Den Hackern einen Schritt voraus? Schwachstellen der IT-Sicherheit im Finanzsektor
Wenn selbst eine Institution wie die europäische Bankenaufsichtsbehörde EBA Hackern zum Opfer fallen kann, was heißt das dann erst für die IT-Sicherheit im Rest des Finanzsektors? Nach einem Angriff auf ihren Microsoft-Exchange-Server Anfang März war die Institution gezwungen, ihr gesamtes Mail-System abzuschalten. Dies war ein eindrückliches Warnsignal für die gesamte Branche, welch große Bedrohung Hacker-Attacken auch in der Finanzindustrie darstellen.
von István Lám, CEO Tresorit
Obwohl es sich beim Finanzsektor um ein beliebtes Ziel für Angreifer handelt, nutzen Banken und Finanzunternehmen weiterhin unsichere E-Mail-Systeme und Arbeitsprozesse für sensible und personenbezogene Daten, beispielsweise den Versand von Mailanhängen. Dabei bedeuten Angriffswellen wie jene auf den Microsoft Exchange-Server große Risiken für die Einrichtungen und deren Kund:innen. Mögliche Folge solcher Hackerangriffe sind, neben möglicher finanzieller Einbußen, vor allem schwerwiegende Vertrauensverluste bei den Kund:innen. Denn gerade, wenn es um Geld beziehungsweise finanzielle Transaktionen geht, kommt verlorenes Vertrauen beinahe einem Todesstoß gleich.Zusätzlich ist durch die Corona-Pandemie die sichere Nutzung von E-Mail-Services im Finanzwesen deutlich wichtiger geworden, sind doch die Angestellten im Home Office oftmals besonders gefährdet.”
Schließlich werden mehr und mehr geschäftliche Vorgänge, die zuvor noch oft analog und in den jeweiligen Filialen stattgefunden haben, per Mail in heimischen Netzwerken abgehandelt. Doch trotzdem dürfen sich gerade hier keine Nachlässigkeiten einschleichen: International ist die Finanzindustrie einer der am strengsten reglementierten Wirtschaftszweige, die Dokumentation von Geschäftsvorgängen ist hier oftmals Pflicht.
Wie erhöhen Finanzinstitute ihre Security-Level?
Wollen Einrichtungen im Finanzsektor ihre Sicherheitslevel systematisch erhöhen, stehen ihnen verschiedene Technologien zur Verfügung. Doch welche ist im jeweiligen Falle die Richtige? Schon augenscheinlich kleine Unterschiede können dabei einen großen Impact haben, so litt, im Falle der EBA, die cloudbasierte Lösung, Microsoft Exchange Online, nicht unter der besagten Sicherheitslücke, die zu dem Hack im März führten. Auch wenn sich IT-Verantwortliche im Finanzsektor aufgrund von Sicherheitsbedenken immer noch kritisch gegenüber der Cloud als Datenspeicher äußern, lässt sich inzwischen festhalten, dass viele cloudbasierte Lösungen mittlerweile über deutlich höhere Sicherheitslevels verfügen als On-Premise-Lösungen.
Dass eine neue Sichtweise vonnöten ist, zeigen auch die Forderungen nach neuen EU-Vorgaben für die IT-Sicherheit im Finanzsektor.”
Eines der wohl größten Probleme ist, dass die geltenden Regeln häufig nicht einheitlich durchgesetzt werden. Der noch oft nachlässige Umgang mit eigenen Daten im privaten Umfeld zeigt nur zu gut, dass ohne feste Regulierungen und Kontrollinstrumente IT-Sicherheit eines der Felder ist, das nur zu oft auf einen späteren Zeitpunkt verschoben wird – vor allem im Unternehmens-Kontext ein großer Fehler.
