Wie sich Cyberattacken gegen Finanzunternehmen verändert haben – und was Institute tun können
Die Zeiten des Gießkannenprinzips sind bei Hackerangriffen vorbei. Hackergruppen haben sich spätestens durch den Russland-Ukraine-Krieg neu aufgestellt und ihre Vorgehensweise bei Cyberattacken geändert. Wie sie heutzutage vorgehen und was das für Unternehmen aus dem Bereich der kritischen Infrastruktur bedeutet, erläutern Christian Nern, Partner und Head of Security bei KPMG, Julian Krautwald, Senior Manager bei KPMG und Alexander Werkmann, Director von IBM Security und IBM Technology.
von Christian Nern & Julian Krautwald KPMG und Alexander Werkmann, IBM
Finanzinstitute sind weltweit nach wie vor ein beliebtes und häufiges Ziel von gezielten Hackerangriffen. Das zeigt der Threat Intelligence Index 2022 von IBM: Demnach waren 22,4 Prozent der Cyberattacken 2021 gegen Finanzdienstleister gerichtet. Sie lagen damit erstmals knapp hinter Unternehmen aus dem produzierenden Gewerbe (23,2%), allerdings deutlich vor der Professional-Service-Industrie, auf die 12,7 Prozent der Angriffe abzielten. Die Attraktivität von Finanzdienstleistern in Hackerkreisen unterstreicht auch ein aktueller Vorfall aus Litauen: Nachdem das Land Ende Juni die Bahnverbindung zwischen Russland und Kaliningrad eingeschränkt hatte, erfolgten unmittelbar danach zahlreiche Angriffe auf litauische Banken und andere Finanzdienstleister. Auch wenn diese Attacken mehrheitlich erfolgreich abgewehrt wurden und keinen ernsten Schaden verursacht haben:Kriminelle Hackergruppen nutzen Cyberattacken gegen Unternehmen der kritischen Infrastruktur, um Druck auf sie und die Staaten auszuüben.”
Akteure kennen die Gefahr, gewichten jedoch unterschiedlich
Die meisten Finanzdienstleister rechnen auch in den kommenden zwei Jahren mit einem Angriff auf ihr Unternehmen. Das ergab die Studie „Von Cyber Security zur Cyber Resilience“ von Lünendonk & Hossenfelder in Zusammenarbeit mit KPMG. Allerdings unterscheiden sich die erwarteten Angriffsarten von Banken, Versicherungen und Asset Managern: Während Banken vor allem eine Nutzung unautorisierter Devices (62%) und DDoS-Attacken (57%) gegen ihr Institut erwarten, rechnen Versicherungen primär mit Ransomware- bzw. Phishing-Attacken (71%) und einer Nutzung unautorisierter Devices (66%) sowie Asset Manager vor allem mit einer Nutzung unautorisierter Devices (90%) und Ransomware- bzw. Phishing-Angriffen (80%). Nahezu alle Befragten (97%) gehen bei etwaigen Cyberangriffen von schwerwiegenden Folgen für ihr Unternehmen aus, allerdings sind auch hier die Sorgen unterschiedlich verteilt: So fürchten Banken vor allem den Verlust von Kundendaten (69%), und Reputation (59%) gefolgt von Unternehmensdaten (54%), während Versicherungen am meisten Sorge haben, Unternehmensdaten (77%) oder Kundendaten (74%) zu verlieren, bevor sie einen Imageschaden fürchten (57%). Asset Manager bangen am meisten um ihre Unternehmensdaten (100%) gefolgt von Kundendaten (69%) und Reputationsschäden (60%).
Realität weicht teils von Erwartungen ab
Laut Threat Intelligence Index 2022 weicht die Realität allerdings etwas von den Erwartungen der Institute ab: Demzufolge ist Ransomware mit 22 Prozent zum dritten Mal in Folge der häufigste Angriffsvektor – weit vor Serverzugriffen (14%), BEC-Angriffen (Business Email Compromise) (8%) oder Datenabgriffen (8%). Allerdings ist die Sorge vor Schadensfällen berechtigt: So erreichten die Kosten pro Datenpanne laut Cost of a Data Breach Report 2022 mit 4,82 Millionen US-Dollar bei Unternehmen aus dem Bereich der kritischen Infrastruktur nicht nur ein neues Allzeithoch, sondern sie lagen zudem rund eine Million US-Dollar über den durchschnittlichen Kosten in anderen Branchen. Eine enorme Summe, die sich schnell potenziert, denn:
Nur 17 Prozent der Befragten beklagten ihren ersten Cybervorfall, 83 Prozent hingegen erlitten bereits zwei oder mehr Sicherheitsvorfälle.”
Die neue Qualität der Cyberattacken
Eine der wichtigsten Erkenntnisse der letzten Monate: Hackergruppen sind inzwischen hochprofessionell aufgestellt. Sie agieren längst nicht mehr nur „mit der Gießkanne“, sondern bereiten gezielte Angriffe gegen einzelne Unternehmen individuell vor. Dabei hat vor allem die Geschwindigkeit spürbar zugenommen: Während Hacker früher noch mehrere Wochen bis einige Monate vom Initial Attack bis zum tatsächlichen Datenabruf brauchten, benötigen sie dafür heutzutage nur noch wenige Tage. Das bedeutet: Die Zeit, die Unternehmen benötigen, einen Angriff zu erkennen sowie notwendige Maßnahmen einzuleiten, ist ein enormer Erfolgsfaktor.
Dabei sind die Institute im Vorteil, die z.B. bereits eine Extended-Detection-and-Response-Lösung (XDR) nutzen. Denn:
Laut Threat Intelligence Index 2022 reagierten Unternehmen mit XDR im Schnitt 29 Tage schneller auf Cyberattacken als solche ohne XDR.”
