Avaloq Vermögensmanagement
SECURITY31. August 2023

Ohne Cyber-Resilienz ist der Finanzsektor verwundbar

Torsten George von Absolute Software erklärte warum der Finanzsektor ohne Cyber-Resilienz verwundbar ist
Torsten George, Absolute Software Absolute Software

Finanzinstitute stehen vor der Herausforderung, ihre Cyber-Resilienz zu verbessern, um die Risiken, die von den eskalierenden Cyberbedrohungen ausgehen, zu begrenzen. Banken und Versicherungsunternehmen sollten sich spätestens jetzt um ihre Cyber-Resilienz kümmern.

von Torsten George, Cybersecurity Evangelist bei Absolute Software

Finanzdienstleister sind seit jeher auf Informationen angewiesen. Investitionen, Kreditvergabe, wertorientierte Transaktionen – all das erfolgt heute digital. Finanzunternehmen verwalten riesige Archive mit digitalen Assets und sensiblen Kundendaten. Die sich ständig ändernden gesetzlichen Vorschriften – wie Basel III, die Datenschutz-Grundverordnung (DSGVO) …

… oder künftig der Digital Operational Resilience Act (DORA) – machen es schwierig, die Compliance lückenlos zu gewährleisten.”

Finanzdienstleister sind zugleich eines der bevorzugten Ziele von Cyberangriffen.

Angesichts vielfältiger Bedrohungen ist die Verbesserung der Cyber-Resilienz ein Schlüsselelement für die Stabilität des nationalen und globalen Finanzsystems. Ein schwerwiegender Cybersicherheitsvorfall könnte, wenn er nicht angemessen eingedämmt wird, kritische Finanzinfrastrukturen ernsthaft stören, was wiederum Auswirkungen auf die Finanzstabilität im weiteren Sinne hätte. Der Begriff Cyber-Resilienz wird oft sehr frei interpretiert, was der Sache nicht nutzt.

Laut Definition des NIST geht es um die Fähigkeit, ungünstige Bedingungen, Belastungen, Angriffe oder Beeinträchtigungen von Systemen, die Cyberressourcen nutzen oder durch sie ermöglicht werden, zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen.“

Während sich Cybersicherheit vor allem auf Technologie und Systeme zur Abwehr von Angriffen konzentriert, geht es bei Cyber-Resilienz auch darum, die generelle Widerstandsfähigkeit einer IT-Umgebung stets im Blick zu haben.

Finanzunternehmen sollen widerstandsfähiger werden – mit DORA

Finanzunternehmen benötigen einen Plan für die Wiederaufnahme des Kerngeschäfts, damit die Bankfunktionen weiterlaufen können. Sie müssen hierbei kritische Anwendungen priorisieren, um den Neustart in der richtigen Reihenfolge durchzuführen. Dies ist ein komplexer Prozess für Finanzunternehmen, angesichts Tausender von Anwendungen. Neue Richtlinien wie aktuell DORA seitens der EU sollen die Art und Weise verbessern, wie Finanzinstitute ihre Daten verwalten, damit sie widerstandsfähiger gegen Ransomware und andere Bedrohungen der Cybersicherheit werden.

DORA stellt ein umfassendes Cyber-Resilienz-Framework für Finanzdienstleister bereit, das auf fünf Säulen basiert:

  • Finanzinstitute müssen Prozesse und Systeme einrichten, die die Auswirkungen von IKT-Risiken minimieren.
  • DORA schreibt auch die Einrichtung geeigneter Prozesse vor, um eine konsistente und integrierte Überwachung, Behandlung und Weiterverfolgung von IKT-bezogenen Vorfällen zu gewährleisten.
  • Die Fähigkeiten und Funktionen innerhalb des IKT-Risikomanagementrahmens müssen regelmäßig bewertet werden, um Schwächen, Mängel und Lücken zu ermitteln und Korrekturmaßnahmen zu deren Behebung zu ergreifen.
  • Aufgrund des zunehmenden Einsatzes von IKT-Drittanbietern müssen Finanzinstitute diese während des gesamten Lebenszyklus – vom Vertragsabschluss bis zur Beendigung und nachvertraglichen Phasen – nach vorgeschriebenen Mindestanforderungen verwalten.
  • Um das Bewusstsein zu schärfen und zu erweitern, gibt DORA Finanzunternehmen die Möglichkeit, Informationen und Erkenntnisse über Cyberbedrohungen auszutauschen.

