DevOps und PSD2: Wer mit der Richtlinie falsch umgeht, riskiert nicht nur die eigene Cyber-Sicherheit

Gerade im Finanzwesen ist man mit strengen Compliance-Vorgaben vertraut. Doch auch in diesem hochgradig regulierten Sektor könnte ein falscher Umgang mit der neuen PSD2-Richtlinie ungewollte Cyber-Risiken verursachen. Eine kürzlich veröffentlichte Studie von Trend Micro kam zu dem Ergebnis, dass fast die Hälfte (45 Prozent) der IT-Entscheider im europäischen Finanzsektor Schwierigkeiten haben, mit der sich verändernden Bedrohungslandschaft Schritt zu halten. Durch die zunehmende Verbreitung von DevOps sowie Cloud- und Mobile-First-Strategien in vielen Banken werden die Bedrohungen jedoch weiter wachsen.

von Udo Schneider, Security Evangelist bei Trend Micro

Um diese Herausforderungen zu bewältigen, müssen sich Banken neu aufstellen – mit einer klaren Übernahme von Verantwortung durch die Führungsetage, Wandel in der gesamten Organisation und einer materiell und personell gut aufgestellten IT-Security-Abteilung.

Cyber-Angriffe auf das Finanzwesen

Fast zwei Drittel (61 Prozent) der Befragten gaben an, dass die Cyber-Bedrohungen für ihre Institution im vergangenen Jahr zugenommen hätten. Mit dieser Einschätzung sind sie nicht alleine: Eine andere Untersuchung ergab, dass das Finanzwesen zwischen Oktober 2017 und September 2018 der am häufigsten angegriffene Wirtschaftssektor im EMEA-Raum war – 30 Prozent aller Cyber-Angriffe trafen ihn. Auch die BaFin warnt davor, dass „Unternehmen des Finanzsektors zu den bevorzugten Zielen von Cyber-Angriffen“ gehörten (Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Jahresbericht 2018, S.13.).

Die Gründe dafür liegen auf der Hand: Banken speichern riesige Mengen wertvoller personenbezogener sowie finanzieller Daten ihrer Kunden. Zudem betreiben sie kritische Infrastrukturen und sind damit besonders attraktiv für Ransomware-Angriffe. Sie haben außerdem große, komplexe Lieferketten, durch die sie weiteren Cyber-Risiken ausgesetzt sind. Finanzdienstleister sind auch Ziel von Angriffen mittels Business Process Compromise (BPC) – komplexen, langandauernden Kampagnen mit dem Ziel, interne Prozesse zu verstehen und zu manipulieren, um Geld an den Angreifer zu überweisen. Das wahrscheinlich bekannteste Opfer einer solchen Attacke war die Bangladesh Bank, die bei einem solchen Angriff 81 Millionen US-Dollar verlor.

DevOps schaffen neue Risiken

In dieser angespannten Lage versuchen Banken verstärkt, neue Chancen zu nutzen, die ihnen die PSD2-Richtlinie eröffnet. Um mit den disruptiven Angeboten von FinTechs mitzuhalten, richten sie ihren Fokus zunehmend auf Agilität und Geschwindigkeit.

Um die neuen Rahmenbedingungen umzusetzen und von ihnen zu profitieren, müssen sowohl etablierte Banken als auch Start-Ups offene Schnittstellen schaffen und gleichzeitig starke Authentifizierungsprozesse implementieren. Diese neuen Ansprüche zu erfüllen und gleichzeitig die bestehenden Security-Herausforderungen zu bewältigen, wird höhere IT-Budgets und neue personelle Ressourcen erfordern. Immerhin berichteten uns 42 Prozent der IT-Entscheider, dass ihnen die neuen Vorgaben aktuell Probleme bereiten.

Aus Security-Sicht stellen die neuen Cloud-nativen Umgebungen, die von den IT-Abteilungen vieler Banken eingerichtet werden, einen Teil des Problems dar. DevOps-Prozesse in Verbindung mit Innovationen wie Microservices und Containern verbessern die Agilität, senken die Kosten und machen es möglich, mit mehreren Cloud-Anbietern zu arbeiten, um so das Risiko eines Lock-in zu senken. Allerdings stellen sie auch ein Sicherheitsrisiko dar.

Dabei wird die IT-Security oftmals nicht früh genug in die Diskussion miteinbezogen: Eine andere Studie von Trend Micro zeigte, dass ein Drittel der IT-Entscheider ihre Sicherheits-Teams nicht immer konsultieren, wenn es um DevOps-Prozesse geht – obwohl 72 Prozent erkennen, dass dieses Verhalten riskant ist.

Die Initiative übernehmen

Zur Verbesserung der Sicherheit sollten Entscheider in API-basierte Security investieren, die automatisch in DevOps-Workflows integriert werden kann und das kontinuierliche Scannen von Container-Images und Schutz von Containern zur Laufzeit ermöglicht.”

Vereinfacht gesagt: Die bestehende Security-Infrastruktur einfach in die „neue Welt“ von Cloud und DevOps zu übernehmen, kann Lücken in den Schutz reißen und Innovationen behindern. IT-Sicherheit muss möglichst Cloud-ready, agil und schnittstellenbasiert sein.

Doch der Schutz von DevOps ist natürlich nicht alles. Auch andere Bedrohungen wie Phishing, Ransomware, Business E-Mail Compromise (auch CEO-Fraud oder Chef-Masche genannt) und, wie bereits erwähnt, BPC erfordern umfassende Reaktionsfähigkeiten. Dazu sollte eine generationenübergreifende Kombination von Technologien bereitstehen – von signaturbasierten Tools und Whitelisting bis hin zu Verhaltenserkennung und Maschinellem Lernen.

Security kann nur dann funktionieren, wenn jemand die Verantwortung übernimmt.”

Deshalb halten wir es für besorgniserregend, dass das Thema Cyber-Sicherheit laut unserer Umfrage nur bei 61 Prozent der Finanzdienstleister auf Geschäftsführungsebene vertreten ist. Zudem gaben 41 Prozent der Befragten an, Schwierigkeiten dabei zu haben, die Folgen eines Angriffs gegenüber der Unternehmensleitung zu kommunizieren. Zur Führung gehört auch, richtig zu investieren – nicht nur in Tools, sondern auch in Personal. Die Security-Branche hat mit massivem Fachkräftemangel zu kämpfen, in EMEA sind ungefähr 142.000 Stellen in diesem Bereich nicht besetzt. Denkbare Maßnahmen wären etwa die Weiterbildung bestehender Mitarbeiter oder eine Anpassung der Voraussetzungen für bestimmte Stellen.

IT-Entscheider stecken in einer Zwickmühle: Einerseits wird mehr Agilität gefordert, andererseits müssen sie die Risiken der digitalen Transformation mindern.”

Ihre Aufgabe ist undankbar, muss aber dennoch erfüllt werden. Proaktive, risikobasierte Security stellt für jeden modernen Finanzdienstleister eine erfolgskritische Größe dar.Udo Schneider, Trend Micro