Um das Potenzial von Kontroll- und Steuerungssystemen wie XDR, Security Operations Center (SOC) oder Security Information and Event Management (SIEM) voll ausschöpfen zu können, ist jedoch eine ganzheitliche und automatisierte Integration entscheidend. Je mehr Daten in einem gebündelten Cockpit zusammenlaufen und ganzheitlich analysiert werden können, desto besser.
Gefahr erkannt – Gefahr gebannt?
Für Institute folgt aus diesen Erkenntnissen der Schluss, dass sie mit einem Basis-Cyberschutz den modernen Hackerangriffen nicht mehr die Stirn bieten können. Sie müssen Ihre Cyber Security ebenso professionalisieren und sich – möglichst „von innen nach außen“ – schützen. Dabei sind vor allem drei Aspekte besonders wichtig – und sollten so schnell wie möglich in jedem Institut erfolgen:
- Basis-Sicherheit maximieren. Auch wenn es für viele Unternehmen selbstverständlich ist, zeigt die Praxiserfahrung, dass einige Finanzinstitute noch Optimierungsbedarf bei den grundsätzlichen Sicherheitsmechanismen haben. Diese sind nicht nur immens wichtig, sondern ebenso schnell behoben. Hier nur einige Beispiele: Software durch Sicherheitspatches up-to-date halten, mehrstufige Authentifizierung und VPN-Zugänge flächendeckend einführen, sichere Passwortvorgaben definieren, Schwachstellen-Scans durchführen und gefundene Schwachstellen beheben, Backups für kritische Systeme einrichten sowie Offline-Kopien wichtiger Daten erstellen. Es lohnt sich wirklich!
- Bedrohungslage kennen und in Use Cases überführen. Use Cases – vorab definierte, mit Blick auf Sicherheit verdächtige Szenarien – sind ein essenzielles Werkzeug gegen Cyberangriffe – aber nur, wenn sie sinnvoll ausgewählt und richtig umgesetzt sind. Dafür sollten Institute im ersten Schritt Bedrohungen, welche auf ihre Applikationen und die zugrundeliegende Infrastruktur einwirken, identifizieren, anschließend priorisieren und dann „top-down” Use Cases, welche die Ausnutzung der identifizierten Bedrohungen erkennen, ableiten und im SIEM umsetzen. Da selbst für eine geringe Anzahl (<50) an Applikationen, die in der Art betrachtet wurden, schnell 150 bis 200 Use Cases zusammenkommen und für den gesamten Prozess – von der Identifizierung der Bedrohungen bis zur finalen Implementation der abgeleiteten Use Cases – im Durchschnitt 4,3 Monate pro Applikation vergehen, sollten Institute erwägen, hierfür einen externen Partner ins Boot zu holen, um die Umsetzung zu beschleunigen.
- Bedrohungen und Use Cases kontinuierlich managen. In unserer agilen Welt müssen sowohl die potenzielle Bedrohungslage als auch die bereits implementierten Use Cases regelmäßig auf Aktualität überprüft und bei Bedarf angepasst werden. Neue Bedrohungen werden wieder priorisiert und bei Bedarf in neue Use Cases überführt, bestehende Use Cases im Rahmen des Use Case Lifecycle Managements im SIEM erweitert.
Einsatz von Artificial Intelligence in der Cybersicherheit
Für ein effizientes Use Case Lifecycle Management empfiehlt sich ein System, das Artificial Intelligence (AI) einsetzt. Denn: Ein SIEM ist nur so schlau, wie es konfiguriert wurde. Ist es statisch, muss jede Anpassung manuell erfolgen, was sehr aufwändig ist und zwangsläufig – zumindest vorübergehend – zu Sicherheitslücken führt. Kann ein solches System jedoch mithilfe von AI selbst lernen, welches Verhalten in den angebundenen Systemen normal ist, erkennt es mit der Zeit auch auffällige Aktionen. Das ist die beste Voraussetzung, um auf Advanced Persistent Threats zu reagieren, die keine Malware verbreiten, sondern sogenannte Living-off-the-Land-Attacken (LotL) durchführen. Da die Angreifer hierbei sehr viel subtiler vorgehen, indem sie versuchen, sich mithilfe von Bordmitteln des Zielunternehmens tiefer in die Systemlandschaft zu arbeiten oder ihre Rechte auszuweiten, sind die Angriffe auch deutlich schwieriger zu verteidigen.
“Den Security-Motor starten”
Zusammenfassend lässt sich festhalten: Die Gefahr für Finanzdienstleister ist groß und könnte noch weiter zunehmen. Eine abwartende Haltung können Unternehmen sich vor diesem Hintergrund nicht mehr leisten, sondern sie müssen ihre Cybersicherheit dem Professionalisierungsgrad ihrer Gegner anpassen – so schnell wie möglich. Viele Institute haben bereits den richtigen Motor eingebaut, holen jedoch noch nicht alle PS aus ihm heraus. Für Akteure, die noch auf den Einbau eines leistungsstarken Motors warten – oder noch nicht einmal einen solchen bestellt haben –, wird es mit jedem weiteren Tag schwerer, ihr Unternehmen solide gegen Angriffe von außen zu schützen. Gleichwohl gilt es im Kopf zu behalten:
Auch die besten technischen Schutzmechanismus nutzen nichts, wenn die Belegschaft nicht hinreichend sensibilisiert ist.”
Hier braucht es keine Schulungen im klassischen Sinne, sondern regelmäßige Maßnahmen mit Gamification-Faktor, die auf eine nachhaltige Veränderung der Unternehmenskultur abzielen.Christian Nern & Julian Krautwald, KPMG und Alexander Werkmann, IBM
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/145182
Schreiben Sie einen Kommentar