SECURITY31. Juli 2019

Capital One-Bank: 106 Mio. Kundendaten geklaut – Interview mit Richard Renner, Perseus Technologies

Capital One-Bank: 106 Mio. Kundendaten geklaut - Interview mit Richard Renner, Perseus Technologies
Richard Renner ist Geschäftsführer der Perseus TechnologiesPerseus Technologies

Heise berichtete gestern über einen enormen Datendiebstahl bei Capital One: Eine Hackerin wurde angeklagt, weil sie Daten von über 100 Millionen Personen in den USA und sechs Millionen in Kanada bei der Bank abgesaugt und weitergegeben habe. Wir haben Richard Renner, Geschäftsführer von Perseus Technologies gefragt, ob das technisch auch in Deutschland passieren kann und welchen Schutz es gibt.

Herr Renner, wäre so ein Fall auch in Deutschland möglich? Bei Capital One soll es die Fehlkonfiguration einer Firewall gewesen sein. Sind Firewalls selbst in der Default-Konfiguration nicht ausreichend minimal abgesichert?

Der Einsatz einer Firewall ist ein wichtiger Teilaspekt eines umfassenden Sicherheitskonzeptes. Wenn ein Hacker wirklich will, wird er einen Weg durch oder um die Firewall finden, um in ein Datennetzwerk zu gelangen. Besteht zusätzlich eine Fehlkonfiguration der Technik, die natürlich auch in Deutschland möglich wäre, haben Cyber-Kriminelle ein leichtes Spiel. Es ist somit wichtig, dass neben den technischen Sicherheitsmechanismen auch unbefugte Zugriffe von außen kontrolliert werden.

Grundsätzlich sollte neben den technischen Vorkehrungen auch die Implementierung einer Cybersicherheitskultur sowie eines Backup-Systems zum Standard gehören.”

Über die Firewall hinaus sollte man sich immer damit beschäftigen, welche Inhalte zugänglich werden könnten, sollte es zum Cyber-Angriff kommen und einen entsprechenden Krisenplan parat haben, um eine Betriebsunterbrechung oder dauerhafte Datenverluste zu vermeiden.

Die Daten lagen in der AWS – waren die Daten nicht verschlüsselt?

Cloudanbieter wie AWS sind vielfach sicherheitszertifiziert. Auch in Deutschland sind sie nach dem C5-Prüfschema des Bundesamts für Sicherheit in der Informationstechnik (BSI) geprüft und gelten als sicher.”

Das gilt allerdings nur für die bereitgestellte Infrastruktur von AWS. Die Sicherung der auf diesen Systemen laufenden Anwendungen und deren Konfiguration liegt in der Verantwortung der Betreiber.

Richard Renner, Perseus Technologies
Richard Renner ist Geschäftsführer der Perseus Technologies, hat mehr als 18 Jahre Erfahrung in den Bereichen Versicherungen und Risikomanagement und war u. a. bei Aon Risk Solutions Deutschland und bei FinLeap tätig.
Es gibt viele Sicherheitsprogramme, um die Sicherheit der Anwendungen und Daten zu gewährleisten. Unabhängig davon welche davon eingesetzt wurden. Hier kommt der Faktor Mensch ins Spiel – der Nutzer entscheidet, ob und wie Sicherheitsmechanismen zum Einsatz kommen.

Wie hoch ist die Gefahr, dass auch in Deutschland Daten kompromittiert werden können?

Datenschutz wird in Deutschland deutlich restriktiver gehalten als in anderen Ländern. Hier gilt ein sogenanntes “Verbot mit Erlaubnisvorbehalt”.

Das bedeutet, dass jede Speicherung, Verarbeitung und Erhebung von personenbezogenen Daten nur dann erlaubt ist, wenn sie durch ein Gesetz angeordnet wird, durch eine andere Rechtsvorschrift oder von der betroffenen Person erlaubt wird.

Bei Banken, Sparkassen und Versicherungen sind natürlich sehr viele und mitunter sensible Daten im Umlauf, wie Gehaltseingänge, vorhandenes Vermögen, gesundheitliche Probleme oder eben auch, in bestimmten Fällen, die Sozialversicherungs- oder Rentenversicherungsnummer oder die Steuer-Identifikationsnummer.

Unternehmen, die mit so sensiblen Daten arbeiten, sind besonders gefordert, den Datenschutz zu gewährleisten – übrigens nicht erst seit Inkrafttreten der EU-DSGVO.

Capital One Bank
boggy/bigstock.com

Auch Hintergrundinformationen wie Sozial­versicherungs­nummern und Co. wie bei Capital One?

Bei Capital One sind vor al­lem Kre­dit­kar­ten­da­ten ab­han­den ­ge­kom­men. Ty­pi­scher­wei­se wer­den bei Kre­dit­kar­ten­an­trä­gen Na­men, Adres­sen, Te­le­fon­num­mern, E-Mail-Adres­sen und Ge­burts­da­ten angegeben.

Weitere Informationen, wie zum Beispiel über die Bonität oder vorhandene finanzielle Verpflichtungen, werden in Deutschland über die SCHUFA abgefragt und nicht vom Kunden selbst an das Finanzinstitut weitergegeben.