Gängige Herangehensweisen an die Cyber-Resilienz – reicht das?

Autor Torsten George, Absolute Software

Torsten George ist Cy­ber­se­cu­ri­ty-Evan­ge­list bei Ab­so­lu­te (Website). Er ist au­ßer­dem Mit­glied des stra­te­gi­schen Bei­rats bei Nop­Sec, ei­nem An­bie­ter von Soft­ware für das Ma­nage­ment von Schwach­stel­len­ri­si­ken und ein in­ter­na­tio­nal an­er­kann­ter IT-Si­cher­heits­ex­per­te, Au­tor und Red­ner. George ist seit über 25 Jah­ren Teil der glo­ba­len IT-Si­cher­heits-Com­mu­ni­ty. George war in lei­ten­den Po­si­tio­nen bei Cen­tri­fy Cor­po­ra­ti­on, Risk­Sen­se, RiskVi­si­on (über­nom­men von Re­sol­ver, Inc.), Ac­tivI­den­ti­ty (über­nom­men von HID® Glo­bal, ei­ner Mar­ke der AS­SA ABLOY™ Group), Di­gi­tal Link und Ever­dream Cor­po­ra­ti­on (über­nom­men von Dell) tätig.

In den letzten Jahren haben sich Finanzinstitute oft auf die Absicherung ihrer Datenbanken und Cloud-Umgebungen konzentriert. Dies hat jedoch dazu geführt, dass sie sich Angriffen ausgesetzt haben, die auf die Endgeräte der Mitarbeiter abzielten. Die Angreifer machten sich die Tatsache zunutze, dass die Verschlüsselung von sensiblen Kunden- oder Finanzdaten, die auf mobilen Geräten häufig gespeichert sind, unzureichend ist. Ein weiterer Aspekt ist, dass die Mitarbeiter seit der Pandemie vermehrt im Home-Office arbeiten. Dadurch ist eine zusätzliche Angriffsfläche entstanden, wenn sich Benutzer ins Firmennetzwerk einwählen. Für hybride Arbeitsmodelle wurden sichere Zugriffslösungen wie Virtual Private Networks (VPNs) und Zero Trust Network Access (ZTNA) nötig, die es seitdem auf dem neuesten Stand zu halten gilt.

Daten zeigen jedoch, dass gerade die dafür erforderlichen Tools auf mehr als 30 Prozent der Endgeräte entweder nicht installiert sind oder nicht den erforderlichen Versionsstand aufweisen.”

Die typischen Herausforderungen bei der Umsetzung der Cyber-Resilienz liegen vor allem in der begrenzten Sichtbarkeit zur Identifizierung von Geräten, Daten, Benutzern und Anwendungen. Zum Problem wird immer wieder die langsame Reaktion, wenn die Wiederherstellung von Diensten oder das Neuaufsetzen nicht korrekt funktionierender Sicherheitskontrollen erforderlich ist. Als schwierig erweist es sich, gefährdete sensible Daten genau zu identifizieren und die sich ständig ändernden Compliance- und Regulierungsstandards dabei im Blick zu behalten. Übermäßig komplexe Sicherheitsanwendungen, agentenbasierte Tools und eine Sicherheitsinfrastruktur aus einem Mix an Tools erschweren die Datensicherheit und den Datenschutz.

Mehr Sicherheitslösungen bedeuten nicht mehr Schutz

Der 2023 Resilience Index (Website) widerspricht der lange Zeit vorherrschenden Meinung, dass mehr Sicherheitslösungen direkt mit mehr Schutz gleichzusetzen sind. Das „Work-from-Anywhere“-Modell verschärft die Belastung von IT- und Sicherheitsteams durch einen breiten Mix aus Netzwerken, Hardware, Betriebssystemversionen und Patches. Innerhalb von Windows 10 gibt es 14 verschiedene Versionen und mehr als 800 Builds und Patches, die es zu verwalten gilt. Die Telemetriedaten zeigen auch, dass auf einem durchschnittlichen Unternehmensgerät 67 Anwendungen installiert sind, wobei zehn Prozent dieser Geräte mehr als 100 Anwendungen installiert haben. Viele dieser Tools ermöglichen es den Mitarbeitern zwar, produktiv zu arbeiten, tragen aber auch zu einer erhöhten Komplexität bei.

Diese Komplexität kann zu Konflikten zwischen Anwendungen führen, das Patchen und die Wartung von Geräten und Anwendungen erschweren.”

