Im Fadenkreuz: 10 Maßnahmen, mit denen sich Banken und Versicherer gegen Hacker schützen sollten

Es ist kein Geheimnis, dass Banken eines der beliebtesten Ziele für Cyber-Kriminelle sind. Die Vor­ge­hens­wei­se der Ha­cker ist da­bei meist ähn­lich. Angreifer verlassen sich derzeit hauptsächlich auf eine schwache Authentifizierung, um in Netzwerke einzudringen. Gestohlene Zugangsdaten, unzureichende Zugriffskontrollen – schon haben Hacker Zugriff auf wichtige Daten, Personen und Systeme. Doch wie können sich Banken schützen, bevor es zum Ernstfall kommt?

von Mike Hart, Vice President Central Europe FireEye

Bei der Abwehr jeglicher Art von Angriffen geht es darum, an den richtigen Stellen Kon­troll­in­stru­men­te ein­zu­set­zen, um die Be­dro­hung zu er­ken­nen, zu ana­ly­sie­ren und auf sie re­agie­ren zu kön­nen und künf­tig zu ver­hin­dern. Trotz­dem gibt es im­mer wie­der Ha­cker, die ei­nen Weg ins Un­ter­neh­mensin­ne­re fin­den. Doch die Ähn­lich­keit der At­ta­cken er­mög­licht es, Maß­nah­men zu iden­ti­fi­zie­ren, die Ban­ken ei­nen gu­ten Schutz vor Ha­ckern bie­ten.

1. Identifikation kritischer Unternehmenswerte

Wie auch bei jeder anderen Risikobewertung gilt es zunächst festzustellen, wo mögliche Schwachstellen lauern. Bei dem Versuch, alles zu schützen, passiert es schnell, dass im Endeffekt nichts davon wirklich gut genug geschützt ist – frei nach dem Motto: Von allem ein bisschen, aber nichts richtig.

Entsprechend ist es wichtig, die Systeme, Ressourcen und Prozesse mit besonderem Schutzbedürfnis zu identifizieren, bevor Sicherheitsmaßnahmen implementiert werden.”

2. Richtiges Zugangsdatenmanagement

Bei fast jedem Angriff werden Zugangsdaten gestohlen und missbraucht.

Besonders wichtig ist es also, die Berechtigungsnachweise zu schützen. Ein möglicher erster Ansatz ist, die Anzahl an berechtigten Administratoren und privilegierten Konten zu reduzieren.”

Außerdem empfiehlt es sich, mehrere Authentifizierungsdomänen zu nutzen, um darüber Schadensbegrenzung zu betreiben. Beispielsweise kann für ein kritisches System eine separate Authentifizierungsdomäne mit unterschiedlichen Anmeldeinformationen verwendet werden. Außerdem sollten Passwortverwaltungslösungen für lokale Administrator- und privilegierte Konten verwendet werden. Zur Sicherung von Fernzugriffen sowie bei allen Zugriffen auf sensible Systeme und Anwendungen bietet Multi-Faktor-Authentifizierung einen erhöhten Schutz. Damit ein Missbrauch nicht erst dann bemerkt wird, wenn es bereits zu spät ist, fungiert die Überwachung von Anmeldeinformationen als eine Art Frühwarnsystem. Jede Administrator-Aktion sollte gründlich untersucht werden. Zudem empfiehlt es sich, Administratoren, die Zugangsberechtigungen ändern können, strikt von denen zu trennen, die Systemänderungen vornehmen können. Einige Unternehmen setzen für kritische Systeme inzwischen auf Chipkarten – doch auch mit diesen ist man nicht sicher, wenn sie unbeaufsichtigt in Geräten bleiben. Die beste Möglichkeit ist, diese in einem Tresor mit physischer Sicherheitskontrolle aufzubewahren.

3. Einführung einer korrekten Segmentierung

Segmentierung kann helfen, kritische Systeme zu schützen. Häufig wird sie jedoch unsachgemäß umgesetzt und überwacht, was zu einem trügerischen Sicherheitsgefühl führt.

Wo es möglich ist, sind Air Gaps (physikalische Trennung) für sensible Systeme empfehlenswert.”

Natürlich entstehen durch die damit einhergehenden manuellen Prozesse Kosten – allerdings müssen diese mit möglichen Schäden durch Hacks in Relation gesetzt werden. An den Stellen, wo Air Gaps nicht praktikabel sind, hilft nur eine Abschottung – denn fortschrittliche Hacker können Firewalls oder Netzwerkzugriffskontrollen leicht manipulieren. Wirkungsvoll kann nur dagegen vorgegangen werden, wenn der Verwaltungszugriff für beispielsweise Firewall-Management-Konsolen über ein separates Netzwerk erfolgt. Außerdem sollte eine separate Authentifizierungsdomäne mit Multi-Faktor-Authentifizierung verwendet werden, damit beispielsweise gestohlene Fernzugriffs-Anmeldeinformationen nicht wiederverwendet werden können. Hilfreich wäre beispielsweise auch die Remote-Desktop-Technologie, um eine Jump-Host-Kontrolle für den Zugriff zwischen Netzwerken zu ermöglichen.

4. Datenseparierung

Daten für den Live-Betrieb sollten nicht in Entwicklungs-, Test- und QS-Systeme eingegeben werden.”

Diese Systeme sind oft mit niedrigeren Rechten zugänglich oder in weniger sichere Umgebungen eingebettet. Damit können auch Benutzer darauf zugreifen, die eigentlich keinen Zugriff auf Live-Daten haben sollten. Randomisierte, synthetische, anonymisierte oder anderweitig unsensible Daten sollten sich außerhalb der Live-Umgebungen befinden, denn dies reduziert die Angriffsfläche für den Diebstahl sensibler Daten erheblich.

5. Schutz vor Spear-Phishing

Moderne E-Mail-basierte Angriffe setzen auf ausgereifte Social-Engineering-Techniken, die selbst den erfahrensten Anwender täuschen könne.

In der Tat beginnt die Mehrheit der Angriffe auf Finanzdienstleister mit einer Spear-Phishing-E-Mail. Lediglich auf Spam-Filter- und Antiviren-Software zu vertrauen, reicht längst nicht mehr aus – gezielte Spear-Phishing-E-Mails sind sehr gut aufgesetzt und personalisiert und von legitimen E-Mails kaum noch zu unterscheiden.”

Daher ist eine Technologielösung, die verhindert, dass derartige E-Mails das Opfer überhaupt erreichen, von entscheidender Bedeutung. Eine solche Lösung muss vor allem zwei Dinge können: Zum einen bösartige Links und mit Malware beladene Anhänge in E-Mails aufspüren. Zum anderen aber auch nach Angriffen ohne Malware suchen, wie beispielsweise dem Versuch, sich als vertrauenswürdiger Absender auszugeben oder dem Abfischen von Zugangsberechtigungen.

6. Sammeln von Beweisen

Zur Protokollierung des gesamten Netzwerkverkehrs in und aus Kernanwendungen heraus empfehlen sich forensische Maßnahmen.”

Die daraus erhaltenen Informationen sollten mindestens 30 bis 90 Tage aufbewahrt werden, sodass sie für Nachuntersuchungen zur Verfügung stehen und aktiv nach möglichen Angreifern gesucht werden kann. Diese Protokollierung sollte für alle kritischen Systeme eingesetzt werden.

7. Überprüfung auf Verwundbarkeit

Wie sicher alle kritischen Systeme wirklich sind, muss gründlich getestet werden – und das nicht nur einmalig, sondern nach jeder Konfigurationsänderung.

Außerdem sollten Finanzdienstleister stärker auf Red Teaming setzen.”

Im Gegensatz zu Penetrationstests, bei denen nur ein direkter Angriff auf exponierte Angriffsfläche nachgestellt wird, ist Red Teaming ein Angriff unter Realbedingungen, der die Techniken und Methoden fortschrittlicher Angreifer widerspiegelt. Dies ist der realistischste Weg, um die Wirksamkeit von Sicherheitskontrollen zu beurteilen.

8. Wechsel von einem SOC zu einem Cyber Defense Center

Die meisten Finanzdienstleister verfügen über ein Security Operations Center (SOC). Viele dieser SOCs sind allerdings passiv und reagieren nur auf Warnungen, die von ihren Sicherheitstools generiert werden. Eine bessere Option wäre ein Cyber Defense Center-Ansatz. Ein Cyber Defense Center macht aus einem  Finanzdienstleistungsunternehmen mit Compliance-bestimmtem, alarmgesteuertem Sicherheitsansatz ein Unternehmen, das fortschrittliche Bedrohungen erkennen, aufspüren, gezielt suchen, reagieren und eindämmen kann.

9. Erkennung von Hacker-Angriffen

Eine gute Sicherheitstechnologie ist in der Lage, unterschiedliche Angriffsarten zu erkennen, wie den Missbrauch von Berechtigungsnachweisen oder eine laterale Bewegung von Angreifern im Netzwerk. Sie muss in der Lage sein, auch bisher unbekannte Angriffe in nahezu Echtzeit zu erkennen, indem sie eine umfassende Analyse des gesamten Systemverhaltens durchführt. Außerdem sollte jeder Vorfall untersucht werden. Eine Unterscheidung zwischen “fortschrittlichen” und “Commodity”-Bedrohungen kann in einem Finanzinstitut nicht vorgenommen werden.

Eine scheinbar allgemeinübliche Malware-Infektion kann beispielsweise an einen ausgefeilter vorgehenden Hacker verkauft werden, der diesen Zugriff dann nutzt, um Anmeldeinformationen zu stehlen, zusätzliche Tools bereitzustellen und sich dann lateral im Netzwerk zu anderen Hosts bewegt.”

10. Threat Intelligence nutzen

Richtig eingesetzt, kann Threat Intelligence die Erkennungsqualität und Reaktionsgeschwindigkeit bei Vorfällen verbessern, bei der Suche nach Bedrohungen unterstützen, Kontextinformationen zu diesen Bedrohungen liefern und damit dabei helfen, das Risikomanagementprogramm voranzutreiben.

Am besten funktioniert der Schutz gegen Hacker, wenn all diese Tipps miteinander kombiniert und nicht isoliert voneinander betrachtet werden.

Sicherheit ist ein Prozess, der sich gemeinsam mit der sich verändernden Bedrohungslandschaft ständig weiterentwickeln muss. Angreifer verlassen sich derzeit vor allem auf eine schwache Authentifizierung, um Netzwerke von Finanzdienstleistern zu kompromittieren.”

Es ist wichtig, die vorhandenen Angriffspunkte zu verstehen und sie dann mit starker Authentifizierung und anderen Netzwerkkontrollen zu segmentieren. Es ist auch wichtig, sich vor Bedrohungen wie Spear-Phishing zu schützen, da dies die häufigste Art und Weise darstellt, wie Angreifer in das Netzwerk gelangen.

Insgesamt betrachtet täten Finanzdienstleister gut daran, von einem rein präventiven Security-Ansatz zu einem Ansatz überzugehen, der auch die effektive Reaktion auf einen Angriff berücksichtigt. Dazu gehört beispielsweise der Aufbau eines Cyber Defense Centers mit stark ausgeprägten Erkennungsmethoden, Threat Intelligence und Forensik, sowie die permanente Überprüfung der Effektivität des Sicherheitsprogramms und Kontrollen durch Übungen wie Red Teaming. Wenn all diese Aspekte in der Security-Strategie berücksichtigt werden, entsteht ein komplexes, in sich greifendes Abwehrsystem, das Hackern die Türe vor der Nase zuschlägt, wenn diese nicht sowieso schon verschlossen war.aj