STRATEGIE5. Okt. 2016

Passwortmanagement: IT‑Sicherheit bei Banken – von der Regulierung zur Praxis

Christian Herterich, iT-Cube Systems iT-Cube Systems
Christian Herterich, iT-Cube Systems iT-Cube Systems

Eine absolut wasserdichte Passwortverwaltung ist im Bankensektor Pflicht, um stets sämtliche Sicherheits-, Compliance- und Audit-Anforderungen erfüllen zu können. Denn kaum eine Branche zieht so sehr die Aufmerksamkeit Krimineller auf sich wie das Finanzwesen. Aber Passwörter sind nicht das einzige potenzielle Einfalltor für Cyber-Bankräuber. Wie sicheres Passwortmanagement aussehen muss und welchen weiteren aktuellen Bedrohungen Banken gegenübersehen. Am Beispiel des Privatbankhauses Merck Finck & Co.

von Christian Herterich,
Managing Consultant, iT-Cube Systems

Merck Finck & Co. setzt die Privileged Account Security Suite von CyberArk ein. Diese Lösung ermöglicht die sichere Verwaltung von privilegierten Accounts durch eine geschützte Ablage der Benutzernamen und regelmäßige, automatische Änderung von Passwörtern. Im Detail besteht die Lösung aus verschiedenen Komponenten, wie einem digitalen Datentresor (Vault), einem Central Policy Manager und einem Webportal.

Kernkomponente der Lösung ist der Datentresor, ein speziell „gehärteter“ Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.“

Im Vault werden die Passwörter als sogenannte Passwort-Objekte in unterschiedlichen Schließfächern (Safes) geschützt. Neben den rein technischen Herausforderungen, wie z.B. Implementierung der Automatismen zur Änderung von Passwörtern auf den integrierten Systemen, war die Erarbeitung von Prozessen zur Integration der über 1000 vorhandenen Accounts die zentrale Herausforderung bei der Implementierung der Lösung. Ein weiterer nicht zu unterschätzender Faktor ist die erforderliche Sensibilisierung und Akzeptanz für die Lösung bei den Anwendern innerhalb des Unternehmens.

Passwortmanagement bei Banken

Gerade im Bankenumfeld gibt es hohe Compliance-Anforderungen, die ein sicheres Passwortmanagement fordern. Konkrete Vorgaben zum Passwortmanagement ergeben sich auch aus dem PCI Standard, Basel II, ISO27001, MaRisk, SOX, … um nur mal einige davon zu nennen. Daraus ergeben sich diverse Anforderungen an ein Passwortmanagement:
1. Nachvollziehbarkeit: Administrative Tätigkeiten müssen nachvollziehbar sein. Dies ist nur mit personalisierten Accounts möglich. Allerdings bieten nicht alle Systeme die Option von personalisierten Accounts bzw. hat jedes System einen „root“ oder sog. Firefighter Accounts deren Nutzung auch nachvollziehbar sein muss.
2. „Principle of least privilege“: Jeder Nutzer darf nur die für die Ausführung seiner Tätigkeit notwendigen Berechtigungen haben.
3. Passwörter müssen regelmäßig geändert werden und gewissen Komplexitätsvorgaben entsprechen.
4. Dedizierte User Accounts für administrative Tätigkeiten.
Es gibt heute eine Vielzahl von optionalen Authentisierungsmethoden wie z.B. Zertifikate oder biometrische Verfahren. Diese Verfahren finden auch immer mehr Verbreitung, können jedoch nicht immer genutzt werden, da viele Systeme wie z.B. Netzwerkkomponenten, Security-Komponenten und Anwendungen diese nicht unterstützen. Passwörter werden daher immer ein Thema sein und seit es nur das „root“ Passwort am System oder das Passwort des „Private Keys“ einer Zertifizierungsstelle.

Neue Sicherheits-Strategien für Bankhäuser – Cyber-Bedrohungen wie Ransomware

Aktuelle Cyber-Bedrohungen sind im Grunde kein bankenspezifisches Thema, sondern betreffen alle Branchen. Allerdings sind Finanzinstitute durchaus ein lohnendes Ziel, weil Angreifer natürlich oft auf das große Geld aus sind.

Unternehmen müssen heute weiterdenken und bewährte Sicherheitskonzepte neu interpretieren und ergänzen, um gegen die aktuellen Cyber-Bedrohungen bestehen zu können. Auch wenn präventiv agierende Sicherheitslösungen immer ausgefeilter werden: letztlich sind sie immer nur eine Reaktion auf bestehende Angriffsvektoren und können auch nicht alle Angriffe verhindern. Und genau darin besteht die Herausforderung für Unternehmen beim Betrieb detektierender Sicherheitsmaßnahmen. Selbst wenn diese erfolgreich implementiert wurden, müssen die zu deren Betrieb notwendigen Strukturen und Prozesse geschaffen werden, denn die Bearbeitung der generierten Alarme erfordert die Bereitstellung dedizierter Ressourcen und Informationen.

Der Kern: SIEM

Kern detektierender Sicherheitsmaßnahmen ist dabei zumeist die Sammlung aller verfügbaren Ereignisdaten (Logs, SNMP Traps, Network Traffic Meta Data, System Monitoring Informationen, Workflow-Informationen) und deren Auswertung in einem Security Information & Event Management System (SIEM). Mit Hilfe deterministischer Korrelationsregeln werden verschiedene Ereignisse miteinander verknüpft, deren Kombination auf einen möglichen Sicherheitsvorfall hindeuten kann. Tritt eine solche Ereigniskombination auf, wird ein Alarm erzeugt, der eine weitere Analyse nach sich zieht. Der Nachteil solcher deterministischer Verfahren ist jedoch, dass das zugrundeliegende Korrelationsregelwerk einem kontinuierlichen Anpassungsprozess unterworfen werden muss. Denn nur Angriffsszenarien, die in Korrelationsregeln abgebildet wurden (sog. Use Cases), können auch erkannt werden.

Diese allgemeinen Sicherheitsstrategien werden von den Banken mehr und mehr in Richtung der Sicherheit der Kunden erweitert. Alle Banken bieten inzwischen Home-Banking-Lösungen und Anwendungen an, die es den Kunden ermöglichen, immer und überall ihre Bankgeschäfte tätigen zu können. Damit verlagert sich ein Teil des Risikos durch Cyber-Bedrohungen vom Bankensystem auf den Client des Kunden, den die Banken nicht unter Kontrolle haben – und der deutlich weniger geschützt ist.

Heutige Cyberangriffe auf Banken zielen in der Regel auf deren Kunden, um direkt dort Transaktionsinformationen abzufangen, um damit Geld umzuleiten.“

Eine Erkennung dieser Angriffe ist mittels klassischer IT Security Lösung alleine nicht mehr möglich, sondern setzt ein Risk Scoring für alle Aktivitäten eines Kunden über Online-Banking voraus, mit dessen Hilfe unberechtigte Aktionen erkannt werden sollen.

Die Zukunft: Nach SIEM kommt Angriffserkennung per KI

Durch die hohen Compliance-Anforderungen und die Arbeit der BaFIN haben Banken und Finanzdienstleister allgemein ein hohes Risikobewusstsein und sind Vorreiter in Sachen IT-Sicherheit. So waren sie beispielsweise die ersten in Deutschland, die SIEM-Systeme zur Angriffserkennung einsetzten und konsequent betreiben und sind auch jetzt wieder dabei, die Erkennungsfähigkeiten ihrer SOC-Teams durch den Einsatz von Künstlicher Intelligenz (KI) zu steigern.

Stolpersteine für ein sicheres IT-Umfeld

Banken stehen vor massiven und gleichzeitig stetig wachsenden Herausforderungen. Das sind neben der stark gestiegenen Professionalität und Frequenz der Angriffe vor allem auch die veränderten Kundengewohnheiten und der radikale Technologiewechsel, der sich im Bereich Blockchains unaufhaltsam anbahnt – und dies in einem, durch die Niedrigzinspolitik verursachten, äußerst schwierigen wirtschaftlichen Umfeld, welches die Banken zu Personalabbau zwingt. Hier strategisch, technisch und operativ gegen die Konkurrenz zu bestehen, ist äußerst schwierig.

Die größten Risiken im Bereich der Banken-IT

Gezielte Phishing-Attacken und dauerhafte Backdoors in Bankennetzwerken bleiben ein großes Problem. Ein gutes Beispiel ist der SWIFT-Hack. Hier erleichterte die Hackergruppe „Lazarus“ im März 2016 die Central Bank of Bangladesh (BB) um 81 Mio. USD durch Manipulationen in der Kommunikation von SWIFT. Das Ziel der Angreifer war der Zugriff auf das genossenschaftliche Banken-Zahlungsnetzwerk SWIFT, das auch von der Bangladesh Bank genutzt wurde, um Überweisungen der New York Federal Reserve auf von den Verbrechern eingerichtete Konten vorzunehmen. SWIFT ist ein Interbank-Zahlungssystem, das Finanzorganisationen den sicheren Geldtransfer zwischen Institutionen ermöglicht. Eine Überweisung über SWIFT zu tätigen, erfordert nicht unbedingt, SWIFT selbst zu hacken. Bank-Mitarbeiter können den Allianz-Partner-Zugang direkt von ihrem Desktop-Browser öffnen.

Diese Benutzerfreundlichkeit macht das System jedoch anfällig für gezielte Phishing-Angriffe. Lazarus verwendete offenbar kompromittierte Benutzer-Accounts, um Swift-Codes zu identifizieren, Überweisungen zu tätigen und Spuren zu verwischen. Dazu war der Zugang zum internen Netzwerk der BB erforderlich, was wiederum den gezielten Einsatz von Malware und die Einrichtung einer oder mehrerer Backdoors als Remote-Zugriff bedingt.

Banken mit niedrigem Reifegrad in präventiven Sicherheitsmaßnahmen, Angriffserkennung und -abwehr stellen somit eine massive Bedrohung für Banken-Zahlungsnetzwerke mit vielen Partnern dar.

SWIFT hat reagiert und den teilnehmenden Banken eine Frist bis zum 19. November 2016 gesetzt, Sicherheitsmaßnahmen, einschließlich stärkerer Passwort-Regeln, umzusetzen, andernfalls würden die Bankaufsichtsbehörden informiert.“

Die Vereinheitlichung des europäischen Zahlungsverkehrs

Die Sicherheitsrisiken, die sich hieraus ergeben, sind nicht primär IT-spezifisch. Die Vereinheitlichung macht es aber Angreifern einfacher, Informationen über Kontonummern zu sammeln. Dies hängt mit der IBAN zusammen. Denn so gibt es für alle Konten ein einheitliches Format und Cyber-Kriminelle müssen z.B. bei Phishing-Attacken nicht mehr die länderspezifischen Besonderheiten der Kontonummern berücksichtigen.

Sie finden diesen Artikel im Internet auf der Website:
http://www.it-finanzmagazin.de/?p=37815
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (6 Stimmen, Durchschnitt: 3,17 von maximal 5)
Loading...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

BITKOM-258
BITKOM Workshop Instant Payments – 16. September 2015 in Frankfurt

Auf Initiative der EZB drängt das Euro Retail Payment Board (ERPB) auf die Einführung von Instant Payments. Zu diesem Thema lädt der Bitkom zu einem Workshop...

Schließen