Cloud-Computing-Ressourcen in Millisekunden kaufen können, werden die meisten Sicherheitsfunktionen in festen Mehrjahresverträgen erworben. Die Cybersicherheit muss berücksichtigen, dass eine Bank Anwendungen und digitale Dienste heute über mehrere Kanäle hinweg erstellt. Wenn Banken einen Cloud-first-Sicherheitsansatz in Betracht ziehen, können sie sich besser darauf konzentrieren, mit der digitalen Transformation Schritt zu halten.
3. Verringern der Angriffsfläche
   Für Banken ist es nur allzu leicht, sehr offene, vernetzte Systeme zu nutzen, da diese schneller und einfacher zu implementieren sind. Die Herausforderung besteht darin, nicht zu wissen, woher das nächste Risiko kommt oder wie weit es sich auswirken könnte. Immer mehr Banken müssen auf das Konzept des „Zero Trust Networking“ umstellen. Durch eine bessere Abstimmung zwischen Geschäftsprozessen und Technologie lässt sich sicherstellen, dass stets nur der erforderliche Zugriff gewährt wird, was die Auswirkungen im Falle eines Sicherheitsvorfalls reduziert.
4. Die grundlegenden Hausaufgaben erledigen
   Viele der Grundlagen guter Cyberhygiene gibt es schon seit vielen Jahren. Die Umgebungen, in denen sie angewendet werden, ändern sich jedoch ständig. So wird beispielsweise die Hälfte der Geschäftspasswörter in Public-Cloud-Bereichen schlecht definiert und verwaltet.
5. Cybersicherheit viel stärker automatisieren
   Angesichts der zunehmenden Vernetzung der Banksysteme ist ein klar definierter Veränderungsprozess nötig, also eine „einzige Quelle der Wahrheit“, an der alle arbeiten. DevOps-Strategien im Banken- und Finanzdienstleistungsbereich bedeuten, dass täglich oder wöchentlich Hunderte oder Tausende von kleinen Änderungen vorgenommen werden. Solche Modelle erfordern einen hohen Automatisierungsgrad. Sicherheit sollte in jeden dieser Prozesse nativ eingebettet werden. Darüber hinaus sollte ein Übergang zu DevSecOps vollzogen werden. Dies erfordert sowohl die richtigen nativen Integrationspunkte in die digitalisierten Geschäftssysteme als auch Automatisierung, um diese in die Änderungsprozesssteuerung zu integrieren. Die Angreifer agieren zunehmend automatisiert, so dass Cybersicherheitslösungen das gleiche Tempo mitgehen müssen, um Beeinträchtigungen der Geschäftskontinuität zu vermeiden.

Wie in anderen Bereichen erfordert die Cybersicherheit im Bankensektor eine automatisierte Betriebsplattform. Auf dem Weg zur digitalen Transformation ist es wichtig, dass präventive Cybersicherheit standardmäßig in neue Finanzsysteme integriert wird. Ein sich entwickelndes Problem digitaler Natur erfordert eine sich ebenfalls entwickelnde Cybersicherheit für die Branche.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2018
Banken: IT-Sicherheit an den Endpunkten akut gefährdet

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 22.09.2017
IT-Security: Die Zukunft liegt in der Automatisierung

datensicherheit.de, 16.02.2017
Banken ins Visier: Weltweites Distributionsnetzwerk von Malware entdeckt

[datensicherheit.de, 13.07.2018] In einem aktuellen Whitepaper analysiert Palo Alto Networks nach eigenen Angaben die spezifischen Herausforderungen, mit denen Finanzinstitute hinsichtlich der IT-Sicherheit zunehmend konfrontiert sind. So sieht das Unternehmen demnach vor allem die IT-Sicherheit an den Endpunkten als „akut gefährdet“ an. Sicherheitsexperten stellten in dem Bericht zudem dar, wie diese Herausforderungen mit neuen Ansätzen zum Schutz von Endpunkten bewältigt werden könnten.

Finanzbranche vorrangiges Angriffsziel der Cyber-Kriminellen

Vertrauenswürdige Finanztransaktionen und der Schutz personenbezogener Daten seien „Grundvoraussetzungen für den Erfolg von Finanzinstituten“. Dies gelte für die größten Handels- und Geschäftsbanken ebenso wie für kleinere Institute. Als Verwalter privater und geschäftlicher Vermögenswerte zähle die Finanzbranche heute zu den vorrangigen Angriffszielen von Cyber-Kriminellen. Gleichzeitig vergrößere sich die Angriffsfläche zunehmend aus folgenden Gründen:

• Die Branche versuche, die Erwartungen der Kunden hinsichtlich der Verfügbarkeit auf unterschiedlichen Geräten und diversen Medien zu erfüllen.
• Sie führe innerhalb kurzer Zeit neue Technologien wie Künstliche Intelligenz (KI) und Blockchain ein, um den Kunden nützliche neue Services anzubieten und die internen Prozesse zu optimieren.
• Die Finanzbranche wolle künftig noch stärker von IT-Trends wie Cloud-Computing und API-gestützten Anwendungsplattformen profitieren.

Absolut geschäftskritische IT-Sicherheit stets im Auge behalten!

Hinzu kämen erschwerte Rahmenbedingungen: Auch fast zehn Jahre nach der weltweiten Finanzkrise verzeichne die Branche nur ein geringes Wachstum und niedrige Gewinnspannen.
Neue Fintech-Unternehmen, die keine veralteten Systeme pflegen müssten und die nicht so stark reguliert seien, stellten eine weitere große Herausforderung dar: Sie erzeugten eine Wettbewerbssituation, die etablierte Firmen in diesem Ausmaß und mit einer derartigen Aggressivität bisher nicht gekannt hätten.
Wer in diesen schwierigen Zeiten Schwarze Zahlen schreiben will, müsse der Kostenbegrenzung höchste Priorität einräumen. Dabei dürften jedoch Maßnahmen zur Steigerung der Flexibilität und Wettbewerbsfähigkeit nicht zu kurz kommen. Gleichzeitig gelte es, die absolut geschäftskritische IT-Sicherheit stets im Auge zu behalten.

Whitepaper soll zeitgemäße Lösungsansätze aufzeigen

Finanzinstitute benötigten heute eine effektive Lösung für die Endpunktsicherheit, mit Schwerpunkt auf dem proaktiven Schutz vor bekannten und unbekannten Bedrohungen. Außerdem sollte eine solche Lösung die Sicherheitsinfrastruktur als Ganzes, die fortlaufende Digitale Transformation und das tägliche Kerngeschäft gleichermaßen unterstützen. In seinem neuen Whitepaper möchte Palo Alto Networks zeitgemäße Lösungsansätze für aktuelle und künftige Sicherheitsherausforderungen in der Finanzbranche aufzeigen. Dieses stehe ab sofort zum Download zur Verfügung.

Weitere Informationen zum Thema:

paloalto NETWORKS
Automatischer Schutz mit einer integrierten Sicherheitsplattform

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

[datensicherheit.de, 11.06.2018] Laut eines jüngst von Proofpoint veröffentlichten Berichts zu aktuellen Cyber-Bedrohungen haben Bankentrojaner erstmals seit dem zweiten Quartal 2016 Ransomware bei den Malware-Bedrohungen per E-Mail überholt. Demnach machten sie im ersten Quartal 2018 rund 59 Prozent der schädlichen E-Mail-Fracht aus. Am weitesten verbreitet gewesen sei der Bankentrojaner „Emotet“ mit 57 Prozent und immerhin noch 33 Prozent aller schädlichen Payloads. In diesem Zusammenhang stellen sich die Fragen, was zu diesem rasanten Anstieg bei der Verbreitung von Bankentrojanern geführt hat – ob es die nicht ausreichenden Sicherheitskontrollen der Banken sind, die nur mangelhaft solche Trojaner auffinden und unschädlich machen, oder vielleicht eher die Endkunden, weil sie zu häufig auf Phishing-Links hereinfallen und vertrauliche Informationen zu leichtfertig preisgeben…

David Rushmer und Jack Baylor, Security Analysten bei Cylance, kommentieren die Erkenntnisse des Berichts:

Aufgaben der Banken und die „Schwachstelle Mensch“

„Wenn es sich um einen Trojaner innerhalb der Systeme der betreffenden Bank handelt, dann ist es ihr Job, den Trojaner zu finden und Gegenmaßnahmen einzuleiten. Es gibt Institute, bei denen die Wahrscheinlichkeit höher ist, dass ein schädliches Verhalten auftritt, und andere, bei denen die Wahrscheinlichkeit niedriger ist.“
Es sei allerdings sicherlich nicht die Aufgabe einer Bank externe Systeme zu überwachen wie etwa die heimischen PCs ihrer Endkunden, führt David Rushmer aus. Man könne vermutlich argumentieren, dass einer der wichtigsten Gründe für den rasanten Aufstieg der Bankentrojaner die „Schwachstelle Mensch“ sei, in diesem Falle bestimmte Endnutzer.

Bankentrojaner versprechen mehr Beute

Es bestehe kein Zweifel: Ransomware sei profitabel. Aber die Höhe des Lösegelds für bestimmte Systeme sei begrenzt. Rushmer: „Kann ein Hacker mithilfe eines Trojaners direkt auf Informationen von Banken und anderen Finanzinstituten zugreifen, verspricht das potenziell einen wesentlich höheren Gewinn. Mit der steigenden Zahl von Bankentrojanern, die sich im Umlauf befinden, steigt gleichzeitig die Wahrscheinlichkeit einen Benutzer zu finden, der dafür empfänglich ist. Kurz gesagt, es wird vermutlich simple Wahrscheinlichkeitsrechnung hinter dem verstärkten Aufkommen von Bankentrojanern stecken. Hacker benutzen die Methode, die den größten monetären Gewinn verspricht.“
„Kriminelle suchen immer nach dem Weg, der ihnen den größten ,Return on Investment‘ verspricht. Bevorzugt den des geringsten Widerstands“, ergänzt Jack Baylor. Als Code veröffentlicht wurde, der mit nationalstaatlicher Malware in Verbindung stand, sei eine Welle von Ransomware-Angriffen innerhalb der letzten beiden Jahre die Folge gewesen. Umgekehrt allerdings habe das auch dazu geführt, dass praktisch die gesamte Industrie Anstrengungen unternommen habe, die Sicherheitsmaßnahmen zu verbessern – sei es, Nutzer besser über das Wesen von Ransomware aufzuklären, sei es, die Schwachstellen zu schließen, die Ransomware bevorzugt nutzt, sei es ein optimiertes Patch-Management, effektivere Backups, unternehmensweite Cyber-Versicherungen oder sei es, „Best Practices“ einfach konsequent umzusetzen. All das habe dazu beigetragen, dass Ransomware längst nicht mehr so effektiv sei, wenn es darum geht Geld von Unternehmen oder von Privatleuten zu erpressen. „Ergo sehen Hacker sich gezwungen neue Umsatzquellen zu erschließen“, betont Baylor.

Mehr Online-Services bieten mehr Angriffsfläche für Bankentrojaner

Banken und Finanzdienstleister befänden sich schon länger in einem Prozess des Umbaus. Nicht zuletzt als Folge der weltweiten Rezession sähen sich die Unternehmen gezwungen, mit weniger physischen Niederlassungen mehr Profit zu erwirtschaften. Online-Services nähmen folglich immer größeren Raum ein – und sie vergrößerten die Angriffsfläche für Bankentrojaner.
Das gelte für alle Formen mobiler Zahlungsdienste. Gleichzeitig hinke das Einspielen von Patches und Upgrades bei „Android“-Systemen hinterher (und die machten 76,5 Prozent des globalen Marktes aus), „weil Telkos und ISPs tendenziell ihre Rollouts nicht schnell genug ausbringen“, so Baylor. Die Folge: Mehr und mehr Online-Banking-Nutzer seien denselben Schwachstellen ausgesetzt, die zuvor schon Ransomware erfolgreich ausgenutzt habe.

Weitere Informationen zum Thema:

proofpoint, 30.05.2018
Proofpoint Threat Report: Banking Trojans dominate the malware landscape in the first months of 2018

datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv

[datensicherheit.de, 26.07.2017] Die italienische Großbank UniCredit wurde laut Medienberichten Opfer eines Hacker-Angriffs. Cyber-Kriminelle erhielten demnach über einen Dienstleister Zugang zu Daten im Zusammenhang mit Krediten. Circa 400.000 Kunden könnten betroffen sein – möglicherweise wurden persönliche Angaben sowie Kontonummern gestohlen. Nach Meinung von Vectra Networks zeigt der erneut erfolgreiche Datendiebstahl, dass Organisationen wie eine Großbank ihre Daten überaus aufmerksam schützen müssen, wenn sie externen Dienstleistern Zugriffsrechte einräumen – ab 2018, wenn die EU-DSGVO in Kraft tritt, drohen Unternehmen äußerst hohe Geldbußen bei solchen Vorfällen.

Verantwortung für Datensicherheit bleibt stets beim Unternehmen

„Der Hacker-Angriff auf die UniCredit Bank verdeutlicht einmal mehr, dass Unternehmen sehr vorsichtig sein müssen, wenn sie Externen Zugriff auf sensible Kundendaten ermöglichen. Dies gilt vor allem, wenn Außenstehende mit wichtigen Aufgaben der Wertschöpfungskette betraut werden“, erläutert Gérard Bauer, „VP EMEA“ bei Vectra Networks.
Um Kosten zu reduzieren, setzen viele Unternehmen vermehrt auf Outsourcing und übertragen wichtige Funktionen an externe Dienstleister und Vertragspartner. Aber dennoch hätten diese Unternehmen auch dann weiterhin die Verantwortung, den Schutz persönlicher Daten zu gewährleisten – egal ob diese Daten intern oder extern verarbeitet bzw. bearbeitet werden. Datenmanagement und Sicherheitsrichtlinien seien unverzichtbar, um in der Lage zu sein, den Zugang Dritter zu sensiblen Daten zu kontrollieren, zu verwalten und auszuwerten.

Automatisierte Überwachung und Auswertung des Datenverkehrs im Netzwerk!

Da UniCredit nun schon zwei Mal in zehn Monaten erfolgreich angegriffen worden sei, sollte die Bank ihre internen Sicherheitsvorkehrungen als auch die ihrer Lieferkette sehr genau unter die Lupe nehmen. Das Unternehmen müsse Maßnahmen treffen, um die neuen Arten von Bedrohungen zu verstehen und diesen wirksam zu begegnen.
Es sei heute unverzichtbar, die Arbeit der Sicherheitsbeauftragten, verborgene Bedrohungen aufspüren und den Datenverkehr im Netzwerk überwachen müssen, mit einem hohen Maß an Automatisierung zu unterstützen. So könnten Informationen und Identitäten von Kunden geschützt werden – was schließlich auch für die wirtschaftlichen Interessen des Unternehmens unverzichtbar sei.
Eine solche automatisierte Überwachung und Auswertung des Datenverkehrs im Netzwerk könne durch Künstliche Intelligenz (KI) bestmöglich realisiert werden. So sei es dann auch möglich, schnell und präzise gefährliche Vorgänge zu enttarnen und zu reagieren.
Außerdem sollte den Unternehmen klar sein, dass nach Inkrafttreten der EU-DSGVO im Mai 2018 „drastische Geldstrafen bei derartigen Verfehlungen“ drohten, die sich keine Organisation leisten könne. Zu guter Letzt sei es auch im Interesse eines jeden Unternehmens, das Vertrauen seiner Kunden wiederherzustellen und zu stärken, bevor der Ruf dauerhaft beschädigt wird.

Weitere Informationen zum Thema:

datensicherheit.de, 17.07.2017
Automatisierte IT-Standardprozesse: Freisetzung von IT-Ressourcen statt IT-Mitarbeitern

[datensicherheit.de, 14.06.2017] Eine Erkenntnis einer aktuellen Studie von KASPERSKY lab ist, dass es DDoS-Attacken gegen Finanzinstitute „in erster Linie auf Webseiten und Services von Banken abgesehen“ haben. Demnach war bei 49 Prozent der Finanzinstitute, die via „Distributed Denial of Service“ attackiert wurden, der öffentliche Online-Auftritt und bei 48 Prozent das Online-Banking-System betroffen. Die Umfrage für die Studie „New Technologies, New Cyber Threats – Analyzing the state of IT Security in financial sector“ sei von B2B International im Auftrag von KASPERSKY lab im Jahr 2017 durchgeführt worden. Dazu seien weltweit über 800 Repräsentanten von Finanzdienstleistern in 15 Ländern befragt worden.

Verlustberechnung: Auch Nachfolgekosten wie Datenverluste und Reputationsschäden einrechnen!

Laut dieser Studie kosten Sicherheitsvorfälle im Online-Banking-Service-Bereich betroffene Organisation mit durchschnittlich 1.754.000 US-Dollar fast doppelt so viel wie ein Malware-Vorfall. Bei der Verlustberechnung würden auch Nachfolgekosten wie Datenverluste und Reputationsschäden eingerechnet.
Zwar scheinen sich die befragten Organisationen der Gefahr für Online-Banking-Systeme durchaus bewusst zu sein – Attacken auf Online-Banking-Systeme würden am meisten gefürchtet –, allerdings unterschätzten sie die höheren Folgekosten einer DDoS-Attacke gegenüber denen eines Malware-Vorfalls. Denn die Befragten fürchteten sich mehr vor Malware und zielgerichtete Angriffen als vor einem DDoS-Angriff.

Gefürchtet: Reputationsschäden

Die Studie zeige auch, dass die am meisten gefürchtete Konsequenz in Folge eines Cyber-Sicherheitsvorfalls Reputationsschäden für die eigene Organisation seien – das sage jedes fünfte befragte Institut (17 Prozent).
„Im Bankbereich ist die Reputation eines Instituts entscheidend; und Cyber-Sicherheit spielt hierfür eine entscheidende Rolle“, so Kirill Ilganaev, „Head of Kaspersky DDoS Protection“.
Werde ein Online-Service einer Bank attackiert, gehe das Vertrauen betroffener Kunden verloren. Ilganaev: „Wenn Banken sich vor kostspieligen Cyber-Sicherheitsvorfällen schützen wollen, sollten sie sich in erster Linie gegen DDoS-Angriffe wappnen, die sich gegen Online-Banking-Service richten.“
Zeitgemäßen Schutz für Banken bieten laut KASPERSKY lab „Security Intelligence Services“ sowie spezielle DDoS-Lösungen und „Fraud Prevention“-Ansätze.

Weitere Informationen zum Thema:

KASPERSKY lab, 09.03.2017
„New Technologies, New Cyber Threats – Analyzing the state of IT Security in financial sector“

„Finanzinstitute verlieren im Schnitt fast eine Million US-Dollar pro Cybersicherheitsvorfall”