Stichwort: Cyber-Resilienz
Autor István Lám, TresoritIstván Lám ist CEO und Co-Founder von Tresorit (Website). Bereits als Kind interessierte er sich für IT-Sicherheit und Kryptographie. Im Jahr 2011, noch während seines Studiums, gründete Lám, gemeinsam mit Szilveszter Szebeni und Gyorgy Szilagyi, Tresorit, um eine sichere Alternative zu gängigen Filehosting-Services zu schaffen. Aufgrund zwei Patente, Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Technologie erfüllt Tresorit höchste Anforderungen an die IT-Sicherheit und ist u. a. deshalb bestens für den Gesundheitssektor, Rechtsabteilungen oder Human Ressources geeignet. Seinen Master in Computer Engineering absolvierte er im Jahr 2013 mit Fokus auf Verschlüsselungstechnik. Seinen Bachelor erwarb er an der Budapest University of Technology and Economics in Computer Engineering. Bereits dort spezialisierte er sich auf Kryptography und IT-Sicherheit.Besonders Banken müssen aufgrund ihres großen Anteils an kritischer Infrastruktur sicherstellen, dass alle Systeme nicht nur funktionstüchtig, sondern auch optimal gesichert sind. Dabei sollten sich Unternehmen nicht nur auf externe Dienstleister verlassen, sondern die dahinterliegende Technologie selbst grundlegend überprüfen. Schließlich nutzen auch einige Software-Anbieter noch keine Ende-zu-Ende-Verschlüsselung für ihre Datenübertragung – und letztendlich ist jedes Unternehmen selbst für die Sicherheit seiner Kundendaten verantwortlich. Diese Verantwortung kann nicht auf Dienstleister beziehungsweise Dritte übertragen werden. Ohne eine eigene, übergreifende Security-Strategie ist die Sicherheit im Finanzsektor somit stets ein massiver Risikofaktor für Unternehmen, da personenbezogene Daten Hackern gegebenenfalls beinahe auf dem Silbertablett serviert werden.
Wenngleich sich Unternehmen natürlich grundsätzlich so gut wie möglich schützen sollten, reichen rein reaktive Maßnahmen allein in der Regel nicht mehr aus, um adäquaten Schutz zu bieten. Die Komplexität von Cyberangriffen nimmt stetig zu – und macht es schwierig zu beurteilen, ob die getroffenen Präventivmaßnahmen die Angreifer tatsächlich aus dem Unternehmensnetzwerk heraushalten konnten. Schließlich werden Cyberangriffe häufig erst lange nach dem eigentlichen Eindringen entdeckt.
Daher ist konstantes, aktives Monitoring, der Einsatz hochsicherer Lösungen sowie die schnelle Detektion und ggf. darauffolgende Reaktion ganz entscheidend. Erst im Oktober letzten Jahres legte die BaFin mit ihrer öffentlichen Konsultation „Bankaufsichtlichen Anforderungen an die IT” (BAIT) neue Regelungen für diesen Bereich der IT-Sicherheit fest. Im Notfall müssen Unternehmen schnell reagieren können, denn auch der Fall Microsoft zeigt, dass jederzeit Fehler passieren und Sicherheitslücken ausgenutzt werden können .
Konsequente Ende-zu-Ende-Verschlüsselung ist ein Muss
Sowohl E-Mail-Systeme selbst, als auch der Zugriff darauf und die Kommunikation zwischen den Backup-Lösungen und dem E-Mail-System des Finanzunternehmens sollten verschlüsselt sein. Solche E-Mail-Systeme sollten mindestens eine AES256-Verschlüsselung, noch besser eine Ende-zu-Ende-Verschlüsselung für E-Mails und Dateianhänge verwenden, um ungewollte Datenzugriffe und -manipulationen zu vermeiden.
Vor der Nutzung von Software-Lösungen, beispielsweise Mail-Programme, sollten sich insbesondere Unternehmen im Finanzsektor mit entsprechenden Technologien vertraut machen und bestenfalls auf konsequent Ende-zu-Ende-verschlüsselte Lösungen setzen, die zudem automatisch aus der Cloud heraus aktualisiert und an neue Sicherheitsstandards angepasst werden können.
Fazit: IT-Sicherheit ist heute eine kontinuierliche Herausforderung für jedes Unternehmen
Der Angriff auf die europäische Bankenaufsichtsbehörde hat den Finanzsektor in Bezug auf IT-Sicherheit regelrecht aufgerüttelt, denn er zeigt, dass vor allem im Finanzbereich kontinuierliche Anstrengungen nötig sind, um Hackern stets einen Schritt voraus zu sein. Für eine umfassende Strategie zur Cyber-Resilienz reicht es nicht aus, sich auf externe Parteien zu verlassen.
Sowohl Prävention als auch Detektion und Reaktion sind hier ausbaufähig und verlangen nach festgelegten Regelungen.”
Und obwohl Ende-zu-Ende-Verschlüsselung besonders beim Austausch von Schriftverkehr oder Dateien immer beliebter wird, nutzen große Institute Services, die diese Technologie nicht bieten. Festgelegte Vorgaben und Kontrollen müssen auf Dauer und in Zukunft solche Vorfälle effektiv vermeiden und bei Vorfällen schnelle Maßnahmen sicherstellen. Die Anzahl der Cyber-Angriffe mag zwar während der Pandemie rapide angestiegen sein, allerdings heißt dies nicht, dass sie danach unbedingt wieder abflauen werden.István Lám, Tresorit
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/122244
Schreiben Sie einen Kommentar