Dies gilt insbesondere, wenn diese Geräte dezentral betrieben werden, und kann dazu führen, dass Software mit der Zeit ausfällt oder offline geht. Die Studie untersuchte zudem gängige Sicherheitsanwendungen, die für hybride Mitarbeiter zum Einsatz kommen, wie Endpoint Protection (EPP), Endpoint Detection and Response (EDR) und Secure Access. Die Untersuchungen zeigen, dass im Durchschnitt 25 % – 30 % der Anwendungen auf Endgeräten nicht funktionsfähig sind.

Wie sich die Cyber-Resilienz verbessern lässt

Ziel muss es sein, die Auswirkungen eines möglichen Cybervorfalls proaktiv zu verhindern, zu begrenzen oder einzudämmen. Hierbei gilt es auch, sicherzustellen, dass Software, die geschäftskritische Systeme unterstützt, wie vorgesehen funktioniert. Finanzunternehmen müssen ihre Angriffsflächen so weit wie möglich reduzieren und die Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer Daten gewährleisten. Hierzu gehört unter anderem, den Zugang zu Systemen auf diejenigen Benutzer zu beschränken, die eine legitime Geschäftsanforderung zu bearbeiten haben.

Über die Software von Absolute
Absolute be­schäf­tigt sich mit dem Zu­stand von An­wen­dun­gen und de­ren Aus­wir­kun­gen auf die Cy­ber-Resi­li­enz von End­punk­ten. Ein­ge­bet­tet in die Firm­ware von mehr als 600 Mil­lio­nen Ge­rä­ten er­mög­licht die Un­ter­neh­mens-Soft­ware Sicht­bar­keit und Kon­trol­le über End­ge­rä­te, An­wen­dun­gen und Netz­werk­ver­bin­dun­gen. Durch den Ein­satz der Selbst­hei­lungs­funk­ti­on kön­nen Kun­den Ge­rä­te, Da­ten und Be­nut­zer schüt­zen. Kun­den kön­nen si­cher­stel­len, dass kri­ti­sche Si­cher­heits­kon­trol­len mit Ef­fek­ti­vi­tät ar­bei­ten, wäh­rend sie gleich­zei­tig ei­ne op­ti­ma­le Re­mo­te- und mo­bi­le Be­nut­zer­er­fah­rung bie­ten. Durch den Ein­satz der Per­sis­tence-Tech­no­lo­gie und Ap­p­li­ca­ti­on Resi­li­ence-Funk­tio­nen kön­nen so­wohl Un­ter­neh­men als auch Si­cher­heits­an­bie­ter die Wirk­sam­keit von An­wen­dun­gen op­ti­mie­ren und die Si­cher­heit und Com­p­li­an­ce stärken.
Finanzunternehmen müssen dafür sorgen, dass ein Prozess existiert, um Patches zu identifizieren, zu priorisieren und zeitnah anzuwenden. Ebenso sollten sie grundlegende Standards für die Systemkonfiguration festlegen, um die einheitliche Anwendung von Sicherheitseinstellungen auf Betriebssystemen, Datenbanken, Netzwerkgeräten und mobilen Geräten zu überwachen
Das Sicherheitsbewusstsein ist in der Branche generell vorhanden. Insbesondere bei Remote- und Hybrid-Mitarbeitern wenden Finanzunternehmen unterschiedliche Sicherheitskontrollen an, die es jedoch konsequent aufrechtzuerhalten gilt. Sicherheitstools, die nicht installiert sind oder nicht effektiv funktionieren, können Unternehmen nicht schützen. Hier bietet es sich an, Analytik und Automatisierung einzusetzen, um defekte Anwendungen zu reparieren. Dadurch lassen sich das Risiko reduzieren, die Benutzerfreundlichkeit wiederherstellen und die Compliance gewährleisten.

Die Zukunft der Cyber-Resilienz

Der Wandel vom bislang oft unkoordinierten Umgang mit Cyberbedrohungen hin zur umfassenden Cyber-Resilienz ist generell der richtige Weg. Finanzunternehmen müssen hier nachlegen und werden künftig noch detaillierter und nach strengeren Vorgaben belegen müssen, dass ihr Geschäftsbetrieb resilient ist.

Alles spricht dafür, dass in Zukunft auch in diesem Bereich verstärkt KI-gestützte Lösungen zum Einsatz kommen werden, um die Cyber-Resilienz zu überwachen, zu testen und bei Problemen direkt einzuschreiten und diese zu beheben.

Torsten George, Absolute Software

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/160229

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert