Cyberkriminalität, ein erhebliches Risiko für Bankensysteme

Im Jahr 2019 sagte Jamie Dimon, CEO von J.P. Morgan Chase & Co: “Die Bedrohung der Cybersecurity könnte sehr wohl die größte Bedrohung für das US-Finanzsystem sein“. Laut CNBC gibt das US-Unternehmen jedes Jahr fast 600 Millionen Dollar aus, um seine Cyberabwehr zu stärken und mit “einem konstanten Strom an Angriffen” umgehen zu können.

Eine erhebliche Investition, die sich auch dadurch rechtfertigen lässt, dass J.P. Morgan Chase & Co. 2013 Opfer eines beträchtlichen Datenlecks wurde. Laut Forbes berichtete das Unternehmen 2014, dass 76 Millionen Haushalte – das entspricht 65 % aller US-Haushalte – und 7 Millionen kleine Unternehmen bei dem Cyberangriff auf das Unternehmen kompromittiert worden waren.

Diese Geschichte ist leider kein Einzelfall. In der Ausgabe 2020 ihres Risk Mapping Report identifiziert die Europäische Zentralbank (EZB) die größten Risikofaktoren, mit denen das Bankensystem der Eurozone in den nächsten drei Jahren konfrontiert sein dürfte.

Risk Mapping, 2020 Source: EZB 

Wie das obige Diagramm der EZB zeigt, gehören Cyberkriminalität und Computer Incidents zu den größten Risiken für das Bankensystem.

Diese Risiken werden erheblich verstärkt durch:  

• die fortschreitende Digitalisierung von Finanzdienstleistungen;
• die Veralterung bestimmter Banken-Informationssysteme (IS);
• Verbindung mit Drittanbieter-IS und damit die Migration in die Cloud.  

Der Bankensektor weist Besonderheiten auf, die Cyberangriffe zu einer sehr ernsten Angelegenheit machen, sowohl in Bezug auf ihr Auftreten als auch auf das potenzielle Ausmaß der Folgen. Datensicherheit ist eine große Herausforderung für den Finanzsektor, der für das Funktionieren der Wirtschaft insgesamt eine wichtige Rolle spielt. Ein Angriff auf ein Bankinstitut kann in der Tat schädliche Folgen für das Tagesgeschäft eines ganzen Landes oder sogar einer ganzen Region der Welt haben.

Heutige Bankinstitute setzen vollständig auf IT-Systeme. So haben sie schon sehr früh damit begonnen, ihre Geschäftsaktivitäten zu computerisieren. Dennoch sind wir auch heute immer wieder überrascht, dass einige Informationssysteme (IS) veraltet und schlecht an die Bedrohungen angepasst sind, denen Banken ausgesetzt sind, insbesondere mit APT (Advanced Persistent Threats), denen wir im Folgenden einen Absatz widmen.

Die EZB schreibt in einer aktuellen Mitteilung, dass die meisten Sicherheitsprobleme auf die Nichtanwendung von Regeln zur Risikoerkennung zurückzuführen sind. In einigen Fällen werden Software-Patches, die das Abwehrsystem gegen neue Schwachstellen aktualisieren, einfach nicht installiert. In diesem Zusammenhang hat Immunize6 externe Webanwendungen, APIs und mobile Anwendungen der S&P Global-Liste (in der die weltweit größten Finanzunternehmen aus 22 Ländern aufgeführt sind) untersucht. Insbesondere fand Immunize heraus, dass 92 % der mobilen Bankanwendungen mindestens eine Sicherheitslücke mit mittlerem Risiko enthalten. Noch besorgniserregender ist, dass 100 % der Banken Sicherheitsschwachstellen oder Probleme im Zusammenhang mit vergessenen Sub-Domains haben.

Informationssysteme im Finanzsektor basieren ebenfalls sehr oft auf mehreren, dezentralen Systemen innerhalb großer, weit vernetzter Gruppen, die viele Informationen mit der Außenwelt austauschen, insbesondere für die Durchführung von Online-Zahlungen.

Diese Eigenschaften beruhen nicht auf klassischen Schutzmaßnahmen, wie z. B. einem auf das interne IS zentrierten Schutz. Der Bankenkontext erfordert die intensive Entwicklung von anspruchsvolleren Schutz- und Angriffserkennungsmechanismen. Denn Cyberangriffe sind vielfältig.

Cyberattacken gegen Banken: Phishing und DDoS

Laut dem Security Navigator, unserem jährlichen Report, hat der Finanzsektor weiterhin eine höhere Anzahl von bestätigten Social-Engineering-Vorfällen als die meisten anderen Sektoren, insbesondere Phishing-Vorfälle.

Außerdem stellten im Jahr 2020 stellten unsere Experten eine Auffälligkeit fest: In keiner anderen Branche gab es so viele DDoS-Angriffe. Somit ist Betrug durch Diebstahl oder Manipulation von Bankdaten also nicht mehr das alleinige Ziel der Angreifer. Ein weiteres Ziel ist es, der Bank zu schaden, indem sie ihren Ruf schädigen. Die Motivationen der Angreifer beschränken sich nicht mehr nur auf die Aussicht auf Gewinn.

Zusätzlich ist zu beachten, dass auch die Spionage, die von einem Konkurrenten oder einer fremden Wirtschaftsmacht betrieben werden kann, zunimmt.

Der Bankensektor ist erheblich von APTs betroffen

Die oben genannten Angriffstechniken sind nicht die einzigen, die von Cyberkriminellen verwendet werden. Vor allem Banken sind im Visier von Advanced Persistent Threats (APTs). Diese ausgeklügelten und heimtückischen Bedrohungen kombinieren fortschrittliche Intrusions- und Spoofing-Techniken, die es Hackern ermöglichen, auf Anwendungen zur Kontoverwaltung zuzugreifen, z. B. auf die Bargeldverwaltung in Vertriebskanälen oder Massenzahlungsströme

Zur Veranschaulichung: Der Cyberangriff vom Typ APT, der angesichts des gestohlenen Betrags (zwischen 800 Millionen und 1 Milliarde Dollar laut der Wirtschafts- und Finanzagentur) zweifellos das größte Aufsehen erregt hat, ist der Fall Carbanak vom Februar 2015. “Carbanak” ist der Name der Malware, mit der eine Gruppe von Hackern die Infrastruktur und die Daten der Mitarbeiter von Hunderten von russischen, japanischen, amerikanischen und europäischen Banken ausspionierte. Die von Kaspersky Lab entdeckte Einbruchsmethode basierte auf Phishing und Social Engineering. Das Versenden von betrügerischen E-Mails mit einem mit Malware infizierten Anhang ermöglichte den Zugriff auf das interne Netzwerk der Banken und die notwendigen Berechtigungen für Geldtransfers. Es wurde diskret ein Remote-Administrations-Tool installiert, um Zugriff auf Screenshots und Passwörter der Mitarbeiter zu erhalten.

Wie dieser Artikel im französischen Wirtschaftsmedium Les Echos erklärt, wurde zwischen Februar und April 2020 eine “Verdreifachung der Cyber-Angriffe (+238%) gegen Finanzinstitute auf der ganzen Welt” von VMware Carbon Black beobachtet. Die signifikante Zahl zeigt die Dringlichkeit für Bankinstitute, sich gegen zahlreiche und ausgeklügelte Angriffe zu schützen.

Um den Risiken des Finanzsektors wirksam zu begegnen, wird ein umfassender Ansatz empfohlen, der auch Dritte einbezieht, da es nicht ausreicht, sich selbst zu schützen. Auch die Einhaltung bestehender Vorschriften ist der erste und wichtigste Schritt zu einem angemessenen Schutz.

Eine Analyse von Ibrahima Sene, Cybersecurity Consultant bei Orange Cyberdefense France.