SECURITY7. Dezember 2017

OpenBanking, API, PSD2 vs. DDoS, TrickBot & Co.: Vier Schritte, um Cyber-Bedrohungen zu bekämpfen

C R Srinivasan ist Vice President, Global Product Management und Data Centre Services bei Tata CommunicationsTata Communications

Anfang 2017 wurden britische Banken, die unter Lloyds, Halifax und der Bank of Scotland operierten, innerhalb von 48 Stunden von einem erheblichen DDoS-Angriff (Distributed Denial of Service) getroffen. Da es sich bei Finanztransaktionen meist um die Übertragung sensibler Benutzerdaten handelt, ist es für Banken unerlässlich, dass sie ihren täglichen Betrieb vor Cyber-Angriffen schützen. Was es dabei mit OpenBanking, APIs und der PSD2 zu tun hat, erklärt Tata-Vice President Srinivasan C.R.

von Srinivasan C.R., Tata Communications

In jüngster Zeit wurde eine Reihe von südkoreanischen Banken von einer schädlichen DDoS-Attacke bedroht, wenn sie nicht die 315.000 Dollar Bitcoin Lösegeldforderung zahlten.

Glücklicherweise sind sich die Banken der Kritikalität der von ihnen genutzten Daten bewusst und in beiden Fällen wurden die Angriffe erfolgreich abgewehrt.“

Obwohl DDoS-Angriffe in vielen Branchen weit verbreitet sind, hängt die Wirksamkeit der Methode davon ab, dass die Organisation das Lösegeld bezahlt, was viele Organisationen ablehnen. Eine weitere besorgniserregende Angriffsform für Banken ist eine, die Daten über einen bestimmten Zeitraum still absaugt. Diese werden häufig in Form von Malware-gesteuerten Angriffen wie Banking-Trojanern eingeschleppt.

Ein Beispiel für diese Art von Bedrohungen ist ein sich entwickelndes Malware-Projekt namens TrickBot, das derzeit in Lateinamerika plagt und sich gegen Banken in über 40 Ländern auf der ganzen Welt richtet.

Angriffe, die im Laufe der Zeit zu einem systematischen Datenverlust führen, haben nicht die unmittelbare Schockwirkung eines schnellen Angriffs, aber sie können genauso schädlich sein und dazu dienen, die Verteidigung der Banken im Laufe der Zeit zu schwächen. Eine zusätzliche Komplexität dieses Themas ist, dass es bald mehr und mehr Kanäle geben wird, in denen Hacker auf die Systeme zugreifen können. P2P-Dienste sind auf dem Vormarsch, und Vorschriften wie PSD2 werden eingeführt, um den Wettbewerb in der Branche zu erhöhen, indem zum Beispiel ein offener API-Standard für das Bankwesen in Großbritannien eingeführt wird.

Die Absicherung aller verschiedenen Kanäle wird für die Branche nur noch schwieriger, da sich die Bank weiterentwickelt und die Führungskräfte mit einem agilen Cyber-Sicherheitsplan ausgestattet sein müssen, um mit dem Vertrauen ihrer Kunden in die nächste Finanzgeneration vorzustoßen.

Das Bankengeschäft vor Bedrohungen sichern

Traditionell war die Bankenbranche einer der Hauptinvestoren im Bereich der Sicherheit. Wahrscheinlich wird dies auch weiterhin der Fall sein, wenn wir uns in der neuen Bedrohungslandschaft bewegen, die die Zukunft des Bankgeschäfts birgt.“

Während sich das Open-Banking beschleunigt und die Daten der Branche immer stärker miteinander verbunden werden, kann es sich die Industrie nicht leisten, Risiken mit Kundendaten einzugehen. Ein Leck könnte das erste Symptom sein, das die gesamte Branche mit einer Krankheit infiziert, die weitreichendere Auswirkungen haben könnte.

Autor C R Srinivasan, Tata Communications
C R Srinivasan ist Vice President, Global Product Management und Data Centre Services bei Tata Communications. In seiner jetzigen Position verantwortet er das globale Rechenzentren-Servicegeschäft von Tata Communications. Dazu gehören unter anderem die Bereiche Produktstrategie, Geschäftsplanung sowie taktisches und strategisches Management der Pro­dukt­in­fra­stru­ktur. Er arbeitet eng mit den Teams aus den Bereichen Sales und Business Development sowie mit den Teams aus Engineering, Operations und Finance zusammen.

Um diese sich entwickelnde Bedrohung zu bekämpfen, benötigt die Branche eine adaptive 24/7 Methode zur Erkennung, Verteidigung und zum Gegenangriff. Viele Unternehmen versuchen, ihre Sicherheitsdienste auszulagern, um sicherzustellen, dass sie rund um die Uhr umfassend abgedeckt sind. So steigt beispielsweise die Investition in Sicherheitsoperationszentren.

Eine der Haupterkenntnisse der Krise von 2008 war, dass die Branche verantwortungsbewusster in ihrem Risikomanagement sein muss. Indem sie mit den neuesten Sicherheitsbedrohungen Schritt hält und in Sicherheitsanwendungen investiert, die in der Lage sind, sich an die Zukunft des Bankgeschäfts anzupassen, wird die Branche in der Lage sein, ein ähnliches, lähmendes finanzielles Ereignis zu vermeiden.

Mentalität der „kontinuierlichen Reaktion“ einführen

Das Konzept der adaptiven Sicherheit bedeutet, präventive und reaktionsschnelle Sicherheitsprozesse für jeden Ablauf zu implementieren, den eine Bedrohung durchbrechen könnte. Organisationen sollten ihre Denkweise ändern und von einer „Reaktion auf entdeckte Vorfälle“ zu einer „kontinuierlichen Reaktion“ umstellen.

Typischerweise gibt es vier Phasen in einem adaptiven Sicherheitslebenszyklus: präventiv, aufdeckend, nachträglich und prädiktiv. Damit sich Organisationen schützen können, müssen sie die richtige Mischung finden.“

Präventive Sicherheit

Die erste Verteidigungsstufe ist die präventive Sicherheit. Dazu zählen Firewalls, die dazu entwickelt wurden, Hacker und deren Attacken zu blockieren, bevor sie sich auf das laufende Bankgeschäft auswirken. Viele Organisationen setzen eine solche Lösung bereits ein, dennoch muss hier ein Paradigmenwechsel stattfinden. Unternehmen sollten vorbeugende Sicherheit weniger als Option sehen, Angreifer vollständig abzublocken, sondern mehr als eine  Art Hürde, die es Hackern erschwert, das System anzugreifen. Unternehmen gewinnen so mehr Zeit, einen laufenden Angriff zu erkennen und darauf zu reagieren.

Aufdeckende Sicherheit – wenn der Hacker schon da ist

Aufdeckende Sicherheit erkennt Hacker, die bereits die Firewalls durchbrochen haben und sich innerhalb des Systems befinden. Dabei steht das Ziel im Fokus, die Zeit zu reduzieren, die der Hacker im System verbringt und den Schaden zu begrenzen. Diese Schicht ist entscheidend, wenn Banken eingesehen haben, dass Angreifer irgendwann eine Möglichkeit finden werden, in ihr System einzudringen.

Nachträgliche Sicherheit

Die Ebene der nachträglichen Sicherheit ist eine intelligente Schicht, die vergangene Angriffe für künftigen Schutz nutzt – ähnlich wie Impfstoffe gegen Krankheiten vorbeugen. Dabei werden Schwachstellen analysiert, die während eines vergangenen Vorfalls aufgetreten sind. So kann eine Empfehlung anhand von forensischen Analysen und Ursachenanalysen für neue präventive Maßnahmen zum Schutz vor ähnlichen potenziellen Vorfällen entwickelt und implementiert werden.

Prädiktive Sicherheit

Externe Hacker werden durch die prädiktive Sicherheit beobachtet, die am externen Bedrohungsnetzwerk ansetzt. Durch die Beobachtung der Hacker werden proaktiv neue Angriffstypen vorhergesagt. Dies führt zurück zur präventiven Schicht und setzt neue Schutzmechanismen gegen aufkommende Bedrohungen in Gang, sobald diese erkannt werden.

Diese vier Elemente sind notwendig, um Organisationen während der digitalen Transformation in allen Branchen zu schützen, inklusive der Banken. Sie sollten kombiniert eingesetzt werden, um das volle Potenzial auszuschöpfen. Alle Elemente verbessern die Sicherheit individuell und gemeinsam formen sie einen konstanten Schutz für Organisationen, der bei jedem Schritt im Lebenszyklus einer Sicherheitsbedrohung greift.

Ergänzend hierzu müssen Finanzdienstleister auch die sich immer wieder ändernden gesetzlichen Vorgaben beachten.

Die Rolle der Regierung

Regierungen müssen Bewusstsein schaffen und sicherstellen, dass die Organisationen in ihrem Land, die mit sensiblen Informationen umgehen, strenge Maßnahmen zur Sicherung ihrer IT-Systeme ergreifen. Die meisten Länder haben bereits verschiedene Vorschriften erlassen, um die Sicherheit ihrer sensiblen Sektoren, wie zum Beispiel das Bankwesen, zu stärken. In Deutschland beispielsweise sind die Bundesbank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gemeinsam für die Bankenaufsicht im Land zuständig. Im November 2017 veröffentlichte die BaFin die neuen Vorgaben von BAIT (Bankaufsichtliche Anforderungen an das IT-Risikomanagement). Neben Richtlinien zu anderen IT-relevanten Themen befasst sich BAIT auch mit den Belangen der IT-Sicherheit für den Bankensektor in Deutschland. Die Finanzinstitute des Landes müssen bei der Festlegung ihrer IT-Strategien jetzt konkrete sicherheitstechnische Maßnahmen ergreifen.

Zusammenarbeit ist der Schlüssel zum Erfolg

Um konkurrenzfähig zu sein und ihren Kunden eine individuellere Nutzererfahrung zu bieten, müssen Banken eine Fülle von Daten über ihre Kunden sammeln und pflegen. Vertrauen ist im Finanzdienstleistungssektor oberstes Gebot, und die Branche ist sich der kritischen Bedeutung der Informationen, die sie verarbeitet, bewusst, aber mit der Entwicklung der Branche wächst auch die Bedrohung.

Die Gewährleistung der Sicherheit von Benutzerinformationen ist eine Gemeinschaftsarbeit, und Banken und Sicherheitsanbieter müssen zusammenarbeiten, um den Kunden ein nahtloses und sicheres Bankgeschäft zu ermöglichen.

 
Sie finden diesen Artikel im Internet auf der Website:
https://www.it-finanzmagazin.de/?p=61923
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (3 Stimmen, Durchschnitt: 5,00 von maximal 5)
Loading...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

„Screen Scraping ist nicht tot“ – Kommentar von Ralf Ohlhausen, PPRO Group

Heute hat die Europäische Kommission ent­schie­den, wie die RTS zur PSD2 interpretiert werden soll. Wie fast immer verstehen Unternehmen und Institutionen die Regelungen unterschiedlich (hier...

Schließen