Über gespeicherte Kreditkartenabrechnungen kann man sehr einfach das Zahlungs- und Einkaufsverhalten des Kunden nachvollziehen und Identitäten imitieren bzw. in den entsprechenden Darknet-Marktplätzen verkaufen.

Die Gefahr des sogenannten Identitätsdiebstahls macht den Capital-One-Vorfall besonders prekär: In den USA wird bei einem Kreditkartenantrag auch die Sozialversicherungsnummer angegeben, die gleichzeitig zur Personenidentifikation im beruflichen wie privaten Alltag dient. In Kombination mit einer Kreditkartennummer lässt sich so schnell und einfach eine neue Identität annehmen!”

Über Perseus (finleap-Gruppe)
Per­seus Tech­no­lo­gies bie­tet klei­nen und mitt­le­ren Un­ter­neh­men ein mit­ar­bei­ter­zen­trier­tes An­ge­bot zur lang­fris­ti­gen Eta­blie­rung ei­ner Cy­ber­si­cher­heits­kul­tur an. Das Per­seus 360°-Kon­zept bie­tet Maß­nah­men zur Prä­ven­ti­on, Ab­wehr und fi­nan­zi­el­len Ab­si­che­rung von Ge­fah­ren aus dem In­ter­net, an. Das An­ge­bot des Ber­li­ner In­s­ur­Techs um­fasst brow­ser­ba­sier­te Mit­ar­bei­ter­trai­nings, ei­ne 24/7-Cy­ber-Not­fall­hil­fe, Phis­hing-Tests, ei­ne in­tel­li­gen­te An­ti­vi­ren­soft­ware so­wie ei­nen ge­werb­li­chen Cy­ber-Schutz­brief. Per­seus ist Teil der fin­leap-Grup­pe und ist seit März 2018 am Markt. Das Un­ter­neh­men zählt mitt­ler­wei­le über 1000 mit­tel­stän­di­sche Fir­men­kun­den aus un­ter­schied­li­chen Bran­chen zu sei­nen Kun­den und wur­de mit dem „Di­gi­ta­len Leucht­turm Award 2018“ von Goog­le und Süd­deut­scher Zei­tung aus­ge­zeich­net.
Welche Rolle spielt der Faktor Mensch?

Die besten IT-Systeme bieten keinen Schutz, wenn sie nicht richtig eingesetzt werden. Das ist wie beim Feuerschutz: Ein installierter Rauchmelder warnt im Krisenfall zwar vor giftigem Rauch, kann aber die Ursache selbst – den Ausbruch eines Feuers – nicht verhindern. Für die Unfallverhütung ist der Mensch mit seinem eigenen Verhalten verantwortlich.

Wie kann sich das Finanzwesen neben der bekannten Perimeter-Verteidigung am besten schützen?

Internetnutzer müssen für Cyber-Risiken sensibilisiert werden und lernen, wie sie Gefahren erkennen und abwehren. Angriffsformen wie etwa CEO-Frauds und Sextortion wollen ein bestimmtes Verhalten des Opfers herbeiführen. Solche Angriffe lassen sich nur durch eine permanente Sensibilisierung der Mitarbeiter verhindern. Naivität und unzureichendes Wissen unter Mitarbeitern sind das Haupteinfallstor für die Hackerindustrie.

Die Mitarbeiter müssen in den Fokus der Sicherheitsstrategie gestellt und zu einem stabilen und langfristigen Bestandteil des Verteidigungswalls weiterentwickelt werden.

Jeder Bank und Versicherung sollte bewusst sein, dass trotz der neuesten Systeme ein falscher Klick reichen könnte, um Cyber-Kriminellen Türen und Tore zu öffnen.”

Was müssten CSO Ihrer Meinung nach aus dem Hack lernen?

Im Kampf gegen Cyber-Angriffe gibt es kein Zaubermittel. Die Kombination aus Technologie und Sicherheitsbewusstsein spielt eine wichtige Rolle – es muss eine Cybersicherheitskultur im Unternehmen aufgebaut werden.

Das schließt ein, dass nach einer Schulung der Mitarbeiter die Cyber-Sicherheit gelebt werden muss und nicht ad acta gelegt werden darf. Gerade bei Themen, die nicht zum primären Tätigkeitsfeld der Mitarbeiter gehören, sollte man auf wiederholende, kleinere Maßnahmen setzen, wie zum Beispiel Phishing-Simulationstests.”

Die Erfahrung zeigt, dass solche Trainings einen nachhaltigeren Effekt haben als eine ganztägige Sicherheitsschulung, die schnell in Vergessenheit gerät. Zudem sollten CSO in Erwägung ziehen, parallel laufende Sicherheitssysteme zu installieren, welche die Folgen eines möglichen Firewall-Ausfalls eindämmen. Hier helfen KI-Programme, die bei der Sicherung von Kommunikationsendpunkten (Endpoint Detection and Response) helfen und auf unregelmäßige Datenflüsse im System sofort reagieren und Angreifer blockieren können.

Herr Renner, vielen Dank für das spontane Gespräch!aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert